Capítulo 2. Desarrollo del Proyecto
2.7 Instalación de la Arquitectura de Microsoft
El Directorio Activo es una implantación de servicios de directorio que almacena y organiza la información jerárquicamente sobre los usuarios de una red de datos y permite gestionar el acceso a usuarios a los recursos de la red de datos. Permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchas máquinas y aplicar actualizaciones críticas a una organización entera. Un Directorio Activo almacena información de una organización en una base de datos central, organizada y accesible. El Servicio del Directorio Activo es un rol precargado en el sistema operativo servidor del Windows Server 2012 en sus diferentes versiones, es una arquitectura esencial para la instalación de cualquier solución de Microsoft.
Figura 2.22 Arquitectura del Directorio Activo de Microsoft
2.7.1 Configuraciones previas para la instalación del Rol del
Directorio Activo (AD)
2.7.1.1 Desactivación del “Firewall”
Un “Firewall” es una parte de un sistema o una red de datos que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Generalmente es un dispositivo o conjunto de dispositivos configurados para limitar el acceso entre los diferentes dispositivos de red con base a un conjunto de normas y criterios de la organización.
Pueden ser implantados en hardware o software y utilizados con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del Firewall, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.
Un “Firewall” correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
Figura 2.23 Firewall
Para que las herramientas puedan trabajar de manera armoniosa en el laboratorio se debe desactivar el “Firewall”, sin embargo cuando se implanta se tiene que saber que puerto puede habilitarse para ser usado como se muestra en la Figura 2.24.
2.7.1.2 Configuración del Protocolo TCP/IP
Para configurar el protocolo de TCP/IP se debe seguir el siguiente procedimiento:
1.
En una máquina con Windows Server 2012 accesar al Centro de Redes y Recursos Compartidos cambiar las configuraciones del adaptador, proponiendo una IP fija y un DNS con la misma IP. Esto debido a que posteriormente será nuestro controlador de dominio como se muestra en la Figura 2.25.Figura 2.25 Configuración del Protocolo TCP/IP
2.7.1.3 Creación del Dominio
Un dominio está asociado a la identificación de un grupo de dispositivos conectados a una red. El propósito principal es traducir las direcciones IP de cada nodo activo en la red, a términos memorizables y fáciles de encontrar. Esta abstracción hace posible que cualquier servicio de red pueda moverse de un lugar geográfico a otro.
Para la creación del Dominio se recomienda seguir el siguiente procedimiento:
1. En Propiedades del equipo se procede a cambiar el nombre de la máquina, independientemente de cómo se le haya puesto al guardar la máquina virtual.
Figura 2.26 Nombre de la máquina
2. Crear el dominio con el cual se va a trabajar. No meter al dominio la maquina debido a que posteriormente al promoverlo como Controlador de Dominio (DC) automáticamente se agregará.
Imagen 2.27 Creación del Dominio
3. Reiniciar el equipo para que los cambios se apliquen correctamente.
Figura 2.28 Propiedades del Equipo después de aplicar cambios
2.7.2 Instalación de los Servicios del Directorio Activo (AD)
El Directorio Activo es una arquitectura jerárquica que permite a los administradores establecer políticas a nivel empresarial, desplegar programas en diversas máquinas y aplicar actualizaciones críticas a una organización entera mediante el almacenamiento de la información en una base de datos central, organizada y accesible.
Para agregar el Rol de Servicios de Dominio del Directorio Activo es necesario ingresar como Administrador y agregar el Rol de Servicios de Dominio del Directorio Activo desde la consola del Administrador del Servidor, como se muestra a continuación:
1. Abrir la consola del Administrador del Servidor y seleccionar la opción Agregar Roles, buscar el Rol que se desea agregar, en este caso es el Servicio de Dominio del Directorio Activo. Continuar con la instalación.
Figura 2.29 Roles y Características del Windows Server 2012
2. Agregar las características necesarias y continuar con la instalación hasta que finalice como se muestra en la Figura 2.30.
2.7.3 Configuración del Protocolo DNS
El Sistema de Nombres de Dominio o comúnmente conocido como DNS es un protocolo de nomenclatura jerárquica para los dispositivos de red. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los integrantes. Su función más importante, es la resolución nombres para localizar y direccionar los dispositivos de red. Al instalare el Rol de AD se activa automáticamente el protocolo DNS, pero no se configura la zona de búsqueda inversa. Para crear la búsqueda de la zona inversa del protocolo DNS se siguen los siguientes pasos:
1. En la consola del Administrador agregar una nueva zona de búsqueda inversa.
Figura 2.31 Administrador del DNS
2. Registrar el DNS con el comando ipconfig /register dns y verificar que esté funcionando correctamente desde el símbolo del sistema con permisos de administrador.
Figura 2.32 Símbolo del Sistema
Figura 2.33 Comprobación del funcionamiento del DNS
2.7.4 Promoción como Controlador de Dominio (DC)
Es necesario que se promueva como controlador de dominio al equipo con el Rol de Directorio Activo (AD) para poder tener privilegios de administrador en la arquitectura del AD. Para promover el equipo como Controlador de Dominio (DC) desde la consola del Administrador del Servidor se sigue el siguiente procedimiento:
1. Seleccionar la opción de promover la máquina como Controlador de Dominio (DC) como se muestra en la Figura 2.34.
Figura 2.34 Administrador del Servidor
2. Seleccionar la opción de agregar el nuevo bosque con el dominio y escribir el FQDN del dominio ya creado previamente.
Figura 2.35 Configuración de la implantación
3. El nivel de funcionalidad del bosque y del dominio se escoge dependiendo del Sistema Operativo a emplear en las diferentes máquinas que se van agregar en el dominio. Escoger el nivel de funcionalidad del bosque necesario ya que no se podrán agregar a dicho bosque los controladores de dominio con los niveles de funcionalidad anteriores.
Figura 2.36 Nivel de Funcionalidad de Bosque
4. Hacer click en siguiente a las opciones del DNS, ya que la delegación para este servidor DNS no se puede crear debido a que la zona principal autoritativa no se encuentra o no ejecuta Windows Server DNS. Si está integrando con una infraestructura DNS ya existente, debe crear manualmente una delegación para este servidor DNS en la zona principal para asegurar la resolución de nombres confiable desde fuera del dominio. De lo contrario, no se requiere acción.
Figura 2.37 Opciones del DNS
5. Escribir el nombre del NetBIOS del dominio debido a que verifica que el nombre escrito no esté usando otro dominio.
Figura 2.38 Opciones Adicionales
6. Escoger la ubicación donde se desea guardar la base de datos de los Servicios de Dominio del Directorio Activo, los archivos log y SYSVOL.
Figura 2.39 Rutas de Acceso de los Archivos
7. Verificar las opciones seleccionadas en las ventanas anteriores y darle siguiente.
Figura 2.40 Características Agregadas
Figura 2.41 Revisión de prerrequisitos
9. Al terminar la instalación de la promoción como Controlador de Dominio (DC), verificar en las propiedades del equipo que se haya integrado al dominio como se muestra en la Figura 2.33 y comprobar que las carpetas compartidas del DC existan abriendo el símbolo del sistema y escribir el comando net share donde aparecerán los recursos compartidos NETLOGON y SYSVOL. Estas dos carpetas son las más importantes cuando se instala el DC, ya que sirven para las políticas de grupo del dominio.
Figura 2.43 Verificación de las Carpetas del Controlador del Dominio
2.7.5 Creación de Unidades Organizacionales (OU)
Una Unidad Organizacional son contenedores que sirven para almacenar usuarios, equipos, entre otros. Por tal motivo es necesario crear Unidades Organizacionales para poder tener un mejor orden con los usuarios y grupos creados en la consola del Directorio Activo (AD).
Para crear una Unidad Organizacional (OU) se siguen los siguientes pasos:
1. Entrar a la consola del AD para escoger la opción Nueva Unidad Organizativa dándole clic derecho en el dominio.
2. Escribir el nombre deseado para la Unidad Organizativa y darle clic en Aceptar.
Figura 2.45 Nombre de la Nueva Unidad Organizativa
3. Verificar que aparezca la Unidad Organizativa creada.
Figura 2.46 Usuarios y Equipos de AD
4. Ya una vez creada la OU, se puede crear otra en la misma OU, para que se puedan organizar mejor los usuarios y los grupos. Se pueden crear varias OU, dependiendo del diseño del administrador.
Figura 2.47 Usuarios y Equipos de AD
2.7.6 Creación de Usuarios
La creación de las cuentas de usuarios son indispensables para poder entrar a las máquinas configuradas con el Dominio agregado.
1. Escoger la opción de Nuevo Usuario desde la OU deseada dándole clic derecho.
Figura 2.48 Usuarios y Equipos de AD
Figura 2.49 Información del Usuario
3. Asignarle una contraseña al usuario y finalizar la creación del usuario.
Figura 2.50 Contraseña del Usuario
Figura 2.51 Usuarios y Equipos de AD
2.7.7 Creación de Grupos
1. Darle clic derecho a la Unidad Organizacional (OU) deseada y seleccionar la opción de Nuevo Grupo.
2. Escribir el nombre del grupo deseado, verificar que sea Global y del tipo de Seguridad.
Figura 2.53 Nombre del Grupo
3. Verificar que el Grupo aparezca en la OU seleccionada previamente.
2.7.8 Creación de Políticas de Grupo (GPO)
1. Seleccionar una Unidad Organizacional (OU), darle clic derecho y seleccionar la opción de crear un GPO y vincularlo ahí mismo.
Figura 2.55 Administración de Directivas de Grupo
Figura 2.56 Nueva GPO
2.7.8.1 Editar Políticas de Grupo (GPO)
1. En la consola de Administración de Directivas de Grupo expandir las unidades organizacionales creadas en el dominio y seleccionar la unidad organizativa deseada para edita las políticas.
Figura 2.57 Editar GPO
2. En el editor de administración de directivas de grupo, seleccionar la opción de Directivas.
Figura 2.58 Editor de Administración de Directivas de Grupo
3. Seleccionar la opción de Plantillas Administrativas, y en esta parte se activan y desactivan las configuraciones deseadas para aplicarlas a un grupo o a un usuario.
Figura 2.59 Editor de Administración de Directivas de Grupo