2. Infraestructura de implantación de servicios
Para la empresa de consultoría y asesoría financiera
“ADLOIS Corporation”
Escenario virtual de máquina VirtualBox
Enrutamiento y acceso remoto
Servidor DHCP (conmutación por error - redundante)
Servidor DNS
ADDS (Active Directory Domain Services)
Carpeta personal para cada usuario como unidad
Carpetas para cada departamento (montadas en cada inicio por GPO)
Servidor NFS
Servidor DFS
Servidor WSUS
3. Servidor CUPS + Scripts copias .bat y .ps1 en una tarea programada para el envío
de logs a un correo Gmail
Administración de licencias RDS. Licencias CAL
RemoteApp
RemoteDesktop
Aplicación cliente/servidor con acceso directo por GPO
Implantación de algunas GPOs
Servidor FreeNAS
Infraestructura de implantación de servicios
Para la empresa “ADLOIS Corporation”
4. Infraestructura de
máquinas virtuales
srvdominio 192.168.0.10 ADDS+DNS, DHCP, DFS, WSUS, NFS,
srvrds 192.168.0.11
Replica de DFS, DHCP y ADDS+DNS,
RemoteApp y RemoteDesktop
srvfreenas 192.168.0.15 Servidor de copias
srvcups 192.168.0.12 Servidor de impresión y prueba NFS
PC001
192.168.0.100
(DHCP)
Cliente
5. Cada máquina tiene una sola interface en
red interna (adlois) (192.168.0.0/24)
Excepto srvdominio, que tiene otra en NAT
con el rol implementado de “Enrutamiento
y acceso remoto”. Actuando como pasarela
a internet para el resto de equipos que
tienen configurado como puerta de enlace
la dirección IP del srvdominio
7. Servidor DHCP
Se crear un ámbito o scope “192.168.0.100-200 /24”. Una reserva para
el equipo cliente PC001 (192.168.0.100/24) y opciones del ámbito que
serán otorgadas al cliente (DHCP OFFER) cuando solicite este solicite
una configuración de red (DHCP DISCOVER).
Se establece conmutación por error, redundancia con srvrds.
9. Servidor DNS
Servidor DNS se instala de forma predeterminada cuando un equipo tiene el rol de ADDS.
A mayores se añadieron diversos “Registros de recursos” (RR - Resource Records) y sus registros
de búsqueda inversa PTR (que se generan automáticamente si se marca dicha opción).
En el caso de añadir más equipos Windows al dominio, al actualizarse las DNS cada x periodo
de tiempo estos se agregan automáticamente. Pero en el caso de servidores o clientes con
entorno Linux los RR tipo A se deben crear de forma manual.
12. Carpetas para cada departamento
Las carpetas compartidas se cargarán por GPO en el inicio de sesión del usuario.
Los permisos NTFS se ajustan para cada carpeta dependiendo el grupo de departamento
Correspondiente que tendría que tener acceso.
Con esto se garantiza que si los usuarios intentan acceder a la ruta del servidor srvdominio
Solo consiga ver las carpetas compartidas a las que tendría acceso
13. El objeto de directiva de grupo (GPO) está asignada cada unidad como
destinario el correspondiente grupo. Con esto se garantiza que se cargue
correctamente solo para el inicio de sesión de los usuarios que forman parte de
dicho grupo.
14. Servidor DFS (Distributed File System )
DFS Replication
Replicación DFS en ambos servidores (srvdominio y srvrds).
Recurso compartido llamado “importante”. En “H:DFS > srvdominio” y “C:DFS_Replica > srvrds”.
Acceso desde el cliente al recurso compartido en ambos servidores.
Conectar recursos compartidos SMB entre dos o más sedes como si de una misma se tratase.
15. Servidor NFS (Network File System)
NFS es un sistema de ficheros con el que podemos compartir un recurso para casi cualquier
tipo de sistema operativo. (definido por estándar en el RFC 1813).
(No se comparte por SMB - CIFS). Los permisos se gestionan por le tipo de acceso.
16. $sudo mount -t nfs srvdominio:/nfsdebian /NFS
/etc/fstab para que se monte el recurso NFS de forma permanete (en el inicio del sistema).
Automontar como unidad persistente el recurso NFS
de srvdominio a srvcups
17. Servidor WSUS (Windows Server Update Services)
Con el rol de WSUS implementado podremos administrar y
distribuir actualizaciones de Windows a equipos al resto de
equipos unidos al dominio.
18. Servidor CUPS (Common Unix Printing System)
Sistema de impresión modular, actúa como servidor de impresión para los equipos clientes.
Gestión de impresoras y colas de impresión entre otras.
19. Impresoras instaladas en el servidor de CUPS con tipo de conexión en socket por IP.
Instalación de impresoras en el equipo cliente.
20. Licencias RDS (Remote Desktop Services)
Rol para la administración de licencias de escritorio remoto. Necesario en un entorno de producción
para las conexiones mediante RDP (Remote Desktop Protocol) a un servidor.
Necesario para implementaciones RemoteApp y/o RemoteDesktop.
Licencias CAL (Client Access Licenses).
21. RemoteApp y RemoteDesktop
La instalación del rol será servicios de escritorio remoto. Con
acceso web de RD (RemoteDesktop)
22. Inicio de sesión de usuario autorizado en srvrds mediante RemoteDektop desde RD Web.
Las políticas GPO se cargan por usuario no por máquina.
Mensaje bienvenida, unidades mapeadas, restricciones por usuario, etc.
Se crea un alias “intranet” que apunta a srvrds.adlois.local. Para acceder también por ese nombre
RemoteDesktop
24. Publicación de RemoteApp dentro de una colección.
Las aplicaciones se instalan en el servidor, se le otorgan permisos NTFS para los
usuarios que necesitan acceder al objeto (dependiendo la necesidad de uso y la
arquitectura de funcionamiento del software más o menos permisivos).
Para mantener un orden se instalarán en un directorio local controlable
(C:APLICACIONES)
25. Cuando se agrega una aplicación a la colección se puede parametrizar
que usuarios y grupos tienen acceso a verla y acceder a ella.
Se puede ordenar de forma estructurada en carpetas.
26. Personalización de la web interna
C:WindowsWebRDWebPageses-ES
C:WindowsWebRDWebPagesimages
27. Certificado válido como entidad de certificación raíz
(CA Root).
Se exporta un .pfx desde IIS (Internet Information
Services)
Existen otros métodos: extraer la clave pública .cer
importarla por GPO, importar solo la huella digital
(thumbprint) mediante GPO, etc.
28. Instalar el certificado por usuario en las máquinas del dominio.
Mediante un script PowerShell e incluirlo en el inicio de sesión del
usuario por medio de una GPO
32. Implantación de algunas GPOs (Group Policy Object)
Iniciar Internet Explorer en el inicio de sesión del usuario + Establecer página principal de
inicio con la ruta del acceso web al RD Web interno + Ejemplo de importación de huella
digital (thumbprint) para certificados que representan publicaciones .rdp de confianza.
AppLocker para bloquear aplicaciones, GPO vinculada a los usuarios del dominio.
33. Mensaje de bienvenida, usando
un script de inicio mediante
GPO
Establecer fondo de escritorio
para todos los usuarios y
equipos del dominio
34. Restringir el acceso a las propiedades de la
barra de tareas mediante el registro de
Windows por GPO.
Varias restricciones establecidas
directamente por GPO.
35. Redirección de carpeta “Mis Documentos” para todos los
usuarios a una carpeta compartida del servidor.
36. RSOP (Resultant Set of Policy)
Sondear y evaluar el efecto de la acumulación
directivas locales GPO aplicadas.
GPRESULT /R
Comprobar las directivas GPO aplicadas.
38. Listado de ficheros de copia, accediendo directamente mediante la Shell de
FreeNAS.
39. Proceso por lotes para realizar la copia al FreeNAS con ROBOCOPY.
Conservar los logs de la última semana.
Llamada al fichero .ps1 de PowerShell para el envío del log por correo.
40. Tarea programada en srvdominio para ejecutar el fichero .bat todos los días a
las 23:00. De modo que se haga la copia automáticamente
41. Prueba de la recepción del correo electrónico del fichero de log adjunto.
Permitir el acceso a aplicaciones menos seguras en la cuenta Gmail (necesario para
envío de correo desde PowerShell).