PLANTEAMIENTO DEL PROBLEMA

Luego de convertirse en subsidiaria de una transnacional, una empresa se ve obligada a hacer cambios en su infraestructura de red, esto debido a que ahora sus usuarios romperán el paradigma tradicional de la organización, y se formará una estructura orgánica de operación orientada a las tareas, donde cada usuario está asignada a un departamento, pero además temporalmente puede formar parte de un proyecto de otro departamento lo cual le obliga a trabajar en conjunto con personas de distintas áreas. En definitiva se solicita:

a) Que la red se segmente en base a departamentos.b) Que un usuario pueda ser cambiado de departamento con facilidad.c) Que los usuarios sin importar en qué estación de trabajo se conecten, mantengan los

mismos privilegios para acceso y uso de red.d) Que se implementen distintos niveles de calidad de tráfico dependiendo del grupo al que

pertenezcan los usuarios.e) El backend de autenticación de los usuarios debe ser un servicio de ActiveDirectory o un

LDAP.f) Ya que el uso de red, dependerá ahora de autenticación y autorización centralizada, debe

garantizarse la disponibilidad del mismo, implementando redundancia en el servicio y el transporte del mismo.

1

Instalación del Windows Server 2003

El primer paso a realizar es comprobar que nuestro equipo cumple con los requisitos de Windows server 2003

El sistema operativo Windows Server 2003 puede instalarse de diferentes formas, pero la más habitual es realizar la instalación desde un CDROM. Ello implica arrancar el sistema desde un disco compacto y seguir las instrucciones del asistente. El proceso de instalación seguirá los siguientes pasos:

1. Arranque el proceso de instalación desde CD-ROM u otro medio de arranque.

2. Aceptación del contrato de Licencia.

3. Selección de la partición donde se instalará el Sistema. Si la partición no está creada, le permitirá crear la partición, así como darla formato.

4. Copia de los ficheros necesarios para instalar el sistema en la partición seleccionada. Una vez copiados los ficheros necesarios para instalar el sistema, se reiniciará el equipo y comenzará el proceso de instalación. El asistente para la instalación del Windows Server 2003 le mostrará una pantalla como la de la figura.

2

Ejecutando el asistente de instalación

Después de instalar los dispositivos de configuración y las características de seguridad, arrancará el asistente para proporcionarnos la siguiente información:

Configuración regional

3

Nombre y organización

Clave del producto

4

Modo de licencia

Nombre del equipo y password para la cuenta de Administrador.

5

Configuración de red

Elección de Grupo de Trabajo o Dominio: Aquí indicamos que perteneceremos a un dominio, en nuestro caso cmc.com

6

Copia de ficheros

Después de instalar los componentes de red, el programa de instalación completará las siguientes tareas:

1. Copiar los ficheros remanentes como los accesorios o los bitmaps.2. Aplicar las propiedades de configuración que se especificaron al principio.3. Guardar los parámetros de configuración en el disco duro local.4. Eliminar los archivos temporales y reiniciar el equipo.

7

Instalar DNS

1. Abra el Asistente para componentes de Windows. Para ello, siga estos pasos:

a) Haga clic sucesivamente en Inicio, Panel de control y Agregar o quitar programas. b) Haga clic en Agregar o quitar componentes de Windows.

2. En la lista Componentes, active la casilla de verificación Servicios de red y haga clic en Detalles.

3. En Subcomponentes de Servicios de red, active la casilla de verificación Sistema de nombre de dominio (DNS), haga clic en Aceptar y, a continuación, haga clic en Siguiente.

4. Si se le solicita, en Copiar archivos de, escriba la ruta de acceso completa de los archivos de distribución y haga clic en Aceptar.

Configurar DNS

1. Inicie el Asistente para configurar su servidor. Para ello, haga clic en Inicio, seleccione Todos los programas y Herramientas administrativas y, a continuación, haga clic en Asistente para configurar su servidor.

2. En la página Función del servidor, haga clic en Servidor DNS y, a continuación, haga clic en Siguiente.

3. En la página Resumen de las selecciones, vea y confirme las opciones que ha seleccionado. Los elementos siguientes deben aparecer en esta página:

a) Instalar DNSb) Ejecutar el Asistente para configurar un servidor DNS para configurar DNS

Si la página Resumen de las selecciones muestra estos dos elementos, haga clic en Siguiente. Si la página Resumen de las selecciones no muestra estos dos elementos, haga clic en Atrás para volver a la página Función del servidor, haga clic en DNS y, a continuación, haga clic en Siguiente.

4. Cuando el Asistente para configurar su servidor instala el servicio DNS, determina primero si la dirección IP de este servidor es estática o se configura automáticamente. Si su servidor está configurado actualmente para obtener automáticamente su dirección IP, la página Configurando los componentes del Asistente para componentes de Windows le pedirá que configure este servidor con una dirección IP estática. Para ello:

a) En el cuadro de diálogo Propiedades de la Conexión de área local, haga clic en Protocolo de Internet (TCP/IP) y, después, haga clic en Propiedades.

8

b) En el cuadro de diálogo Propiedades de Protocolo Internet (TCP/IP), haga clic en Usar la siguiente dirección IP, y escriba la dirección IP estática, la máscara de subred y la puerta de enlace predeterminada para este servidor.

c) En Servidor DNS preferido, escriba la dirección IP de este servidor. d) En Servidor DNS alternativo, escriba la dirección IP de otro servidor

DNS interno o deje en blanco este cuadro.e) Cuando termine de configurar las direcciones estáticas para su DNS,

haga clic en Aceptar y, a continuación, haga clic en Cerrar.

5. Después de hacer clic en Cerrar se iniciará el Asistente para configurar un servidor DNS. En el asistente, siga estos pasos:

a) 5.1 En la página Seleccione una acción de configuración, active la casilla de verificación Crear una zona de búsqueda directa y haga clic en Siguiente.

b) 5.2 Para especificar que este DNS aloja una zona DNS que contiene registros de recursos DNS para sus recursos de red, en la página Ubicación del servidor principal, haga clic en Este servidor mantiene la zona y, a continuación, haga clic en Siguiente.

c) 5.3 En la página Nombre de zona, en Nombre de zona, especifique el nombre de la zona DNS para su red y haga clic en Siguiente. El nombre de la zona es igual que el nombre del dominio DNS para su organización pequeña o sucursal.

d) 5.4 En la página Actualización dinámica, haga clic en Permitir todas las actualizaciones dinámicas (seguras y no seguras) y, a continuación, haga clic en Siguiente. Esto garantiza que los registros de recursos DNS para los recursos de su red se actualizan automáticamente.

e) 5.5 En la página Reenviadores, haga clic en Sí, reenviar consultas a servidores DNS con las direcciones IP siguientes y, a continuación, haga clic en Siguiente. Al seleccionar esta configuración, reenvía todas las consultas DNS de nombres DNS fuera de su red a un DNS de su ISP o de la oficina central. Escriba una o más direcciones IP que utilicen los servidores DNS de su ISP o de la oficina central.

f) 5.6 En la página Finalización del Asistente para configurar un servidor DNS del Asistente para configurar servidor DNS, puede hacer clic en Atrás para cambiar cualquiera de las configuraciones. Para aplicar sus selecciones, haga clic en Finalizar.

Después de finalizar el Asistente para configurar un servidor DNS, el Asistente para configurar su servidor muestra la página Este servidor es ahora un servidor

9

DNS. Para examinar todos los cambios que ha realizado al servidor en el Asistente para configurar su servidor o para asegurarse de que una nueva función se instaló correctamente, haga clic en Registro de Configuración de su servidor. El registro del Asistente para configurar su servidor se encuentra en %systemroot%\Debug\Configure Server.log. Para cerrar el Asistente para configurar su servidor, haga clic en Finalizar.

10

Instalación y configuración de Active Directory

Para iniciar el complemento Usuarios y equipos de Active Directory

1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

2. Expanda Contoso.com haciendo clic en el signo +.

En la Figura se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.

Agregar una unidad organizativa

Este procedimiento crea una unidad organizativa adicional en el dominio Contoso. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.

Estos pasos se basan en la estructura de Active Directory establecida en las guías detalladas de infraestructura común. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com.

Para agregar una unidad organizativa

1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botón secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción

como el nombre de la nueva unidad organizativa y, a continuación, haga clic en Aceptar.

11

Crear una cuenta de usuario

El siguiente procedimiento crea la cuenta de usuario Juan García en la unidad organizativa Construcción.

Para crear una cuenta de usuario

1. Haga clic con el botón secundario del mouse en la unidad organizativa Construcción, seleccione Nuevo y, a continuación, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento.

2. Escriba la información del usuario.

3. Haga clic en Siguiente para continuar.

12

4. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después, haga clic en Siguiente.

Nota: a menudo, el papel que desempeñan las contraseñas en la protección de la red de una organización se subestima y no se tiene en cuenta. Las contraseñas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organización. La familia Windows Server 2003 dispone de una nueva característica que requiere contraseñas complejas para todas las cuentas de usuario de nueva creación. Para obtener información sobre esta característica, consulte la guía detallada de configuración de directivas de contraseña.

5. Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de diálogo.

Acaba de crear una cuenta para Juan García en la unidad organizativa Construcción.

Para agregar información adicional sobre este usuario

1. Seleccione Construcción en el panel de la izquierda, haga clic con el botón secundario del mouse en Juan García en el panel de la derecha y, a continuación, haga clic en Propiedades.

2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en la ficha General, a continuación, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la información opcional del usuario que se puede definir.

Crear un grupo

1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, haga clic en Nuevo y después en Grupo.

2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el nombre.

3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuración predeterminada y, a continuación, haga clic en Aceptar para crear el grupo Herramientas.•

El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribución se pueden utilizar para confeccionar listas de distribución de correo electrónico.

13

El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede contener el grupo.

Agregar un usuario a un grupo

1. Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda. 2. Haga clic con el botón secundario del mouse en el grupo Herramientas en

el panel de la derecha y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Miembros y luego en Agregar. 4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar,

escriba Juan y, a continuación, haga clic en Aceptar.

5. En la pantalla Propiedades de herramientas, compruebe que Juan García es un miembro del grupo de seguridad Herramientas y, después, haga clic en Aceptar.

Configurar cliente Radius

14

Establecer las políticas de registro

Lo primero que haremos es ver y establecer las políticas de registro (Figura RR). Haga clic derecho sobre "Internet Authentication Service (Local)" y haga clic en Propiedades.

Ahora verá la pantalla de la figura de las SS. If you check off the two checkmarks here, you will force IAS to log successful and reject authentication requests to the Windows Event Viewer. Si marca las dos marcas de verificación aquí, obligará a las NIC para iniciar la sesión con éxito y rechazar las solicitudes de autenticación al Visor de sucesos de Windows. If you're intending to use text or SQL based logging, you don't need to check these unless you want the logs showing up in both places. Si la intención de utilizar el texto o SQL basado en la explotación forestal, no es necesario verificar estos a menos que desee mostrar los registros en ambos lugares.

Si hace clic en los puertos "ficha", verá la pantalla que se muestra en el listado TT. These are the default RADIUS ports and you should generally leave them alone for standardized RADIUS conventions. Estos son por defecto los puertos de RADIUS y en general usted debe dejarlos solos para convenciones

15

estandarizadas RADIUS. Microsoft IAS will actually listen on two sets of ports. Microsoft IAS realmente escuchar en dos conjuntos de puertos. The lower number ports are the more traditional port numbers, Microsoft applications prefer the higher number ports. Los puertos de menor número son los números de puerto más tradicionales, las aplicaciones de Microsoft prefieren los puertos de mayor número. You should generally leave this setting alone as is. En general, debería dejar esta opción solo como es.

Agregar clientes RADIUS

Un radio de "cliente" no es lo que normalmente consideramos como un "cliente" como en un usuario. Un cliente RADIUS es algo así como un punto de acceso inalámbrico, un router, un switch, un firewall o un concentrador de VPN. Cualquier dispositivo que proporciona acceso a la red que necesita para delegar AAA (acceso, autorización y contabilidad) a un servidor RADIUS es considerado un cliente de RADIUS. A los efectos de este tutorial, vamos a crear un único punto de acceso como cliente.

Para empezar, va a la derecha haga clic en "Clientes de RADIUS" y selecciona "Nuevo cliente RADIUS"

16

A continuación, obtener la pantalla que se muestra en la figura AA, donde damos el dispositivo de su nombre y establecer la dirección IP del dispositivo de acceso que en este caso es un punto de acceso. Be aware that if you're talking about a router or firewall that has multiple IP addresses because it has multiple interfaces, you must configure the IP address that is closes to the RADIUS server. Tenga en cuenta que si estamos hablando de un router o firewall que tiene varias direcciones IP, ya que tiene múltiples interfaces, debe configurar la dirección IP que se cierra con el servidor RADIUS. This is because the RADIUS request is seen as coming from the closest interface on a multi-homed access device and if you configure the wrong IP, it will not be able to communicate with the RADIUS server. Esto se debe a la petición RADIUS es visto como procedentes del cercano interfaz en un dispositivo de acceso alojados-multi y si se configura el IP incorrecta, no será capaz de comunicarse con el servidor RADIUS.

17

Luego establezca el tipo de RADIUS y el secreto de RADIUS. El tipo RADIUS es casi siempre se establece en "RADIUS Standard". dispositivos de Cisco son la excepción y que seleccione debe "Cisco" para el "Cliente-Proveedor" campo si desea que sus dispositivos de Cisco para trabajar. Hay excepciones como inalámbrica conmutadores de Cisco, porque los interruptores fueron adquiridos de Airespace en 2005.

conmutadores inalámbricos Airespace uso "RADIUS Standard", como todo el mundo en la industria. El secreto compartido »es el secreto compartido entre el servidor RADIUS y del dispositivo de acceso (Figura ZZ). Trate de hacer el secreto de 10 caracteres o más compuesta de números aleatorios y las letras. Evitar los espacios y caracteres especiales, ya que podría haber incompatibilidades en algunos dispositivos y software y usted tendrá un tiempo aproximado de solución de problemas.

18

Haga clic en "Finalizar" para terminar. Tendrá que repetir esto para todos sus dispositivos de acceso.

Añadir las políticas de acceso remoto

Ahora tenemos que crear una directiva de acceso remoto para autenticar y autorizar el usuario intenta acceder a nuestros dispositivos de acceso. Para ello, haga clic derecho sobre "acceso remoto" y haga clic en "Nueva directiva de acceso remoto". (Figura AAA)

19

Deja tu nombre y una política de utilizar el asistente. Hit "Next". Haga clic en "Siguiente".

Seleccione "Wireless" y pulse "Siguiente".

20

Aquí usted tendrá que concederle acceso a los usuarios y las computadoras. Hit "Add". Haga clic en "Add".

21

Aquí tendrás que ajustar la ubicación a su dominio. Hit "ubicaciones". ( Figure FFF )

22