Informe Final Practica Acadmica

Modalidad Prctica Empresarial

Departamento de Ingeniera Sistemas





Identificacin del estudiante.

Nombres y apellidos. Aparicio Ernesto Luna Toro
Documento de identidad. 8.028.831
Telfono. 3014344748
Semestre acadmico. 10
E-mail. Aluna215@gmail.com



Identificacin del asesor interno (U. de A.).

Nombres y apellidos. Deisy Loaiza Berro
Telfono.
3014983073
Oficina. 21-408
E-mail.
yuried@gmail.com



Identificacin del asesor externo (empresa).

Nombres y apellidos. Fabian Arley Salazar
Telfono. 4489600
Direccin.
E-mail.
fsalazar@intergrupo.com
Cargo. Gerente de servicios



Identificacin de la empresa.

Nombre de la empresa.
Intergrupo S.A
Direccin.
Ciudad.
Medelln
Telfono.
4489600
Actividad econmica.
TI Solutions Services




Implementacin de la Infraestructura de Directorio de servicios,
Mensajera y seguridad con Active Directory 2008R2 y Exchange
server 2010.

Resumen.
Este documento relata de manera explcita las etapas del proceso de
migracin de las plataformas tecnolgicas de Directorio Activo y Exchange
Server de la empresa. Este proyecto surgi por la necesidad de la empresa de
corregir problemas del pasado y llevar a cabo una renovacin y actualizacin
de los productos a la versin ms reciente.
El proyecto inici con la etapa de estructuracin del proyecto, donde se
plante toda la estrategia de gerencia del proyecto, posteriormente se dio
inicio a una prctica muy recomendada por el fabricante Microsoft y es hacer
una chequeo de salud de la plataforma antes de iniciar el proyecto esta
etapa fue muy provechosa puesto que sirvi como insumo para la segunda
fase que era el levantamiento de la informacin.
Una vez concluidas las etapas de chequeo y levantamiento de informacin
se inici la parte ms importante dentro de todo el proyecto y fue la de diseo
de la solucin; all nos encontramos con varios retos, como mejorar la
seguridad de la empresa en el manejo de la informacin y poder brindar una
plataforma que permitiera implementar un sistema de colaboracin para
mejorar la productividad y eficiencia, teniendo la premisa de costos versus
rendimiento; lo cual se pudo lograr con xito gracias al sistema de
colaboracin que se pudo implementar con Exchange server y su posterior
integracin con la telefona IP.
Finalmente se llev a cabo toda la implementacin de la plataforma nueva
la cual recibi todos los servicios de Autenticacin, seguridad y Mensajera de
la empresa; en esta etapa se ejecut todo los que se haba planteado en la
etapa de diseo.

Introduccin.
Dentro del proceso de actualizacin tecnolgica, la empresa. Ha planteado
varias estrategias, entre las cuales se encuentra la definicin de un nuevo
modelo de servicios integrados para toda su Organizacin. Los servicios de
Active Directory Domain Services y Exchange server hacen parte de este
conjunto de servicios que se tiene planeado consolidarse y unificarse bajo
una nica arquitectura con la cual se ofrezcan servicios de mejor calidad a un
menor costo.

Teniendo en cuenta esta nueva visin se ha definido el diseo de la nueva
plataforma de servicios de dominio para la empresa. Este proyecto ha sido
abordado teniendo en cuenta premisas, con las cuales se espera implementar
una nueva plataforma que facilite el uso de nuevas alternativas de servicios,
mejoras en las comunicaciones, compatibilidad con las aplicaciones Microsoft



integradas al directorio activo, principalmente Lync Server, Servicios de PKI,
Servicios de Licenciamiento de Terminal Services, Exchange 2010, a su vez en
los procesos de gestin y operacin de la infraestructura de la red.

Objetivos.

Objetivo General
Implementar una plataforma de Active Directory Domain and Services,
Exchange Server 2010, Active Directory Certificate Services, con tecnologa
Microsoft, el cual brindar a la organizacin servicios de directorio,
Autenticacin, seguridad, certificados digitales, auditora y Mensajera
electrnica.

Objetivos Especficos

Chequear la salud de la plataforma de autenticacin, Directorio Activo,
mensajera, Exchange Server y certificados digitales.
Levantar la informacin de la plataforma de Directorio Activo 2003, Exchange
server 2003 y Certificados Digitales.
Disear la infraestructura de Dominio con Windows Server 2008R2,
Mensajera con Exchange Server 2010 y Certificados Digitales con Active
Directory Certificate Services.
Implementar un sistema de Bosque y Domino basado en Active Directory
2008R2, implementacin de mensajera basado en Exchange Server 2010 y
una PKI (Public Key Infraestructure) basado en Windows Server 2008R2

Planteamiento del Problema.
En la empresa anteriormente se ejecut un proyecto de migracin de dominio
el cual no se pudo terminar y quedaron 2 dominios con ciertas actividades
pendientes como la de eliminar el domino ms antiguo y dejar el dominio
nuevo funcional; tal proyecto no se llev a cabo de la forma adecuada por
lo cual se tuvieron que mantener los dos dominios coexistiendo, debido a esto
y adicionalmente al tiempo de obsolescencia de los sistemas de Active
Directory y Exchange Server que ya existan. Se decidi hacer una
implementacin desde cero de toda la plataforma de Directorio de servicios
y mensajera; y una vez esta plataforma nueva estuviera implementada se
migraran todos los dems servicios de la empresa a esta plataforma.

Marco Terico.
La mayor parte de los sistemas informticos y redes mantienen de uno u otro
modo una relacin de identidades personales (usuarios) asociadas
normalmente con un perfil de seguridad, roles y permisos. La autenticacin de
usuarios permite a estos sistemas asumir con una seguridad razonable que



quien se est conectando es quien dice ser para que luego las acciones que
se ejecuten en el sistema puedan ser referidas luego a esa identidad y aplicar
los mecanismos de autorizacin y/o auditora oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) para la
autenticacin, es la existencia de identidades biunvocamente identificadas
con un identificador nico (valga la redundancia). Los identificadores de
usuarios pueden tener muchas formas siendo la ms comn una sucesin de
caracteres conocida comnmente como login.
El proceso general de autenticacin consta de los siguientes pasos:
El usuario solicita acceso a un sistema.
El sistema solicita al usuario que se autentique.
El usuario aporta las credenciales que le identifican y permiten verificar
la autenticidad de la identificacin.
El sistema valido segn sus reglas si las credenciales aportadas son
suficientes para dar acceso al usuario o no.


Active Directory (AD) es el trmino que usa Microsoft para referirse a su
implementacin de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS,
Kerberos) para los procesos de autenticacin. Su estructura jerrquica permite
mantener una serie de objetos relacionados con componentes de una red,
como usuarios, grupos, permisos, asignacin de recursos y polticas de acceso.

Active Directory est basado en una serie de estndares llamados X.500, el
cual consiste en una definicin lgica a modo jerrquico. Los dominios y
subdominios se identifican utilizando la misma notacin de las zonas DNS,
razn por lo cual Active Directory requiere uno o ms servidores DNS que
permitan el direccionamiento de los elementos pertenecientes a la red, como
por ejemplo; computadores y servidores; y los componentes lgicos de la red,
como usuarios y grupos.

Los sistemas de directorio tambin estn hechos para trabajar y ser
compatibles con sistemas basados en estndares X.400 como lo son los
sistemas de correo electrnico. El correo electrnico es un servicio de red que
permite a los usuarios enviar y recibir mensajes mediante el protocolo SMTP.

SMTP (protocolo para la transferencia simple de correo electrnico), es un
protocolo de la capa de aplicacin. Protocolo de red basado en texto,
utilizados para el intercambio de mensajes de correo electrnico y es un
estndar oficial de internet.




Exchange Server es el trmino que usa Microsoft para referirse a su
implementacin de servicio de correo electrnico, dicho sistema es una
completa plataforma de colaboracin que permite a los usuarios intercambio
de correo electrnico, colaboracin, agenda y mensajera unificada.

Metodologa.

Para realizar la migracin de la infraestructura de dominio actual a un nuevo
bosque con un dominio unificado en Windows server 2008 R2 incluyendo los
servicios asociados como mensajera (Exchange Server 2010 y Active Directory
Certificate services), se llevaron a cabo las siguientes actividades:

Chequeo de salud
Ejecucin de herramientas de diagnstico como scripts
Recoleccin de Logs de eventos
Ejecucin de herramientas del diagnstico del fabricante

Levantamiento de informacin
Revisin detallada de documentacin existente de la plataforma
Revisin detallada del estado de configuracin actual de los servidores
Entrevista detallada con los administradores de la plataforma


Diseo
Documento de diseo de la infraestructura de bosque y dominio con
Active Directory 2008R2
Documento de diseo de la infraestructura de mensajera con
Exchange server 2010
Documento de diseo de la infraestructura de Certificados digitales con
Active Directory Certificate Services

Implementacin
Instalacin y configuracin del Directorio Activo 2008R2
Instalacin y configuracin del Exchange Server 2010
Instalacin y configuracin en Windows server 2008R2




Cronograma de Actividades y Estimacin










Resultados y anlisis.

Etapa de chequeo de salud de la plataforma actual.

Una verificacin de la salud directorio est diseada para evaluar el estado
general de su entorno de Active Directory y Exchange server. Este proceso est
destinado a determinar si pueden existir problemas que podran afectar
negativamente el rendimiento o la capacidad del entorno Microsoft.

El resultado esperado de un chequeo de salud de Active Directory y Exchange
Server es una serie de resultados de diversas herramientas que permitir
identificar los problemas que se detectaron en trminos de configuracin,
rendimiento, o la replicacin. En la realizacin del chequeo del AD y Exchange
se revisa las salidas producidas por cada herramienta y comprender estos, que
nos estn diciendo. A continuacin vamos a mostrar el resultado de la



interpretacin de todas las salidas generadas por las herramientas de
diagnstico ejecutadas en el dominio.

Chequeo Active Directory

SALUD RIESGO
ITEM Severidad Severidad
AD Replication
Site Configuration sin problemas sin riesgo
Replication Status sin problemas sin riesgo
Replication Configuration sin problemas medio
AD Convergence sin problemas sin riesgo
Subnet Information sin problemas bajo
Large Groups sin problemas sin riesgo
Forest/Domain Info sin problemas sin riesgo

FRS Group Policy
SYSVOL Information sin problemas sin riesgo
FSR Convergence sin problemas sin riesgo
Orphaned GPTs sin problemas bajo
Unliked GPOs sin problemas bajo
GPOTool sin problemas medio
Name Resolution
DNS Lint sin problemas sin riesgo
DSDiag -DNS sin problemas bajo
DNS Information sin problemas sin riesgo
IP Configuration problemas medio
WINS 1B & 1C sin problemas medio

DC Health
DCDiag -General sin problemas sin riesgo
OS Information sin problemas sin riesgo
Events Logs problemas alto
Security Updates sin problemas bajo
Performance Info sin problemas sin riesgo
Time Configuration sin problemas alto
AD Database
Database Info sin problemas sin riesgo
Partition ACLs sin problemas sin riesgo
AD Object Count sin problemas sin riesgo
Backup
Backup Status sin problemas sin riesgo
Other
Exchange DSAccesss sin problemas bajo
Machine Account Information sin problemas sin riesgo
Account Lockouts sin problemas sin riesgo

Tabla 1




Resultados Active Directory

Explicacin: El ambiente de Active Directory ha sido calificado con un total de
Salud o Estado de Impacto Medio, sin embargo, esto slo significa que al
menos uno de los problemas de salud encontrados Fue en el marco de
categora "medio"
Temas que necesitan atencin inmediata:
1. Replication Configuration.
2. Subnet Information
3. IP Configuration
4. WINS 1B & 1C
5. Event Logs Information
6. Security Updates
7. Time Configuration

Chequeo Exchange Server
SALUD RIESGO
ITEM Severidad Severidad
Conectividad
Availability problemas alto
Configuration problemas alto
internet Protocol sin problemas sin riesgo
Active Directory Access sin problemas sin riesgo
Certificates sin problemas bajo
Clustering NLB problemas alto
DNS sin problemas sin riesgo
Security sin problemas sin riesgo
Network sin problemas medio
MSExchangeRPC problemas alto

Mailbox
Availability problemas medio
Public Folders sin problemas sin riesgo
Security sin problemas sin riesgo
Configuration DB problemas critico
Storage sin problemas medio
Clustering sin problemas medio
Databse Availanility Group problemas alto
Active directory Access sin problemas sin riesgo
Database Copy status problemas medio
Test Replication sin problemas sin riesgo




Enrutamiento
Availability problemas medio
Rounting sin problemas medio
Active directory Access sin problemas sin riesgo
Messaging hygiene sin problemas sin riesgo
Backups
Backups Status problemas Critico
Other
Licensing problemas alto
Windows Updates sin problemas alto

Tabla 2


Resultados Exchange Server
Explicacin: El ambiente de Exchange Server ha sido calificado con un total
de Salud o Estado de Impacto Critico, sin embargo, esto slo significa que al
menos uno de los problemas de salud encontrados Fue en el marco de
categora Critico"


Temas que necesitan atencin inmediata:
1. Client Access Availability.
2. Client Access Configuration
3. Client Access Clustering NLB
4. Client Access MSExchange RPC
5. Mailbox Availability
6. Mailbox DB Configuration.
7. Mailbox DataBase Availability Group
8. Mailbox Storage Drivers
9. Mailbox CopyStatus
10. Backups Databases
11. Windows update.

Resumen calificacin de estado de salud de cada plataforma




Ilustracin 1

Los Controles de salud se deberan realizar trimestralmente y es una buena
prctica para ejecutar una comprobacin adicional al momento de realizar
cambios importantes en la infraestructura, para identificar cualquier problema
que pueda haber en la plataforma.

En general las condiciones de salud del Directorio Activo y Exchange Server
de la empresa es: operativo, sin embargo considerando la naturaleza de la
topologa de red Microsoft en la empresa es urgente realizar labores de
mantenimiento sobre la plataforma.


Etapa de levantamiento de informacin

Un levantamiento de informacin de Directorio Activo consta de una serie de
actividades las cuales dan por resultado un documento de donde se muestra
el estado actual en el que se encuentra la plataforma con el objetivo de tener
una visin amplia de las condiciones en las que se encuentra la compaa y
hacia donde la podemos llevar con el proceso de migracin.
Como resultado de esta actividad encontramos que la empresa tena 2
dominios de Active Directory, en la versin 2003 los cuales se encontraban
conectados con relaciones de confianza y prestaban los servicios de
autenticacin en la compaa. El dominio que solo contiene 1 servidor en la
grfica era el ms antiguo el cual haba sido instalado y configurado en los
90s, el segundo era un dominio instalado a inicio del ao 2000; la siguiente
grafica ilustra los dominios, los servidores y su distribucin geogrfica.





Ilustracin 2
El estado actual de la infraestructura de correo no era tan antiguo sin
embargo presentaba una configuracin un poco compleja y por razones
obvias obsoleta.

Topologia de red Exchange Server

Ilustracin 3




Etapa de diseo de la nueva infraestructura

Despus de haber concluido las dos etapas iniciales del proyecto donde
primero, se hizo una verificacin del estado de salud de las plataformas de
directorio y Mensajera y segundo, se consolid toda la informacin acerca de
las plataformas; se procedi con una parte vital para el xito del proyecto, la
cual consiste en el diseo de la solucin. Como resultado del proceso se
genera un documento de diseo donde se consignan todos los detalles de la
nueva arquitectura. A continuacin se muestran algunos de las grficas y
tablas con los aspectos ms relevantes dentro del diseo.

Arquitectura de Active Directory y Exchange 100% virtualizada


Ilustracin 4
En esta arquitectura se propone virtualizar toda la plataforma de mensajera
de Exchange Server 2010, y la plataforma de directorio Activo a Windows
Server 2008 R2. Dicha arquitectura no cuenta con redundancia ante fallos
para el rol de Acceso a clientes CAS/HT.





Para la instalacin de los servidores donde estarn configuradas las
plataformas de Directorio y Exchange es muy importante hacer un diseo de
los requerimientos de hardware que se necesitan, de lo contrario el proyecto
estara corriendo un grave riesgo porque de no ser bien planificados y
dimensionadas las capacidades de los servidores las plataformas no
funcionaran adecuadamente.

Ilustracin 5


Ilustracin 6

Ilustracin 7




Etapa de implementacin de la nueva infraestructura

La etapa de implementacin llev al desenlace del proyecto, aqu fue donde
se realiz la instalacin y configuracin de todo lo que se haba diseado
segn las especificaciones del negocio y las bondades de los productos en
este caso Active Directory y Exchange server 2010.

Arquitectura implantada


Ilustracin 8
Configuracin bases de datos en Alta disponibilidad

Ilustracin 9




Configuracin almacenamiento y virtualizacin

Ilustracin 10
Configuracin PKI (Infraestructura de claves publicas)

Ilustracin 11







Conclusiones.
La nueva arquitectura de servicios de directorio Activo (basados en Microsoft
Windows Server 2008R2 y Exchange server 2010); se pudo mejorar la
administracin y el control de los recursos de la red, con los cuales se consigui:

Implementar los servicios de colaboracin y mensajera instantnea con la
planta de telefona IP Lync Server; con la cual se integraron varios servicios
fundamentales para el desempeo de las labores de los empleados de la
compaa ya que en con un mismo producto integraron la telefona, la
colaboracin, asistencia remota buzn de correo, presencia y sala de
reuniones

Se pudo integrar los servicios de colaboracin entre la empresa y su proveedor
de servicios de outsorcing, federando las plataformas de colaboracin y
correo.

La mejora a los niveles de seguridad de la compaa se aumentaron con la
implementacin de Active Directory 2008R2 y la infraestructura de PKI, con la
cual se pudo cifrar la informacin con certificados digitales para el correo
electrnico, comunicaciones unificadas, terminal server y servidores Web de
la compaa.

Con la implementacin de esta migracin obtuve gran experiencia en la
implementacin de proyectos basado en la metodologa PMI

Referencias Bibliogrficas.

Libros.
Brian Komar, Microsoft Press Corporation, Windows 2008 PKI and Certificate
Security, Redmond, Washington 98052-6399

Cibergrafa.

Upgrading Active Directory Domains to Windows Server 2008 and Windows
Server 2008 R2 AD DS Domains
http://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx

Install Exchange 2010 in an Existing Exchange 2003 Organization
http://technet.microsoft.com/en-us/library/dd638130(v=exchg.141).aspx