Nombres y apellidos. Fabian Arley Salazar Telfono. 4489600 Direccin. E-mail. fsalazar@intergrupo.com Cargo. Gerente de servicios
Identificacin de la empresa.
Nombre de la empresa. Intergrupo S.A Direccin. Ciudad. Medelln Telfono. 4489600 Actividad econmica. TI Solutions Services
Implementacin de la Infraestructura de Directorio de servicios, Mensajera y seguridad con Active Directory 2008R2 y Exchange server 2010.
Resumen. Este documento relata de manera explcita las etapas del proceso de migracin de las plataformas tecnolgicas de Directorio Activo y Exchange Server de la empresa. Este proyecto surgi por la necesidad de la empresa de corregir problemas del pasado y llevar a cabo una renovacin y actualizacin de los productos a la versin ms reciente. El proyecto inici con la etapa de estructuracin del proyecto, donde se plante toda la estrategia de gerencia del proyecto, posteriormente se dio inicio a una prctica muy recomendada por el fabricante Microsoft y es hacer una chequeo de salud de la plataforma antes de iniciar el proyecto esta etapa fue muy provechosa puesto que sirvi como insumo para la segunda fase que era el levantamiento de la informacin. Una vez concluidas las etapas de chequeo y levantamiento de informacin se inici la parte ms importante dentro de todo el proyecto y fue la de diseo de la solucin; all nos encontramos con varios retos, como mejorar la seguridad de la empresa en el manejo de la informacin y poder brindar una plataforma que permitiera implementar un sistema de colaboracin para mejorar la productividad y eficiencia, teniendo la premisa de costos versus rendimiento; lo cual se pudo lograr con xito gracias al sistema de colaboracin que se pudo implementar con Exchange server y su posterior integracin con la telefona IP. Finalmente se llev a cabo toda la implementacin de la plataforma nueva la cual recibi todos los servicios de Autenticacin, seguridad y Mensajera de la empresa; en esta etapa se ejecut todo los que se haba planteado en la etapa de diseo.
Introduccin. Dentro del proceso de actualizacin tecnolgica, la empresa. Ha planteado varias estrategias, entre las cuales se encuentra la definicin de un nuevo modelo de servicios integrados para toda su Organizacin. Los servicios de Active Directory Domain Services y Exchange server hacen parte de este conjunto de servicios que se tiene planeado consolidarse y unificarse bajo una nica arquitectura con la cual se ofrezcan servicios de mejor calidad a un menor costo.
Teniendo en cuenta esta nueva visin se ha definido el diseo de la nueva plataforma de servicios de dominio para la empresa. Este proyecto ha sido abordado teniendo en cuenta premisas, con las cuales se espera implementar una nueva plataforma que facilite el uso de nuevas alternativas de servicios, mejoras en las comunicaciones, compatibilidad con las aplicaciones Microsoft
integradas al directorio activo, principalmente Lync Server, Servicios de PKI, Servicios de Licenciamiento de Terminal Services, Exchange 2010, a su vez en los procesos de gestin y operacin de la infraestructura de la red.
Objetivos.
Objetivo General Implementar una plataforma de Active Directory Domain and Services, Exchange Server 2010, Active Directory Certificate Services, con tecnologa Microsoft, el cual brindar a la organizacin servicios de directorio, Autenticacin, seguridad, certificados digitales, auditora y Mensajera electrnica.
Objetivos Especficos
Chequear la salud de la plataforma de autenticacin, Directorio Activo, mensajera, Exchange Server y certificados digitales. Levantar la informacin de la plataforma de Directorio Activo 2003, Exchange server 2003 y Certificados Digitales. Disear la infraestructura de Dominio con Windows Server 2008R2, Mensajera con Exchange Server 2010 y Certificados Digitales con Active Directory Certificate Services. Implementar un sistema de Bosque y Domino basado en Active Directory 2008R2, implementacin de mensajera basado en Exchange Server 2010 y una PKI (Public Key Infraestructure) basado en Windows Server 2008R2
Planteamiento del Problema. En la empresa anteriormente se ejecut un proyecto de migracin de dominio el cual no se pudo terminar y quedaron 2 dominios con ciertas actividades pendientes como la de eliminar el domino ms antiguo y dejar el dominio nuevo funcional; tal proyecto no se llev a cabo de la forma adecuada por lo cual se tuvieron que mantener los dos dominios coexistiendo, debido a esto y adicionalmente al tiempo de obsolescencia de los sistemas de Active Directory y Exchange Server que ya existan. Se decidi hacer una implementacin desde cero de toda la plataforma de Directorio de servicios y mensajera; y una vez esta plataforma nueva estuviera implementada se migraran todos los dems servicios de la empresa a esta plataforma.
Marco Terico. La mayor parte de los sistemas informticos y redes mantienen de uno u otro modo una relacin de identidades personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y permisos. La autenticacin de usuarios permite a estos sistemas asumir con una seguridad razonable que
quien se est conectando es quien dice ser para que luego las acciones que se ejecuten en el sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos de autorizacin y/o auditora oportunos. El primer elemento necesario (y suficiente estrictamente hablando) para la autenticacin, es la existencia de identidades biunvocamente identificadas con un identificador nico (valga la redundancia). Los identificadores de usuarios pueden tener muchas formas siendo la ms comn una sucesin de caracteres conocida comnmente como login. El proceso general de autenticacin consta de los siguientes pasos: El usuario solicita acceso a un sistema. El sistema solicita al usuario que se autentique. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificacin. El sistema valido segn sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no.
Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, Kerberos) para los procesos de autenticacin. Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos, permisos, asignacin de recursos y polticas de acceso.
Active Directory est basado en una serie de estndares llamados X.500, el cual consiste en una definicin lgica a modo jerrquico. Los dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por lo cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo; computadores y servidores; y los componentes lgicos de la red, como usuarios y grupos.
Los sistemas de directorio tambin estn hechos para trabajar y ser compatibles con sistemas basados en estndares X.400 como lo son los sistemas de correo electrnico. El correo electrnico es un servicio de red que permite a los usuarios enviar y recibir mensajes mediante el protocolo SMTP.
SMTP (protocolo para la transferencia simple de correo electrnico), es un protocolo de la capa de aplicacin. Protocolo de red basado en texto, utilizados para el intercambio de mensajes de correo electrnico y es un estndar oficial de internet.
Exchange Server es el trmino que usa Microsoft para referirse a su implementacin de servicio de correo electrnico, dicho sistema es una completa plataforma de colaboracin que permite a los usuarios intercambio de correo electrnico, colaboracin, agenda y mensajera unificada.
Metodologa.
Para realizar la migracin de la infraestructura de dominio actual a un nuevo bosque con un dominio unificado en Windows server 2008 R2 incluyendo los servicios asociados como mensajera (Exchange Server 2010 y Active Directory Certificate services), se llevaron a cabo las siguientes actividades:
Chequeo de salud Ejecucin de herramientas de diagnstico como scripts Recoleccin de Logs de eventos Ejecucin de herramientas del diagnstico del fabricante
Levantamiento de informacin Revisin detallada de documentacin existente de la plataforma Revisin detallada del estado de configuracin actual de los servidores Entrevista detallada con los administradores de la plataforma
Diseo Documento de diseo de la infraestructura de bosque y dominio con Active Directory 2008R2 Documento de diseo de la infraestructura de mensajera con Exchange server 2010 Documento de diseo de la infraestructura de Certificados digitales con Active Directory Certificate Services
Implementacin Instalacin y configuracin del Directorio Activo 2008R2 Instalacin y configuracin del Exchange Server 2010 Instalacin y configuracin en Windows server 2008R2
Cronograma de Actividades y Estimacin
Resultados y anlisis.
Etapa de chequeo de salud de la plataforma actual.
Una verificacin de la salud directorio est diseada para evaluar el estado general de su entorno de Active Directory y Exchange server. Este proceso est destinado a determinar si pueden existir problemas que podran afectar negativamente el rendimiento o la capacidad del entorno Microsoft.
El resultado esperado de un chequeo de salud de Active Directory y Exchange Server es una serie de resultados de diversas herramientas que permitir identificar los problemas que se detectaron en trminos de configuracin, rendimiento, o la replicacin. En la realizacin del chequeo del AD y Exchange se revisa las salidas producidas por cada herramienta y comprender estos, que nos estn diciendo. A continuacin vamos a mostrar el resultado de la
interpretacin de todas las salidas generadas por las herramientas de diagnstico ejecutadas en el dominio.
Chequeo Active Directory
SALUD RIESGO ITEM Severidad Severidad AD Replication Site Configuration sin problemas sin riesgo Replication Status sin problemas sin riesgo Replication Configuration sin problemas medio AD Convergence sin problemas sin riesgo Subnet Information sin problemas bajo Large Groups sin problemas sin riesgo Forest/Domain Info sin problemas sin riesgo
FRS Group Policy SYSVOL Information sin problemas sin riesgo FSR Convergence sin problemas sin riesgo Orphaned GPTs sin problemas bajo Unliked GPOs sin problemas bajo GPOTool sin problemas medio Name Resolution DNS Lint sin problemas sin riesgo DSDiag -DNS sin problemas bajo DNS Information sin problemas sin riesgo IP Configuration problemas medio WINS 1B & 1C sin problemas medio
DC Health DCDiag -General sin problemas sin riesgo OS Information sin problemas sin riesgo Events Logs problemas alto Security Updates sin problemas bajo Performance Info sin problemas sin riesgo Time Configuration sin problemas alto AD Database Database Info sin problemas sin riesgo Partition ACLs sin problemas sin riesgo AD Object Count sin problemas sin riesgo Backup Backup Status sin problemas sin riesgo Other Exchange DSAccesss sin problemas bajo Machine Account Information sin problemas sin riesgo Account Lockouts sin problemas sin riesgo
Tabla 1
Resultados Active Directory
Explicacin: El ambiente de Active Directory ha sido calificado con un total de Salud o Estado de Impacto Medio, sin embargo, esto slo significa que al menos uno de los problemas de salud encontrados Fue en el marco de categora "medio" Temas que necesitan atencin inmediata: 1. Replication Configuration. 2. Subnet Information 3. IP Configuration 4. WINS 1B & 1C 5. Event Logs Information 6. Security Updates 7. Time Configuration
Chequeo Exchange Server SALUD RIESGO ITEM Severidad Severidad Conectividad Availability problemas alto Configuration problemas alto internet Protocol sin problemas sin riesgo Active Directory Access sin problemas sin riesgo Certificates sin problemas bajo Clustering NLB problemas alto DNS sin problemas sin riesgo Security sin problemas sin riesgo Network sin problemas medio MSExchangeRPC problemas alto
Mailbox Availability problemas medio Public Folders sin problemas sin riesgo Security sin problemas sin riesgo Configuration DB problemas critico Storage sin problemas medio Clustering sin problemas medio Databse Availanility Group problemas alto Active directory Access sin problemas sin riesgo Database Copy status problemas medio Test Replication sin problemas sin riesgo
Enrutamiento Availability problemas medio Rounting sin problemas medio Active directory Access sin problemas sin riesgo Messaging hygiene sin problemas sin riesgo Backups Backups Status problemas Critico Other Licensing problemas alto Windows Updates sin problemas alto
Tabla 2
Resultados Exchange Server Explicacin: El ambiente de Exchange Server ha sido calificado con un total de Salud o Estado de Impacto Critico, sin embargo, esto slo significa que al menos uno de los problemas de salud encontrados Fue en el marco de categora Critico"
Temas que necesitan atencin inmediata: 1. Client Access Availability. 2. Client Access Configuration 3. Client Access Clustering NLB 4. Client Access MSExchange RPC 5. Mailbox Availability 6. Mailbox DB Configuration. 7. Mailbox DataBase Availability Group 8. Mailbox Storage Drivers 9. Mailbox CopyStatus 10. Backups Databases 11. Windows update.
Resumen calificacin de estado de salud de cada plataforma
Ilustracin 1
Los Controles de salud se deberan realizar trimestralmente y es una buena prctica para ejecutar una comprobacin adicional al momento de realizar cambios importantes en la infraestructura, para identificar cualquier problema que pueda haber en la plataforma.
En general las condiciones de salud del Directorio Activo y Exchange Server de la empresa es: operativo, sin embargo considerando la naturaleza de la topologa de red Microsoft en la empresa es urgente realizar labores de mantenimiento sobre la plataforma.
Etapa de levantamiento de informacin
Un levantamiento de informacin de Directorio Activo consta de una serie de actividades las cuales dan por resultado un documento de donde se muestra el estado actual en el que se encuentra la plataforma con el objetivo de tener una visin amplia de las condiciones en las que se encuentra la compaa y hacia donde la podemos llevar con el proceso de migracin. Como resultado de esta actividad encontramos que la empresa tena 2 dominios de Active Directory, en la versin 2003 los cuales se encontraban conectados con relaciones de confianza y prestaban los servicios de autenticacin en la compaa. El dominio que solo contiene 1 servidor en la grfica era el ms antiguo el cual haba sido instalado y configurado en los 90s, el segundo era un dominio instalado a inicio del ao 2000; la siguiente grafica ilustra los dominios, los servidores y su distribucin geogrfica.
Ilustracin 2 El estado actual de la infraestructura de correo no era tan antiguo sin embargo presentaba una configuracin un poco compleja y por razones obvias obsoleta.
Topologia de red Exchange Server
Ilustracin 3
Etapa de diseo de la nueva infraestructura
Despus de haber concluido las dos etapas iniciales del proyecto donde primero, se hizo una verificacin del estado de salud de las plataformas de directorio y Mensajera y segundo, se consolid toda la informacin acerca de las plataformas; se procedi con una parte vital para el xito del proyecto, la cual consiste en el diseo de la solucin. Como resultado del proceso se genera un documento de diseo donde se consignan todos los detalles de la nueva arquitectura. A continuacin se muestran algunos de las grficas y tablas con los aspectos ms relevantes dentro del diseo.
Arquitectura de Active Directory y Exchange 100% virtualizada
Ilustracin 4 En esta arquitectura se propone virtualizar toda la plataforma de mensajera de Exchange Server 2010, y la plataforma de directorio Activo a Windows Server 2008 R2. Dicha arquitectura no cuenta con redundancia ante fallos para el rol de Acceso a clientes CAS/HT.
Para la instalacin de los servidores donde estarn configuradas las plataformas de Directorio y Exchange es muy importante hacer un diseo de los requerimientos de hardware que se necesitan, de lo contrario el proyecto estara corriendo un grave riesgo porque de no ser bien planificados y dimensionadas las capacidades de los servidores las plataformas no funcionaran adecuadamente.
Ilustracin 5
Ilustracin 6
Ilustracin 7
Etapa de implementacin de la nueva infraestructura
La etapa de implementacin llev al desenlace del proyecto, aqu fue donde se realiz la instalacin y configuracin de todo lo que se haba diseado segn las especificaciones del negocio y las bondades de los productos en este caso Active Directory y Exchange server 2010.
Arquitectura implantada
Ilustracin 8 Configuracin bases de datos en Alta disponibilidad
Ilustracin 9
Configuracin almacenamiento y virtualizacin
Ilustracin 10 Configuracin PKI (Infraestructura de claves publicas)
Ilustracin 11
Conclusiones. La nueva arquitectura de servicios de directorio Activo (basados en Microsoft Windows Server 2008R2 y Exchange server 2010); se pudo mejorar la administracin y el control de los recursos de la red, con los cuales se consigui:
Implementar los servicios de colaboracin y mensajera instantnea con la planta de telefona IP Lync Server; con la cual se integraron varios servicios fundamentales para el desempeo de las labores de los empleados de la compaa ya que en con un mismo producto integraron la telefona, la colaboracin, asistencia remota buzn de correo, presencia y sala de reuniones
Se pudo integrar los servicios de colaboracin entre la empresa y su proveedor de servicios de outsorcing, federando las plataformas de colaboracin y correo.
La mejora a los niveles de seguridad de la compaa se aumentaron con la implementacin de Active Directory 2008R2 y la infraestructura de PKI, con la cual se pudo cifrar la informacin con certificados digitales para el correo electrnico, comunicaciones unificadas, terminal server y servidores Web de la compaa.
Con la implementacin de esta migracin obtuve gran experiencia en la implementacin de proyectos basado en la metodologa PMI
Referencias Bibliogrficas.
Libros. Brian Komar, Microsoft Press Corporation, Windows 2008 PKI and Certificate Security, Redmond, Washington 98052-6399
Cibergrafa.
Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains http://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx
Install Exchange 2010 in an Existing Exchange 2003 Organization http://technet.microsoft.com/en-us/library/dd638130(v=exchg.141).aspx