lunes, 1 de abril de 2019

XIII. Sistema de Archivos Distribuido (DFS)

DFS permite a los administradores facilitar a los usuarios el acceso a archivos que se encuentran distribuidos por la red. Se puede hacer que parezca que los archivos distribuidos por múltiples servidores residen en un equipo de la red y así los usuarios ya no tendrán que conocer la ubicación física real de los archivos para tener acceso a ellos.

Es muy útil utilizar DFS cuando
  • Se piensa agregar servidores de archivos nuevos o modificar las ubicaciones de los archivos.
  • La mayor parte de los usuarios necesitan acceder a carpetas compartidas de varios servidores.
  • Se puede mejorar el equilibrio de la carga del servidor distribuyendo las carpetas compartidas en varios servidores.
  • Los usuarios precisan de acceso ininterrumpido a las carpetas compartidas.
  • Los usuarios que tienen acceso a las compartidas están distribuidos por uno o varios sitios.
DFS requiere del sistema de archivos NTFS
Estructura DFS
Espacio de nombres

Es una vista virtual de las carpetas compartidas de una organización y que pueden estar ubicadas en distintos servidores. Los usuarios ven cada espacio de nombres como una sola carpeta compartida con una serie de subcarpetas.

Puede ser de dos tipos:

  • Independiente
No es necesario que esté instalado el Directorio Activo. Se denomina con el propio nombre del servidor que almacena el espacio de nombres DFS y se suele usar cuando la cantidad de datos excede la capacidad de un servidor.
  • Basado en dominio
Requiere el Directorio Activo. Su denominación es el nombre del dominio al que pertenece el servidor donde se almacena el espacio de nombres DFS pero lo más interesante es que soporta Replicación del Sistema de Archivos Distribuidos (DFSR)
Servidor de espacio de nombres

Es un servidor Windows Server que almacena un espacio de nombres DFS. Puede ser un servidor miembro o un controlador de dominio.

Raíz de espacio  de nombres

Es el nivel superior o punto de partida del espacio de nombres árbol DFS. Una raíz basada en dominio añade tolerancia a fallos al permitir a varios servidores albergar la misma raíz de espacio de nombres DFS

Carpetas

Las carpetas forman la estructura y la jerarquía del espacio de nombres (en forma de árbol). Pueden contener otras carpetas o pueden apuntar hacia uno o varios Destinos, que será donde físicamente se almacenen los datos y el contenido (nunca las dos cosas a la vez en el mismo nivel, como es lógico) 

Referencias

Cuando un usuario examina una carpeta que apunta a otros destinos en el espacio de nombres, el equipo cliente recibe una referencia que lo redirige de forma transparente a uno de los destinos de carpeta

Ejemplo de Espacio de nombres basado en dominio

Replicación DFS (DFSR)


La Replicación asegura que el contenido de las carpetas DFS estará siempre disponible para los usuarios, puesto que son replicadas en otras carpetas compartidas de otro servidor del dominio. Replicar un espacio de nombres DFS garantiza la disponibilidad del sistema de archivos distribuido asociado con dicho espacio para los usuarios del dominio incluso si se cae el servidor de espacio de nombres del dominio.

Al replicar una carpeta DFS, se almacena una copia duplicada del contenido de la carpeta original en otra carpeta compartida. La replicación DFS utiliza un algoritmo de compresión denominado Compresión diferencial remota (RDC). RDC detecta los cambios en los datos de un archivo y permite que la replicación DFS replique solo los bloques de archivo modificados en lugar del archivo completo.

Para utilizar la replicación DFS se deben crear grupos de replicación y agregar carpetas replicadas a dichos grupos. Un grupo  de replicación es un conjunto de servidores, llamados miembros, que participan en la replicación de una o más carpetas replicadas. Las carpetas replicadas se mantienen sincronizadas entre los miembros. Cuando cambian los datos en una carpeta replicada, estos se replican a través de las conexiones entre los miembros del grupo de replicación. Las conexiones entre todos los miembros conforman la topología de la replicación.

Ejemplo de Grupo de replicación

Cuando agregamos varias carpetas replicadas a un grupo de replicación el proceso de implementación de las replicas se simplifica ya que la topología, la programación y el límite del ancho de banda del grupo se aplica a cada una de las carpetas del grupo.

Además cada carpeta replicada también tiene una configuración única de manera que se pueden filtrar distintos archivos y subcarpetas para cada carpeta.

Se pueden dar dos tipos de replicación:
  • Servicio de Replicación de Archivos (FRS). Desde Windows 2000 Server en adelante.
  • Servicio de Replicación de DFS (DFSR). Desde 2003 Server R2 y cuenta con mejoras como replicación más rápida de archivos grandes y pequeños, sincronización inicial más rápida, recuperación más rápida tras apagados inesperados y mejor uso del ancho de banda en redes LAN y WAN
Topologías
  • Concentrador y radio
Uno o dos miembros son los concentradores y el resto son los radiales que se conectan a ellos. La replicación se produce siempre entre el concentrador y los radiales o viceversa pero nunca entre radiales. Se requieren tres miembros al menos en el grupo.
  • Malla completa
Cada miembro se replica con todos los demás. Funciona bien con un máximo de 10 miembros en el grupo.
  • Sin topología
El administrador crea las conexiones entre los miembros.
Nota. Si no hay topología no hay replicación.

jueves, 28 de marzo de 2019

XII - Servicios de Impresión

Windows Server 2008 permite compartir recursos de impresión en toda la red, de modo que clientes de una gran variedad de equipos y SO podrán enviar trabajos de impresión a impresoras conectadas localmente al servidor de impresión WS2008, a través de Internet, la red local o incluso otro servidor.

Cuando hablamos de impresoras, hemos de distinguir entre dispositivo de impresión o impresora física, que es el aparato físico (hardware) que proporciona la impresión, e impresora lógica, que es el modo en que esa impresora es reconocida por el SO que estemos utilizando, de modo tal que podríamos tener varias impresoras lógicas sobre una misma impresora física. Dicho de otra forma, la impresora física es el dispositivo que realiza la impresión real, y la impresora lógica es el interfaz de impresión en el servidor de impresión. Los trabajos se colocan en la cola de la impresora lógica antes de enviarse a la impresora física.

Es importante comprender que varias impresoras lógicas pueden corresponder con una sola impresora física lo que permite plantearnos la posibilidad de asignar prioridades en la cola de impresión de las impresoras sea cual sea el modo de compartición.

Para gestionar la impresión de los equipos se utilizan los servidores de impresión que abarcan cualquier dispositivo capaz de administrar trabajos de impresión. El servidor de impresión administra la configuración del controlador de impresión.

Hasta ahora los ordenadores clientes disponían de sus propios servidores de impresión, siendo el SO del equipo cliente el encargado de proporcionar dicho servicio y de gestionarlo y por supuesto como cualquier otro recurso también de compartirlo.

WS 2008 admite varias características avanzadas de impresión.

  • Administrar un servidor de impresión WS2008 que se encuentre en cualquier ubicación de la red.
  • Permitir que un equipo cliente pueda utilizar la impresora sin que sea necesario instalar de forma expresa un controlador para dicha impresora en el equipo cliente, sino que el controlador se descargará automáticamente cuando el cliente se conecte al servidor de impresión Windows Server 2008.

Modos de compartición

Se analizan 3 modos diferentes de compartir impresoras en un servidor WS2008, de modo que dichas impresoras estén disponibles para ser utilizadas por los clientes del dominio.
  • Servidor de impresión de una impresora localWS2008 dispondrá de una impresora conectada locamente, impresora que será instalada, configurada y posteriormente compartida en dicho equipo que hará de servidor de impresión de la misma.
  • Servidor de impresión de una impresora remota. WS2008 hará la función de servidor de impresión de una impresora que físicamente se encuentra instalada y compartida en otro equipo.
  • Servidor de impresión de una impresora de red. WS2008 hará la función de servidor de impresión de una impresora que dispone de un interface de red o de un dispositivo específico que realiza la función de servidor de impresión o print server (tal es el caso de un dispositivo jetdirect, por ejemplo).

Modos de conexión

Son las distintas maneras en que los equipos clientes de nuestra red se pueden conectar a las impresoras ofertadas en el AD de nuestro WS2008, y que se encuentran instaladas y accesibles por alguno de los 3 métodos indicados anteriormente.

Cuando se instala una impresora conectada directamente a la red mediante un adaptador de red o un servidor de impresión físico (print server), puede configurarse el acceso a la impresión en la misma de dos maneras:
  • Agregando la impresora directamente a cada equipo de cada usuario sin utilizar el equipo WS2008. En este caso, los clientes acceden directamente a la impresora de red o al servidor de impresión físico correspondiente, sin que el equipo "SERVIDOR" tenga conocimiento alguno de los procesos de impresión que así se ejecutan.

  • Agregando la impresora al servidor de impresión lógico de WS2008, y que posteriormente cada usuario pueda hacer uso de la impresora a través de dicho servidor de impresión lógico. Los equipos clientes tienen que conectarse al servidor de impresión lógico de WS2008 para imprimir.
Ejemplo de Print Server Wifi

Ventajas e inconvenientes

El segundo método, configurar al equipo WS2008 para que efectúe la labor de servidor de impresión ofrece ventajas evidentes respecto al primero.
  • Una única cola de impresión frente a una cola por cada equipo. La cola única permitirá a los usuarios comprobar dónde se encuentra su trabajo de impresión respecto al resto de los trabajos en espera y conocer el verdadero estado de la impresora. En múltiples colas sólo se mostrarán los trabajos de impresión enviados desde el equipo en cuestión, no siendo posible determinar dónde se encuentra el trabajo de impresión en relación con los demás, ni se podrán ver mensajes de error (atascos, bandeja vacía, etc.)
  • Parte del procesamiento se transferirá del equipo cliente al servidor de impresión y así el equipo cliente no asumirá toda la carga.
  • Puede ser establecido un registro único para aquellos administradores que deseen auditar los sucesos de la impresora.
La única desventaja que presenta el hecho de utilizar un servidor de impresión lógico es que se requiere un equipo que funcione como tal. Sin embargo, no es necesario que sea un equipo dedicado pues por lo general, los servidores de impresión se implementan en servidores que también realizan otras tareas, como será nuestro caso.


Configuración del cliente de impresión 

Se trata de configurar la conexión de un equipo cliente a una impresora gestionada por el servidor de impresión de WS2008. Desplegando el asistente para agregar impresoras se muestran tres opciones. Las dos primeras pueden ser utilizadas por un usuario del dominio, para que dicho usuario, agregue a su perfil móvil cualquiera de las impresoras disponibles a través del servidor de impresión. La tercera opción sólo esta accesible para el administrador del dominio y la instalación en un equipo a través de este método implica que la impresora se mostraría disponible a cualquier usuario que inicie sesión en el equipo. 

Sin embargo lo realmente interesante es que el administrador puede desplegar desde el servidor de impresión directivas para asignar (mapear) las impresoras que desee, sobre el dominio o sus unidades organizativas, automatizando todo el proceso. Se recomienda ver procedimiento al respecto

jueves, 21 de marzo de 2019

XI - Relaciones de confianza

Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Recordemos que el esquema son un conjunto de reglas básicas que definen las clases de objetos y los atributos contenidos en el directorio (restricciones en instancias, límites, formato de nombres, ...) y el catálogo contienen información sobre cada objeto del directorio permitiendo a los usuarios encontrar información independientemente del dominio que contienen los datos.

ÁRBOLES DE DOMINIO


El primer dominio de un árbol se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios se denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo.
Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del bosque o del árbol de dominios. Esto no quiere decir que el usuario tenga permisos y derechos en todos los dominios del árbol puesto que un dominio es un límite de seguridad y por tanto habría que conceder derechos o permisos para cada dominio.

1. Bidireccional Transitiva entre Dominio Principal y Dominio Secundario.
2. Bidireccional Transitiva entre Dominio Raíz del bosque y Dominio Raíz de un Árbol del Bosque

BOSQUES

Un bosque esta formado por uno o varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo, pero podría ocurrir que hubiese dos árboles en un bosque con nombres de subdominio iguales, por ejemplo el subdominio contabilidad del árbol miempresa.com (contabilidad.miempresa.com) y el subdominio contabilidad del árbol miotraempresa.com (contabilidad.miotraempresa.com).
Los bosques no tienen ningún dominio raíz propiamente dicho. El dominio raíz de un bosque por convenio es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.
Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:
  • Relaciones de confianza transitivas entre los dominios
  • Relaciones de confianza transitivas entre los árboles de dominio
  • Un esquema, un catálogo global e información de configuración común

El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

RELACIONES DE CONFIANZA

Las relaciones de confianza se crean automáticamente entre dominios adyacentes (dominio principal y sus secundarios) cuando se crea un dominio en un árbol de dominios.
En un bosque se crean automáticamente relaciones de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio que se agrega al bosque (como dichas relaciones de confianza son transitivas, los usuarios y equipos podrán autentificarse en cualquier dominio del bosque o del árbol de dominios).

CONFIANZAS ENTRE DOMINIOS

Una confianza entre dominios es una relación que se establece entre los dominios y que permite a los usuarios de un dominio ser autentificados por un controlador de dominio de otro dominio. Las solicitudes de autentificación siguen una ruta de confianza. Para que un usuario pueda tener acceso a un recurso de otro dominio, el sistema de seguridad de los controladores de dominio debe determinar si el dominio de confianza o confianza de salida - dominio donde inicia la sesión el usuario,  tiene una relación de confianza con el dominio que confía o confianza entrante - dominio que contiene el recurso al que el usuario intenta obtener acceso. Para determinarlo el sistema de seguridad calcula la ruta de confianza entre el controlador de dominio que confía y el controlador del dominio de confianza.

Ruta de confianza de una Relación Unidireccional
La relaciones de confianza entre dominios pueden ser:
  • Unidireccional.
  • Bidireccional
  • Transitiva
  • Intransitiva
  1. Confianza Unidireccional. Entre dos dominios A y B implica que los usuarios del dominio A pueden acceder a los recursos del dominio B pero los usuarios del dominio B no pueden acceder a los recursos del dominio A. Las relaciones de confianza unidireccionales pueden ser transitivas o intransitivas.
  2. Confianza Bidireccional. Entre dos dominios A y B implica que los usuarios del dominio A pueden acceder a los recursos del dominio B y los usuarios del dominio B pueden acceder a los recursos del dominio A.
  3. Confianza Transitiva. Si un dominio A tiene confianza transitiva en un dominio B y éste la tiene con otro dominio C, esto implicaría que el dominio A también la tiene con el dominio C. Dicho de otra forma que la relación de confianza se puede extender más allá de los dominios donde se formó. De forma predeterminada las confianzas entre dominios de un bosque  de Windows Server 2008 son transitivas.
  4. Confianza Intransitiva. En este caso la relación está limitada por los dominios de la relación y no se puede extender a ningún otro dominio del bosque. Por defecto las confianzas intransitivas son unidireccionales aunque también podrían ser bidireccionales si se crean dos relaciones unidireccionales.
CONFIANZAS EXPLÍCITAS ENTRE DOMINIOS

Son relaciones de confianza que crean los propios usuarios en vez de crearse automáticamente durante la instalación del controlador de dominio. Para crear una confianza explícita se deben conocer los nombres de dominio y una cuenta de usuario con permiso para crear confianzas en cada dominio. A cada confianza se le asigna una contraseña que debe conocer el administrador de ambos dominios de la relación.
Hay cuatro clases de confianzas explícitas:
  • Confianza externa. Permite a los usuarios acceder a recursos ubicados en un dominio de un bosque separado que no está unido por una confianza de bosque.
  • Confianza de dominio Kerberos. Permite establecer una relación de confianza entre un dominio Kerberos que no sea de Windows  (Unix por ejemplo) y un dominio de Windows Server 2008.
  • Confianza de bosque. Se crean entre los dominios raíz de distintos bosques. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.
  • Confianza abreviada. En algunos casos los dominios de los recursos quedan muy alejados de los dominios de los usuarios y la autentificación se hace lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Windows Server 2008 utiliza en la autentificación. Por defecto son unidireccionales.

4. Relación Bidireccional  Transitiva entre Bosques (manual)



3. Relación de confianza abreviada en en un Bosque