martes, 21 de febrero de 2012

Administración de redes

INDICE
  • Introducción
  • Agentes y consolas
  • Gestión de usuarios
  • Gestión del hardware
  • Gestión del software
  • Distribución de ficheros
  • Monitorización de la actividad de red
  • Planificación de procesos
  • Protección contra virus
  • Soporte de impresoras
  • Gestión del espacio de almacenamiento
  • Seguridad

INTRODUCCION
El objetivo principal de la administración de red es en mantener operativa la red satisfaciendo las necesidades de los usuarios. La utilización de herramientas adecuadas permite realizar de forma centralizada la administración de múltiples redes de gran tamaño compuestos de cientos de servidores, puestos de trabajo y periféricos.

Normalmente las herramientas de administración de red forman un conjunto muy heterogéneo de aplicaciones proveniente de, por ejemplo, el sistema de gestión de red, el Help Desk, herramienta de los fabricantes de los dispositivos, herramientas autónomas e independientes. Además muchas de estas herramientas suelen tener APIs (Application Program Interface) que permiten el acceso por programación.

Hoy en día estas herramientas corren sobre diferentes S.O. y suelen tener la característica de disponer de un interface gráfico de usuario basado en ventanas.

AGENTES Y CONSOLAS
Los agentes y consolas son los conceptos claves en la administración de redes.
Consola: es una estación de trabajo convenientemente configurada para visualizar la información recogida por los agentes.
Agentes: son programas especiales que están diseñados para recoger información específica de la red.

Entre las características de los agentes cabe destacar: 
· Están basados en software frente a monitores y analizadores basados en hardware.
· Son transparentes a los usuarios. Se ejecutan en los puestos de trabajo sin afectar al rendimiento de los mismos.
· La información que recogen la almacenan en bases de datos relacionales que después son explotadas a través de las consolas.
· Los agentes son configurados de forma remota a través de la consola para su correcta operación.

Las funciones que soportan los agentes son entre otras: 
· Visualizar y manipular información de la red.
· Automatizar la distribución de ficheros.
· Mantener el inventario del hardware.
· Gestión y configuración del software remoto.
· Recibir notificación de alarmas de red.
· Soportar y gestionar la impresión en red.
· Automatizar tareas como copias de seguridad y detección de virus.
· Monitorizar la utilización de discos y de ficheros.
· Establecer y gestionar la seguridad en la red.
· Procesar scripts.

Gestión de usuarios 
La gestión de usuarios es la actividad referida a la creación y mantenimiento de cuentas de usuarios, así como la de asignación de recursos y mantenimiento de la seguridad en los accesos a la red.

Las tareas principales en la gestión de usuarios son: 
· Altas, bajas y modificaciones de usuarios en la red.
· Establecimiento de políticas de passwords como su longitud, tiempo de vida, seguridad de la base de datos de passwords, etc.
· Asignación de permisos para la utilización de recursos de red.
· Monitorización de la actividad de los usuarios.
· Establecimiento de políticas generales y de grupo que faciliten la configuración de usuarios.

Gestión del hardware 
La gestión del hardware es una actividad esencial para el control del equipamiento y sus costes asociados así como para asegurar que los usuarios disponen del equipamiento suficiente para cubrir sus necesidades.

Para evitar visita física a los equipos, se utilizan agentes que se ejecutan en los puestos de trabajo y que realizan el inventario del hardware de forma autónoma y remota.

Una vez que la información de inventario es recogida, la administración de red puede hacer las siguientes funciones:
Añadir información relativa a puestos de trabajo no instalados en red.
Añadir información sobre otros aspectos como la localización física, condiciones en que se encuentra, etc.
Establecimiento de parámetros de configuración en los ficheros de configuración del S.O. realizar el seguimiento de averías de los componentes de las estaciones de trabajo. Anotar información al inventario referente a los componentes que forman la estación de trabajo (tarjetas, discos, etc).

El inventario se realiza periódicamente bien cada vez que se ponen en marcha los puestos, bien durante su tiempo de funcionamiento. Normalmente los datos que se recogen son variados:
· Bios del sistema.
· Ficheros de configuración del S.O.
· Parámetros del S.O.
· Características de los discos duros.
· Drivers cargados en memoria durante el funcionamiento de la estación.

Otras características establecidas por el administrador.
En los servidores, además se suelen realizar un seguimiento de los parámetros de funcionamiento como pueden ser actividad de la CPU, de los discos, espacios disponibles, número de conexiones, etc.

Este seguimiento permite analizar el comportamiento y, en su caso, detectar nuevas necesidades y adaptar las características hardware de los servidores.

Gestión del software 
Las actividades relativas a la gestión de software permiten a la administración de red determinar si las aplicaciones necesitadas por los usuarios se encuentran instaladas y donde están localizadas en la red, además permiten el seguimiento de número de licencias existentes y el cumplimiento de su uso en la red.

De igual forma que en el hardware, se utilizan agentes que realizan la función de obtener toda la información acerca del software en la red. Sus características particulares son: 
· Obtienen su información chequeando todos los discos de los puestos de trabajo en la red.
· Normalmente son capaces de identificar cientos de paquetes comerciales y se les puede añadir nuevos paquetes particulares de la empresa.
· Realizan mediciones del número de copias de un paquete que se están usando en la red de forma simultánea con objeto de comprobar su adecuación al número de licencias adquiridas.

Las tareas que normalmente realiza la administración de red en este área son: 
· Creación y mantenimiento del inventario de software instalado.
· Especificación y requerimiento del número de copias disponibles de los distintos paquetes.
· Seguimiento de la instalación no autorizada de software y de otros ficheros en prevención de introducción de virus.
· Autorización a los usuarios para la utilización de los paquetes de software.

La información que se suele extraer es la siguiente: 
· Información general del paquete: fabricante, versión, nº de licencias, etc.
· Disponibilidad: quién usa el software, quién lo puede usar, etc.
· Ficheros que componen el paquete.
· Información adicional establecida por el administrador.

Distribución de ficheros 
Debido a la enorme dispersión de puestos en red, la distribución de software y otros ficheros se realiza mediante la utilización de agentes de distribución de ficheros.

Las características de los agentes de distribución de ficheros son:
Las funciones que realizan son instalación y actualización de software, descargas y eliminación de ficheros.
Pueden aplicarse a puestos individuales o a grupos de estaciones simultáneamente.
Recoger información sobre el estado de la distribución presentando la información en la consola de administración.
Tienen en cuenta los permisos de accesos de los usuarios a más de una máquina para instalar el software en cada una de las máquinas a las que se accede.

En la mayoría de los casos se utilizan lenguajes de scripts para realizar las tareas de distribución de software.

Otros paquetes más sofisticados disponen de herramientas que guían el proceso de creación de scripts generando paquetes completos que contienen scripts, ficheros y reglas de dependencias para su correcta distribución. Normalmente estos paquetes se comprimen para ahorrar tráfico de red.

Los momentos de distribución suelen ser cuando los puestos inician su funcionamiento aunque los usuarios a veces puedan posponer la instalación de paquetes.

Monitorización de la actividad de red 
Las funciones de la monitorización de red se llevan a cabo por agentes que realizan el seguimiento y registro de la actividad de red, la detección de eventos y la comunicación de alertas al personal responsable del buen funcionamiento de la red.

Los eventos típicos que son monitorizados suelen ser: 
· Ejecución de tareas como pueden ser realización de copias de seguridad o búsqueda de virus.
· Registro del estado de finalización de los procesos que se ejecutan en la red.
· Registro de los cambios que se producen en el inventario de hardware.
· Registro de las entradas y salidas de los usuarios en la red.
· Registro del arranque de determinadas aplicaciones.
· Errores en el arranque de las aplicaciones.

En función de la prioridad que tengan asignados los eventos y de la necesidad de intervención se pueden utilizar diferentes métodos de notificación como son: 
· Mensajes en la consola: se suelen codificar con colores en función de su importancia.
· Mensajes por correo electrónico: conteniendo el nivel de prioridad y el nombre e información del evento.
· Mensajes a móviles: cuando el evento necesita intervención inmediata se suele comunicar a los técnicos de guardia a través de este método.

Además de los eventos, otra característica importante es la monitorización del tráfico de red:
· Se toman nuevas medidas sobre aspectos de los protocolos, colisiones, fallos, paquetes, etc.
· Se almacenan en BBDD para su posterior análisis.
· Del análisis se obtienen conclusiones, bien para resolver problemas concretos o bien para optimizar la utilización de la red.

Planificación de procesos 
En vez de tener que recordar y realizar trabajos periódicos o en horas no laborables, el administrador puede programar un agente que realiza las tareas programadas en los momentos previstos. Además, estos agentes recogen información sobre el estado de finalización de los procesos para un posterior análisis por el administrador. Los procesos típicos que se suelen planificar son: copias de seguridad, búsqueda de virus, distribución de software, impresiones masivas, etc. La planificación de procesos permite también aprovechar los períodos en que la red está más libre como las noches y los fines de semana. Los planificadores como AT de Windows NT y CRON de Unix permiten procesos especificando un momento determinado y una frecuencia. Normalmente también se suelen usar scripts para programar a los agentes planificadores.

Protección contra virus 
La protección contra la entrada de virus en la red se suele hacer mediante la utilización de paquetes especiales basados en una parte servidora y un conjunto de agentes distribuidos en los puestos de trabajo.

La parte servidora realiza las tareas de actualización contra nuevos virus, realiza tareas de registro de virus, comunicación de alarmas al administrador, comunicación con otros servidores distribuidos en la red con software antivirus, protección de los discos y ficheros de los propios servidores, etc.

Los agentes por su parte evitan la entrada de virus en los propios puestos de trabajo comunicando al servidor la detección de los virus y eliminándolos automáticamente siempre que sea posible.

Soporte de impresoras 
La gestión centralizada de impresoras en la red permite reducir el tiempo y el esfuerzo que necesitan los usuarios para configurar la impresión desde unos puertos de trabajo y también permiten al administrador realizar una gestión unificada de todas las impresoras de la red.

Las actividades relacionadas con el soporte de impresoras son dos: 
· Las relacionadas con el manejo de las impresoras por parte del administrador.
· Las relacionadas con la selección de impresoras e impresión por parte de los usuarios.

El modo de operar suele ser el siguiente: 
· El administrador da de alta las impresoras en la red seleccionando los servidores que actuarán de spoolers, identificándolo con un nombre y asociando el driver correspondiente para su utilización.
· Posteriormente el administrador, establece las condiciones de acceso como permisos a los usuarios, horario de acceso a las impresoras, etc.
· El usuario después selecciona las impresoras de las que tiene acceso permitido y las instala en un puerto de trabajo de forma remota y transparente.
· Cuando el usuario imprime también tiene acceso a las colas de impresión de forma que puede añadir o eliminar trabajos de su propiedad.
· El administrador a través de la consola y los agentes de impresión monitoriza la actividad de las impresoras y soluciona problemas que puedan surgir.

Gestión del espacio de almacenamiento 
La utilización masiva de servidores de ficheros y BBDD en las redes actuales han hecho del espacio de almacenamiento un recurso común a los usuarios y un elemento escaso que hay que optimizar. El administrador utiliza agentes que recolectan información sobre el grado de ocupación de los discos con objeto de tomar decisiones al respecto de la redistribución de ficheros y de la adquisición de nuevos discos.

La extracción de información que realiza el agente suele ser a nivel de: 
· Partición: utilización del espacio de la partición (poco nivel de detalle)
· Directorios: grado de utilización del espacio para los directorios.
· Ficheros: tamaño que ocupan los ficheros.

Al igual que con otras actividades de administración se suelen programar una serie de eventos consistente en ciertos límites que cuando son sobrepasados elevan una alarma que es comunicada al administrador a través de un mensaje en la consola, un correo electrónico o un mensaje a un móvil por ejemplo. La tarea de recogida de información normalmente se puede hacer en background sin afectar a los procesos en ejecución aunque también pueden ser planificados para su posterior ejecución.

Seguridad 
La seguridad es un aspecto que afecta a todas las áreas de administración que se han comentado anteriormente. Para cada recurso en la red, el administrador dispone de los mecanismos para establecer permisos de utilización, así como monitorizar el uso que se hace de los recursos. Todas estas tareas son muy complejas por lo que se utiliza actualmente son políticas de seguridad. Las políticas de seguridad permiten establecer aspectos de seguridad en forma de perfiles que afectan a grupos de usuarios. Una vez definidas las políticas, el administrador sólo tiene que añadir los usuarios a los grupos establecidos con lo que adquieren los perfiles de seguridad. De esta forma la actualización de medidas de seguridad se hace sobre las políticas y no sobre los usuarios directamente.

Otro aspecto a considerar es el de la monitorización y registro de las actividades de los usuarios pudiendo denegar el acceso de los usuarios en función de que intenten realizar actividades para los que no tienen permiso.

DHCP
DHCP son las siglas en inglés de Protocolo de configuración dinámica de servidores (Dynamic Host Configuration Protocol). Es un protocolo de red en el que un servidor provee los parámetros de configuración a las computadoras conectadas a la red informática que los requieran (máscara, puerta de enlace y otros) y también incluye un mecanismo de asignación de direcciones de IP.

Este protocolo apareció como un protocolo estándar en octubre de 1993. EnRFC 2131 (Inglés) se puede encontrar la definición más actualizada. Los últimos esfuerzos describiendo DHCP v6, DHCP en una red IPv6, fue publicado como RFC 3315 (Inglés)

Nota: Éste artículo se completó con la traducción del artículo correspondiente en inglés (DHCP)

Asignación de direcciones IP

Sin DHCP, cada dirección IP debe configurarse manualmente en cada ordenador y, si el ordenador se mueve a otro lugar en otra parte de la red, se debe de configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si el ordenador es conectado en un lugar diferente de la red.

El protocolo DHCP incluye tres métodos de asignación de direcciones IP:
· Asignación manual: donde la asignación se basa en una tabla con direcciones MAC (pares de direcciones IP ingresados manualmente por el administrador). Sólo las computadoras con una dirección MAC que figure en dicha tabla recibirá el IP que le asigna dicha tabla.
· Asignación automática: donde una dirección de IP libre obtenida de un rango determinado por el administrador se le asigna permanentemente a la computadora que la requiere.
· Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada computadora conectada a la red está configurada para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.

Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los servidores para reflejar las nuevas direcciones IP mediante el protocolo de actualización de DNS establecido en RFC 2136 (Inglés).

El DHCP es una alternativa a otros protocolos de gestión de direcciones IP de red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo más avanzado, pero ambos son los usados normalmente.

Cuando el DHCP es incapaz de asignar una dirección IP, se utiliza un proceso llamado "Automatic Private Internet Protocol Addressing".

Parámetros configurables

Un servidor DHCP puede proveer de una configuración opcional a la computadora cliente. Dichas opciones están definidas enRFC 2132 (Inglés)

Lista de opciones configurables:
· Dirección del servidor DNS
· Nombre DNS
· Puerta de enlace de la dirección IP
· Dirección de Publicación Masiva (broadcast address)
· Máscara de subred
· Tiempo máximo de espera del ARP (Protocolo de Resolución de Direcciones según siglas en inglés)
· MTU (Unidad de Transferencia Máxima según siglas en inglés) para la interfaz
· Servidores NIS (Servicio de Información de Red según siglas en inglés)
· Dominios NIS
· Servidores NTP (Protocolo de Tiempo de Red según siglas en inglés))
· Servidor SMTP
· Servidor TFTP
· Nombre del servidor WINS

Implementaciones
Microsoft introdujo al DHCP en sus Servidores NT con la versión 3.5 de Windows NT a finales de 1994. A pesar de que la llamaron una nueva función no fue inventada por ellos.
El Consejo de Software de Internet (ISC: Internet Software Consortium) publicó distribuciones de DHCP para Unix con la versión 1.0.0 del ISC DHCP Server el 6 de diciembre de 1997 y una versión (2.0) que se adaptaba mejor al RFC el día 22 de junio de 1999. Se puede encontrar el software en http://www.isc.org/sw/dhcp/

Otras implementaciones importantes incluyen:
Cisco: un servidor DHCP habilitado en Cisco IOS 12.0 en el mes de febrero de 1999
Sun: añadió el soporte para DHCP a su sistema operativo Solaris el 8 de julio de 2001.Además, varios routers incluyen soporte DHCP para redes de hasta 255 computadoras.
Se puede encontrar una versión gratuita del servidor DHCP para Windows en: http://tftpd32.jounin.net/

Anatomía del protocolo
DHCP usa los mismos puertos asignados por el IANA (Autoridad de Números Asignados en Internet según siglas en inglés) en BOOTP: 67/udp para las computadoras servidor y 68/udp para las computadoras cliente.

DHCP Discover
La computadora cliente emite peticiones masivamente en la subred local para encontrar un servidor disponible, mediante un paquete de broadcast. El router puede ser configurado para redireccionar los paquetes DHCP a un servidor DHCP en una subred diferente. La implementación cliente crea un paquete UDP (Protocolo de Datagramas de Usuario según siglas en inglés) con destino 255.255.255.255 y requiere también su última dirección IP conocida, aunque esto no es necesario y puede llegar a ser ignorado por el servidor.

DHCP Offer
El servidor determina la configuración basándose en la dirección del soporte físico de la computadora cliente especificada en el registro CHADDR. El servidor especifica la dirección IP en el registro YIADDR. Como la cual se ha dado en los demás parámetro.

DHCP
El cliente selecciona la configuración de los paquetes recibidos de DHCP Offer. Una vez más, el cliente solicita una dirección IP específica que indicó el servidor.

DHCP Acknowledge
El servidor confirma el pedido y lo publica masivamente en la subred. Se espera que el cliente configure su interface de red con las opciones que se le proveyeron.

DNS
El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar distintos tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.

La asignación de nombres a direcciones IP es ciertamente la función más conocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de prox.ve es 200.64.128.4, la mayoría de la gente llega a este equipo especificando ftp.prox.ve y no la dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre.

Inicialmente, el DNS nació de la necesidad de recordar fácilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS.TXT que contenía todos los nombres de dominio conocidos (técnicamente, este archivo aún existe - la mayoría de los sistemas operativos actuales todavía pueden ser configurados para chequear su archivo hosts).

El crecimiento explosivo de la red causó que el sistema de nombres centralizado en el archivo HOSTS.TXT no resultara práctico y en 1983, Paul Mockapetris publicó los RFCs 882 y 883 definiendo lo que hoy en día ha evolucionado al DNS moderno. (Estos RFCs han quedado obsoletos por la publicación en 1987 de los RFCs 1034 y 1035).

Como trabaja DNS en teoría
Componentes
Para la operación práctica del sistema DNS se utilizan tres componentes principales:

Los Clientes DNS (resolver), un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde a nombre dominio?); los Servidores DNS (name servers), que contestan las peticiones de los clientes, los servidores recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección solicitada; y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad.

Entendiendo las partes de un nombre de dominio
Un nombre de dominio usualmente consiste en dos o más partes (técnicamente etiquetas), separadas por puntos cuando se las escribe en forma de texto. Por ejemplo, www.mahomedalid.org o es.Wikipedia.org a la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (inglés < Top Level Domain). Como org en www.mahomedalid.org o es.Wikipedia.org cada etiqueta a la izquierda especifica una subdivisión o subdominio. Nótese que "subdominio" expresa dependencia relativa, no dependencia absoluta.

En teoría, esta subdivisión puede tener hasta 127 niveles, y cada etiqueta contener hasta de 63 caracteres, pero restringido a que la longitud total del nombre del dominio no exceda los 255 caracteres, aunque en la práctica los dominios son casi siempre mucho más cortos. Finalmente, la parte más a la izquierda del dominio suele expresar el nombre de la máquina (inglés < hostname). El resto del nombre de dominio simplemente especifica la manera de crear una ruta lógica a la información requerida. Por ejemplo, el dominio es.Wikipedia.org tendría el nombre de la máquina "es", aunque en este caso no se refiere a una máquina física en particular.

El DNS consiste en un conjunto jerárquico de servidores DNS. Cada dominio o subdominio tiene una o más zonas de autoridad que publican la información acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios. Al inicio de esa jerarquía se encuentra los servidores raíz: los servidores que responden cuando se busca resolver un dominio de primer nivel.

Tipos de servidores DNS

Bind • PowerDNS • MaraDNS • djbdns • pdnsd • MyDns

Tipos de resolución de nombres de dominio

Existen tres tipos de consultas que un cliente (resolver) puede hacer a un servidor DNS:
· recursiva
· iterativa
· inversas

WINS
WINS (Windows Internet Naming Service) es un servidor de nombres para NetBIOS. Que mantiene una tabla o lista que permite ubicar rápidamente otro nodo de la red.
Efectivamente, es para NetBIOS lo que DNS es para direcciones IP - un repositorio central de información, de manera que cuando un cliente necesita contactar a otro computador de la red, consulta con esa base de datos para obtener su dirección, evitando realizar búsquedas más complicadas para obtenerla. De esta forma se reduce el tráfico de la red y los llamados broadcast.

En Windows 2000, WINS ha sido depreciado en favor de DNS y Active Directory.

Samba puede actuar también como servidor WINS.


Internet Information Service
Esta guía nace con el objetivo de informar sobre las potencialiDefaults del producto IIS4.0 de Microsoft. Esta versión de servidor permite la gestión en profundided de los sitios web, facilitando instrumentos de desarrollo para potenciar sus posibiliDefaults.
Instalar en servidor NT el IIS, configurarlo, potenciar sus características, gestionar las cargas, requiere un profundo conocimiento de los procesos relativos.
Esta guía podrá ser de ayude a quien ya tiene experiencia con IIS y quiere conocer más a fondo algunos aspectos.

1. Cómo funciona
Es la versión más reciente de Server Web para NT4, gestiona aplicaciones FTP y WEB.
Entre sus características destaca la rica dotación de instrumentos satélite al servidor WEB, así como características de arquitectura completamente renovados respecto a las versiones precedentes.
Una de las características más importantes es la presencia del protocolo HTTP 1.1 que ofrece sensibles mejoras de las prestaciones, disminuyendo los tiempos de respuesta en la transmisión.
Las noveDefaults del protocolo HTTP1.1 residen en algunos de los elementos que lo componen, tales como el Pipeling, las conexiones persistentes, las transferencias por bloques CHUNKED, el soporte para el proxy.

2. Cómo instalarlo
IIS4.0 ahora está disponible en la Option Pack de Windows NT4.0, que puede conseguirse en la dirección www.microsoft.com/netserver/highligts/highligts.asp, la versión completa es de unos 87MB. La instalación de IIS 4.0 prevé algunos requisitos tales como: la presencia del Service Pack 3 o superior y de Explorer 4 o superior.

La instalación de Explorer 4 o superior, instala una serie de bibliotecas indispensables para el uso de IIS 4.0.

Lanzando el setup de Option Pack, se puede elegir instalar el IIS y la suite de software de acompañamiento, como:
Index Server 2.0, Transaction Server 2.0, Site Server Express 2.0, Certificate Server 1.0, Microsoft Message Queue Server 1.0, Internet connection Service for Microsoft RAS 1.0, servicio SMTP, servicio NNTP (grupos de debate).

La nueva interfaz de control MMC (Microsoft Management Console) permite administrar y controlar todo el servidor. En el próximo Windows 2000, será el componente de gestión y control. Es importante señalar que es posible salvar las modificaciones aportadas a las sesiones de MMC, consintiendo de este modo la exportación de las configuraciones.

Con MMC es posible agregar servicios definidos como Snap-in, haciendo posible el control administrativo de cada componente individual agregado.
A MMC es posible acceder mediante una interfaz WEB así como mediante líneas de comando utilizando Windows Scripting Host, que es absolutamente independiente del lenguaje.

3. Glosario de términos
Pipeling
En las precedentes versiones de HTTP, las solicitudes se elaboraban una a la vez por cliente. Los clientes tenían que esperar que su solicitud viniese elaborado para poder enviar otra, lo que provocaba una mayor lentitud.
La versión HTTP 1.1 permite la transmisión de más de una solicitud sin tener que esperar su elaboración.

Conexiones persistentes
Normalmente para cada objeto contenido en un documento, se debe activar una conexión entre cliente y servidor. Se deben crear tantas conexiones como objetos hay que transmitir. Por objetos entendemos gif, HTML, Applet….
Crear, destruir y mantener estas conexiones comporta el empeoramiento de las prestaciones globales. Aquí es donde intervienen las conexiones persistentes que permiten enviar más objetos con un menor número de conexiones.

Transferencia por bloques (CHUNKED)
Dada la variabilidad de las dimensiones de los ASP, el protocolo HTTP1.0 puede tener dificultades para manejar de modo dinámico los datos cuando no se cuenta con información sobre sus dimensiones. El uso del CHUNKING permite dividir estos datos en bloques de dimensiones variables personalizando su tamaño y encabezamiento.

Soporte PROXY
Disponiendo de funciones de caché internas al protocolo, el HTTP1.1, es posible facilitar a los proxy información para la gestión de los recursos en caché, como por ejemplo las fechas de caducidad de los documentos.

Service Pack 3
El Service Pack 3 instala componentes como: IIS 3.0, Microsoft Index Server 1.0, Microsoft Crystal Reports, Microsoft NetShow 1.0, Mirosoft Front Page Server Extension, Microsoft Active Server Page 1.0b.
Además activa funciones como: filtro contraseña, cifrado, CryptoAPI 2.0, interfaz de programación para Microsoft DirectX 3.0, ODBC 3.0, API Microsoft Win32 y SDK, firma SMB, limitaciones de acceso, transporte RPC para Microsoft Message Queue Server.

Administración de IIS
Conceptos a tener en cuenta a la hora de administrar el servidor Internet Information Server en Windows XP.

Para administrar el servidor Internet Information Server en Windows XP, disponemos de un panel de control llamado "Servicios de Internet Information Server" al que podemos acceder de varias maneras.

1) Pulsando con el botón derecho en MI PC y seleccionando la opción que pone "Administrar". Esto nos abre "Microsoft Management Console" o, dicho en castellano, la "Administración de equipos". En la lista de la izquierda, en la parte de abajo aparece "Servicios y aplicaciones", entre los que encontraremos una opción buscada: "Servicios de Internet Information Server"

2) Podemos acceder desde el panel de control. Si tenemos configurada la vista clásica encontraremos un icono que pone "Herramientas administrativas" y haciendo doble clic, encontraremos el icono para administrar IIS. Si teníamos configurada la vista por categorías del panel de control (la que aparece por defecto en Windows XP) la búsqueda de la opción es un poco más compleja: Seleccionamos "Rendimiento y mantenimiento" y dentro ya encontraremos el icono de "Herramientas administrativas", al que teníamos que hacer doble clic para encontrar, entre otros, el icono para acceder a "Servicios de Internet Information Server".

3) Otra manera de acceder aparece en la ayuda de Internet Information Server. Se trata de hacer una búsqueda del archivo llamado "inetmgr.exe". Una vez localizado se puede ejecutar y aparece la consola de administración de IIS. Si se desea, se puede hacer un acceso directo a dicho archivo para no tener que buscarlo cada vez que se desee ejecutar.

Una vez hemos accedido al panel "Servicios de Internet Information Server" tenemos ante nosotros la posibilidad de configurar nuestro servidor web en muchos aspectos, por ejemplo podemos, definir el documento por defecto, crear directorios virtuales, modificar las opciones de seguridad, etc.

Preguntas y respuestas sobre administración de IIS
P
¿Cómo puedo forzar la autenticación NTLM en un servidor IIS 6?

R
Tenemos un servidor IIS 6 y la Autenticación de Windows integrada no funciona. Creo que esto se debe a que Windows Server 2003 utiliza Kerberos v5. La Autenticación integrada de Windows con IIS5 en Windows 2000 Server funciona correctamente desde clientes situados detrás de un servidor de seguridad. ¿Hay algún modo de forzar Windows Server 2003/IIS6 para que utilice el mismo método de autenticación (¿NTLM?) que Windows 2000 Server de forma que sea posible la autenticación de clientes situados detrás de un servidor de seguridad?

La Autenticación de Windows integrada funciona en IIS 6 e IIS 5 del mismo modo, por lo que sospecho que el problema no está relacionado con el uso de NTLM frente a Kerberos. No obstante, puede ocurrir que al abordar este asunto como si se tratara de un problema, se resolviera el problema subyacente. Empecemos primero con la parte correspondiente a Kerberos.

IIS intentará autenticar con Kerberos sólo si se satisfacen todas las condiciones siguientes: 1. La Autenticación de Windows integrada está habilitada, 2. IIS es miembro de un dominio de Active Directory, 3. el sitio Web está registrado como Nombre principal de servicio (SPN) con Kerberos, 4. el cliente es miembro de un dominio de confianza y 5. el cliente utiliza un explorador o sistema operativo habilitado para Kerberos.

Una de las causas más habituales por la que Kerberos no funciona es porque el nombre del sitio Web no es un SPN registrado. Esto ocurrirá si el nombre del sitio Web que utiliza en una URL es cualquier otro nombre distinto al nombre NetBIOS del equipo. En ese caso, tendrá que utilizar la herramienta Setspn.exe para registrar el nombre de los sitios Web como principal de servicio con Kerberos. Puede probar los resultados configurando el sitio Web para que responda al nombre NetBIOS del equipo. En una intranet con Active Directory, bastará con configurar el sitio Web para que responda a todas las direcciones no asignadas o a la dirección IP devuelta al hacer ping al nombre del servidor. Si la autenticación se realiza correctamente, habrá diagnosticado el problema con Kerberos.

Hay otras consideraciones que deben tenerse en cuenta, y encontrará más información al respecto en la sección de la Guía de recursos de IIS (en inglés) que trata de la Autenticación de Windows integrada.

También puede configurar IIS para que omita las negociaciones Kerberos y proceda directamente con la autenticación NTLM. Para ello, establezca la clave de la meta base "NtAuthenticationProviders" en "NTLM". Esta clave se puede establecer en el nivel de sitio en IIS 5, 5.1 y 6.0. Tenga en cuenta que es muy importante anotar esta modificación. Si en el futuro desea volver a habilitar Kerberos, no podrá hacerlo y no encontrará ningún indicio del motivo por el que Kerberos no funciona en tal situación en la interfaz de usuario.

Si establece esta clave, con lo que se deshabilita Kerberos, y la autenticación funciona, entonces, tal como sospechaba, existía un problema de algún tipo con Kerberos. Si la autenticación sigue sin funcionar, asegúrese de que tanto el cliente como el servidor tienen una configuración de NTML en las directivas de seguridad local similar a la siguiente:

Si su cliente tiene la configuración mostrada e IIS está establecido en "NTLM v2 only refuse all others", la autenticación producirá un error. Ésta no es la configuración predeterminada de IIS, pero se puede cambiar con una Directiva de grupo o una plantilla de seguridad.

Por último, si tiene un servidor proxy delante del servidor IIS, es probable que la Autenticación de Windows integrada no funcione. El servidor ISA tiene una característica de proxy NTLM que le permite investigar el problema, pero en casi todos los demás casos no podrá utilizar un proxy delante de un servidor IIS con la Autenticación de Windows integrada. Para obtener más información sobre IIS y la autenticación, consulte en KB el artículo 264921 Cómo IIS autentica los clientes de exploradores (en inglés).

P
¿Cómo puedo deshabilitar el almacenamiento en caché?

R
Nuestra empresa está desarrollando una aplicación ISAPI (Internet Server API) que utilizarán algunas páginas de nuestro sitio Web en las asignaciones de aplicaciones del servidor. El desarrollo se complica un poco debido a que ISAPI se almacena en caché cuando se lanza. Como resultado, cuando hacemos un cambio en la aplicación ISAPI y volvemos a compilar el código, es necesario parar y reiniciar el sitio Web para que la aplicación almacenada en caché se descargue. Hay una casilla de verificación llamada Almacenar aplicaciones ISAPI en caché que me gustaría desactivar para que ISAPI no se almacene en caché, pero aparece atenuada. ¿Cómo puedo deshabilitar el almacenamiento en caché?

La casilla de verificación llamada "Almacenar aplicaciones ISAPI en caché", que se muestra a continuación, se encuentra en la ficha Asignaciones para la aplicación de la página de propiedades Configuración de aplicación. Esta casilla se puede configurar desde la ficha Asignaciones para la aplicación del sitio Web. Advertirá que la misma casilla de verificación no es configurable si abre la ventana Configuración de aplicación para un directorio o directorio virtual. Hay un artículo en KB (312883) que trata sobre este asunto titulado "No se puede cambiar la propiedad Almacenar aplicaciones ISAPI en caché" (en inglés): un error de IIS 5.0, para el que existe una solución, causa este problema.

La propiedad de la meta base asociada al almacenamiento en caché de las aplicaciones ISAPI es la propiedad CacheISAPI. Puede definir o desactivar esta propiedad con Metaedit 2.2 o mediante la secuencia de comandos adsutil.vbs. Por ejemplo, para deshabilitar el almacenamiento en caché de las aplicaciones ISAPI, utilice adsutil como se indica a continuación desde el símbolo del sistema:

X:\inetpub\adminscripts cscript.exe adsutil.vbs set w3svc/<siteid>/root/foldername/cacheisapi 0

En este ejemplo, X es la letra de unidad, <siteid> es el número de sitio en la meta base del sitio Web y fólder name es el nombre de la carpeta con las aplicaciones ISAPI que no desea almacenar en caché.

Puede volver a habilitar el almacenamiento en caché ejecutando el mismo comando y reemplazando el 0 final por un 1.

P
¿Cómo puedo configurar un directorio virtual en otro servidor?

R
Queremos configurar un directorio virtual en un servidor IIS que se conecte con un directorio de un servidor W2K diferente. El problema es que nuestro servidor IIS está ubicado en una DMZ detrás de un servidor de seguridad que sólo permite TCP (puertos http, https y ftp). Da la impresión de que los directorios virtuales están configurados para utilizar la red de Microsoft con rutas de acceso UNC. ¿Es posible cambiar este comportamiento?

Los directorios virtuales se conectarán a un recurso compartido remoto mediante rutas de acceso UNC, como bien ha indicado, o redirigirán una petición con http://. En el caso de un redireccionamiento a un servidor diferente, la sesión del usuario se desvía al sistema remoto y se distribuye desde ese sistema y no desde el servidor IIS que realizó el redireccionamiento. Si desea que el servidor IIS recupere el contenido del servidor IIS remoto y lo distribuya al cliente, el servidor IIS inicial tendrá que actuar como una especie de proxy inverso para el servidor IIS remoto. Digo "una especie de proxy inverso", porque normalmente un servidor proxy inverso se encarga de la conexión de todo el sitio Web. En este caso, sólo desea que esto ocurra en algunas carpetas y no en todo el sitio Web.

Esto se puede conseguir de varias formas, pero todas ellas requieren algún desarrollo o el uso de un componente especializado. Por ejemplo, la herramienta Log Parser Tool 2.2 beta (disponible en el CD de descargas de Technet de abril de 2004) se distribuye con un objeto COM que implementa la funcionalidad de Log Parser Tool. Una de sus funciones permite realizar una consulta en un servidor de destino mediante http. Los resultados se pueden reproducir para el cliente. La versión 2.2 final de Log Parser Tool deberá estar disponible en verano de 2004.

Hay otras muchas formas de lograr los mismos objetivos. Si el contenido del servidor de destino admite el formato XML, puede incluir el contenido XML como parte de la aplicación y distribuírselo al cliente. Normalmente, esto se consigue mediante un objeto MSXML en la secuencia de comandos. Aunque la función principal de este objeto es trabajar con archivos XML desde dentro de las aplicaciones, también tiene la capacidad de leer otros archivos, incluidos archivos html, desde un servidor IIS remoto.

Otro método posible es utilizar carpetas Web asignadas al servidor de destino mediante una asignación de unidad, como net use * http://servidorDestino/nombreCarpeta. Esto permite hacer referencia al contenido del servidor de destino como una letra de unidad "local". Para ello, es necesario utilizar IIS 6 como servidor de origen, ya que debe habilitarse el servicio WebClient. El servidor de destino debe tener WebDAV habilitado.

Además de estos métodos, existen objetos y aplicaciones de otros fabricantes que permiten multitud de posibilidades de recuperación de contenido a través de http desde un servidor IIS. Con un poco de investigación y algo de imaginación, podrá implementar una solución al problema.
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)