Sie sind auf Seite 1von 65

PROYECTO FINAL

Proyecto de investigación
Instalación y configuración de nueva sede de PERI en
Marruecos

Alumno: Antonio Miró Lévêque


Centro: CFP Juan XXIII
Titulación: ASIR
Curso: 2016-2017
Índice

1. Introducción ............................................................................................................................. 3
1.1. Descripción .......................................................................................................................... 3
1.2. Objetivos generales ............................................................................................................. 3
2. Instalación de red física.......................................................................................................... 4
2.1. Localización y contratación de líneas de comunicación ..................................................... 4
2.2. Instalación de red de área local LAN .................................................................................. 5
2.2.1. Arquitectura de red ........................................................................................................ 5
2.2.2. Cableado e instalación de bocas de red ....................................................................... 6
2.3. Preparación del CPD ......................................................................................................... 10
2.3.1. Instalación del SAI....................................................................................................... 10
2.3.2. Instalación de armario RACK ...................................................................................... 10
2.3.3. Instalación del router y firewall (Palo Alto PA 500) ..................................................... 12
2.3.4. Instalación y configuración del switch ......................................................................... 14
2.3.5. Acondicionamiento: climatización y seguridad de acceso .......................................... 14
3. Instalación y configuración del servidor y estaciones de trabajo ................................... 15
3.1. Configuración de Active Directory para la nueva sucursal ............................................... 16
3.1.1. Creación de unidades organizativas ........................................................................... 17
3.1.2. Creación de objetos (Servidores, Equipos, usuarios y buzones de correo) ............... 17
3.1.3. Gestión de grupos (seguridad y permisos) ................................................................. 19
3.2. Instalación de Windows server 2012 ................................................................................ 21
3.3. Configuración de Windows server 2012 (Hyper-V y Windows Backup) ........................... 26
3.3.1. Configuración de red en el servidor físico ................................................................... 27
3.3.2. Instalación y configuración de roles (DHCP, DNS e IMPRESORAS) ........................ 32
3.3.3. Volcado de paquetes de instalación del DSM (con Robocopy) .................................. 38
3.3.4. Instalación y configuración de copias de seguridad (Windows backup)..................... 39
3.3.5. Creación de discos compartidos en el servidor virtual ................................................ 42
3.4. Instalación remota de Windows 8 en estaciones de trabajo con DSM ............................. 44
3.5. Configuración de estaciones de trabajo: correo electrónico y logon scripts ..................... 46
4. Instalación de impresoras multifuncionales ...................................................................... 49
4.1. Instalación y configuración de impresoras en el servidor ................................................. 50
4.2. Instalación y configuración de impresoras en los equipos ................................................ 52
5. Inventario de equipos con Helpline Classic Desk v.5.4.0.0 .............................................. 53
6. Formación de los usuarios................................................................................................... 55
6.1. Manejo de Servicedesk para incidencias (Helpline Classic Desk v.5.4.0.0.) ................... 55
6.2. Conexión remota a través de Global Protect v.3.1.4.7 ..................................................... 57
6.3. Sistema de video conferencia Scopia Desktop ................................................................. 58
6.4. Sistema de encriptación de unidades externas Bit Locker ............................................... 61
6.5. Compartir datos con DatAnywhere de Varonis ................................................................. 62

2
Introducción

1.1. Descripción

Peri es una empresa internacional de encofrado y andamio para la


construcción, con sede en Alemania https://www.peri.com/en. Desde su
fundación en 1969 ha ido ampliando sus sedes por todo el mundo. Como IT Hub
Manager Infrastructure y admimnistrador de sistemas de la empresa desde hace
más de 15 años tengo que administrar sistemas en red en más de 13 sedes
ubicadas en países diferentes. Todas ellas están dentro del dominio “corp.peri”
y siguen unas politicas de seguridad informática y de procedimientos
informáticos comunes, dictadas por la central de Alemania ubicada en
Weissenhorn.

El trabajo que voy a presentar está basado en uno de los proyectos que hice
en el año 2016 para implementar una nueva sucursal de Peri en Marruecos.
Todos los trabajos que se muestran en el proyecto son reales y han sido
planificados por mí, siguiendo los estándares de la empresa. En una empresa de
estas dimensiones, el departamento de informática es de tal magnitud que los
trabajos de administración están repartidos en muchos grupos jerarquicos
distintos. Dentro de mi HUB de IT desempeño ciertas tareas, pero otras
responsabilidades recaen sobre los administradores de la central en Alemania.

Así, voy a redactar de manera general todos los pasos que se han de seguir
para poder crear una nueva sede de la empresa desde cero.

Una primera sección tratará sobre la parte más física del proyecto, como es la
instalación del cableado de red, el CPD, o los sistemas de refrigeración o de
alimentación ininterrumpida. Después veremos la parte lógica, en la que
instalaremos y configuraremos los servidores y los ordenadores de la red. La
instalación de las impresoras se hará en un apartado diferente. Finalmente, nos
ocuparemos de la parte más administrativa y de educación de los usuarios.
Aunque esta parte no es tan técnica es muy necesaria para el buen
funcionamiento del sistema y la prevención de fallos por malas prácticas.

Algunos de los datos mostrados en el proyecto han sido cambiados por motivos
de seguridad.

1.2. Objetivos generales

El objetivo de este proyecto es mostrar los conocimientos adquiridos durante


los dos años del Grado superior de administración de sistemas informáticos en
red, en el centro de formación profesional Juan XXIII de Alcorcón. Al tratarse de
un proyecto de investigación, no se van a cubrir todas las materias que se han
impartido, aunque sí que se van a ver algunos aspectos avanzados que están
fuera del programa, pero que se utilizan en el desempeño de mi trabajo diario
como administrador de sistemas en la empresa PERI.

3
Este proyecto muestra cómo instalar y configurar sistemas en red basados en
estándares corporativos, válidos para cualquier otra empresa que necesite
ampliar sus redes a otras sucursales.

2. Instalación de red física

En este apartado vamos a empezar la instalación de la red. Para ello se ha de


realizar un estudio previo para el cálculo del material necesario. Además, hay
que tener en cuenta que, al tratarse de un país diferente, a veces es más
económico y rápido comprar el material en la misma localización.

2.1. Localización y contratación de líneas de comunicación


En un proyecto de estas características, lo primero que hay que tener en
cuenta es la ubicación geográfica de las nuevas oficinas, para comprobar la
viabilidad del proyecto en cuanto a líneas de comunicación se refiere. Teniendo
en cuenta que se trata de una sede con un total de 25 trabajadores, que tendrán
que conectar con la central de Alemania para el intercambio de información y
uso de bases de datos, es necesaria una línea de datos de fibra óptica de al
menos 10 Mbps simétrica. También es necesaria una línea de backup, a poder
ser un sistema diferente como radio frecuencia o línea ADSL de cobre, para
soportar la carga de trabajo eventual en posibles interrupciones de la línea
principal.

La localización está en un polígono industrial en Skhirat, una población al sur


de Rabat. Tras contactar con Maroc Telecom (el ISP local), se confirma la
posibilidad de implementar una línea de fibra óptica simétrica de 10 Mbps.
Además, la política de la empresa requiere subcontratar a una segunda
compañía de telecomunicaciones llamada Nicos AG, con sede en Alemania, y
que da soporte de routing y mantenimiento a nivel mundial para empresas
internacionales. De este modo, Nicos se ocupa de estandarizar la
interconectividad de todas las sedes de PERI a nivel mundial con la sede central
en Alemania y entre ellas, es decir, establecer las VPN entre la sucursal y la
central de PERI y gestionar todas las incidencias que se produzcan, como pasar
a la línea de backup cuando la principal falle. La segunda línea de backup es una
línea ADSL de cobre de 10/1Mbps (suficiente para momentos puntuales). Esta
línea también es gestionada por Nicos AG.

Además, se contratará una tercera línea de datos ADSL 10/1 Mbps, para las
conexiones a Internet. Esta línea no requiere enrutamiento específico hacia la
sede central de Alemania, simplemente sirve como salida a Internet y pasará por
el Firewall de Palo Alto.

4
Routers utilizados para la instalación:

2 Cisco 1921 para la VPN de Nicos AG (principal y backup).


1 Cisco 892FSP para la línea de fibra de Maroc Telecom (Gestionado por Nicos).
1 Technicolor TG589vn para la línea de backup de Maroc Telecom (Gestionado
por Nicos).
1 Technicolor TG589vn para la línea de Internet de Maroc Telecom.

Instalación de red de área local LAN

La instalación de la red requiere una planificación para la compra de material


como regletas, bocas de red, cable red, etc., es decir, se tiene que calcular el
número de metros que va a tener la red en función de la arquitectura y del número
de usuarios que la van a utilizar.

2.1.1. Arquitectura de red

En cuanto a la estructura interna, se trata de una red Ethernet de área local


(LAN) a 1Gbps, con arquitectura en estrella. Para unir todos los dispositivos se
utilizará un switch Cisco Catalyst 2950 de 48 puertos y un punto de acceso Wifi
Cisco AP1231G, a los que se conectarán los 25 usuarios, el servidor, las
impresoras y el firewall, es decir, unos 33 puertos de red. Siempre es bueno dejar
algunos puertos libres para futuras ampliaciones de la red.

La arquitectura en estrella permite una fácil escalabilidad, además de aislar a


cada equipo en un dominio de colisión independiente, mejorando la calidad de la
red. No se precisa la separación de la red en subredes, ya que todos los equipos
van a estar en un mismo nivel. Para implementar el acceso a diferentes carpetas
compartidas se utilizarán grupos de seguridad del directorio activo (se verá más
adelante en el apartado 3.1.3).

5
De cara al exterior, la red no va a necesitar una zona neutral, ya que no se
precisan servidores externos. Este tipo de servidores están alojados en la sede
central en Alemania. Por lo tanto, el acceso a las redes externas se realizará en
primer lugar a través de los routers de Nicos AG (para la VPN con Alemania) y
Maroc Telecom (para el acceso a Internet). Tras éste último se situará el firewall
de Palo Alto que bloqueará todas aquellas entradas que no estén autorizadas
por las políticas de seguridad de la empresa. Tras el firewall se hallará la red
interna con todos sus equipos de trabajo, servidor, impresoras, switch y punto de
acceso Wifi.

2.1.2. Cableado e instalación de bocas de red

Para la instalación se van a utiliza 100 metros de cable de red categoría 6, 100
metros de regleta Legrand de 25x25 cm, 96 bocas de red RJ45 Legrand
(compatibles con RJ11 para los teléfonos), y cuatro patch panel de 24 puertos
RJ45 para el armario rack, en el que se centralizarán todas las tomas de red.

6
Plano de planta de las nuevas oficinas

Para cada puesto de trabajo se colocarán dos bocas de red RJ451, una para
la red y otra para el teléfono. Además, se añadirán 3 puestos extra para las
impresoras multifunción que necesitan tanto toma de red, como de teléfono para
la conexión del fax.

Parte de canalización de red

1 Las bocas tipo RJ45 son compatibles con las clavijas RJ11 de los teléfonos.

7
Mazo de cables de red categoría 6 que se conectarán al patch panel del armario rack

Canaleta Legrand con tomas dobles RJ45

Cada una de las bocas de red será plana con el estándar T-568B para este
tipo de cableado. En nuestro caso la boca RJ45 es hembra en ambos extremos.

8
Desde cada uno de los puestos de trabajo pasará el cable de red categoría 6
a través de la regleta (ya que no se dispone ni de suelo, ni de techo técnico)
hasta el armario rack que se encuentra en el CPD, junto con las entradas
principales de comunicaciones al exterior.

Tomas de red para canaleta y patch panel Legrand

Patch panel del armario rack

9
2.2. Preparación del CPD

El CPD es el lugar donde se alojan tanto los routers, como demás dispositivos
principales de la red: servidor, switch, etc. Por lo tanto, ha de estar bien ubicado2
y protegido contra agentes externos e internos, como la humedad el fuego o el
posible sabotaje por parte de usuarios malintencionados.

2.2.1. Instalación del SAI

Es muy importante, para cumplir los requisitos de alta disponibilidad, que se


instale un sistema de alimentación ininterrumpida que alimente los dispositivos
alojados dentro del CPD, en caso de corte de suministro eléctrico.

Cálculo de VA necesarios para el SAI del CPD:

1 servidor IBM x3650 M5 con fuentes redundantes 2x600 W


1 monitor LED de 10 W c/u
5 router de 13 W
1 switch de 30 W
2 firewall (el principal más el backup) + Switch HP 1620-8G (para
interconexiones) total 150 W

TOTAL: 1200+10+65+30+150 = 1455 W x 1.4 = 2037 VA x 100 / 70 = 2910 VA

Para poder cubrir la demanda eléctrica del CPD necesitaremos un SAI con 9
tomas de corriente y una potencia de 2910 VA, el modelo más cercano sería de
3000 VA. En nuestro caso vamos a adquirir un APC Smart-UPS X en rack de
3000VA, Salida 230V, Potencia 2.7kW.

APC Smart-UPS X

2.2.2. Instalación de armario RACK

El armario rack permite ubicar todos los dispositivos de manera ordenada,


optimizando el espacio y mejorando la accesibilidad. Un armario rack estándar
de 19” y 42 U permite almacenar todos los dispositivos que tenemos en el CPD:
servidor, firewall, switch, routers y SAIs.

2Es conveniente usar un lugar equidistante a todos los puntos de conexión, para no sobrepasar
el máximo de 100 metros de cable de red.

10
Armario rack estándar de 19” y 42 U

Además, el sistema de ventilación del rack permite mantener una temperatura


estable (asimismo es necesario un sistema de aire acondicionado dentro del
CPD que mantenga una temperatura constante de unos 19º).

Sistema de ventilación para rack 19” 42

11
2.2.3. Instalación del router y firewall (Palo Alto PA 500)

La instalación de los router se basa en ubicarlos en el armario rack y


conectarlos tanto hacia el exterior (Internet), como hacia el interior (Firewall PA-
500 de Palo Alto o routers Cisco de Nicos). Los enrutamientos se hacen según
los estándares de la compañía y se dejan a cargo de Nicos AG (para la VPN con
Alemania), y IT-Cube3 (para el firewall). Básicamente las tablas de enrutamiento
han de contener las direcciones IPs de las sedes de PERI a las cuales se han
de establecer conexiones mutuas. En lo que al acceso a Internet se refiere, el
ISP local se ocupa de configurar el acceso y IT-Cube de permitir o denegar
accesos, según lo requieran los administradores del sistema.

La implementación de Palo Alto PA 500 en todas las sedes de la compañía


PERI es un requisito obligatorio. De este modo se garantiza la seguridad en las
comunicaciones además de otras cosas como:

FIREWALL

Control de las aplicaciones, los usuarios y los contenidos basado en políticas.


Protección de paquetes fragmentados.
Protección de escaneos de reconocimiento.
Protección frente a denegación de servicio y denegación de servicio distribuido
(Dos y DDoS).
Descifrado: SSL (entrante y saliente), SSH.

WILDFIRE

Identificar y analizar archivos específicos y desconocidos.


Reconocimiento de conductas maliciosas.
Protección automática contra malware recién descubierto.
Distribución de actualizaciones de firmas en menos de 1 hora.
Logging y generación de informes integrado.
Acceso a la API de WildFire para el envío programado de hasta 100 muestras al
día.

FILTRADO DE ARCHIVOS Y DATOS

Transferencia de archivos.
Transferencia de datos.
Protección contra descargas “drive-by download”.

INTEGRACIÓN DE USUARIOS (USER-ID)

Microsoft Active Directory y otros directorios basados en LDAP

VPN IPSEC (SITE-TO-SITE)

3 Empresa encargada de gestionar los firewalls de Palo Alto.

12
Intercambio de claves: clave manual, IKE v1.
Cifrado: 3DES, AES (128 bits, 192 bits, 256 bits).
Autenticación: MD5, SHA-1, SHA-256, SHA-384, SHA-512.
Creación de túneles VPN dinámicos (Global Protect).

El hardware a instalar se compone de 2 dispositivos PA 500, uno principal y


otro de backup (para posibles fallos o actualizaciones en caliente), un dispositivo
Perle OILAN (para acceso remoto) y un switch HP 1620-8G (para interconectar
los routers con el firewall PA-500 y el firewall con la red interna). Es importante
que estos dispositivos se conecten a la red local mediante cables de alta calidad
y a switches que vayan a velocidades de 1 Gbps, como mínimo, para garantizar
que las comunicaciones sean lo más rápidas y fiables que se pueda.

Hardware de Palo Alto 500

Hardware de Palo Alto 500 una vez instalado en el rack

13
2.2.4. Instalación y configuración del switch

El modelo escogido es un Cisco Catalyst 2950 de 48 puertos a 1Gbps. No se


requieren configuraciones específicas, ya que se trata de un único dispositivo en
la red que se auto-gestiona de forma automática. Lo único que hay que hacer es
comprobar que el firmware esté actualizado y, en caso de ampliación de la red,
interconectar de forma adecuada los demás switches a través de cables de fibra
óptica, procurando una redundancia que garantice la alta disponibilidad en caso
de fallo en la red.

Cisco Catalyst 2950 de 48 puertos una vez en el rack

2.2.5. Acondicionamiento: climatización y seguridad de acceso

Es preciso que el CPD esté protegido contra incendios. Para ello se ha de


instalar un sistema de extinción de incendios por reducción del oxígeno, para
evitar dañar el hardware en caso de que el sistema se active.

Centralita contra incendios y reducción de oxígeno

14
También es necesario un sistema de climatización dentro del CPD que
mantenga una temperatura estable por debajo de los 20 grados centígrados.
Además, se implantará un sistema de detección de altas temperaturas que
enviará un mensaje de correo electrónico a los administradores en caso de que
se sobrepasen los 26 grados centígrados.

Sensores de temperatura frente a los aires acondicionados

Por último, pero no menos importante, hay que establecer un control de acceso
al CPD. Una puerta blindada con cerradura es suficiente para los estándares de
la empresa. El acceso a la llave ha de limitarse a 2 o 3 personas.

3. Instalación y configuración del servidor y estaciones de


trabajo

Como se trata de abrir una nueva sucursal que va a estar dentro del dominio
principal “corp.peri”, ya existente, vamos a instalar un servidor de ficheros que
además va a ser un servidor de impresión, DHCP y DNS. El estándar de
seguridad de la empresa utiliza servidores físicos como hosts para alojar
servidores virtuales, que son los que van a actuar como servidores, ya que así,
en caso de fallo del sistema es mucho más sencillo recuperar la información y la
configuración. Tanto el controlador de dominio, como el servidor de correo
Exchange estarán ubicados en la central de Alemania. Por lo tanto, ya que en la
sede va a haber un total de 25 usuarios, vamos a utilizar un servidor físico IBM
x3650 M5 formato Rack, procesador 2 x Xeon 6C E5-2620v3 85W
2.4GHz/1866MHz/15MB, Memoria RAM 3 x 8GB TruDDR4 PC4-17000 CL15
2133MHz LP RDIMM, discos duros 6 x Express IBM 600GB 10K 6Gbps SAS
2.5in G3HS HDD. Se va a instalar un Windows Server 2012 R2 Standard de
64bits en el servidor físico y, posteriormente, sobre el servidor físico se instalará
un Windows Server 2012 R2 Standard de 64bits como máquina virtual, con el

15
sistema de Microsoft Hyper-V. Se implantará, además, un sistema RAID 5 para
crear un conjunto de volúmenes con todos discos que tiene el servidor. Las
copias de seguridad se van a ejecutar sobre el servidor físico, no sobre el virtual.

IBM x3650 M5

3.1. Configuración de Active Directory para la nueva sucursal

Antes de empezar a instalar el sistema operativo en el servidor es necesario


definir ciertos parámetros y crear la estructura de unidades organizativas dentro
del directorio activo. Lo primero que debemos hacer es definir tanto el nombre
del servidor como el rango de IP que se van a utilizar. Para ello se siguen unas
directrices comunes establecidas por la central. Los nombres de equipos y
servidores se definen a partir del país de pertenencia, lugar de la sede,
departamento (para equipos), número y tipo de dispositivo. Por ejemplo, para
nuestro caso el servidor se llamaría MASKH01SV: MA de Marruecos, SKH de
Skhirat, 01 es el primero de la lista y SV que significa servidor. El servidor virtual
sería el MASKH02VS (VS significa virtual server)4. En el caso de los equipos
sería MASKHSAL001WS o NB, dependiendo de si se trata de un Workstation o
un Notebook: MAS de Marruecos, SKH de Skhirat, SAL del departamento
comercial (Sales), etc.

En cuanto al rango IP para todas las sedes se utiliza el mismo rango para los
16 primeros bits 172.19. los 8 siguientes varían según la sucursal, en este caso
83 y los 8 últimos designan el dispositivo. Desde el 1 hasta el 9 están reservados
para routers (el 1 es siempre la puerta de enlace, en nuestro caso es el firewall
de Palo Alto). Del 10 hasta el 19 está reservado a los servidores. Del 20 al 49
para las impresoras. Del 50 hasta 239 para equipos, este será el rango DHCP
que asignaremos más adelante. De la 240 hasta 254 se reserva para switches y
otros dispositivos, como puntos de acceso Wifi, etc.

Por lo tanto, el servidor físico tendrá una IP estática asignada 172.19.83.11


(172.19.83.12 para el virtual) y 172.19.83.10 para la conexión IMM de acceso
remoto (está tarjeta de red se configura desde la BIOS del servidor y sirve para
acceder remotamente en caso de fallo del sistema, permite ver el estado del
servidor, reiniciarlo, apagarlo, encenderlo, etc.).

4 Muchos de los nombres utilizados están en inglés ya que al ser una empresa multinacional el
inglés es la lengua oficial.

16
3.1.1. Creación de unidades organizativas

Una vez definidos nombre e IP se procederá a crear la estructura lógica del


nuevo sitio dentro del directorio activo, que cuelga del dominio corp.peri.
Accedemos al directorio activo a través de la consola de administración remota,
que podemos encontrar en “todos los programas->Herramientas
Administrativas->Usuarios y equipos de Active Directory” (previa instalación del
paquete de herramientas administrativas, gratuito en la página de Microsoft).
Para poder acceder a estas herramientas es necesario tener una cuenta de
administrador en el dominio. Con el botón derecho sobre nuestro dominio
corp.peri seleccionamos “nuevo->unidad organizativa”, creando así la unidad
organizativa que contendrá nuestro nuevo país llamado “MA”:

3.1.2. Creación de objetos (Servidores, Equipos, usuarios y buzones


de correo)

Ahora, dentro de nuestra nueva Unidad Organizativa “MA” crearemos nuevos


contenedores o subcarpetas. Los apartados estándar dentro de la organización
son: accounts (que son los departamentos con sus correspondientes usuarios),
administrative unit ma (que contiene tanto cuentas de administrador, como
grupos de seguridad), contacts (para añadir contactos de fuera de la
organización), groups (para los grupos de seguridad y distribución), notebooks
(para los equipos portátiles), printers (para crear grupos y asignar impresoras
automáticamente), servers (para los servidores) y Workstation (para los equipos
tipo torre). Por el momento no vamos a utilizar ni administrative unit ma, ni
printers, ni contacts.

17
Así, dentro de cada contenedor crearemos los diferentes departamentos y los
usuarios y equipos necesarios. Por ejemplo, para crear un nuevo usuario dentro
del departamento sal (sales) presionamos el botón derecho y seleccionamos
nuevo-> usuario:

Rellenamos los campos “Nombre de pila”, “Apellidos”, “Nombre de inicio de


sesión” (éste ha de ser único, el criterio a seguir en este campo es utilizar el
apellido y, si ya existe, añadir letras del nombre de pila a continuación hasta
conseguir un identificador único). Luego introducimos la contraseña e indicamos
si queremos o no que el usuario la pueda cambiarla, o si la contraseña nunca
caduca. Los parámetros de seguridad de las contraseñas ya están definidos en
las GPO comunes a todas las sedes de la empresa, simplemente hay que
aplicarlas sobre la nueva unidad organizativa.

Del mismo modo, debemos crear tanto los ordenadores, ya sean Workstation
o notebooks, como los servidores: MASKH01SV para el servidor físico y
MASKH02VS para el virtual.

18
Además, cada cuenta de usuario deberá tener un buzón de correo electrónico.
Para ello nos conectaremos a una consola remota de “Exchange Management
Console” con nuestra cuenta de administrador y generaremos los buzones
correspondientes asociándolos a cada cuenta de Windows. Para ello
seleccionamos New Mailbox…->User Mailbox->Existing users->Add…

Seleccionamos el usuario existente al que queramos crear un buzón de correo


y especificamos el “mailbox database” donde queremos crear el buzón (en
nuestro caso seleccionamos la base de datos del servidor de correo de la central
de Alemania). El sistema generará una dirección de correo por defecto para el
usuario, que puede ser modificada más adelante.

3.1.3. Gestión de grupos (seguridad y permisos)

Una vez creados los servidores, equipos y usuarios en el directorio activo


procederemos a crear los grupos de seguridad de los diferentes departamentos.
Éstos nos permitirán dar acceso a los usuarios a los diferentes discos
compartidos, que más adelante crearemos en el servidor de ficheros. También
crearemos los grupos de distribución para poder enviar correos electrónicos a
grupos establecidos desde la lista global de direcciones de Outlook. Los nombres
de los grupos también tienen que seguir una norma para ser constituidos:
primero se pone el país “ma”, luego la sucursal, “shk”, luego el departamento
“acc” y finalmente el tipo de grupo, “g” para globales, “lc” para locales con
permiso de escritura, “lr” para locales con permiso de sólo lectura y “u” para
universales.

Por cada departamento, previamente creado en el directorio activo, dentro de


subgrupo “groups” crearemos dos grupos de seguridad: uno global y otro local.
De este modo podremos gestionar de manera más eficiente los grupos de
seguridad y podremos añadir o eliminar usuarios del grupo de manera
transparente, sabiendo en cada momento qué carpetas tienen asignado un
permiso especial desde el directorio activo, y sin tener que explorar las
propiedades de las carpetas en el servidor. Por ejemplo, para el departamento
“acc” (accounting o contabilidad) creamos un grupo de seguridad global llamado
“maskhaccg” que contenga a todos los usuarios del departamento de
contabilidad y añadimos una descripción que nos indique la ruta de la carpeta en
cuestión. Del mismo modo creamos otro grupo de seguridad local “maskhacclc”,
que contenga como miembro al grupo de seguridad global anteriormente creado.
Posteriormente, cuando creemos los discos compartidos en el servidor, habrá
que asignar los grupos locales a los diferentes departamentos.

19
También creamos un grupo de seguridad global que contenga a todos los
usuarios de la sucursal para su posterior asignación al disco compartido público.
El grupo se llamará “maskhg”.

Es importante crear diferentes tipos de grupos (globales, locales o


universales), para evitar efectos no deseados a la hora de aplicarlos.

Para los grupos de correo debemos crear grupos de distribución universales,


ya que todos los miembros del dominio, sean de la sede que sean, deberán
poder consultar la lista global de direcciones. Para ello, primero hay que crear el
grupo de distribución en el directorio activo “maskhmailu” y luego hay que crear
el buzón correspondiente en el servidor de correo a través de la consola de
Exchange.

Creación de grupo universal en el directorio Activo

20
En Exchange Management Console pinchar sobre “New Distribution group…”
y luego “Existing group”, seleccionando el grupo de distribución anteriormente
creado “maskhmailu”.

Creación del grupo de distribución en Exchange server

3.2. Instalación de Windows server 2012

Para la instalación del servidor debemos empezar por instalar Windows Server
2012 R2 Standard en el servidor físico IBM x3650 M5. Previamente nos
aseguraremos de que tanto los cables de red como los de alimentación están
correctamente enchufados al switch y al SAI respectivamente.

Al tener una fuente de alimentación redundante tendremos que asegurarnos


de que ambas están conectadas al SAI. En sistemas más complejos se
recomienda enchufar las fuentes de alimentación a SAIs diferentes para mejorar
la alta disponibilidad.

El servidor dispone de 5 tarjetas de red, de las cuales haremos dos grupos de


dos. El primer grupo se unificará mediante “NIC Teaming” que es una
funcionalidad incluida con Windows Server 2012, también conocida como LBFO
(Load Balancing and Failover), lo haremos en el apartado 3.3.1. Esta
funcionalidad permite combinar múltiples tarjetas de red para formar un “equipo”
(team) que servirá para dos propósitos: asegurar disponibilidad en caso de
problemas con un componente de red; y permitir la agregación de ancho de
banda entre varios adaptadores de red. El segundo grupo será similar al primero,
pero estará dedicado al servidor virtual y no estará conectado directamente a la
red. Esto se hace por dos razones: por seguridad y por rendimiento.

Tarjetas de red de un servidor IBM x3650 M5

21
La quinta tarjeta de red es la que nos permite acceder sistema IMM (Integrated
Management Module), ya mencionado en el apartado 3.1. Para configurar IMM
encendemos el servidor y presionamos F1 para acceder a la BIOS.

Seleccionamos System Settings y presionamos enter.

22
A continuación, seleccionamos Integrated Management Module y presionamos
enter.

Luego seleccionamos Network Configuration para establecer la configuración


de red

Definimos el nombre del host “IMM-MASKH01SV”, la dirección IP estática


172.19.83.10

23
La máscara de red 255.255.255.0 y la puerta de enlace 172.19.83.1. también
deshabilitamos el protocolo IPv6, ya que no lo vamos a utilizar. De este modo
aseguramos la accesibilidad de forma remota al servidor. Antes de salir de la
configuración nos aseguramos de que hemos guardado los cambios.

En cuanto a la configuración del RAID 5 con los 6 discos de 600 GB que


disponemos, usaremos el espacio equivalente a cinco discos, como array 0 (el
espacio total del que vamos a disponer será de 3 TB, es decir, 5 x 600 GB); y el
equivalente a un disco, como global hotspare o para la paridad. El RAID 5
consiste en una división de datos a nivel de bloques que distribuye la información
de paridad entre todos los discos miembros del conjunto. Esto permite recuperar
datos en caso de rotura de disco, con un mínimo desaprovechamiento de discos
(1/n de los discos se pierde para la paridad). En nuestro caso, está configuración
viene dada de fábrica desde el proveedor oficial de IBM ya que se trata de un
sistema RAID con hardware dedicado, y la compañía tiene un contrato global
con IBM para configurarlo según su estándar.

24
Ejemplo de RAID 5 con 6 discos

Una vez hechos los pasos previos, instalamos el sistema operativo desde un
CD o USB-Stick. El orden de arranque se puede elegir pulsando la tecla F12 tras
encender el servidor. Lo primero será elegir el idioma de instalación (inglés, por
defecto) y seleccionamos instalar ahora. Seguidamente, seleccionamos el
sistema operativo “Windows Server 2012 R2 Standard (Server with a GUI)” y
aceptamos los términos de la licencia. En tipo de instalación elegiremos “Custom:
Install Windows only (advanced)”, que implica una instalación limpia desde cero.

A continuación, seleccionamos el disco en el que deseamos hacer la


instalación. Como la configuración del RAID ya está hecha, debe aparecer un
único disco llamado 0. Lo formateamos e instalamos Windows Server 2012 en
él.

Una vez terminado el proceso de instalación hay que establecer una


contraseña de administrador local, para poder iniciar sesión en el sistema.

25
Es importante tener actualizado tanto el firmware del servidor IBM (mediante
la herramienta IBM UXSPI Utility), como las actualizaciones de Windows server
2012 (mediante el servicio WSUS). También es recomendable la instalación de
un monitor de sucesos para el sistema de discos, que nos avise en caso de fallo.
El que usamos en la empresa es el MegaRAID Storage Manager v13.04.03.01.

3.3. Configuración de Windows server 2012 (Hyper-V y Windows


Backup)

Una vez instalado el sistema operativo tendremos que asignarle unos roles al
servidor físico. En nuestro caso sólo vamos a asignarle tres roles: servidor de
ficheros (que viene por defecto), Hyper-V, para poder instalar el servidor virtual
en él; y Windows Server Backup, para las copias de seguridad.

Pantalla principal del Server Manager de Windows server 2012

La instalación del role de Hyper-V se realiza de la siguiente manera:

En el menú “Administrador del servidor” del menú “Administrar”, hacemos clic


en “Agregar roles y características”. En la página “Seleccionar tipo de
instalación”, seleccionar “Instalación basada en características o en roles” y, a
continuación, en “Siguiente”. En la página “Seleccionar servidor de destino”,
seleccionar un servidor del grupo de servidores y hacer clic en “Siguiente”. En la
pantalla “Seleccionar roles de servidor”, seleccionar “Hyper-V”. Para agregar las
herramientas que usan para crear y administrar máquinas virtuales, hacer clic en
“Agregar características”. Hacer clic en “Siguiente”. En la página “Confirmar
selecciones de instalación”, seleccionar “Reiniciar automáticamente el servidor
de destino en caso necesario” y hacer clic en “Instalar”.

26
Una vez hecho esto hay que habilitar el cliente Hyper-V:

En el panel de control, hacer clic en “Programs” y después haz clic en


“Programs and Features”. Hacer clic en “Turn Windows features on or off”. Por
último, hacer clic en “Hyper-V” y en “OK”, después hacer clic en “Close”.

Una vez habilitado el cliente podemos crear una máquina virtual de la siguiente
manera:

Abrir el Administrador de Hyper-V. En el panel de navegación del Administrador


de Hyper-V, seleccionar el equipo que ejecuta Hyper-V. En el panel “Acciones”,
hacer clic en “Nueva” y, a continuación, hacer clic en “Máquina virtual”. Al abrirse
el asistente para crear una nueva máquina virtual hacer clic en “Siguiente”. En la
página “Especificar el nombre y la ubicación”, escribir el nombre MASKH02VS y
la ubicación que se desee. En la página “Asignar memoria”, especificar la
memoria que se desee (10240 MB es lo recomendable en nuestro caso). En la
página “Configurar redes”, conectar la máquina virtual al conmutador que se creó
al instalar Hyper-V. En las páginas “Conectar disco duro virtual” y “Opciones de
instalación”, elegir “Crear un disco duro virtual”. Hacer clic en “Siguiente” y, a
continuación, hacer clic en las opciones que describen el tipo de medio de
instalación (en nuestro caso usaremos un archivo .iso). En la página “Resumen”,
podemos repasar las opciones seleccionadas. Una vez confirmadas, hacemos
clic en “Finalizar” (la instalación es igual que en el servidor físico con la diferencia
de que este servidor virtual tiene orto nombre “MASKH02VS” y otra IP
“172.19.83.12”).

Ahora procederemos a instalar el role “Windows Server Backup”. Volvemos a


las características y añadimos un nuevo role, en este caso marcamos “Windows
Server Backup” y le damos a siguiente y finalizar.

3.3.1. Configuración de red en el servidor físico

Ahora vamos a configurar las tarjetas de red. Lo primero que vamos a hacer
es cambiar los nombres de los puertos de red a nivel lógico, para poder estar
seguros de que coinciden con los puertos a nivel físico, y evitar así posibles fallos
en la comunicación de red. Vamos al “Server Manager” y abrimos la
configuración de red. Veremos 5 tarjetas de red, las cuatro primeras representan
los puertos ethernet, y la que tiene el nombre “local área connection” representa
el IMM.

27
Ahora vamos a conectar un cable de red desde el switch hasta el puerto
número uno para identificarlo sobre el sistema y así poder renombrarlo. Usamos
el botón derecho y seleccionamos “Rename”, y lo renombramos como
“EthernetPort1”. A continuación, hacemos lo propio con las otras 3 tarjetas de
red.

Una vez renombradas las tarjetas de red podemos crear el NICTeam-Host.


Éste nos permitirá unir dos tarjetas de red en una (se trata de un tipo de red
virtual), para optimizar el rendimiento. Como disponemos de 4 tarjetas de red
usaremos un grupo para el servidor físico y otro para el virtual (las máquinas que
dependan del Hyper-V).

Para crear el primer grupo NICTeam-Host (puertos 1 y 3) vamos al “Server


Manager” y abrimos la configuración del “NIC Teaming”. En el desplegable
“TASKS” seleccionamos “New Team”.

Hay que seleccionar las tarjetas que conforman el primer grupo: EthernetPort1
y EthernetPort3. Confirmamos con “OK”.

28
Ahora hacemos lo propio con el segundo grupo correspondiente al servidor
virtual que llamaremos “NICTeam-VM”. En este caso seleccionaremos
EthernetPort2 y EthernetPort4.

Tras la configuración de los grupos podemos configurar el “Switch virtual” para


la máquina virtual, que no estará conectada directamente a la red física.

Para configurarlo vamos al “Server Manager” y abrimos los parámetros de los


grupos que acabamos e crear. Buscamos el nombre del dispositivo que lleva

29
asociado el “NICTeam-VM”, en nuestro caso es el “Microsoft Network Adapter
Multiplexor Driver #2”.

Una vez comprobado esto, nos dirigimos a “tools” y seleccionamos “Hyper-V


Manager” y después en el cuadro de diálogo “Virtual Switch Manager”
seleccionaremos la opción “External” y presionamos en “Create Virtual Switch”,
para crear el switch virtual. Así, le ponemos el nombre “Switch NICTeam-VM” y
seleccionamos el dispositivo que le pertenece, como vimos arriba, “Microsoft
Network Adapter Multiplexor Driver #2”. Desactivamos la casilla “Allow
management operating system to share this network adapter”, para no permitir
el uso compartido del adaptador de red. Aplicamos cambios y presionamos “OK”.

Ahora nos dispondremos a establecer la configuración IP del servidor físico.


Para ello, vamos al “Server Manager” y en “Local Server” abrimos los parámetros
de “NICTeam-Host”. Con botón derecho sobre el dispositivo “NICTeam-Host”

30
seleccionamos las propiedades y abrimos la opción “Internet Protocol Version 4”
(sólo usaremos el protocolo de red IPv4, por lo que deberemos desactivar el IPv6
de todos los dispositivos de red del servidor). Ahora establecemos las
direcciones IP y DNS de manera estática:

IP address:……….……172.19.83.11
Subnet Mask:…………255.255.255.0
Default Gateway:............172.19.83.1
Preferred DNS server: 172.16.10.125
Alternate DNS server: 172.16.10.13

Tras configurar los parámetros de red vamos a renombrar el servidor. Para


ello, vamos al “Server Manager”, “Local Server” y en “Computer name” hacemos
clic en “Change”. Ahora escribimos el nombre del servidor “MASKH01SV” y
presionamos “OK”. Tras esta operación es necesario reiniciar el servidor. Una
vez reiniciado procedemos a unir el servidor al dominio. Volvemos al mismo
punto donde renombramos el servidor, pero ahora debemos seleccionar
“Domain” y escribir el nombre del dominio “corp.peri”. el sistema requerirá unas
credenciales de administrador para poder unirse al dominio. Tras unirnos
exitosamente al dominio debemos reiniciar de nuevo el servidor.

Para poder acceder remotamente al servidor a través de RDP6 es necesario


activar la conexión al escritorio remoto. Como de costumbre, vamos al “Server
Manager”, “Local Server” y abrimos la configuración de “Remote desktop”. En la
pestaña “Remote”, seleccionamos “Allow remote connections to this computer” y
confirmamos presionando “OK” dos veces. Seguidamente, desactivamos la
casilla “Allow connections only from computers running Remote Desktop with
Network Level Authentication (recommend)”, y volvemos a presionar ”OK”.

5 Servidores DNS de la central en Alemania (172.16.10.12 y 172.16.10.13).


6 Acrónimo de Remote Desktop Connection.

31
Por último, debemos configurar el firewall de Windows para que no interfiera
en nuestros procesos. Hay que tener en cuenta que ya disponemos de un firewall
dedicado (Palo Alto PA 500) que se ocupará de bloquear los accesos no
autorizados. Además, en todos los equipos del sistema hay instalado un gestor
de software (DSM) que se ocupará de instalar automáticamente el antivirus de
McAfee Enterprise 8.8 en el servidor.

Para desactivar el firewall de Windows vamos de nuevo a “Server Manager”,


“Local Server”, y en la parte de “Windows Firewall” hacemos clic sobre “Domain
On”. Una vez ahí, hacemos clic sobre “Turn Windows Firewall on or off” así lo
desactivamos, pero sólo en la parte de “Domain network Settings”.

3.3.2. Instalación y configuración de roles (DHCP, DNS e


IMPRESORAS)

Una vez instalado el sistema operativo en el servidor virtual, vamos a


instalar los roles principales en él. El rol de Active Directory no se instalará, ya
que el controlador de dominio se halla en un servidor remoto en la central de
Alemania, y desde él hemos creado ya todas las unidades organizativas y
objetos que necesitábamos para crear nuestra nueva sede. La configuración del
servidor virtual incluye algunos pasos que ya hemos citado en la configuración
del servidor físico, como la configuración IPv4, renombrar el servidor, unirlo al
dominio, activar el escritorio remoto o desactivar el firewall de Windows.

Para instalar el servidor DHCP, DNS y PRINT SERVER vamos al “Server


Manager”, “Local Server” y “Manage->Add Roles and Features”. Esto no abrirá
un cuadro de diálogo con información, hacemos clic en siguiente y elegimos
“Role-based or feature-based installation”. En la siguiente pantalla

32
seleccionamos “Select a server from server pool” y marcamos el nombre del
servidor. Hacemos clic en siguiente y agregamos los roles de “DHCP Server”,
“DNS Server” y “Print and Document Services”. Aunque el rol IIS no es
estrictamente necesario, ya que no tenemos servidores públicos en las sedes
externas, es conveniente instalarlo. De esta manera podremos aprovechar otro
tipo de utilidades que ofrece el IIS, como la posibilidad de usar herramientas de
monitoreo (Zabbix en nuestro caso).

Además, seleccionaremos otra característica “File Server VSS7 Agent Service”


(para poder hacer instantáneas de volumen, es decir, poder recuperar carpetas
y archivos que han sido borrados o sobrescritos). A continuación,
seleccionaremos el servicio “Print Server”, siguiente y confirmamos la
instalación.

Antes de pasar a la configuración de servicio DHCP, vamos a configurar los


discos del servidor virtual y el sistema VSS. Para formatear y nombrar los discos
del servidor virtual, vamos al “Server Manager”, “Local Server” y en “Tools”
elegimos “Computer Management”. A continuación, seleccionamos el “Disk
Management”.

7Acrónimo que significa en inglés: volume shadow copy service. Éste sistema se usa como
backup alternativo, aunque inútil en caso de rotura del servidor.

33
Sobre el espacio del “Disk 1” presionamos el botón derecho y lo ponemos
online. Ahora, sobre “unallocated área” con el botón derecho seleccionamos
“New Simple Volume…”. Seguimos los pasos seleccionando “NTFS”, como
sistema de archivos, “Data” como etiqueta del volumen y “Perform a quick
format”, para que el formateo se haga de forma rápida.

34
Para poner en marcha el sistema VSS en las particiones C:\ y D:\, desde el
mismo “Disk Management” sobre la partición C:\ seleccionamos las propiedades,
vamos a la pestaña “Shadow Copies” y hacemos clic sobre “Enable”. Después,
hacemos clic sobre “Settings” y sobre “Schedule…”. Creamos una nueva
programación haciendo clic sobre “New” y seleccionamos los días y las horas a
las que nos interesa que el sistema VSS cree las instantáneas. “OK” para
confirmar. La misma operación se repetirá sobre la partición D:\, y una vez
realizada la primera instantánea podremos visualizarla y recuperarla desde
cualquier carpeta de la partición, usando el botón derecho y “Restore previous
versión”.

Una vez finalizada la instalación de roles en el servidor virtual y la configuración


de algunos servicios, vamos a configurar el servicio DHCP. En el último paso de
la instalación del rol DHCP debemos hacer clic sobre “Complete DHCP
Configuration”. A continuación, habrá que hacer dos tareas: crear los grupos con
privilegios sobre el servicio DHCP, y autorizar su funcionamiento ya que estamos
en ambiente de Dominio. Para autorizar el funcionamiento debemos ingresar las
credenciales de una cuenta que pertenezca al grupo “Enterprise Admins”, no
basta con ser solamente administrador del Dominio. De esta manera, el sistema
creará los dos grupos: DHCP Administrators y DHCP Users. Este último tiene
privilegios de sólo lectura sobre el servicio.

Una vez instalado y autorizado procederemos a la configuración básica, es


decir, crear un ámbito (Scope), para asignarle configuración IP a los clientes que
lo soliciten. Para ello, abrimos la consola de administración de DHCP Tools-
>DHCP y creamos un nuevo ámbito IPv4, de acuerdo al direccionamiento IP que
estamos usando en nuestra red, en nuestro caso 172.19.83.0/24.

35
En el siguiente paso, le damos un nombre y una descripción al nuevo ámbito
(en nuestro caso PERI Morocco), establecemos un rango de direcciones IP a
asignar automáticamente (en nuestro caso desde la 172.19.83.50 hasta la
172.19.83.239). Si existe alguna dirección IP ya asignada manualmente dentro
del rango, debemos excluirla en la ventana “Add Exclusions and Delay”. En la
siguiente ventana debemos indicar el tiempo de alquiler (Lease). Por defecto son
8 días, nosotros lo vamos a cambiar a 90 días, según la política de la empresa.
Esto significa que, si en 90 días un equipo no se ha iniciado, su dirección IP
pasará a estar disponible para su uso.

A continuación, configuramos las opciones adicionales como la puerta de


enlace (Default Gateway), por donde saldrán los equipos a Internet; y el nombre
del dominio y los servidores DNS, en nuestro caso el dominio es “corp.peri”, el
servidor DNS primario el 172.19.83.12 (que es el propio servidor virtual) y el
servidor DNS secundario 172.16.16.12 (que es el servidor DNS principal para el
dominio en Alemania).

También existe la posibilidad de reservar ciertas direcciones IP para casos


especiales en los que deseemos que nunca caduque la concesión. Para ello,
debemos usar la opción “Reservation” dentro del “DHCP manager” y especificar
el nombre de la reserva, la IP que queremos asignar, la dirección MAC del equipo
al que queremos dar la reserva y una descripción.

36
Ahora procederemos a configurar el servicio DNS en el servidor virtual. Aunque
en realidad sólo lo usaremos como un reenviador condicional al servidor DNS
principal de Alemania. En el “Server Manager” abrimos “Tools” y “DNS”. Luego,
hacemos clic derecho sobre “Conditional Forwarder” y seleccionamos “New
Conditional Forwarder…”. Ahora introducimos el nombre del dominio “corp.peri”
y presionamos “OK”. También introducimos las direcciones IP de los servidores
DNS principales, que además son controladores de dominio principales:
172.16.16.12 y 172.16.16.13.

En cuanto al servidor de impresión, ya tenemos instalado el rol, en el punto 4


procederemos a su configuración.

37
3.3.3. Volcado de paquetes de instalación del DSM (con Robocopy)

Como ya he comentado anteriormente, la empresa dispone de un sistema de


instalación y mantenimiento de software remoto llamado “Desktop & Server
Management” (DSM). Para que este sistema funcione es necesario replicar una
base de información con todos los paquetes de instalación de unos 600 GB de
tamaño a una carpeta compartida dentro del servidor. Esta carpeta se llama
“enteo” y es una carpeta compartida con ciertos permisos específicos. Para crear
esta carpeta disponemos de una copia en un disco externo, para asegurar su
correcta replicación, tanto de datos como de permisos, debemos usar el
programa incluido en MS-DOS llamado Robocopy. Además de respetar los
permisos de las carpetas, Robocopy cuenta con opciones muy diversas, como
la simulación de copia, la posibilidad de descartar archivos en uso durante la
copia y recuperarlos en una segunda ejecución, o la posibilidad de copiar
archivos con una ruta mayor de 256 caracteres.

El comando a utilizar es el siguiente:

El Robocopy se ejecuta desde el servidor de destino con la consola


PowerShell ejecutada como administrador. El disco duro externo con la copia
del “enteo” deberá estar conectado a un equipo dentro de la red local. El
significado del comando es el siguiente:

• Robocopy: orden a ejecutar


• \\ESMADIT001NB\D:\enteo: origen de los datos (este disco debe estar
debidamente compartido para que el servidor pueda acceder a los datos).
• D:\enteo: destino (unidad D: del servidor MASKH02VS)
• /s: copia subdirectorios, pero excluye directorios vacíos.
• /E: copia subdirectorios, pero incluye directorios vacíos8.
• /COPYALL: copia toda la información de archivo.
• /R:0: especifica el número de reintentos en copias con errores.
• /W:0: especifica el tiempo de espera entre reintentos, en segundos.
• /V: genera un resultado detallado y muestra todos los archivos omitidos.
• /LOG: D:\enteo.log: escribe la salida de estado en el archivo de registro.
• /TEE: escribe el resultado de estado a la ventana de consola y al archivo de
registro.
• /xd recycler system volume information: excluye los directorios que coinciden
con las rutas y los nombres especificados.
• /np: especifica que no se mostrará el progreso de la operación de copia.
• /a-: sha: quita los atributos especificados de los archivos copiados.

8 Esta opción podría omitirse, según nos convenga.

38
Aspecto de la consola PowerShell ejecutando un comando de Robocopy

Una vez finalizada la copia el sistema está listo para lanzar paquetes de
instalación desde la consola DSM, que se verá en el punto 3.4

3.3.4. Instalación y configuración de copias de seguridad (Windows


backup)

Para instalar Windows Backup (en este caso la instalación se hace en el


servidor físico MASKH01SV), al igual que en el paso 3.3.2. vamos al “Server
Manager”, “Add roles and features” y seleccionamos en el árbol de la izquierda
“Features” y después en el menú central marcamos la casilla “Windows Server
Backup”. Le damos a siguiente hasta el final y hacemos clic sobre Instalar.

39
Con esto tendremos instalado el comando Wbadmin, los cmdlets de
PowerShell para Windows Server backup y el snap-in para la consola de
administración de Windows.

Una vez terminada la instalación podemos proceder a la configuración. Todos


los parámetros vienen ya predefinidos en una carpeta llamada “ServerBackup”
(facilitada por los administradores principales de la central de Alemania) que
debemos copiar en la unidad C:\ del servidor físico. Una vez copiada, la abrimos
y con el botón derecho editamos el archivo “Config”.

Ahora editamos el script ajustándolo a nuestras necesidades. Para ello


establecemos un nuevo esquema de semana (dependiendo de los países los
fines de semana pueden caer en sábado y domingo, o en domingo y lunes, como
es el caso de algunos países árabes), el nombre de la máquina virtual, las
direcciones de correo electrónico de los responsables de cambiar el disco de
backup diario y los administradores del sistema (éstas sirven para que el sistema
envíe los informes de cada copia y las alertas).

40
Una vez guardada la configuración del archivo “Config”, iniciamos la consola
PowerShell como administradores y nos dirigimos al punto donde pone “PS C:\
ServerBackup> .\InstallBackup.ps1”. Lo ejecutamos e introducimos la
contraseña de administrador.

Si la configuración ha terminado satisfactoriamente, debería aparecer el


siguiente mensaje:

El sistema de Backup establecido por la empresa requiere un total de 13 discos


USB externos de 2 TB, que se conectan diariamente al servidor físico. De este
modo, hay que etiquetar los discos (tanto interna como externamente) para saber
qué disco corresponde a cada día del año. Existe un calendario anual que indica
claramente el ciclo de copias de seguridad.

41
Calendario de backup año 2017

Así, hay 4 discos para los días de la semana (Monday, Tuesday, Wednesday
y Thursday), 3 discos para el último día de la semana (Week1, Week2 y Week3),
2 discos para el final de mes (Month1 y Month2), 3 discos para los trimestres
(Quarter1, Quarter2 y Quarter3) y 1 disco para el año completo (Year). En total
13 discos que hacen copias completas de cada día, mes, trimestre y año, aunque
en el ciclo anual de copias existen sobre-escrituras a nivel de días de la semana,
semanas y meses. Las copias en disco han de guardarse en lugar seguro y
diferente del CPD de la empresa, por motivos de seguridad.

3.3.5. Creación de discos compartidos en el servidor virtual

Como ya vimos en el punto 3.1.3, existen distintos departamentos en la


estructura organizativa de la empresa. Cada uno de estos departamentos debe
tener una unidad de disco compartida para guardar sus datos, y a los que sólo
el personal de dicho departamento tendrá acceso. También hay un disco
compartido público para que todos los departamentos y usuarios puedan
acceder a un lugar común en la red.

Para crear los discos compartidos vamos al “Server Manager” del servidor
virtual y hacemos clic sobre “File and Storage Services”, en el árbol de la
izquierda. Una vez ahí, hacemos clic sobre “Shares”. Desde esta pantalla
podemos hacer clic derecho y elegir “New Share…”, para crear una nueva unidad
compartida.

42
Ahora elegiremos la opción “SMB Share - Quick” y siguiente. En este paso
marcamos “Type a Custom path”, para poder seleccionar la carpeta en cuestión
con el botón “Browse…” (es necesario que hayamos creado primero las carpetas
en D:\). Una vez seleccionada la carpeta a compartir, le damos a siguiente.
Debemos elegir el nombre que le queremos dar y una pequeña descripción. Tras
hacer clic en siguiente debemos marcar la casilla “Allow caching of share” y
continuamos. En este paso debemos configurar los permisos haciendo clic en
“Customize permissions…”. Ahora debemos agregar los grupos de seguridad
local que se crearon en el paso 3.1.3. Por ejemplo, para la carpeta compartida
“SAL” debemos asignar el grupo “maskhsallc”. Seleccionamos los tipos de
permiso, en este caso lectura y escritura, y eliminamos los grupos por omisión
que no nos interese tener, como “Users”. En la pantalla final comprobamos todos
los parámetros y creamos la unidad compartida haciendo clic en “Create”. El
mismo proceso será necesario para el resto de unidades compartidas. Una vez
creadas todas las unidades podremos visualizarlas desde la red introduciendo el
nombre del servidor en un explorador de archivos de Windows:

43
3.4. Instalación remota de Windows 8 en estaciones de trabajo con
DSM

Para instalar los sistemas operativos en los ordenadores de la empresa vamos


a utilizar un software de instalación remota a través de la red LAN. Para ello
debemos disponer de una réplica de los paquetes de instalación en el servidor
(visto en el paso 3.3.3.). Para poder garantizar una correcta compatibilidad de
los drivers (controladores) de red y demás dispositivos de nuestros equipos
debemos utilizar siempre hardware compatible con el sistema implantado. Para
ello se creó la “Shopping cart” lista de dispositivos compatibles con el sistema
PERI. Todos los equipos de está lista son compatibles con el sistema de
instalación remota.

Los pasos a seguir para una instalación desde cero son los siguientes. Una
vez adquirido el equipo correspondiente debemos conectarlo a la red local y
forzar el arranque desde la red (modificando el orden de arranque desde la
BIOS). La primera vez que el equipo arranque será detectado por el sistema
DSM y registrará la dirección MAC en la lista de dispositivos detectados.
Podemos acceder a la consola DSM vía web, escribiendo la dirección del
servidor principal:

Pantallazo de la consola DSM (equipo detectado por dirección MAC)

Una vez detectado el nuevo equipo en el sistema, debemos crear el objeto en


el directorio activo, es decir, crear una nueva computadora con su
correspondiente nombre, dentro de la unidad organizativa correspondiente. Si e
vamos a instalar un sistema operativo para un nuevo ingeniero utilizaremos la

44
nomenclatura estándar “maskheng500ws”, dentro de la unidad organizativa
ma\workstations\skh\eng\. Podemos añadir una breve descripción.

Ahora ya podemos configurar el equipo dentro del DSM. Para ello pinchamos
sobre la dirección MAC que ha detectado previamente el sistema y en la parte
derecha sustituimos el nombre genérico por el nombre que le hemos asignado
en el directorio activo. Además, seleccionaremos el sistema operativo a instalar
y el departamento.

Seguidamente guardamos los cambios y vamos a la pestaña “Información


General” y hacemos clic sobre “Reinstalar ordenador”. Aceptamos y reiniciamos
el equipo en cuestión, cerciorándonos de que arrancamos desde la red.
Automáticamente el sistema y todos los programas se instalarán en el ordenador,
incluso la unión al dominio corp.peri se hará de forma automática.

45
Las políticas de grupo que se aplican a todos los equipos que cuelgan del
dominio corp.peri hacen que ningún usuario tenga derechos de administrador
por defecto. Para poder modificar la configuración de los equipos es necesario
poseer una cuenta de administrador del dominio, o conocer las credenciales de
usuario local de los equipos (son las mismas para todos los equipos, sólo los
administradores tienen acceso a esta información). Tampoco se pueden instalar
programas desde las cuentas de usuario ordinarias. Además, la política de
seguridad de contraseñas obliga a cambiarla cada 90 días y no se pueden repetir
las contraseñas, ni usar partes del nombre del usuario para crearlas. Se
requieren como mínimo 8 caracteres, entre los cuales han de figurar, al menos,
tres de las cuatro condiciones siguientes: una mayúscula, una minúscula un
número y un carácter especial. El sistema avisará con 15 días de antelación para
que el usuario pueda cambiarla y evitar conflictos si se encuentra fuera de la
oficina.

3.5. Configuración de estaciones de trabajo: correo electrónico y


logon scripts

Una vez instalados todos los sistemas operativos en los equipos, nos queda
un pequeño paso por hacer: la configuración del correo electrónico y la
asignación del logon script o mapeo de discos de red programado.

Una vez iniciemos la sesión de Windows en el equipo, con sus credenciales de


usuario del dominio, podemos ver una carpeta llamada “User” en el escritorio
que contiene todos los programas instalados a través del sistema DSM. Esta
carpeta se crea automáticamente en cada equipo, gracias a las políticas de
grupo. En ella encontraremos, entre otros programas, el Microsoft Outlook 2010.
Para configurar la cuenta de correo ejecutaremos el icono de Outlook y el
sistema nos preguntará qué tipo de cuenta deseamos configurar. Debemos
escoger el tipo de cuenta Microsoft Exchange e introducir el nombre de usuario,
la contraseña y el nombre del servidor (en nuestro caso es un servidor remoto).
A continuación, se generará un nuevo perfil de correo y se sincronizarán las
carpetas del buzón de correo.

46
En cuanto al logon script, debemos introducir desde el directorio activo el perfil
que deseamos ejecutar al inicio de sesión a cada uno de los usuarios. Esto hará
que se ejecute un archivo tipo “bat”, con una serie de instrucciones para que se
mapeen algunos discos compartidos en cada usuario. Todos los archivos tipo
“bat” se encuentran en el servidor controlador de dominio principal en la carpeta
compartida “NETLOGON\MA”.

Así, tenemos que ir al usuario en cuestión en el directorio activo y en la pestaña


“Perfil” introducir la ruta del script en el campo “Script de inicio de sesión”. De
esta manera, cuando el equipo inicie la sesión de Windows se ejecutará el logon
script y los discos se mapearán automáticamente.

47
El código del script es muy simple, primero se borra el mapeo de discos
existente (si lo hubiera); seguidamente usa el comando “net use” seguido de la
letra que se le quiera dar a la unidad compartida y de la ruta de la carpeta
compartida. Finalmente se ejecuta el archivo “common.bat” de configuración
general del sistema.

48
4. Instalación de impresoras multifuncionales

El siguiente paso consiste en la instalación de las impresoras. Primero, vamos


instalarlas en el servidor, ya que éste tiene instalado el rol de servidor de
impresión, para centralizar todos los trabajos de impresión y para la gestión de
las colas de impresión. También tendremos que añadir a la lista de “anonymous
senders” del servidor de correo las direcciones IP y los nombres de las
impresoras, para que éstas puedan enviar documentos escaneados a través del
correo electrónico.

Es importante que antes de empezar la instalación configuremos las


impresoras, de manera que cada una tenga asignada una dirección IP fija dentro
del rango correspondiente, así como la máscara de subred, la puerta de enlace,
las DNS primaria y secundaria y el nombre del host. También habrá que
asegurarse de que las impresoras están conectadas a la red LAN. Para el envío
de correos desde la impresora también será necesario indicar el servidor de
correo SMTP. Por ejemplo, si disponemos de dos impresoras multifuncionales
láser en color, asignaremos los siguientes parámetros a la primera:

IP address:……….……172.19.83.20
Subnet Mask:…………255.255.255.0
Default Gateway:............172.19.83.1
Preferred DNS server: 172.16.10.12
Alternate DNS server: 172.16.10.13
Host Name: MASKHCLASER01

Y los siguientes parámetros a la segunda:

IP address:……….……172.19.83.21
Subnet Mask:…………255.255.255.0
Default Gateway:............172.19.83.1
Preferred DNS server: 172.16.10.12
Alternate DNS server: 172.16.10.13
Host Name: MASKHCLASER02

Esto puede hacerse tanto directamente sobre la impresora, a través de su


propia interface, o de forma remota vía WEB (simplemente introduciendo la
dirección IP en un navegador de Internet y validándose con unas credenciales
de administrador de la impresora).

Interface WEB para impresoras Cano

49
4.1. Instalación y configuración de impresoras en el servidor

Existen varias formas de gestionar las impresoras en un servidor, yo voy a


utilizar una consola remota, una utilidad incluida en el paquete de herramientas
administrativas que puedes instalar gratuitamente en cualquier equipo de la red.
Para abrir la consola vamos a “todos los programas->Herramientas
Administrativas->Administración de impresión”. Una vez ahí, hacemos clic
derecho sobre “Servidores de impresión”, seleccionamos “Agregar o quitar
servidores…” e introducimos el nombre o la IP del servidor que queramos
gestionar.

Ahora podemos ver que el servidor está en la lista de servidores de impresión.


El primer paso consiste en cargar los controladores para las impresoras (ojo, han
de ser para Windows server 2012 64 bits). Para instalar un nuevo driver vamos
a “Controladores” y con el botón derecho seleccionamos “Agregar
controladores”.

50
Seguimos los pasos y cargamos el controlador. Una vez cargado aparecerá en
la lista de controladores. Después añadimos un nuevo puerto, haciendo clic
derecho sobre “puertos” y “agregar puerto…”. Seleccionamos “Standard TCP/IP
Port” y nuevo puerto. Introducimos la IP 172.19.83.25.

Ahora que ya tenemos tanto el driver como el puerto creados, ya podemos


proceder a la instalación de la impresora. En “Impresoras” seleccionamos
“agregar impresora…” y agregamos una nueva impresora usando un puerto
existente, seleccionando el puerto previamente añadido. Lo mismo hacemos con
el controlador de la impresora, en el siguiente paso. Finalmente, asignamos un
nombre a la impresora, un nombre de recurso compartido y una ubicación
(menos el nombre de la impresora, que ha de coincidir con el nombre que
hayamos asignado manualmente en la impresora, los demás campos son sólo
de referencia).

51
Una vez finalizado el proceso, la impresora ya estará instalada en el servidor.
Ahora debemos comprobar que sea accesible desde la red. Para ello, vamos a
la impresora (desde el servidor)9 y, en sus propiedades, seleccionamos la
pestaña compartir impresora. También podemos cambiar ciertos parámetros,
como el tipo de impresión por defecto: tipo de bandeja, doble cara, blanco y
negro o color, etc. (estos parámetros podrán ser modificados puntualmente por
los usuarios).

4.2. Instalación y configuración de impresoras en los equipos

La instalación en los equipos es muy sencilla, sólo tenemos que teclear la


dirección del servidor \\MASKH02VS, desde una ventana del explorador de
archivos de Windows, en el equipo que queramos instalar las impresoras. Así,
veremos tanto las carpetas compartidas como las impresoras compartidas del
servidor. Para conectarla al equipo sólo tenemos que hacer un doble clic sobre
la impresora y se instalará automáticamente en el equipo.

9Este parámetro tambien es configurable en el proceso de instalación, desde el administrador


de impresión remoto.

52
Este tipo de instalación requiere añadir de forma manual cada impresora en
cada equipo de la red. En sucursales con más usuarios, se puede automatizar
este proceso por medio de grupos de seguridad, aunque la configuración inicial
es un poco más compleja, puede resultar muy útil, en el caso de tener que
instalar las impresoras a gran cantidad de usuarios.

5. Inventario de equipos con Helpline Classic Desk v.5.4.0.0

En PERI, hay un sistema implantado llamado Helpline Classic Desk v.5.4.0.0,


que sirve tanto para la asistencia de incidencias a los usuarios, como para el
inventario de equipos informáticos. Este software se ejecuta remotamente vía
Citrix, ya que el servidor principal se encuentra en la central de Alemania. En
este apartado vamos a ver cómo se gestiona el inventario informático.

El proceso de inventario se basa en el etiquetado de los ordenadores,


monitores, impresoras, servidores, etc., para poder identificarlos dentro del
sistema. Así, lo primero que debemos hacer es etiquetar cada dispositivo con un
número identificador único.

Etiqueta para inventario

Una vez etiquetados los dispositivos podemos empezar con el manejo del
Helpline. Helpline tiene multitud de opciones, aunque nosotros sólo nos vamos
a centrar en las que necesitamos para dar de alta un nuevo dispositivo.

En la pantalla principal vemos un árbol de opciones a la izquierda. Para dar


de alta un nuevo dispositivo debemos elegir la opción “Master Data->Product-
>computer”.

53
Aspecto de la consola principal de Helpline

En la ventana que se abra, introducimos el número de inventario, el tipo, el


modelo y el nombre del Host o la dirección MAC. En el caso de los ordenadores
o servidores no es necesario rellenar el resto de campos, ya que a través del
nombre del host o de la dirección MAC el sistema es capaz de recopilar el resto
de la información (a través de un software llamado Discovery 9.4.5 ©1998-2016
HEAT Software USA Inc., capaz de sacar toda la información de los equipos
conectados en la red). También es posible adjuntar la factura del equipo, para la
gestión de garantías o mantenimientos. Es importante marcar la casilla “Asset
labeled”, de lo contrario el número de inventario no estará reservado en la base
de datos.

54
Una vez hemos introducido todos los dispositivos en la base de datos
podremos visualizarlos en el sistema. Es posible encontrar equipos a partir del
número de inventario, el hostname o el número de serie. El sistema muestra los
equipos y quién lo está usando, ya que está interconectado al directorio activo.
Además, nos permite modificar el campo “Status” para los casos en que el equipo
está en el almacén o estropeado.

El inventario de los equipos es útil para poder tener el parque informático


siempre controlado, además de agilizar los temas administrativos relacionados
con los sistemas informáticos, como por ejemplo las auditorías informáticas

6. Formación de los usuarios

Un sistema informático en red es tan vulnerable como lo es su punto más débil.


Un usuario de la red, que no la use de manera adecuada, puede ser un peligro
mayor que cualquier usuario externo con malas intenciones. Por este motivo, es
de vital importancia que los usuarios finales sepan cómo utilizarlo de forma
adecuada. Además de la seguridad, el rendimiento y el correcto
aprovechamiento de los recursos harán que el sistema funcione más
eficientemente.

Para todo ello, vamos a repasar una serie de puntos relacionados con la buena
utilización de los recursos, por parte de los usuarios, con una serie de
herramientas pensadas para mejorar tanto la seguridad del sistema como su
rendimiento.

6.1. Manejo de Servicedesk para incidencias (Helpline Classic


Desk v.5.4.0.0.)

Otra de las utilidades del Helpline Classic Desk v.5.4.0.0. es la herramienta de


Helpdesk o Servicedesk. Se trata de un sistema de gestión de incidencias a la
que tienen acceso todos los usuarios del dominio corp.peri. Así, cuando un
usuario tiene algún problema, ya sea de Hardware o de Software, tiene la
posibilidad de escribir un correo electrónico o llamar por teléfono al Servicedesk
de PERI. Todos los informáticos de los diferentes HUB de IT gestionan de
manera estructurada las incidencias que llegan al sistema.

Para crear nuevos casos en el sistema existe un portal del usuario accesible
desde la red interna, que se valida con las credenciales del inicio de sesión de
Windows que se estén utilizando. El acceso es vía WEB http://it-serviceportal.
De esta manera, el usuario que accede a la aplicación WEB desde su sesión de
Windows, ya validada contra el controlador de dominio, entra automáticamente,
y el sistema lo identifica como tal.

55
Pantalla principal del Service Portal

En este punto, el usuario puede hacer 4 cosas: crear un nuevo caso usando
“New Ticket”, usar un formulario preestablecido para cambiar o crear cuentas en
el sistema usando “User Form”, hacer un pedido de material informático usando
“IT-Order” o consultar sus casos abiertos, pendientes de resolución, en
“Overview”. También hay un mensaje en amarillo que sirve para avisar a los
usuarios de un problema general, como la caída de un servidor, etc.

Ésta es la parte que el usuario puede ver desde su equipo. Por parte de los
administradores, hay otra interface a la que se accede vía Citrix y que permite
administrar el sistema.

Pantalla principal del Servicedesk

Existen diferentes zonas divididas por países que se denominan HUB. Cada
uno de ellos recoge los casos correspondientes. Por ejemplo, el HUB “South
Europe and North Europe” contiene 13 países, entre los cuales está Marruecos
(nuestra nueva sucursal). Dentro de cada HUB existen diferentes niveles,
dependiendo del tipo de caso. Si una incidencia no puede ser resuelta por el
primer nivel se escala al segundo o al tercero, dependiendo del tipo de

56
incidencia. También existen diferentes prioridades según lo urgente que sea el
caso y diferentes estatus, es decir, un caso puede estar en espera, en diagnosis,
abierto o resuelto. Además, existe la posibilidad de reservar casos.

Todos los casos y la información que se recopila en ellos sirve para mejorar el
sistema e identificar procesos ineficientes, así como una base de conocimiento
que va creciendo y a la cual se puede acceder para futuras consultas.

6.2. Conexión remota a través de Global Protect v.3.1.4.7

Una de las ventajas del firewall de Palo Alto es el sistema de conexión remota
VPN que incorpora. Esta herramienta se llama Global Protect y sirve para que
los equipos que están fuera de la oficina puedan conectar con la red interna de
forma segura a través de Internet.

Global Protect está sincronizado con el directorio activo, permitiendo así una
mejor integración de los sistemas y simplificando la autenticación en él, ya que
se usan las mismas credenciales que para Windows. Para poder usar Global
Protect hay que instalar el software en el equipo, esto se hace a través del DSM,
que permite la instalación de paquetes de forma manual.

Una vez instalado, Global Protect deberá ser configurado. Es muy sencillo,
basta con ir al icono del programa ubicado en la barra de Windows, y con el
botón derecho seleccionar la opción “Mostrar panel”. Una vez abierto el panel,
hay que introducir el nombre del portal (cada país tiene su propio portal
incorporado en el hardware de Palo Alto), en este caso es “ma.gw.peri.com”; el
nombre de usuario (el mismo que el de Windows) y la contraseña (la actual de
Windows). El sistema no se conecta si el equipo está dentro de la red LAN. Para

57
abrir el túnel hay que conectar con internet desde fuera de la oficina y seleccionar
conectar en el menú desplegable de Global Protect.

Es necesario añadir un grupo de seguridad a cada usuario para que pueda


conectarse a través del Global Protect.

Adición de grupos de seguridad desde AD

6.3. Sistema de video conferencia Scopia Desktop

Para poder comunicarse por videoconferencia PERI dispone de un software


específico que controla tanto el ancho de banda utilizado, como los puertos por
los que se conecta. El software se llama Scopia Desktop y para poder utilizarlo

58
hay que pertenecer a un grupo de seguridad llamado “dewhnvcuser”. Además,
hay que añadir el parámetro “Teléf. IP”, dentro de la pestaña Teléfonos de las
propiedades del usuario en el directorio activo (esta opción se replica de un
servidor a otro durante la noche, por lo que no se puede usar de forma
inmediata).

Una vez replicada la información al servidor correspondiente se puede utilizar


el sistema Scopia Desktop. La instalación se hace via WEB a través de Internet
en la página https://de.comm.peri.com.

59
Las credenciales para acceder son las mismas que las de Windows. La manera
más eficiente de utilizar el sistema es a través del portal de reuniones que está
sincronizado con el Outlook. La dirección del portal es
http://dewhn288vs:8080/userportal. Una vez dentro hacemos clic en
“Programar”.

Añadir a los participantes (desde la lista global de distribución), la fecha y la


hora de la reunión, el tiempo estimado, el asunto y un mensaje. Al enviar la
convocatoria se creará un nuevo evento en el calendario de Outlook, el cual
avisará 15 minutos antes de la reunión junto con un enlace que permitirá acceder
a la videoconferencia directamente.

Es importante usar este método para garantizar el ancho de banda necesario


que proporcione una buena calidad durante la videoconferencia. Además, este

60
sistema no abre puertos de forma indiscriminada como ocurre en sistemas más
conocidos como Skype, por lo que resulta más seguro.

Pantalla de videoconferencia con Scopia Desktop

Es importante cerrar la sesión de Scopia Desktop mediante el botón dedicado


para ello, de lo contrario el usuario podría quedar bloqueado o la sesión abierta,
con la consecuente pérdida de recursos de manera innecesaria.

6.4. Sistema de encriptación de unidades externas Bit Locker

Por motivos de seguridad, en PERI, todos los medios de almacenamiento


externo tipo USB deben estar encriptados, para evitar la propagación de
información confidencial en caso de pérdida o robo. Para ello, utilizamos un
sistema de encriptado de Microsoft, ya que todos nuestros equipos utilizan
Windows y Bitlocker está incorporado en él.

Lo primero que hay que hacer es pinchar en inicio de Windows y, en el campo


de búsqueda, escribir "Bitlocker". Después seleccionar el programa "Cifrado de
unidad Bitlocker".

61
Una vez abierto, seleccionar "Activar Bitlocker" sobre la unidad que
corresponda. Se trata de cifrar unidades externas USB (Pendrives o Discos
duros externos). A continuación, hay que seleccionar la opción "Usar una
contraseña para desbloquear la unidad" y escribir la contraseña dos veces.
Luego pinchar en "Siguiente".

A continuación, pinchar sobre "Imprimir la clave de recuperación". Ésta sirve


para recuperar la contraseña en caso de olvido. Para terminar, hacer clic sobre
"Iniciar cifrado". El tiempo de cifrado está determinado en función del tamaño del
dispositivo a cifrar. Una vez se haya cifrado, el dispositivo siempre pedirá la
contraseña cuando se conecte a un ordenador.

6.5. Compartir datos con DatAnywhere de Varonis

PERI también cuenta con un sistema para compartir datos, para garantizar la
confidencialidad de la información que se comparte de forma externa. El sistema
se llama DatAnywhere, de la compañía Varonis.

Es necesario asignar dos grupos de seguridad a los usuarios que quieran usar
esta aplicación “dedatanywhereshare” para el acceso a las carpetas del servidor,
y “dedatanywhereuser” para el acceso al sistema DatAnywhere.

Para acceder al sistema, lo primero que hay que hacer es acceder a la


siguiente dirección desde un navegador WEB: https://de.files.peri.com. A
continuación, usamos las credenciales de Windows para acceder a la
plataforma.

62
En la pantalla siguiente, debemos crear un nuevo espacio de trabajo haciendo
clic sobre “Create New Workspace” (esto sólo es necesario la primera vez que
se usa el sistema).

Le damos un nombre cualquiera al nuevo espacio de trabajo y hacemos clic


sobre “Add Folders and Files”.

63
Una vez hecho esto, vamos a la ruta \\dewhn381vs\Export\Full, desde un
explorador de archivos, y creamos una subcarpeta para nuestro espacio de
trabajo.

Ahora, volvemos a la plataforma y añadimos la nueva carpeta al espacio de


trabajo, de manera que podamos añadir datos a esa carpeta y seleccionarlos
desde la plataforma.

64
Una vez hecho esto, podemos seleccionar los archivos a compartir desde la
plataforma, simplemente hay que explorar las carpetas y seleccionar los archivos
(también existe la opción de subir los datos desde la plataforma, pero resulta
más sencillo hacerlo directamente desde el explorador de archivos). Después
hacemos clic en “Send Link”.

En este punto debemos escoger las opciones que prefiramos para hacer el
envío de los datos. El envío puede ser público o privado, se puede poner una
fecha de expiración, hay que añadir la dirección de correo del destinatario, un
asunto y un mensaje. A continuación, hacemos clic sobre “Send”.

Cuando se envían los datos el destinatario recibe dos correos electrónicos, uno
con el enlace que le conducirá hasta los datos, y otro con un código PIN para
acceder a los datos.

Opciones de envío de link en DatAnywhere

65