See

discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/237044108

Implementación de Infraestructura Active

Directory, Exchange Server y Certificados
digitales PKI

Data · March 2013

CITATIONS READS

0 4,058

1 author:

Aparicio Ernesto Luna Toro

University of Antioquia
1 PUBLICATION 0 CITATIONS

SEE PROFILE

All content following this page was uploaded by Aparicio Ernesto Luna Toro on 26 May 2014.

The user has requested enhancement of the downloaded file.

 Informe Final Practica Académica
Modalidad Práctica Empresarial
Departamento de Ingeniería Sistemas

Identificación del estudiante.

Nombres y apellidos. Aparicio Ernesto Luna Toro

Documento de identidad. 8.028.831
Teléfono. 3014344748
Semestre académico. 10
E-mail. Aluna215@gmail.com

Identificación del asesor interno (U. de A.).

Nombres y apellidos. Deisy Loaiza Berrío

Teléfono. 3014983073
Oficina. 21-408
E-mail. yuried@gmail.com

Identificación del asesor externo (empresa).

Nombres y apellidos. Fabian Arley Salazar

Teléfono. 4489600
Dirección.
E-mail. fsalazar@intergrupo.com
Cargo. Gerente de servicios

Identificación de la empresa.

Nombre de la empresa. Intergrupo S.A

Dirección.
Ciudad. Medellín
Teléfono. 4489600
Actividad económica. TI Solutions Services
Implementación de la Infraestructura de Directorio de servicios,
Mensajería y seguridad con Active Directory 2008R2 y Exchange
server 2010.

Resumen.
Este documento relata de manera explícita las etapas del proceso de
migración de las plataformas tecnológicas de Directorio Activo y Exchange
Server de la empresa. Este proyecto surgió por la necesidad de la empresa de
corregir problemas del pasado y llevar a cabo una renovación y actualización
de los productos a la versión más reciente.
El proyecto inició con la etapa de estructuración del proyecto, donde se
planteó toda la estrategia de gerencia del proyecto, posteriormente se dio
inicio a una práctica muy recomendada por el fabricante Microsoft y es hacer
una chequeo de salud de la plataforma antes de iniciar el proyecto esta
etapa fue muy provechosa puesto que sirvió como insumo para la segunda
fase que era el levantamiento de la información.
Una vez concluidas las etapas de chequeo y levantamiento de información
se inició la parte más importante dentro de todo el proyecto y fue la de diseño
de la solución; allí nos encontramos con varios retos, como mejorar la
seguridad de la empresa en el manejo de la información y poder brindar una
plataforma que permitiera implementar un sistema de colaboración para
mejorar la productividad y eficiencia, teniendo la premisa de costos versus
rendimiento; lo cual se pudo lograr con éxito gracias al sistema de
colaboración que se pudo implementar con Exchange server y su posterior
integración con la telefonía IP.
Finalmente se llevó a cabo toda la implementación de la plataforma nueva
la cual recibió todos los servicios de Autenticación, seguridad y Mensajería de
la empresa; en esta etapa se ejecutó todo los que se había planteado en la
etapa de diseño.

Introducción.
Dentro del proceso de actualización tecnológica, la empresa. Ha planteado
varias estrategias, entre las cuales se encuentra la definición de un nuevo
modelo de servicios integrados para toda su Organización. Los servicios de
Active Directory Domain Services y Exchange server hacen parte de este
conjunto de servicios que se tiene planeado consolidarse y unificarse bajo
una única arquitectura con la cual se ofrezcan servicios de mejor calidad a un
menor costo.

Teniendo en cuenta esta nueva visión se ha definido el diseño de la nueva

plataforma de servicios de dominio para la empresa. Este proyecto ha sido
abordado teniendo en cuenta premisas, con las cuales se espera implementar
una nueva plataforma que facilite el uso de nuevas alternativas de servicios,
mejoras en las comunicaciones, compatibilidad con las aplicaciones Microsoft
integradas al directorio activo, principalmente Lync Server, Servicios de PKI,
Servicios de Licenciamiento de Terminal Services, Exchange 2010, a su vez en
los procesos de gestión y operación de la infraestructura de la red.

Objetivos.

Objetivo General
Implementar una plataforma de Active Directory Domain and Services,
Exchange Server 2010, Active Directory Certificate Services, con tecnología
Microsoft, el cual brindará a la organización servicios de directorio,
Autenticación, seguridad, certificados digitales, auditoría y Mensajería
electrónica.

Objetivos Específicos

 Chequear la salud de la plataforma de autenticación, Directorio Activo,

mensajería, Exchange Server y certificados digitales.
 Levantar la información de la plataforma de Directorio Activo 2003, Exchange
server 2003 y Certificados Digitales.
 Diseñar la infraestructura de Dominio con Windows Server 2008R2,
Mensajería con Exchange Server 2010 y Certificados Digitales con Active
Directory Certificate Services.
 Implementar un sistema de Bosque y Domino basado en Active Directory
2008R2, implementación de mensajería basado en Exchange Server 2010 y
una PKI (Public Key Infraestructure) basado en Windows Server 2008R2

Planteamiento del Problema.

En la empresa anteriormente se ejecutó un proyecto de migración de dominio
el cual no se pudo terminar y quedaron 2 dominios con ciertas actividades
pendientes como la de eliminar el domino más antiguo y dejar el dominio
nuevo funcional; tal proyecto no se llevó a cabo de la forma adecuada por
lo cual se tuvieron que mantener los dos dominios coexistiendo, debido a esto
y adicionalmente al tiempo de obsolescencia de los sistemas de Active
Directory y Exchange Server que ya existían. Se decidió hacer una
implementación desde cero de toda la plataforma de Directorio de servicios
y mensajería; y una vez esta plataforma nueva estuviera implementada se
migrarían todos los demás servicios de la empresa a esta plataforma.

Marco Teórico.
La mayor parte de los sistemas informáticos y redes mantienen de uno u otro
modo una relación de identidades personales (usuarios) asociadas
normalmente con un perfil de seguridad, roles y permisos. La autenticación de
usuarios permite a estos sistemas asumir con una seguridad razonable que
quien se está conectando es quien dice ser para que luego las acciones que
se ejecuten en el sistema puedan ser referidas luego a esa identidad y aplicar
los mecanismos de autorización y/o auditoría oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) para la
autenticación, es la existencia de identidades biunívocamente identificadas
con un identificador único (valga la redundancia). Los identificadores de
usuarios pueden tener muchas formas siendo la más común una sucesión de
caracteres conocida comúnmente como login.
El proceso general de autenticación consta de los siguientes pasos:
 El usuario solicita acceso a un sistema.
 El sistema solicita al usuario que se autentique.
 El usuario aporta las credenciales que le identifican y permiten verificar
la autenticidad de la identificación.
 El sistema valido según sus reglas si las credenciales aportadas son
suficientes para dar acceso al usuario o no.

Active Directory (AD) es el término que usa Microsoft para referirse a su

implementación de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS,
Kerberos) para los procesos de autenticación. Su estructura jerárquica permite
mantener una serie de objetos relacionados con componentes de una red,
como usuarios, grupos, permisos, asignación de recursos y políticas de acceso.

Active Directory está basado en una serie de estándares llamados X.500, el

cual consiste en una definición lógica a modo jerárquico. Los dominios y
subdominios se identifican utilizando la misma notación de las zonas DNS,
razón por lo cual Active Directory requiere uno o más servidores DNS que
permitan el direccionamiento de los elementos pertenecientes a la red, como
por ejemplo; computadores y servidores; y los componentes lógicos de la red,
como usuarios y grupos.

Los sistemas de directorio también están hechos para trabajar y ser

compatibles con sistemas basados en estándares X.400 como lo son los
sistemas de correo electrónico. El correo electrónico es un servicio de red que
permite a los usuarios enviar y recibir mensajes mediante el protocolo SMTP.

SMTP (protocolo para la transferencia simple de correo electrónico), es un

protocolo de la capa de aplicación. Protocolo de red basado en texto,
utilizados para el intercambio de mensajes de correo electrónico y es un
estándar oficial de internet.
Exchange Server es el término que usa Microsoft para referirse a su
implementación de servicio de correo electrónico, dicho sistema es una
completa plataforma de colaboración que permite a los usuarios intercambio
de correo electrónico, colaboración, agenda y mensajería unificada.

Metodología.

Para realizar la migración de la infraestructura de dominio actual a un nuevo

bosque con un dominio unificado en Windows server 2008 R2 incluyendo los
servicios asociados como mensajería (Exchange Server 2010 y Active Directory
Certificate services), se llevaron a cabo las siguientes actividades:

Chequeo de salud
 Ejecución de herramientas de diagnóstico como scripts
 Recolección de Logs de eventos
 Ejecución de herramientas del diagnóstico del fabricante

Levantamiento de información
 Revisión detallada de documentación existente de la plataforma
 Revisión detallada del estado de configuración actual de los servidores
 Entrevista detallada con los administradores de la plataforma

Diseño
 Documento de diseño de la infraestructura de bosque y dominio con
Active Directory 2008R2
 Documento de diseño de la infraestructura de mensajería con
Exchange server 2010
 Documento de diseño de la infraestructura de Certificados digitales con
Active Directory Certificate Services

Implementación
 Instalación y configuración del Directorio Activo 2008R2
 Instalación y configuración del Exchange Server 2010
 Instalación y configuración en Windows server 2008R2

Cronograma de Actividades y Estimación

Resultados y análisis.

Etapa de chequeo de salud de la plataforma actual.

Una verificación de la salud directorio está diseñada para evaluar el estado

general de su entorno de Active Directory y Exchange server. Este proceso está
destinado a determinar si pueden existir problemas que podrían afectar
negativamente el rendimiento o la capacidad del entorno Microsoft.

El resultado esperado de un chequeo de salud de Active Directory y Exchange

Server es una serie de resultados de diversas herramientas que permitirá
identificar los problemas que se detectaron en términos de configuración,
rendimiento, o la replicación. En la realización del chequeo del AD y Exchange
se revisa las salidas producidas por cada herramienta y comprender estos, que
nos están diciendo. A continuación vamos a mostrar el resultado de la
interpretación de todas las salidas generadas por las herramientas de
diagnóstico ejecutadas en el dominio.

Chequeo Active Directory

SALUD RIESGO
ITEM Severidad Severidad
AD Replication
Site Configuration sin problemas sin riesgo
Replication Status sin problemas sin riesgo
Replication Configuration sin problemas medio
AD Convergence sin problemas sin riesgo
Subnet Information sin problemas bajo
Large Groups sin problemas sin riesgo
Forest/Domain Info sin problemas sin riesgo
FRS Group Policy
SYSVOL Information sin problemas sin riesgo
FSR Convergence sin problemas sin riesgo
Orphaned GPTs sin problemas bajo
Unliked GPOs sin problemas bajo
GPOTool sin problemas medio
Name Resolution
DNS Lint sin problemas sin riesgo
DSDiag -DNS sin problemas bajo
DNS Information sin problemas sin riesgo
IP Configuration problemas medio
WINS 1B & 1C sin problemas medio
DC Health
DCDiag -General sin problemas sin riesgo
OS Information sin problemas sin riesgo
Events Logs problemas alto
Security Updates sin problemas bajo
Performance Info sin problemas sin riesgo
Time Configuration sin problemas alto
AD Database
Database Info sin problemas sin riesgo
Partition ACLs sin problemas sin riesgo
AD Object Count sin problemas sin riesgo
Backup
Backup Status sin problemas sin riesgo
Other
Exchange DSAccesss sin problemas bajo
Machine Account Information sin problemas sin riesgo
Account Lockouts sin problemas sin riesgo
Tabla 1
Resultados Active Directory

Explicación: El ambiente de Active Directory ha sido calificado con un total de

Salud o Estado de Impacto Medio, sin embargo, esto sólo significa que al
menos uno de los problemas de salud encontrados Fue en el marco de
categoría "medio"
Temas que necesitan atención inmediata:
1. Replication Configuration.
2. Subnet Information
3. IP Configuration
4. WINS 1B & 1C
5. Event Logs Information
6. Security Updates
7. Time Configuration

Chequeo Exchange Server

SALUD RIESGO
ITEM Severidad Severidad
Conectividad
Availability problemas alto
Configuration problemas alto
internet Protocol sin problemas sin riesgo
Active Directory Access sin problemas sin riesgo
Certificates sin problemas bajo
Clustering NLB problemas alto
DNS sin problemas sin riesgo
Security sin problemas sin riesgo
Network sin problemas medio
MSExchangeRPC problemas alto
Mailbox
Availability problemas medio
Public Folders sin problemas sin riesgo
Security sin problemas sin riesgo
Configuration DB problemas critico
Storage sin problemas medio
Clustering sin problemas medio
Databse Availanility Group problemas alto
Active directory Access sin problemas sin riesgo
Database Copy status problemas medio
Test Replication sin problemas sin riesgo
 Enrutamiento
Availability problemas medio
Rounting sin problemas medio
Active directory Access sin problemas sin riesgo
Messaging hygiene sin problemas sin riesgo
Backups
Backups Status problemas Critico
Other
Licensing problemas alto
Windows Updates sin problemas alto
Tabla 2

Resultados Exchange Server

Explicación: El ambiente de Exchange Server ha sido calificado con un total
de Salud o Estado de Impacto Critico, sin embargo, esto sólo significa que al
menos uno de los problemas de salud encontrados Fue en el marco de
categoría “Critico"

Temas que necesitan atención inmediata:

1. Client Access Availability.
2. Client Access Configuration
3. Client Access Clustering NLB
4. Client Access MSExchange RPC
5. Mailbox Availability
6. Mailbox DB Configuration.
7. Mailbox DataBase Availability Group
8. Mailbox Storage Drivers
9. Mailbox CopyStatus
10. Backups Databases
11. Windows update.

Resumen calificación de estado de salud de cada plataforma

 Ilustración 1

Los Controles de salud se deberían realizar trimestralmente y es una buena

práctica para ejecutar una comprobación adicional al momento de realizar
cambios importantes en la infraestructura, para identificar cualquier problema
que pueda haber en la plataforma.

En general las condiciones de salud del Directorio Activo y Exchange Server

de la empresa es: operativo, sin embargo considerando la naturaleza de la
topología de red Microsoft en la empresa es urgente realizar labores de
mantenimiento sobre la plataforma.

Etapa de levantamiento de información

Un levantamiento de información de Directorio Activo consta de una serie de

actividades las cuales dan por resultado un documento de donde se muestra
el estado actual en el que se encuentra la plataforma con el objetivo de tener
una visión amplia de las condiciones en las que se encuentra la compañía y
hacia donde la podemos llevar con el proceso de migración.
Como resultado de esta actividad encontramos que la empresa tenía 2
dominios de Active Directory, en la versión 2003 los cuales se encontraban
conectados con relaciones de confianza y prestaban los servicios de
autenticación en la compañía. El dominio que solo contiene 1 servidor en la
gráfica era el más antiguo el cual había sido instalado y configurado en los
90’s, el segundo era un dominio instalado a inicio del año 2000; la siguiente
grafica ilustra los dominios, los servidores y su distribución geográfica.
 Ilustración 2

El estado actual de la infraestructura de correo no era tan antiguo sin

embargo presentaba una configuración un poco compleja y por razones
obvias obsoleta.

Topologia de red Exchange Server

Ilustración 3
Etapa de diseño de la nueva infraestructura

Después de haber concluido las dos etapas iniciales del proyecto donde
primero, se hizo una verificación del estado de salud de las plataformas de
directorio y Mensajería y segundo, se consolidó toda la información acerca de
las plataformas; se procedió con una parte vital para el éxito del proyecto, la
cual consiste en el diseño de la solución. Como resultado del proceso se
genera un documento de diseño donde se consignan todos los detalles de la
nueva arquitectura. A continuación se muestran algunos de las gráficas y
tablas con los aspectos más relevantes dentro del diseño.

Arquitectura de Active Directory y Exchange 100% virtualizada

Ilustración 4

En esta arquitectura se propone virtualizar toda la plataforma de mensajería

de Exchange Server 2010, y la plataforma de directorio Activo a Windows
Server 2008 R2. Dicha arquitectura no cuenta con redundancia ante fallos
para el rol de Acceso a clientes CAS/HT.
Para la instalación de los servidores donde estarán configuradas las
plataformas de Directorio y Exchange es muy importante hacer un diseño de
los requerimientos de hardware que se necesitan, de lo contrario el proyecto
estaría corriendo un grave riesgo porque de no ser bien planificados y
dimensionadas las capacidades de los servidores las plataformas no
funcionarían adecuadamente.

Ilustración 5

Ilustración 6

Ilustración 7
Etapa de implementación de la nueva infraestructura

La etapa de implementación llevó al desenlace del proyecto, aquí fue donde

se realizó la instalación y configuración de todo lo que se había diseñado
según las especificaciones del negocio y las bondades de los productos en
este caso Active Directory y Exchange server 2010.

Arquitectura implantada

Ilustración 8

Configuración bases de datos en Alta disponibilidad

Ilustración 9
Configuración almacenamiento y virtualización

Ilustración 10

Configuración PKI (Infraestructura de claves publicas)

Ilustración 11
 Conclusiones.
La nueva arquitectura de servicios de directorio Activo (basados en Microsoft
Windows Server 2008R2 y Exchange server 2010); se pudo mejorar la
administración y el control de los recursos de la red, con los cuales se consiguió:

Implementar los servicios de colaboración y mensajería instantánea con la

planta de telefonía IP Lync Server; con la cual se integraron varios servicios
fundamentales para el desempeño de las labores de los empleados de la
compañía ya que en con un mismo producto integraron la telefonía, la
colaboración, asistencia remota buzón de correo, presencia y sala de
reuniones

Se pudo integrar los servicios de colaboración entre la empresa y su proveedor

de servicios de outsorcing, federando las plataformas de colaboración y
correo.

La mejora a los niveles de seguridad de la compañía se aumentaron con la

implementación de Active Directory 2008R2 y la infraestructura de PKI, con la
cual se pudo cifrar la información con certificados digitales para el correo
electrónico, comunicaciones unificadas, terminal server y servidores Web de
la compañía.

Con la implementación de esta migración obtuve gran experiencia en la

implementación de proyectos basado en la metodología PMI

Referencias Bibliográficas.

Libros.
Brian Komar, Microsoft Press Corporation, Windows 2008 PKI and Certificate
Security, Redmond, Washington 98052-6399

Cibergrafía.

Upgrading Active Directory Domains to Windows Server 2008 and Windows

Server 2008 R2 AD DS Domains
http://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx

Install Exchange 2010 in an Existing Exchange 2003 Organization

http://technet.microsoft.com/en-us/library/dd638130(v=exchg.141).aspx

View publication stats