Tecsup
Administración de redes
1
Tecsup
Administración de redes
2
Tecsup
Administración de redes
3
Tecsup
Administración de redes
ÍNDICE Esta unidad está compuesta por los temas indicados arriba.
4
Tecsup
Administración de redes
5
Tecsup
Administración de redes
Introducción Windows PowerShell es un nuevo shell de línea de comandos de Windows que se ha diseñado expresamente para los administradores de sistemas. Windows PowerShell incluye un símbolo del sistema interactivo y un entorno de scripting que se pueden utilizar de forma independiente o conjunta. A diferencia de la mayoría de los shells, que aceptan y devuelven texto, Windows PowerShell se ha creado sobre Common Language Runtime (CLR) de .NET Framework y .NET Framework, y acepta y devuelve objetos de .NET Framework. Este cambio esencial del entorno proporciona herramientas y métodos completamente nuevos para la administración y configuración de Windows. En Windows PowerShell se presenta el concepto de "cmdlet" (abreviatura de "command-let"), que consiste en una sencilla herramienta de línea de comandos integrada en el shell que permite realizar una función. Los cmdlets se pueden utilizar por separado, pero se obtiene el máximo provecho al usarlas conjuntamente para realizar tareas complejas. Windows PowerShell ofrece más de cien cmdlets principales para realizar tareas básicas; además, el usuario puede crear sus propios cmdlets y compartirlos con otros usuarios. Al igual que muchos shells, Windows PowerShell proporciona acceso al sistema de archivos del equipo. Asimismo, los proveedores de Windows
6
Tecsup
Administración de redes
PowerShell permiten obtener acceso a otros almacenes de datos, como el Registro y el almacén de certificados de firmas digitales, con la misma facilidad con la que se obtiene acceso al sistema de archivos
¿Cómo realizar la solicitud? Hay varias maneras de ejecutar PowerShell. Cuando se instala crea un grupo de programas en Inicio - Programas - Windows PowerShell y se puede ejecutar desde allí. También se puede ejecutar desde Inicio - Ejecutar simplemente escribiendo PowerShell o Powershell.exe y haga clic en Aceptar. Una vez ejecutado, se abre una ventana que no se diferencia de la ventana abierta por CMD . Si se ejecuta desde el grupo de programas, se abre una ventana más grande y con colores a diferencia que el típico blanco y negro de la ventana CMD .
6
Tecsup
Administración de redes
Cómo iniciar Windows PowerShell En Windows Vista, Windows Server 2008 y versiones posteriores de Windows, para iniciar Windows PowerShell desde el menú Inicio, haga clic sucesivamente en Inicio, en Todos los Programas, en Accesorios, en la carpeta Windows PowerShell y, por último, en el elemento Windows PowerShell. En Windows XP y Windows Server 2003, para iniciar Windows PowerShell desde el menú Inicio, haga clic sucesivamente en Inicio, en Programas, en Accesorios, en la carpeta Windows PowerShell y, por último, en el elemento Windows PowerShell .
Utilizar cmdlets Un cmdlet es una sencilla herramienta de línea de comandos integrada en el shell que permite realizar una función. Los cmdlets se utilizan del mismo modo que los comandos y las herramientas tradicionales. Para empezar, escriba el nombre del cmdlet en el símbolo del sistema de Windows PowerShell. Los comandos de Windows PowerShell no distinguen mayúsculas de minúsculas, así que puede escribir el cmdlet con la grafía que desee.
8
Tecsup
Administración de redes
9
Tecsup
Administración de redes
10
Tecsup
Administración de redes
11
Tecsup
Administración de redes
12
Tecsup
Administración de redes
13
Tecsup
Administración de redes
14
Tecsup
Administración de redes
15
Tecsup
Administración de redes
16
Tecsup
Administración de redes
17
Tecsup
Administración de redes
18
Tecsup
Administración de redes
19
Tecsup
Administración de redes
20
Tecsup
Administración de redes
21
Tecsup
Administración de redes
22
Tecsup
Administración de redes
23
20410A 4: Automating Active Directory Domain Services Administration
Describa cada uno de los cmdlets cm dlets de la diapositiva a los estudiantes. También describa el ejemplo de uso del cmdlet New-ADUser . Considere la posibilidad de proporcionar una demostración del uso de los cm dlets. El usuario “ Joe Joe Heal Healy y” existe en el dominio adatum.com por defecto. si desea utilizar “Jo “ Joe e Heal Healy y” para su demostración, elimine la cuenta “Jo “Joe e Heal Healy y” con el cmdlet Remove-ADUser Remove-ADUser .
Pregunta ¿Son todos los parámetros los mismos en todos los cmdlets que se usan para administrar cuentas de usuario?
Respuesta No. Muchos de los parámetros son los mismos o similares, pero cada cmdlet tiene su propia lista de parámetros
24
20410A 4: Automating Active Directory Domain Services Administration
Describa cada uno de los cmdlets cm dlets de la diapositiva a los estudiantes. Asegúrese Asegúrese de explicar la diferencia entre los cmdlets *-ADGroupMember y los cmdlets *- ADPrincipalGroupMembership . La distinción más fácil de hacer para los estudiantes es que los cmdlets *- ADGroupMember son similares a modificar la pertenencia en las propiedades de un grupo, mientras que los cmdlets * - ADPrincipalGroupMembership son similares a modificar la propiedad “ Miembro de” en las propiedades de un objeto, como una cuenta de usuario. Considere la posibilidad de demostrar la creación de un grupo y, a continuación, añadir miembros del grupo.
25
20410A 4: Automating Active Directory Domain Services Administration
Describa cada uno de los cmdlets cm dlets de la tabla a los estudiantes. Relacione el uso de estos cm dlets con la información de gestión de cuenta de equipo del módulo 3. Asegúrese de mencionar que el cmdlet New-ADComput New -ADComputer er no ofrece la opción de delegar permisos para unir un equipo a la nueva cuenta de equipo; los estudiantes necesitan asignar estos permisos manualmente, si es necesario. Los permisos de AD DS requeridos en la cuenta de equipo son:
Restablece Restablecerr contraseñ contraseña a
Escrit Escritura ura valida validadad dade e nombre nombre de equipo equipo en DNS
Escritura validada en el nombre principal de servicio
Escrib Escribir ir restri restricci ccione ones s de cuenta cuenta
Considere la posibilidad de demostrar las diferencias de permisos al crear una cuenta de equipo en Usuarios y equipos de Active Directory con la delegación, delegación, y al usar el el cmdlet New-AdComputer New-AdComputer .
26
20410A 4: Automating Active Directory Domain Services Administration
Describa cada uno de los cmdlets de la tabla de la diapositiva a los estudiantes. Mencione que el valor predeterminado para el parámetro ProtectedFromAccidentalDeletion es $true. Considere la posibilidad de hacer una demostración en la que: 1. Crea una nueva OU. 2.
Intente eliminar la unidad organizativa, lo cual fallara debido a la protección contra el borrado accidental.
3.
Coloque el parametro ProtectedFromAccidentalDeletion en $false.
4.
Intente nuevamente eliminar la OU. Esta vez debe tener exito.
Pregunta En el ejemplo de la diapositiva, ¿Es requerido el parámetro ProtectedFromAccidentalDeletion ?
Respuesta No. El valor predeterminado es $true. El mismo resultado se habría producido si no se utiliza el parámetro ProtectedFromAccidentalDeletion .
27
20410A 4: Automating Active Directory Domain Services Administration
Definir a los estudiantes que es una operación en bloque y proporcionar algunos ejemplos, tales como: Mover varias cuentas de usuario a una nueva unidad organizativa.
Cambiar el nombre del departamento para un conjunto de cuentas de usuario.
Deshabilitar un conjunto de cuentas de usuario.
28
20410A 4: Automating Active Directory Domain Services Administration
Esta es una diapositiva animada. Usted tendrá que hacer clic para mostrar la segunda diapositiva. Utilice la primera diapositiva para presentar el parámetro Filter como un método para realizar consultas con los cmdlets Get-AD *. Tome nota de los operadores que se pueden utilizar. Los estudiantes pueden estar esperando utilizar los operadores matemáticos, como el signo de igual (=), menor que (<) y mayor que (>), y no es posible hacerlo. También resalte que sólo -like se puede utilizar con el comodín asterisco (*) para hacer coincidir cadenas. Utilice los ejemplos de la segunda diapositiva para describir los parámetros de uso común con el cmdlet Get-ADUser . Note que el ejemplo final utiliza comillas simples alrededor del filtro completo porque se utilizan comillas dobles dentro del filtro.
Pregunta ¿Cuál es la diferencia entre usar -eq y -like al comparar cadenas?
Respuesta El operador -eq se usa para encontrar una coincidencia exacta, es decir, que no distingue entre mayúsculas y minúsculas. El operador -like se puede utilizar con comodines para encontrar coincidencias parciales.
29
20410A 4: Automating Active Directory Domain Services Administration
Esta es una diapositiva animada. Usted tendrá que hacer clic para mostrar la segunda diapositiva. Utilice la primera diapositiva para presentar el parámetro Filter como un método para realizar consultas con los cmdlets Get-AD *. Tome nota de los operadores que se pueden utilizar. Los estudiantes pueden estar esperando utilizar los operadores matemáticos, como el signo de igual (=), menor que (<) y mayor que (>), y no es posible hacerlo. También resalte que sólo -like se puede utilizar con el comodín asterisco (*) para hacer coincidir cadenas. Utilice los ejemplos de la segunda diapositiva para describir los parámetros de uso común con el cmdlet Get-ADUser . Note que el ejemplo final utiliza comillas simples alrededor del filtro completo porque se utilizan comillas dobles dentro del filtro.
Pregunta ¿Cuál es la diferencia entre usar -eq y -like al comparar cadenas?
Respuesta El operador -eq se usa para encontrar una coincidencia exacta, es decir, que no distingue entre mayúsculas y minúsculas. El operador -like se puede utilizar con comodines para encontrar coincidencias parciales.
30
20410A 4: Automating Active Directory Domain Services Administration
Explique a los estudiantes cómo pueden utilizar el carácter de canalización -barra vertical- (|) para pasar objetos a otro cmdlet para su posterior procesamiento. Utilice los ejemplos de la diapositiva para mostrar que pueden utilizar cualquiera de los resultados de una consulta o el contenido de un archivo de texto. Haga hincapié en que no cualquier tipo de datos se puede pasar a otro cmdlet. Los objetos que se pasan a un cmdlet deben ser del tipo correcto. Por ejemplo, puede pasar una lista de objetos cuentas de usuario al cmdlet Set-ADUser , pero no podría pasar una lista de grupos al cmdlet Set-ADUser . La documentación de ayuda para cada cmdlet Set-AD * define cómo se debe especificar la identidad del objeto. Si está utilizando una lista de objetos a partir de un archivo de texto, este le dice cómo tiene que dar formato a los datos en el archivo de texto. Por ejemplo, el cmdlet Set-ADUser le permite identificar los objetos de usuario por nombre distintivo, GUID, identificador de seguridad (SID), o nombre de la cuenta SAM (Security Accounts Manager).
Pregunta ¿Qué atributos de una cuenta de usuario se puede utilizar al crear una consulta mediante el parámetro Filter?
Respuesta Se puede utilizar cualquier parámetro de una cuenta de usuario que se puede consultar. Utilice el parámetro de Properties con un valor de * ( -Properties *) para identificar todas las propiedades que se pueden recuperar.
31
20410A 4: Automating Active Directory Domain Services Administration
Utilice el contenido de la diapositiva para explicar los siguientes cuatro puntos clave: El encabezado del archivo .csv define el nombre de cada columna.
Import-csv lee el contenido del archivo .csv.
Un bucle foreach procesa cada fila del archivo .csv.
El $i representa cada fila conforme es procesada.
Pregunta En el bucle foreach, ¿cómo cambia $i?
Respuesta El bucle foreach procesa cada fila del archivo .csv que se ha cargado en los $users variable. El bucle se realiza una vez para cada fila del archivo .csv. La variable $i representa cada fila que se procesa.
32
Tecsup
Administración de redes
33
Tecsup
Administración de redes
34
Tecsup
Administración de redes
35
Tecsup
Administración de redes
36
Tecsup
Administración de redes
SNMP es un protocolo del nivel de Aplicación en el modelo OSI, este protocolo facilita la administración de los dispositivos de la red. Gracias a este protocolo los administradores pueden monitorear el rendimiento, encontrar y resolver los problemas y planear la expansión de la red. El protocolo SNMP está orientado a la desconexión el cual puede funcionar sobre los protocolos NCP (Netware Core Protocol) y UDP (User Datagram Protocol). Actualmente existen 2 versiones del protocolo SNMP estandarizados: SNMP versión 1 (SNMPv1), SNMP versión 2 (SNMPv2). Actualmente está en desarrollo el protocolo SNMP versión 3 (SNMPv3).
37
Tecsup
Administración de redes
Una red administrada con el protocolo SNMP consta de los siguientes componentes: • Estación de administración • Dispositivo administrado (Agente de administración) • Objetos SNMP
38
Tecsup
Administración de redes
También conocida como NMS (Network Management System), es la que recopila la información obtenida de los agentes de administración. Esta provee una interface gráfica, permite hacer consultas a los agentes, visualizar las alarmas. En una red pueden haber más de una Estación de administración. Se puede utilizar diversos programas para hacer la Estación de Administración: • CiscoWorks 2000 de Cisco • http: //www.cisco.com/warp/public/44/jump/ciscoworks.shtml
• Transcend de 3COM • http: //www.3com.com/solutions/enterprise/networkmanagement/nmproduc ts/index.html • System Management Server (SCCM) de Microsoft. • http: //www.microsoft.com/SCCMmgmt/default.asp • LAN Network Manager for OS/2 de IBM. • http: //www.networking.ibm.com/lnm/lnmprod.html • Compaq Network Management Systems (CNMS) de Compaq • http: //www.compaq.com/products/networking/software/cnms/index.html • LanDesk de Intel • http: //www.intel.com/network/products/landesk/landesk_mgmtsuite_v6.ht m • Tivoli de IBM • http: //www-4.ibm.com/software/sysmgmt/ • HP Openview de Hewlett Packard
39
Tecsup
Administración de redes
• http: //www.openview.hp.com/
• Unicenter TNG de Computer Associates • http: //www.cai.com/unicenter/ • http: //www.cai.com/products/networkit.htm
39
Tecsup
Administración de redes
Es el dispositivo a ser administrado desde la Estación de administración, este dispositivo puede ser una computadora, hub, router, switch, en fin cualquier dispositivo que este ejecutando el Agente de administración SNMP. El Agente puede ser agregado al dispositivo vía software o por medio de un hardware, esto es realizado por el fabricante del dispositivo a administrar.
40
Tecsup
Administración de redes
Cada dispositivo en la red tiene uno o más Objetos asociados a él, estos relacionan alguna característica especifica (variable) del dispositivo administrado. Se puede obtener diversas información a través del contenido de estos objetos.
41
Tecsup
Administración de redes
Cada objeto tiene un nombre único, estos nombres están reglamentados por ISO (International Organization for Standardization). Los nombres de los objetos SNMP, están agrupados y categorizados, de acuerdo a una jerarquía definida por ISO. El espacio de nombres ISO (árbol) está situado dentro de un espacio de nombres junto con otros árboles de otros estándares de otras organizaciones. Dentro del espacio de nombres ISO hay una rama específica para la información MIB. Dentro de esta rama MIB, los objetos están a su vez jerarquizados en subárboles para los distintos protocolos y aplicaciones, de forma que esta información puede representarse unívocamente.
42
Tecsup
Administración de redes
Los objetos SNMP se almacenan en unas estructuras de datos llamadas "Management Information Base" (MIB) La estructura de los nombres de los objetos SNMP parte de una raíz, la cual se divide en rama, subramas y hojas para diagramar todos los objetos El departamento de defensa de los E.E.U.U. es asignado a una de las ramas hijas bajo 1.3, y es designado como 6. En este árbol la comunidad Internet tiene designación 1. En el nivel Internet, se empiezan a ver detalles pertinentes a la administración de la red y a SNMP. La MIB estándar de Internet está definida {1.3.6.1.2.1}
43
Tecsup
Administración de redes
El nombre de un nodo se conoce como el ID Object (Identificador del Objeto), por ejemplo el objeto sysDescr, se puede referenciar por: iso.org.dod.internet.mgmt.mib-2.system.sysDescr
44
Tecsup
Administración de redes
Tambien se puede utilizar el formato de nombres : ASN.1 (Abstract Sintax Notation.1) para la identificación de los objetos. Para el objeto sysDescr: OID=1.3.6.1.2.1.1.1
45
Tecsup
Administración de redes
Los objetos pueden ser del tipo Escalar o Tabla: • Escalares: •
Aquellos que tienen un solo valor, por ejemplo: el nombre, la ubicación, etc.
•
Tienen como índice (index) el valor cero (0).
• Tablas: •
Aquellos que tienen varios valores organizados en filas y columnas, por ejemplo: la tabla de tarjetas de red, la tabla de conexiones TCP o UDP, etc.
•
Tienen como índice un valor superior a cero (0).
46
Tecsup
Administración de redes
En este gráfico se muestran ejemplos de valores escalares, en cuyo caso el Index es igual a 0 (cero) . En este gráfico se muestran ejemplos de valores tipo tabla, en cuyo caso el Index es mayor que 0 (cero).
47
Tecsup
Administración de redes
A través del MIB se tiene acceso a la información para la gestión, contenida en la memoria interna del dispositivo en cuestión. MIB es una base de datos completa y bien definida, con una estructura en árbol, adecuada para manejar diversos grupos de objetos (información sobre variables/valores que se pueden adoptar), con identificadores exclusivos para cada objeto. La versión actual de TCP/IP MIB es la 2 (MIB-II) y se encuentra definida en el RFC-1213. En ella se divide la información que un dispositivo debe mantener en ocho categorías. Cualquier variable ha de estar en una de estas categorías: •
Sistema: Incluye la identidad del vendedor y el tiempo desde la última
reinicialización del sistema de gestión. • Interfaces: Un único o múltiples interfaces, local o remoto, etc. • ATT ( Address Translation Table ): Contiene la dirección de la red y las equivalencias con las direcciones físicas. • IP (Internet Protocol ): Proporciona las tablas de rutas, y mantiene estadísticas sobre los datagramas IP recibidos. • ICMP (Internet Communication Management Protocol ): Cuenta el número de mensajes ICMP recibidos y los errores. • TCP (Transmission Control Protocol ): Facilita información acerca de las conexiones TCP, retransmisiones, etc. • UDP (User Datagram Protocol ): Cuenta el número de datagramas UDP, enviados, recibidos y entregados. • EGP ( Exterior Gateway Protocol ): Recoge información sobre el
48
Tecsup
Administración de redes
número de mensajes EGP recibidos, generados, etc.
48
Tecsup
Administración de redes
Los MIBs pueden ser propietarios o públicos, los cuales son publicados por un documento denominado RFC (Request for Comment). • RFC1212: Definiciones del MIB. • RFC1213: Definiciones del MIB-II (define las variables para manejar el
protocolo TCP/IP). A continuación se muestra los MIBS más importantes:
Item
Printer RS-232 como hardware UPS ISDN Frame Relay DTEs IEEE 802.3 Repetidores Data Link Switching IEEE 802.5 ATM Ethernet Frame Relay FDDI Bridges RMON versión 2 SNMP versión 2 OSPF versión 2 RIP 49
RFC 1759 1659 1628 2127 2115 2108 2024 1748 1695 1650 1604 1512 1493 2021 2011 1850 1724
Tecsup
Administración de redes
Tenemos diferentes versiones de SNMP, cada uno de las cuales aporta mejoras a la anterior. Sin embargo la más utilizada es la versión SNMP v1.
50
Tecsup
Administración de redes
Es la implementación inicial del protocolo SNMP, la cual está descrita en el RFC 1157. Es la versión más utilizada actualmente. Los tipos de datos que puede contener un objeto pueden ser:
Integer: Número entero entre –2,147,483,648 y 2,147,483,647. • Octect String: Secuencia de bytes. • Object IDs: Representación de un objeto SNMP en formato ASN.1 • Network address: Dirección de un protocolo en particular, la dirección •
IP tiene un tamaño de 32 bits. •
Counter: Número entero que se incrementa, al alcanzar su máximo valor retorna a cero, tiene un tamaño de 32 bits.
•
Gauge: Número entero que puede incrementarse o decrementarse pero que nunca excederá el máximo, tiene un tamaño de 32 bits.
•
TimeTicks: Número entero que representa una centésima de segundo, tiene un tamaño de 32 bits.
51
Tecsup
Administración de redes
Los cinco tipos de mensajes SNMP intercambiados entre los Agentes y los Administradores, son: • Get Request: Una petición del Administrador al Agente para que envíe los valores contenidos en el MIB (base de datos). • Get Next Request: Una petición del Administrador al Agente para que envíe los valores contenidos en el MIB referente al objeto siguiente al especificado anteriormente. • Get Response: La respuesta del Agente a la petición de información lanzada por el Administrador. • Set Request: Una petición del Administrador al Agente para que cambie el valor contenido en el MIB referente a un determinado objeto. • Trap: Un mensaje espontáneo enviado por el Agente al Administrador, al detectar una condición predeterminada, como es la conexión/desconexión de una estación o una alarma.
52
Tecsup
Administración de redes
Es una evolución de la versión anterior, está definido por el RFC 1902. Algunas características de esta versión son: • Capacidad de transferencia masiva de datos • Interacción entre estaciones de administración • Definiciones mejoradas de los objetos SNMP • Manejo de errores mejorado • Utilización de menos memoria
Esta versión agrega y modifica algunos tipos de datos:
Bit strings: Es un número binario. • Network address: Soporta diversos tipos de direcciones, a diferencia •
de SNMPv1 la cual soporta solamente direcciones IP de 32 bits. •
Counters: Son números enteros que al alcanzar su máximo valor retornan a cero, su tamaño es de 64 bits.
53
Tecsup
Administración de redes
Esta versión adiciona 2 nuevos comandos para la operación con los agentes SNMP: •
GetBulk : Es utilizado para obtener un bloque de datos como tablas desde el agente, esta tarea puede ser hecha con el varios comandos GetNext.
•
Inform: Permite a una estación de administración enviar un Trap a otra estación de administración y obtener una respuesta.
54
Tecsup
Administración de redes
La seguridad en SNMP se define con el concepto de Comunidad, la cual permite definir los niveles de acceso: Lectura (Get, GetNext) y Escritura (Set). Normalmente los dispositivos administrados tienen configurado comunidad Public para la lectura de los valores de sus objetos SNMP.
la
SNMP ofrece muy poco soporte para la autentificación. Tan sólo ofrece el esquema de dos palabras clave (two-passwords). La clave pública permite a los gestores realizar peticiones de valores de variables, mientras que la clave privada permite realizar peticiones de escritura. A estas palabras clave se les llama en SNMP communities . Cada dispositivo conectado con una red gestionada con SNMP, ha de tener configuradas estas dos communities . Es muy común tener asignando por defecto el valor "public" al community público, y "private" al privado. Por lo que es muy importante cambiar estos valores para proteger la seguridad de tu red. Este esquema de seguridad es utilizado por las versiones 1 y 2 del protocolo SNMP.
55
Tecsup
Administración de redes
En la configuración del agente SNMP, es común utilizar la comunidad “public”, como comunidad de acceso de Lectura.
56
Tecsup
Administración de redes
La seguridad es mejorada en la versión 3 del protocolo SNMP, en donde la seguridad no se basa comunidades sino en usuarios.
57
Tecsup
Administración de redes
El agente es un programa que ha de ejecutase en cada nodo de red que se desea gestionar o monitorizar. Ofrece un interfaz de todos los elementos que se pueden configurar.
58
Tecsup
Administración de redes
59
Tecsup
Administración de redes
60
Tecsup
Administración de redes
61
Tecsup
Administración de redes
RESUMEN DE LA UNIDAD En esta unidad se han cumplido los objetivos de esta unidad.
62
Tecsup
Administración de redes
63