Implementación de la Infraestructura de Redes y

Colaboración en Microsoft Windows Server 2003 y

Exchange Server 2003 en Banco Guayana

Preparado por:
Ing. Abel Márquez
T.S.U. Oscar Rodriguez

Marzo de 2004
Aviso

La información contenida en este documento está protegida por derechos de autor y se

considera de estricta confidencialidad.

Los nombres de otros productos mencionados pueden ser marcas comerciales y/o
marcas registradas de sus respectivas compañías.

2
 Tabla de Contenidos
INTRODUCCIÓN ....................................................................................................................... 6
I. INFRAESTRUCTURA ACTUAL ......................................................................................... 7
1.- HARDWARE ................................................................................................................... 7
1.1.- Edificio Sede Principal ....................................................................................... 7
1.2.- Agencia Modelo (Agencia Puerto Ordaz) ........................................................ 11
1.3.- Software ............................................................................................................ 12
2.- SERVICIOS DE RED ...................................................................................................... 13
2.1.- Domain Name System (DNS) ........................................................................... 14
2.2.- Dynamic Host Configuration Protocol (DHCP) ............................................... 15
2.3.- Windows Internet Name Service (WINS) ......................................................... 19
2.4.- Master Browser................................................................................................. 20
3.- ESTRUCTURA DE DOMINIOS.......................................................................................... 21
3.1.- Dominios Actuales............................................................................................ 21
3.2.- Relaciones de Confianza.................................................................................. 22
3.3.- Esquema de Sincronización ............................................................................ 22
3.4.- Políticas de Seguridad del Dominio BG018 .................................................... 23
3.5.- Políticas de Seguridad del Dominio BG004 .................................................... 23
3.6.- Modelo Administrativo Actual.......................................................................... 24
4.- SERVICIOS DE IMPRESIÓN ............................................................................................ 25
4.1.- Servidores de Impresión Sede Principal......................................................... 25
4.2.- Servidor de Impresión Agencia Puerto Ordaz ................................................ 26
5.- SERVICIOS DE CORREO ............................................................................................... 27
5.1.- Diagrama de Correo Electrónico ..................................................................... 27
5.2.- Configuraciones Básicas y Políticas Exchange ............................................. 28
6.- SERVICIOS DE ANTIVIRUS ............................................................................................. 28
7.- ESTRUCTURA DE ALMACENAMIENTO ............................................................................. 29
7.1.- Datos en la Sede Principal ............................................................................... 29
Datos en la Agencia Puerto Ordaz................................................................................. 31
7.2.- Respaldo en la Sede Principal ......................................................................... 31
7.3.- Respaldo Agencia Puerto Ordaz...................................................................... 31
II. CONSIDERACIONES PREVIAS ...................................................................................... 32
1.- SOFTWARE.................................................................................................................. 32
2.- PARTICIONES DE DISCOS .............................................................................................. 32
3.- SISTEMA DE ARCHIVOS................................................................................................. 32
4.- MODO DE LICENCIA ...................................................................................................... 32
5.- DEFINICIÓN DE NOMBRES DE USUARIOS ........................................................................ 32
6.- NOMENCLATURAS DE LOS GRUPOS............................................................................... 33
7.- NOMBRES DE LAS ESTACIONES DE TRABAJO .................................................................. 33
8.- NOMENCLATURAS DE IMPRESORAS ............................................................................... 34
9.- CONSIDERACIONES DE LA RED ...................................................................................... 35
III. DISEÑO DE LA INFRAESTRUCTURA DE RED Y DIRECTORIO ACTIVO.................. 36
1.- SERVICIOS DE RED ...................................................................................................... 36
1.1.- Domain Name System (DNS) ........................................................................... 37
1.2.- Dynamic Host Configuration Protocol (DHCP) ............................................... 38
1.3.- Windows Internet Name Service (WINS) ......................................................... 41
1.4.- Master Browser................................................................................................. 42

3
 2.- SERVICIO DE DIRECTORIO (DIRECTORY SERVICES)........................................................ 43
2.1.- Plan de Forest ................................................................................................... 45
2.2.- Plan de Dominio................................................................................................ 45
2.3.- Plan Topología de Sites y Controladores de Dominio ................................... 47
Plan de Unidades Organizacionales (OU’s) para Banco Guayana .............................. 53
2.4.- Políticas de Grupo ............................................................................................ 56
2.5.- Detalle de configuración de GPOs: ................................................................. 61
IV. DISEÑO DE SERVICIO DE CORREO ELECTRÓNICO................................................ 81
1.- PRODUCTO A INSTALAR: EXCHANGE SERVER 2003........................................................ 81
2.- PLAN ADMINISTRATIVO ................................................................................................. 81
2.1.- Modelo Administrativo ..................................................................................... 81
2.2.- Políticas de Servidores y Almacenamiento .................................................... 82
2.3.- Administración de Usuarios y Buzones de Correo ........................................ 82
2.4.- Delegación de Autoridad Administrativa ........................................................ 83
3.- PLANIFICACIÓN DE ROLES UBICACIÓN DE SERVIDORES DE CORREO ............................... 86
3.1.- Mailbox Server .................................................................................................. 86
3.2.- Servidores del Directorio Activo...................................................................... 86
4.- OUTLOOK W EB ACCESS ............................................................................................... 86
V. DISEÑO DE ESTRATEGIA DE MIGRACIÓN ............................................................... 87
A.- PLAN PILOTO .................................................................................................................... 87
1.- INSTALACIÓN DE LA INFRAESTRUCTURA ACTUAL EN DEL DOMINIO BG018 ....................... 87
2.- INSTALACIÓN DE LA INFRAESTRUCTURA ACTUAL EN DEL DOMINIO BG004 ....................... 88
3.- INTEGRACIÓN DE LOS DOMINIOS DE PRUEBA BG018 Y BG004........................................ 89
4.- PRUEBAS EN LA INFRAESTRUCTURA ACTUAL YA CONSOLIDADA....................................... 89
5.- CREACIÓN Y CONFIGURACIÓN DEL DOMINIO BANCOGUAYANA.COM.VE (MIGRACIÓN DEL
DOMINIO BG018)................................................................................................................... 91
6.- MIGRACIÓN DE BG018 A BANCOGUAYANA.COM.VE........................................................ 92
7.- SERVIDORES DE CORREO PARA BANCOGUAYANA.COM.VE. ............................................ 92
8.- BUZONES DE CORREO DE BG018 PARA BANCOGUAYANA.COM.VE. ................................. 93
9.- PRUEBAS DE MIGRACIÓN BG018 A BANCOGUAYANA.COM.VE......................................... 93
10.- MIGRACIÓN DE BG004 A BANCOGUAYANA.COM.VE........................................................ 94
11.- PRUEBAS DE MIGRACIÓN BG004 A BANCOGUAYANA.COM.VE......................................... 95
12.- DESINCORPORACIÓN DE BG018 Y BG004. .................................................................. 95
B.- IMPLEMENTACIÓN ............................................................................................................. 96
1.- ENTONACIÓN DE LA INFRAESTRUCTURA ACTUAL BG018 (TAREAS PRE-UPGRADE).......... 96
2.- CREACIÓN DEL DOMINIO BANCOGUAYANA.COM.VE ......................................................... 98
3.- MIGRACIÓN DE BG018 A BANCOGUAYANA.COM.VE...................................................... 100
4.- PRUEBAS DE MIGRACIÓN BG018 A BANCOGUAYANA.COM.VE....................................... 100
5.- SERVIDORES DE CORREO PARA BANCOGUAYANA.COM.VE Y MEMBER SERVERS PARA LA
MIGRACIÓN.......................................................................................................................... 101
6.- BUZONES DE CORREO DE BG018 PARA BANCOGUAYANA.COM.VE. ............................... 102
C.- MIGRACIÓN DE BG004 A BANCOGUAYANA.COM.VE........................................................... 103
1.- TAREAS PRE-UPGRADE .............................................................................................. 103
2.- INSTALACIÓN DE W INDOWS SERVER 2003. ................................................................. 104
3.- PRUEBAS DE MIGRACIÓN BG004 A BANCOGUAYANA.COM.VE....................................... 106
4.- DESINCORPORACIÓN DEL DOMINIO BG004................................................................. 106
5.- INSTALACIÓN DE SYMANTEC ANTIVIRUS Y SMS 2.0 EN EL SERVIDOR BG004DC01........ 106
D.- INSTALACIÓN DE AGENCIA NUEVA EN EL DOMINIO BANCOGUAYANA.COM.VE. .................... 107
1.- INSTALACIÓN DE W INDOWS SERVER 2003. ................................................................. 107

4
 2.- PRUEBAS DE OPERACIÓN DEL DOMINIO BGXXX A BANCOGUAYANA.COM.VE. ................. 108
3.- INSTALACIÓN DE SYMANTEC ANTIVIRUS Y SMS 2.0 EN EL SERVIDOR BGXXXDC01........ 108
VI. DESINCORPORACIÓN DE BG018. .......................................................................... 109
VII. ESTÁNDARES PARA ESTACIONES DE TRABAJO ................................................. 110
VIII. RECOMENDACIONES ............................................................................................... 112
IX. BIBLIOGRAFÍA Y DOCUMENTOS DE REFERENCIA............................................... 114
X. APÉNDICE A. ............................................................................................................. 116
SCRIPT DE MODIFICACIÓN DIRECCIONAMIENTO IP DE SERVIDORES PDC Y DE CORREO (TAREAS
PRE-UPGRADE). ................................................................................................................... 116

5
 Introducción

Durante las últimas 6 semanas, Bekesantos en conjunto con el equipo de Tecnología

de Información de Banco Guayana, han venido trabajando en el Proyecto de Migración
de la Plataforma a Microsoft Windows 2003 y Microsoft Exchange 2000. En este
tiempo se ha logrado crear un documento que recopila todos los cambios y procesos
que se suscitaron durante las fases previstas en la solicitud de servicio.

En este documento se plantean una serie de etapas que permitirán conocer la

situación anterior a la migración, es decir, estado de la infraestructura al inicio del
proyecto, etapa que se denomina Infraestructura Actual; seguido de Consideraciones
Previas, las cuales serán usadas para el desarrollo de las etapas posteriores, como lo
son: Diseño de la Infraestructura de Red y Directorio Activo y la Etapa de Diseño de
Servicio de Correo Electrónico. Una vez concluidas las etapas de diseño antes
descritas, avanzaremos a una etapa final donde se indican las actividades a seguir
para el proceso de migración, basado en el diseño previo, etapa llamada Diseño de
Estrategia de Migración. En esta última fase del proyecto se indican dos secciones de
gran importancia como los son las Pruebas de Concepto y la Implementación de las
actividades propuestas por el equipo de trabajo.

El proyecto de migración de Banco Guayana pretende que la plataforma actual basada

en Microsoft Windows NT 4.0 con mensajería en Microsoft Exchange 5.5 sea
actualizada, siguiendo los estándares definidos por el fabricante, a Microsoft Windows
2003 y Microsoft Exchange 2000, para el correo.

6
 I. Infraestructura Actual

1.- Hardware
A continuación se describe el hardware en producción y el hardware a utilizar para este
proyecto para cada localidad de Banco Guayana:

1.1.- Edificio Sede Principal

Servidores en Producción Plataforma Microsoft

Tabla 1: Servidores Actuales.

Nombre Marca/Modelo Sistema Servicio de Red
Operativo
BG018PDC IBM X-Series 345 Windows NT PDC, WINS, DHCP,
1 Pentium Xeon 2.4 Server 4.0, SP 6a File Server.
Ghz, 1,5 Gb RAM Español
2 Discos 36.4 Gb en
Raid 1
Disco Lógico: 36 GB
BG018SMS_BDC IBM eServer 232 Windows NT BDC, SMS Server 2.0
1 Pentium III 1 Ghz, 1 Server 4.0, SP 6a Sp5, SLQ Server 7.0
Gb RAM Español Sp3,
2 Discos de 18 Gb
BG018AGEN_BDC IBM X-Series 345 Windows NT BDC, HIS, MOSAIC,
1 Pentium Xeon 2.4 Server 4.0, SP 6a QMATIC
Ghz, 1,5 Gb RAM Español
1 Disco 36.4 Gb
BG018CORREO_BDC IBM X-Series 345 Windows NT MAIL SERVER
1 Pentium Xeon 2.4 Server 4.0, SP 6a (Exchange 5.5), PRINT
Ghz, 2,5 Gb RAM Español SERVER
3 Discos 36.4 Gb en
Raid 5
Disco Lógico: 72 GB
BG018SYMANTE_MS IBM X-Series 345 Windows 2000 ANTIVIRUS SERVER
1 Pentium Xeon 2.4 Advanced Server (SAVEE 8.1), PROXY
Ghz, 1,5 Gb RAM SP 4 SERVER (SWS 3.0),
1 Disco 36.4 Gb Español DNS, WINS
BG018NOMINA_MS IBM X-Series 345 Windows 2000 ORACLE 8i, ADAM,
1 Pentium Xeon 2.4 Advanced Server PERVASIVE 2000
Ghz, 1,5 Gb RAM SP 4
2 Disco 36.4 Gb en Español
RAID 1.
Disco Lógico: 36 GB
BG018CADIVI_MS IBM X-Series 345 Windows 2000 TERMINAL SERVER,
1 Pentium Xeon 2.4 Advanced Server PERVASIVE 2000,
Ghz, 1,5 Gb RAM SP 4 ULTRA TEMPRANO
1 Disco 36.4 Gb Español
BG018ISA_MS IBM X-Series 345 Windows 2000 FIREWALL, VPN, DMZ

7
 1Pentium III Xeon 2.4 Server, SP 4 (Isa Server)
Ghz, 1,5 Gb RAM Español
2 Discos de 36 Gb en
Raid 1
Disco Lógico : 36 Gb
BG018SMTP_MS IBM Netfinity 5100 Windows 2000 SMTP SERVER,
1Pentium III 1 Ghz, 512 Server, SP 4
Mb RAM Ingles
3 Discos de 9 Gb en
Raid 5
Disco Lógico : 18 Gb
BG018NAVGATEWAY_MS IBM Aptiva 8311, Windows 2000 SMTP GATEWAY (3.0)
Pentium IV 1.6 Ghz Server, SP 4
256 Mb RAM Español
1 Disco de 40 Gb
BG018LABORADC IBM X-Series 235 Windows 2000 DC (Dominio
1Pentium Xeon 2.7 Server, SP 4 independiente), DNS,
Ghz, 1 Gb RAM Español IIS, SQL 2000
1 Disco de 36.4 Gb SERVER, MOSAIC,
HIS.
AS400 SERVIDOR LOGICO Windows 2000 MS, BACKUP
EN AS400 Server, SP 1
Español

BG030PDC IBM Netfinity 3500 Windows NT Dominio Independiente,

Pentium II, 300 Mhz Server 4.0, SP 6a PDC, WINS
384 Mb RAM Español

Servidores a utilizar en el Proyecto como DCs y Member Servers (Impresión, correo y

otros) del dominio Bancoguayana.com.ve

Tabla 2: Servidores para el proyecto (Sede Principal).

Nombre Marca/Modelo Sistema Servicio de Red
Operativo
BG018DC01 IBM X-Series 345 Windows Server DC, DNS, DHCP, WINS,
1 Pentium Xeon 2.4 Ghz, 2003 Standard GC, SM, DNM, PDC
1,5 Gb RAM Edition, Emulator
2 Discos 36.4 Gb en Raid 1 Español
Disco Lógico: 36 GB

BG018SMS_BDC IBM eServer 232 Windows Server DC, RID, IM, SMS Server
1 Pentium III 1 Ghz, 1 Gb 2003 Standard 2.0 Sp5, SLQ Server 200
RAM Edition,
2 Discos de 18 Gb Español
BG018DC02 IBM X-Series 345 Windows Server DC, HIS, MOSAIC

8
 1 Pentium Xeon 2.4 Ghz, 2003 Standard
1,5 Gb RAM Edition,
1 Disco 36.4 Gb Español
BG018CORREO IBM X-Series 345 Windows Server MAIL SERVER (Exc
1 Pentium Xeon 2.4 Ghz, 2003 Standard 2003) PRINT SERVER
2,5 Gb RAM Edition,
3 Discos 36.4 Gb en Raid 5 Español
Disco Lógico: 72 GB

BG018SYMANTE_MS IBM X-Series 345 Windows 2000 ANTIVIRUS SERVER

1 Pentium Xeon 2.4 Ghz, Advanced Server (SAVEE 8.1), PROXY
1,5 Gb RAM SP 4 SERVER (SWS 3.0),
1 Disco 36.4 Gb Español DNS (Secundario), WINS
BG018NOMINA_MS IBM X-Series 345 Windows Server ORACLE 8i, ADAM,
1 Pentium Xeon 2.4 Ghz, 2003 Standard PERVASIVE 2000
1,5 Gb RAM Edition,
2 Disco 36.4 Gb en RAID 1. Español
Disco Lógico: 36 GB
BG018ISA_MS IBM X-Series 345 Windows Server FIREWALL, VPN, DMZ
1Pentium III Xeon 2.4 Ghz, 2003 Standard (Isa Server)
1,5 Gb RAM Edition,
2 Discos 36 Gb en Raid 1 Español
Disco Lógico : 36 Gb
BG018SMTP_MS IBM Netfinity 5100 Windows Server SMTP Connector,
1Pentium III 1 Ghz, 512 Mb 2003 Standard
RAM Edition,
3 Discos de 9 Gb en Raid 5 Español
Disco Lógico : 18 Gb
BG018LABORADC IBM X-Series 235 Windows Server DC (Dominio
1Pentium Xeon 2.7 Ghz, 1 2003 Standard independiente), DNS, IIS,
Gb RAM Edition, SQL 2000 SERVER,
1 Disco de 36.4 Gb Español MOSAIC, HIS.

Estaciones de Trabajo
La siguiente tabla muestra la cantidad de PCs clasificadas por Sistema Operativo
existentes en Banco Guayana Sede Principal.

Tabla 03: Computadoras (Sede principal).

Cantidad Sistema Observaciones
Operativo
60 Windows XP Todos son Pentium IV 1.1 a 2.2. Ghz 256 RAM
02 Windows 2000 Todos Equipos Pentium III con 128 RAM
Professional
140 Windows NT WKS 4.0 Promedio Pentium II 400 Mhz con Memoria entre 64 y 128

9
Impresoras de Red
Tabla 04: Impresoras de la Red (Sede Principal).
Cantidad Modelo Servidor de Impresión
HP LaserJet 3300 Cada estación de Trabajo
Lexmark Optra T610 BG018CORREO_BDC
HP LaserJet 1220 BG018CORREO_BDC

10
Unidades de Backup y cintas
Tabla 05: Unidad de Backup
Cantidad Modelo Características
NINGUNA

1.2.- Agencia Modelo (Agencia Puerto Ordaz)

El equipo de trabajo decidió tomar como agencia modelo para la implementación de la

migración, a la Agencia de Puerto Ordaz, debido a su cercanía geográfica y por ser un
dominio Windows NT 4.0, al igual que la mayoría de las agencias de Banco Guayana.

Servidores en Producción Plataforma Microsoft

Tabla 06: Servidores Actuales (Agencia Modelo).
Nombre Marca/Modelo S.O. Servicio de Red
BG004PDC IBM X-Series 235 Windows NT Server PDC, HIS, WINS,
4.0, SP 6a DHCP, MOSAIC,
1Pentium Xeon 2.4 Ghz,
PRINT SERVER, FILE
1.5 Gb RAM Español
SERVER, ANTIVIRUS
1 Disco de 36.4 Gb SERVER, SMS
SERVER (Secundario)

Servidores a utilizar en el Proyecto como DCs y Member Servers (Impresión, correo y

otros) del dominio Bancoguayana.com.ve

Tabla 07: Servidores para el proyecto (Agencia Modelo)

Nombre Marca/Modelo S.O. Servicio de Red
BG004DC01 IBM X-Series 235 Windows NT Server DC, DNS, DHCP, WINS,
4.0, SP 6a GC, MOSAIC, PRINT
1Pentium Xeon 2.4 Ghz,
SERVER, FILE
1.5 Gb RAM Español
SERVER, ANTIVIRUS
1 Disco de 36.4 Gb SERVER, SMS
SERVER (Secundario)

11
Estaciones de Trabajo
La siguiente tabla muestra la cantidad de PCs clasificadas por Sistema Operativo
existentes en Banco Guayana Agencia Puerto Ordaz.

Tabla 08: Computadoras (Agencia Puerto Ordaz).

Cantidad Sistema Observaciones
Operativo
1 Windows XP IBM Netvista, Pentium IV 2Ghz, 256 Ram
7 Windows NT WKS Pentium II 400 Mhz con Memoria de 64 y 128
4.0

Impresoras de Red

Tabla 09: Impresoras de la Red (Agencia Puerto Ordaz).

Cantidad Modelo Servidor de Impresión
01 HPLaserJet 3300 BG004PDC

Unidades de Backup y cintas

Tabla 10: Unidad de Backup.

Cantidad Modelo Características
NINGUNA

1.3.- Software
Banco Guayana, posee un contrato de Inscripción de Microsoft (Enterprise
Agreement), el mismo contempla los Grupos de Aplicaciones, Sistemas, y Servidores
en lenguaje Español, los cuales le llegan periódicamente.

12
2.- Servicios de Red

El siguiente diagrama muestra las funciones que realiza cada Servidor entre las dos
redes de Puerto Ordaz y La Agencia Puerto Ordaz (Este mismo modelo se replica para
cada una de las agencias del Banco Guayana).

7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x

Ethernet

C
7 8 9101112

A 1 2 34 5 6 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B

Figura 1: Diagrama General de Servidores del Dominio

13
2.1.- Domain Name System (DNS)
El siguiente diagrama muestra la estructura DNS actual:

Figura 2: DNS Actual de la Sede Principal y una de las Agencias

14
2.2.- Dynamic Host Configuration Protocol (DHCP)
En cada dominio esta instalado el servicio de DHCP en el PDC, el cual atiende las
solicitudes de direcciones IP a los clientes de Sede Principal y las respectivas
agencias, como se muestra en el siguiente diagrama:

Figura 3: DHCP actual de la Sede Principal y La Agencia Puerto Ordaz.

15
Red Sede Principal:
Esta red está identificada utilizando el Network ID: 128.50.4.0/22 hasta la
128.50.7.0/22.
Quedando distribuida de la siguiente manera:

Tabla 11: Rango de direcciones Sede Principal.

Dirección Dispositivo
128.50.4.1 - 5 Routers
128. 50.4.6-15 Servidores
128. 50.4.16-35 Cajeros Automáticos
128. 50.4.36 - 128. 50.5.254 Scope Altavista

Scope DHCP Sede Principal:

a) El Rango de Red cubre desde la 128.50.4.36 hasta 128.50.5.254
b) La Mascara de Subred es: 255.255.252.0
c) La dirección Broadcast es: 128.50.7.255
d) Duración de la dirección IP: cuatro (4) días
e) Direcciones Excluidas:
a. 128.50.4.242 - 128.50.4.255
b. 128.50.5.0 - 128.50.5.36
c. 128.50.5.180 - 128.50.5.190
d. 128.50.4.237 - 128.50.4.241
e. 128.50.5. 200 - 128.50.5.220

Opciones del Scope:

a) El Gateway primario: 128.50.4.1
b) DNS principal: 128.50.4.35
c) DNS alternativo: N/A
d) WINS primario: 128.50.4.6
e) WINS secundario: 128.50.4.35
f) Tipo de Nodo: Híbrido
g) Domain Space: Bancoguayana.net

16
Asignaciones Estáticas de Servidores:

Tabla 12: Direcciones IP estáticas.

Nombre de Servidor Dirección IP
BG018PDC 128.50.4.6
BG018SMS_BDC 128.50.4.8
BG018AGEN_BDC 128.50.4.14
BG018CORREO_BDC 128.50.4.9
BG018SYMANTE_MS 128.50.4.35
BG018NOMINA_MS 128.50.4.18
BG018CADIVI_MS 128.50.4.34
BG018ISA_MS 128.50.4.32
BG018SMTP_MS 192.168.1.2
BG018LABORADC 128.50.4.17
AS400 128.50.4.7
BG030PDC 128.50.4.30

Red Agencia Puerto Ordaz:

Esta red está identificada utilizando el Network ID: 128.50.36.0/22
Quedando distribuida de la siguiente manera:
Tabla 13: Rango de Direcciones de la Agencia Puerto Ordaz.
Dirección Dispositivo
128.50.36.1 - 5 Routers
128. 50.36.6-15 Servidores
128. 50.26.16-35 Cajeros Automáticos
128. 50.4.36-254 Scope DHCP

Scope DHCP La Agencia Puerto Ordaz:

a) El Rango del Ámbito cubre desde la 128.50.36.36 hasta 128.50.36.254.
b) La Mascara de Subred es: 255.255.252.0

17
 c) La dirección Broadcast es: 128.50.36.255
d) Duración de la dirección IP: Treinta (30) días

Opciones del Scope:

a) El Gateway primario: 128.50.36.1
b) DNS principal: 128.50.4.35
c) DNS alternativo: N/A
d) WINS primario: 128.50.36.6
e) WINS secundario: 128.50.4.35
f) Tipo de Nodo: Híbrido
g) Domain Space: Bancoguayana.net

Direcciones Estáticas de Servidores:

Tabla 14: Direcciones IP estáticas.
Nombre de Referencia Dirección IP
BG004PDC 128.50.36.6

18
2.3.- Windows Internet Name Service (WINS)
En la Sede principal, el servicio de WINS está instalado en el PDC como WINS
primario y en el Servidor BG018SYMANTE_MS como WINS secundario. Estos
atienden las solicitudes de resolución de nombres a los clientes de la Sede Principal.
En las agencias esta instalado el servicio WINS en cada uno de los PDCs respectivos
los cuales atienden las solicitudes a los clientes de la Agencia correspondiente,
además existe replicación de cada uno de los WINS contra el Servidor WINS primario
de la Sede Principal, tal como se muestra en el siguiente diagrama:

Figura 4: Diagrama de Servidores WINS de Banco Guayana.

19
2.4.- Master Browser
El servidor que maneja el Rol de Master Browser en la Sede Principal es el
BG018PDC y en la Agencia Puerto Ordaz es BG004PDC. En cada uno de los
dominios de las agencias, el rol de Master Browser lo funge el PDC respectivo.

Figura 5: Master Browser de los dominio actuales BG018 y BG004.

20
3.- Estructura de Dominios
EN Banco Guayana existe una infraestructura de dominios de Microsoft Windows NT
4.0, operando de manera independiente para cada agencia conformando n dominios
(actualmente 39) con relaciones de confianza como se describe en esta sección.

3.1.- Dominios Actuales

En el siguiente diagrama se muestra la estructura de Dominios y sus relaciones de
confianza que existe en la Sede Principal definido con el nombre BG018 y la Agencia
Puerto Ordaz definido con el nombre BG004 (Este mismo esquema se replica para
todas las agencias):

Figura 6: Dominios Actuales BG018, BG004 y sus Relaciones de confianza.

Existen relaciones de confianza en ambos sentidos formando una estructura “Complete

Trust” la cual consiste en confianza entre todos los dominios, las cuales se detallan en
el siguiente punto.

21
3.2.- Relaciones de Confianza
En el siguiente cuadro se especifican la relación de confianza que existe en cada uno
de los dominios existentes:

Tabla 17: Relaciones de confianza de los Dominios.

Nombre del Dominio Dominio en que Confía
BG018 BG001
BG018 BG002
BG018 BG003
….. ….
BG0018 BGNNN
BG001 BG018
BG002 BG018
BG003 BG018
BG004 BG018
…. …
BGNNN BG018

3.3.- Esquema de Sincronización

La sincronización entre los controladores de dominio PDC y BDC de cada dominio,
BG018 y BG004, ocurre de manera predeterminada cada 5 minutos con un esquema
de notificación de cambios del PDC al BDC, tal como se establece en el servicios de
directorio de Windows NT 4.0 (NTDS).
En la Sede Principal no existe ningún BDC del dominio BG004, igualmente ocurre en la
localidad de La Agencia Puerto Ordaz no hay ningún controlador de dominio del
dominio BG018, sin embargo las relaciones de confianza se cumplen de manera
eficiente.

22
3.4.- Políticas de Seguridad del Dominio BG018
A continuación se muestra el detalle de las políticas de seguridad que actualmente se
aplican en el dominio BG018

Figura 7: Políticas de Seguridad actual Sede Principal

3.5.- Políticas de Seguridad del Dominio BG004

A continuación se muestra el detalle de las políticas de seguridad que actualmente se
aplican en el dominio BG004

Figura 8: Políticas de Seguridad actual Agencia Puerto Ordaz

23
3.6.- Modelo Administrativo Actual
A continuación se describe el modelo de administración actual que rigen para el
dominio BG018.

• Administradores: La mayoría del grupo de infraestructura son administradores

de dominio.
• HelpDesk: Los miembros de esta unidad tienen las siguientes funciones:
Operadores de Cuenta, Operadores de Impresión, Operadores de Correo.
• Administradores de Servicio: Administran servicios tales como Exchange,
Proxy, SNA y SMS.
• Administradores Locales en estaciones de Trabajo: No existe un grupo
definido para esta funcionalidad. El Grupo de Help Desk utiliza sus cuentas de
usuario, las cuales tienen privilegios administrativos en el dominio.
• Acceso a Internet: El permiso necesario para que los usuarios puedan acceder
a los recursos Web o internet, se asignan a través del Symantec Web Security.

24
4.- Servicios de Impresión
A continuación se presenta la infraestructura actual de impresión de red para la Sede
Principal de Banco Guayana y la Agencia Puerto Ordaz.

4.1.- Servidores de Impresión Sede Principal

En el siguiente cuadro se especifican los servidores de impresión existentes en la Sede
Principal:

Tabla 18: Servidores de impresión Sede Principal

Servidor Nombre de la Impresora Dirección IP Controlador
BG018CORREO_BDC Asignada por Lexmark Optra T610
(NT 4.0) Lexmark_Optra_SucAgen DHCP
BG018CORREO_BDC Lexmark_Contraloria_hp Asignada por Lexmark Optra T610
DHCP
BG018CORREO_BDC Lexmark_HP_Negocios_Credito Asignada por Lexmark Optra T610
DHCP
BG018CORREO_BDC Lexmark_Suministros Asignada por Lexmark Optra T610
DHCP
BG018CORREO_BDC BG018correo_bdc_LM610Credito Asignada por Lexmark Optra T610
DHCP
BG018CORREO_BDC BG018pdcLM610 Asignada por Lexmark Optra T610
DHCP
BG018CORREO_BDC HPlaserjet_Sistemas Asignada por HP Laserjet 3300
DHCP
BG018CORREO_BDC HPLaserjet_Agencia Asignada por (No esta activa)
DHCP

Nota: Existe aproximadamente 20 impresora de red HP laserjet 3300, la

cual toma una dirección IP asignada por DHCP. Estas impresoras se
encuentran ubicadas en los diferentes departamentos administrativos de
Banco Guayana. En cada estación de trabajo, se instalan los
controladores de la impresora, de tal manera que los usuarios puedan
imprimir por la impresora de su departamento.

25
4.2.- Servidor de Impresión Agencia Puerto Ordaz
En el siguiente cuadro se especifican el servidor de impresión existente en la Oficina
de La Agencia Puerto Ordaz:

Tabla 19: Servidores de Impresión Agencia Puerto Ordaz

Nombre de la
Servidor Impresora Dirección IP Controlador
Asignada por DHCP HP Laser jet 3300

Nota: Existe una sola impresora de red, la cual toma una dirección IP
asignada por DHCP. En cada estación de trabajo, se instalan los
controladores de la impresora, de tal manera que los usuarios puedan
tener servicio de impresión.

26
5.- Servicios de Correo
La Infraestructura de Correo Electrónico de Banco Guayana utiliza como Software
Microsoft Exchange Server 5.5 y Microsoft Outlook como cliente, permitiendo el envío y
recepción de correo interno y externo (Internet).

5.1.- Diagrama de Correo Electrónico

En el siguiente diagrama se especifican los servidores de correo con sus respectivos
conectores existentes en la Sede Principal y la Agencia Puerto Ordaz (El mismo
esquema se replica para cada una de las agencias):

Figura 9: Servicio de correo de los dominios BG018 y BG004

27
5.2.- Configuraciones Básicas y Políticas Exchange
Se tiene como producto de correo electrónico a Microsoft Exchange versión 5.5 con el
Service Pack 4 el cual esta configurado de la siguiente manera:
• Nombre de la organización: Banco Guayana (Display Banco Guayana)
• Nombre del site Altavista.
• Tamaño máximo de los buzones: No hay límites.
• Tamaño máximo de los mensajes Externos: 3 Mb. Existen 02 usuarios con
excepción, que pueden enviar hasta 10 Gb. (jriobueno y ycarvajal)
• IMS: BG018SMTP_MS
• Nombre de los buzones: [email protected]

En la red de Banco Guayana solo existen dos servidores de Exchange 5.5., y ambos
se encuentran ubicados en la Sede Principal. Uno de los servidores
(BG018Correo_bdc) contiene toda la información sobre los buzones de los usuarios.
Todos los buzones están asociados con una cuenta de usuario del dominio BG018 o
del dominio de la Agencia donde fue creado ese usuario. El segundo servidor actúa
como un servidor SMTP, ubicado en una zona desmilitarizada, y solo tiene el servicio
Internet Mail Service.

6.- Servicios de Antivirus

Para el Servicio de Antivirus se tiene como producto el Symantec Norton Antivirus
Corporate Edition 8.1.1. En la Sede Principal se encuentra instalado en el Servidor
BG018SYMANTE_MS con el Sistema Operativo Windows 2000 Advanced Server y
para la Agencia Puerto Ordaz se encuentra instalado en el Servidor BG004PDC, como
un servidor secundario, con el Sistema Operativo Windows NT 4.0.

En el servidor de Correo, esta instalado el NAV for MS Exchange ver. 2.18 Build 80.

28
7.- Estructura de Almacenamiento
Esta sección describe la estructura presente para el almacenamiento de datos
compartidos y públicos de Banco Guayana.

7.1.- Datos en la Sede Principal

En la Sede Principal se encuentra instalado, en varios Servidores carpetas compartidas
de las cuales se encuentran:

Tabla 20: Lista de Servidores y Carpetas compartidas

Sede Principal
\\BG018Pdc\Software
\\BG018Pdc\Software2
\\BG018Pdc\COMCFG
\\BG018Pdc\COMLOGS
\\BG018Pdc\SMSLogon
\\BG018Pdc\E
\\BG018Pdc\Perfiles
\\BG018Pdc\SNASERV
\\BG018agen_bdc\qwin2000
\\BG018agen_bdc\setup
\\BG018agen_bdc\COMCFG
\\BG018agen_bdc\COMLOGS
\\BG018agen_bdc\SMSLOGON
\\BG018agen_bdc\SNASERV
\\BG018SMS_bdc\Cap_018
\\BG018SMS_bdc\CInfo
\\BG018SMS_bdc\Distribution
\\BG018SMS_bdc\SMS_018
\\BG018SMS_bdc\SMS_Site
\\BG018SMS_bdc\SMSLogon

29
\\BG018Correo_bdc\address
\\BG018Correo_bdc\Resources
\\BG018Correo_bdc\Add-ins
\\bg018correo_bdc\SMSLogon
\\BG018Correo_bdc\mspclnt
\\BG018Symante_ms\Fix Sms
\\BG018Symante_ms\Sp4
\\BG018Symante_ms\VPHOME
\\BG018Symante_ms\VPLOGON
\\BG018Nomina_ms\SaifWin
\\BG018Nomina_ms\Software Acl
\\BG018Nomina_ms\drivers
\\BG018Cadivi_ms\In
\\BG018Cadivi_ms\Out
\\BG018Cadivi_ms\SaifWin
\\BG018Cadivi_ms\WS
\\BG018Isa_ms\mspclnt
\\BG018Isa_ms\spack owa

30
 Datos en la Agencia Puerto Ordaz
En la Agencia Puerto Ordaz se encuentra instalado, en varios Servidores carpetas
compartidas de las cuales se encuentran:
Tabla 21: Lista de Servidores y Carpetas compartidas
Agencia Puerto Ordaz
\\BG004PDC\Deploy SMS
\\BG004PDC\F
\\BG004PDC\Firmas
\\BG004\SMS_Sites
\\BG004\SMS_004
\\BG004\SMSLogon
\\BG004\SNAServ
\\BG004\TEMP

7.2.- Respaldo en la Sede Principal

No hay una política de respaldo definida para ningún producto de tecnología Microsoft.

7.3.- Respaldo Agencia Puerto Ordaz

No hay una política de respaldo definida para ningún producto de tecnología Microsoft.

31
 II. Consideraciones previas

1.- Software
El software recomendado para la implementación de éste proyecto se describe a
continuación:
a) Sistema operativo: Microsoft Windows Server 2003 Standard y Microsoft
Windows 2000 Advanced Server ambos en español. Se utilizará el Windows
2000 Advanced Server en los servidores Symantec Web Security y NAV for
SMTP Gateway, porque las versiones actuales de estos productos, no son
compatible con Windows Server 2003.
b) Plataforma de Correo: Microsoft Exchange Server 2003 Enterprise Edition.
Como cliente se utilizará Microsoft Outlook 2003/2000/XP.
c) Clientes de Escritorio (Desktops): Aunque la mayoría de las estaciones de
trabajo poseen como sistema operativo Windows NT Workstation 4.0, se
recomienda hacer un deploy de Microsoft Windows XP para obtener máximo
provecho de la plataforma del domino planteada en Windows 2003, como
políticas de grupo, instalación remota de software, asistencia remota, Off-line
files, encriptación en la autenticación con kerberos V5, entre otras.

2.- Particiones de discos

La partición de disco estará definida por 8.0 GB mínimos para la instalación del sistema
Operativo (SO), con arreglos de acuerdo al hardware instalado.
La capacidad de discos restantes será definida para almacenamiento de datos
corporativos o según lo requieran las aplicaciones, ejemplo Bases de datos y Logs de
Exchange 2000.

3.- Sistema de archivos

El sistema de archivos siempre será definido del tipo NTFS

4.- Modo de licencia

El modo de licenciamiento en la instalación del Sistema Operativo será “Per Seat”.

5.- Definición de nombres de usuarios

A continuación se presenta la nomenclatura propuesta para nombres de usuarios (User
Logon Name)
• Inicial del primer nombre + apellido
Donde Inicial del primer nombre es la letra inicial del primer nombre y
apellido el primer apellido del usuario.
Cuando existan usuarios con primer nombre y el primer apellido iguales
agregara un número correlativo para diferenciar.
Por decisión de Banco Guayana, algunos de los nombres de Usuario que
están creados para interactuar con su plataforma Financiera MOSAIC, no

32
 estarán sometidos a ningún estándar. Esta decisión se fundamenta en que
para el momento de la elaboración del estándar, ya existían algunos roles y
nombres definidos.

6.- Nomenclaturas de los Grupos

La nomenclatura de los grupos se definirá bajo el siguiente esquema:

a) Grupos Globales: GG_XXXXXXX

b) Domain Local: DL_XXXXXXX
c) Grupos Universales: GU_XXXXXXX
Donde:
GG, DL, GU: Representan el tipo de grupo que ha sido creado.
XXXXXXX: Gerencia o departamento donde pertenecen los usuarios del grupo o un
nombre descriptivo del recurso (carpeta, impresora, etc.) al cual se
configurara el permiso de acceso.

7.- Nombres de las estaciones de trabajo

La nomenclatura a usar para identificar los nombres de servidores y estaciones de
trabajo estará definida por la siguiente nomenclatura:

Domain Controllers:
BGXXXDC99
Donde:
BG Banco Guayana (Organización)
XXX Ubicación: Código de Agencia
DC Indica que el servidor es un Domain Controller
99 Número consecutivo para hacer único el DC en la localidad
Ejemplo: BG018DC01, BG018DC02, BG004DC01

Member Servers:
BGXXXAAAAAAAA_MS
Donde:
BG Banco Guayana (Organización)

33
 XXX Ubicación: Código de Agencia
AAAAAAA Indica la aplicación el servicio que presta el servidor (hasta 8
caracteres)
MS Indica que es un Member Server del Dominio
Ejemplo: BG018SYMANTE_MS, BG018ISA_MS.

Estaciones De Trabajo:
El nombre de las estaciones de trabajo se regirá según el siguiente estándar:
BGXXXAA999
Donde:
BG Banco Guayana (Organización)
XXX Ubicación: Código de Agencia
AA Identifica el tipo de sistema operativo que tiene instalado el equipo
(NT= Nt Workstation 4.0, 2K= 2000 prof., XP= XP prof., LH=
LongHorn).
999 Número correlativo para identificar las estaciones de trabajo
Ejemplo: BG0SYMANTE_MS, BG018ISA_MS.

Nota: Este estándar cambiara el estándar antiguamente implantado, por la

necesidad de identificar el tipo de sistema operativo de la estación de trabajo. A
partir de la implementación de Windows Server 2003, se empezará a nombrar
las estaciones de trabajo según el esquema definido en este proyecto. Por esta
razón habrá un espacio de tiempo, durante el cual existirán nombres de
estaciones de trabajo que no se ajusten al nuevo estándar. El equipo de Help
Desk se compromete a ir cambiando estos nombres progresivamente.

8.- Nomenclaturas de Impresoras

El nombre de las impresoras se regirá según el siguiente estándar:
BGXXX99NNNNNNNN
Donde:
BG Banco Guayana (Organización)
XXX Ubicación: Código de Agencia
99 Número consecutivo: 01 – 99
NNNNNNNN Acrónimo del Modelo de la Impresora

34
9.- Consideraciones de la red
El protocolo a utilizar para la red (Cliente/Servidor) será TCP/IP
Para las redes TCP/IP privadas que están conectadas indirectamente a Internet
mediante un traductor de direcciones de red (NAT, Network Address Translator) o una
puerta de enlace de nivel de aplicación, como un servidor proxy, la Autoridad de
números asignados de Internet (IANA, Internet Assigned Numbers Authority)
recomienda utilizar las direcciones IP privadas que se muestran en la siguiente tabla.

Tabla 23: Direcciones IP para redes privadas

Id. de red privada Máscara de subred Intervalo de direcciones IP
10.0.0.0 255.0.0.0 10.0.0.1 – 10.255.255.254
172.16.0.0 255.240.0.0 172.16.0.1 - 172.31.255.254
192.168.0.0 255.255.0.0 192.168.0.1 - 192.168.255.254

IANA reserva los números de estos intervalos para uso privado en redes TCP/IP y no
se utilizan en Internet.

Normalmente, por motivos de seguridad, no se deben conectar más de unos pocos

host de la red directamente a Internet. Para los host conectados a Internet, debe
obtenerse direcciones IP certificadas registradas y asignadas por el proveedor de
servicios Internet (ISP).

35
 III. Diseño de la Infraestructura de Red y Directorio Activo

1.- Servicios de Red

El siguiente diagrama muestra las funciones que realizará cada Servidor entre las dos
redes de Puerto Ordaz: Sede Principal y La Agencia Puerto Ordaz.

Figura 10: Diagrama Infraestructura de Servidores Propuesta

36
1.1.- Domain Name System (DNS)
El servicio de directorio de Windows 2003 requiere DNS para dar soporte a la
autenticación y ubicación física de los controladores de dominio en el site respectivo,
sin embargo se seguirá utilizando la estructura de DNS Externa para soportar a la
navegación en internet. Estos DNS serán considerados como DNS Externos.
Se propone la siguiente estructura de DNS la cual contempla dos servidores en la
Sede Principal y uno en cada localidad con las Zonas Integradas con el Directorio
Activo resolviendo consultas como se describe a continuación:
Forward Lookup Zone:
Dominio: Bancoguayana.com.ve
Reverse Lookup Zone:
Red Puerto Ordaz: 128.50.4.0/22
Red Agencia Puerto Ordaz: 128.50.36.0/22
Estas zonas serán habilitadas para soportar actualizaciones dinámicas.
El siguiente diagrama detalla la topología propuesta de DNS

DIAGRAMA DEL DNS

DNS1.CANTV.NET
DNS PRIMARIO
200.44.32.12

200.11.182.81/29
INTERNET
DNS2.CANTV.NET
200.11.182.82/29 DNS SECUNDARIO
200.44.32.13

Cisco Pix 515

128.50.4.2/22

BG018DC02 128.50.4.1/22 129.1.X.1

128.50.4.14
DNS AD integrated
Zona:
Bancoguayana.com.ve
Frame Relay
LAN 128.50.4.0/22

129.1.X.1
BG018DC01
128.50.4.6
DNS AD integrated
Zona: 128.50.36.1
Bancoguayana.com.ve

LAN BG004 128.50.36.0/22

BG004DC01
128.50.36.6
DNS AD integrated
Zona:
Bancoguayana.com.ve

Figura 11: DNS del dominio Bancoguayana.com.ve.

37
1.2.- Dynamic Host Configuration Protocol (DHCP)
Para efectos del diseño de DHCP, la red de Banco Guayana en cada una de sus
localidades deberá tener instalado y configurado los servidores asignando direcciones
IP de cada una de las redes, 128.50.x.0/22.
Estos servidores deben ser autorizados por una cuenta del grupo Enterprise Admin. En
el Directorio Activo.

Figura 12: DHCP del dominio Bancoguayana.com.ve.

Red Sede Principal:

El Network ID para esta red es: 128.50.4.0/22
Quedando distribuida de la siguiente manera:

Tabla 24: Rango de direcciones (Sede Principal).

Dirección Dispositivo
128.50.4.1 - 5 Routers
128. 50.4.6-15 Servidores
128. 50.4.16-35 Cajeros Automáticos
128. 50.4.36 - 128. 50.5.254 Scope Altavista

Scope DHCP Sede Principal:

a) El Rango de Red cubre desde la 128.50.4.36 hasta 128.50.5.254
b) La Mascara de Subred es: 255.255.252.0
c) La dirección Broadcast es: 128.50.7.255
d) Duración de la dirección IP: siete (7) días

38
 e) Direcciones Excluidas:
a. 128.50.4.242 - 128.50.4.255
b. 128.50.5.0 - 128.50.5.36
c. 128.50.5.180 - 128.50.5.190
d. 128.50.4.237 - 128.50.4.241
e. 128.50.5. 200 - 128.50.5.220

Opciones del Scope:

a) El Gateway primario: 128.50.4.1
b) DNS principal: 128.50.4.6
c) DNS alternativo: 128.50.4.14
d) WINS primario: 128.50.4.6
e) WINS secundario: 128.50.4.14
f) Tipo de Nodo: Híbrido
g) Domain Space: Bancoguayana.net

Asignaciones Estáticas de Servidores:

Tabla 25 Servidores con IP estáticos (Sede Principal).

Nombre de Servidor Dirección IP
BG018DC01 128.50.4.6
BG018SMS_BDC 128.50.4.8
BG018DC02 128.50.4.14
BG018CORREO 128.50.4.9
BG018SYMANTE_MS 128.50.4.35
BG018NOMINA_MS 128.50.4.18
BG018CADIVI_MS 128.50.4.34
BG018ISA_MS 128.50.4.32
BG018SMTP_MS 192.168.1.2
BG018LABORADC 128.50.4.17

39
Red Agencia Puerto Ordaz:
Esta red está identificada utilizando el Network ID: 128.50.36.0/22
Quedando distribuida de la siguiente manera:

Tabla 26: Rango de direcciones (Agencia Puerto Ordaz)

Dirección Dispositivo
128.50.36.1 - 5 Routers
128. 50.36.6-15 Servidores
128. 50.36.16-35 Cajeros Automáticos
128. 50.36.36-254 Scope DHCP

Scope DHCP Agencia Puerto Ordaz:

a) El Rango de Red cubre desde la 128.50.36.36 hasta 128.50.36.254.
b) La Mascara de Subred es: 255.255.224.0
c) La dirección Broadcast es: 128.50.36.255
d) Duración de la dirección IP: siete (7) días
Opciones del Scope:
a) El Gateway primario: 128.50.36.1
b) DNS principal: 128.50.36.6
c) DNS alternativo: 128.50.4.6
d) WINS primario: 128.50.36.1
e) WINS secundario: N/A
f) Tipo de Nodo: Híbrido
g) Domain Space: Bancoguayana.com.ve

Direcciones Estáticas de Servidores:

Tabla 27: Servidores con direcciones estáticas (Agencia Puerto Ordaz)
Nombre de Referencia Dirección IP
BG004PDC 128.50.36.6

40
1.3.- Windows Internet Name Service (WINS)
Aún cuando el dominio será migrado al Directorio Activo de Microsoft Windows 2003, y
dada la presencia de equipos pre-windows 2000 en la red, además de dar soporte a las
conexiones de tipo Netbios, el servicio WINS estará instalado en dos (2) servidores
atendiendo las solicitudes de resolución de nombres a los clientes de la Sede Principal
y en cada agencia se instalara un (1) servidor que atenderá los clientes de la
respectiva Agencia. Para preservar la existe replicación con los WINS de las demás
agencias, se propone una infraestructura del servicio tal como se muestra en el
siguiente diagrama:

Figura 13: Estructura WINS de Bancoguayana.com.ve y replicación

41
1.4.- Master Browser
El servidor propuesto como Master Browser en la Sede Principal es BG018DC01 y en
la Agencia Puerto Ordaz es BG004DC01, estos servidores se les configurará la opción
respectiva para forzar el servicio, los controladores de dominio adicionales en cada
localidad serán configurados como respaldo de los Master Browsers.

Figura 14: Master Browser del dominio Bancoguayana.com.ve y sus Sites

42
2.- Servicio de Directorio (Directory Services)

El Directorio Activo de Windows 2003 está conformado de una colección de dominios.

Esta colección de dominios, conocido como un árbol, está organizado en relaciones de
“padre-hijo” hacia una o más subordinados, o dominios hijos. Un dominio hijo también
puede ser el padre de uno o más dominios hijos, y así sucesivamente, como mostrado
en el siguiente Gráfico:

Esquematización del Directorio Activo

Cada dominio define una frontera administrativa y una unidad de replicación para una
colección de objetos. Estos objetos incluyen datos tales como información de usuario,
recursos de impresora, y servidores de archivos compartidos. Para proveer
administración delegada de tareas diarias, cada dominio puede ser adicionalmente
subdividido en contenedores lógicos conocidos como Unidades Organizacionales (OU).

Dentro de un dominio todos los servidores que mantienen una copia de la información
del dominio son conocidos como controladores de dominio. Estos controladores de
dominio pueden aceptar actualizaciones y replicar estos cambios hacia otros
controladores de dominio dentro del mismo dominio. Para poder tener disponible la
información de dominio a usuarios en otros dominios de un árbol, un subconjunto de la
información más comúnmente necesitado de todos los dominios es almacenado y
replicado hacia controladores de dominio específicos. Estos controladores de dominio
se denominan servidores de catálogo global (GC).

Objetivos
Banco Guayana desea crear un diseño de sistema que provea flexibilidad y pueda ser
adaptado a un ambiente de negocio cambiante.

43
El diseño debe permitir cambios sin re-ingeniería, alcanzar las demandas de
operaciones 7 por 24, y ser escalable a toda la organización.

La administración del sistema debe proveer una administración de política centralizada

y al mismo tiempo permitir la delegación de tareas administrativas de acuerdo a los
estándares de Banco Guayana, reforzándolos con una mayor granularidad.

Alternativas
Algunas decisiones de diseño requieren elegir entre dos o más modelos que pueden
ser perfectamente válidos técnicamente. En estos casos la decisión final se obtiene de
un análisis de ventajas y desventajas siguiendo un criterio de prioridades que se ajuste
a las necesidades de Banco Guayana.

En esta etapa del diseño del Directorio Activo, las decisiones que demandaron mayor
análisis fueron:

1. Definición del numero de bosques (Uno o dos bosques)

2. Definición del numero de sites (uno o varios sites)

Consideraciones para implementar un modelo de un bosque versus varios

bosques.

Bosque único
• Simplicidad en la creación y mantenimiento.
• Todos los usuarios ven un único directorio a través del catálogo global, y no
necesitan conocer la estructura del directorio.
• Al agregar un nuevo dominio al bosque, no es necesario configurar relaciones
de confianza adicionales.
• Los cambios en la configuración solamente necesitan ser aplicados una vez
para lograr que afecten a todos los dominios.

Múltiples bosques
• Administración de la seguridad independiente en cada Bosque.
• Se deben administrar los componentes para cada bosque por separado.
Ejemplo: el esquema, membresía de grupos.
• Cada bosque adicional debe contener por lo menos un dominio.
• Para que los usuarios de un bosque accedan a recursos de otro bosque se debe
crear y mantener una relación de confianza explícita entre los dos dominios
involucrados. Este tipo de relación de confianza es unidireccional y no
transitiva.

44
 • Por defecto, los usuarios en un bosque solo ven los objetos en el catálogo global
de su propio bosque. Para descubrir objetos en otro bosque, ellos deben hacer
una búsqueda explícita en un dominio fuera de su bosque.
• Si se importa data de un dominio perteneciente a un bosque separado, se
requiere mantener actualizada la data importada.
• Solamente se pueden usar UPNs en la autenticación si la cuenta de un usuario
y la computadora en la cual se valida están en bosques distintos.

Nota: El User Principal Name (UPN) consiste en un nombre que

representa al usuario y, generalmente, el nombre DNS del dominio al cual
pertenece el usuario, o cualquier otro nombre designado.
El formato del UPN consiste en el nombre de usuario, el signo "arroba"
(@), y un sufijo de nombre de dominio DNS. Por ejemplo, el usuario Juan
Pérez, que tiene una cuenta de usuario en el dominio
bancoguayana.com.ve, podría tener como UPN
[email protected]. El UPN es independiente del
“distinguished name” del objeto usuario, por lo tanto, se puede mover o
renombrar el objeto usuario sin afectar el nombre de “logon” del usuario.
El UPN es un atributo del objeto “Security Principal”. Si el atributo UPN de
un objeto de usuario no tiene ningún valor, el objeto usuario adquiere el
UPN por defecto, <userName>@<DnsDomainName>

A continuación se describe el diseño propuesto para el Servicio de Directorio llamado

Directorio Activo (Active Directory), planteado en 4 niveles: Plan de Forest, Plan de
Dominio, Plan de Site y Plan de Unidades Organizacionales (OUs).

2.1.- Plan de Forest

Para efectos de este diseño y basado en el tipo de Organización o Empresa, debe

crearse un solo Forest el cual permitirá futuras ampliaciones agregando dominios o
absorber dominios de otras empresas.

Además de estos factores el mantener un solo forest permitirá a futuro, mantener

centralizado el control sobre la estructura general del Directorio.

2.2.- Plan de Dominio

Un dominio de Windows 2003 es una frontera administrativa dentro de un árbol o de un

bosque. Los dominios son independientes de los sites, debido a que los sites
relacionan la estructura física de la red, mientras que los dominios relacionan
típicamente una estructura lógica de la organización. Cada dominio requiere por lo
menos un controlador de dominio. Todos los dominios dentro de un bosque se

45
relacionan a través de relaciones de confianza creadas automáticamente, estas son
bidireccionales y transitivas.

Objetivos
Mantener un modelo simple que permita facilitar y centralizar la administración de los
recursos dentro de la red.

Recomendaciones
Se sugiere implantar el modelo de un único dominio dentro del bosque de producción
para toda la organización. Este modelo cumple con los requerimientos administrativos
de Banco Guayana. Adicionalmente, se pueden agregar dominio hijos, de ser
necesario, sin afectar la estructura actual.

La definición del nombre del dominio se detalla a continuación:

Nombre DNS: Bancoguayana.com.ve
Nombre NetBIOS: BANCOGUAYANA

Figura 15: Dominio Bancoguayana.com.ve

46
2.3.- Plan Topología de Sites y Controladores de Dominio

Un “site” de Windows 2003 es una colección de uno o más “IP subnets” que están
interconectados utilizando una red de alta velocidad. Los “sites” son independientes de
los dominios, debido a que los sites relacionan la estructura física de la red, mientras
que los dominios relacionan típicamente una estructura lógica de la organización. Los
sites son utilizados por las computadoras clientes para encontrar eficientemente
recursos de red tales como controlador de dominio y servidores de catálogo global.
Los sites también son utilizados para proveer a los administradores la habilidad de
controlar el tráfico de replicación que requiere traspasar los límites de la WAN. Existe
poco beneficio de crear un site que no contenga por lo menos un controlador de
dominio.

Objetivos
• Minimizar el esfuerzo administrativo requerido para construir y mantener una
topología de site de Windows 2003 dentro de Banco Guayana.
• Habilitar lugares con enlaces de baja velocidad para participar del ambiente
Windows 2003 mediante el uso de replicación programada.
• Proveer a los administradores con la habilidad de controlar atentamente tanto el
flujo del tráfico de replicación, como también direccionar computadoras clientes
a recursos de infraestructura de una manera eficiente.

Alternativas
Consideraciones para adoptar un modelo de un único site versus múltiples sites.

Unico Site
• El Directorio Activo se encarga de manejar la replicación Intra-Site (dentro de un
mismo site) mediante el servicio KCC (Knowledge Consistency Checker).
• No hay compresión de datos en la replicación Intra-Site.
Múltiples Sites
• La replicación entre Sites se efectúa a través de los Site Links, los cuales se
pueden configurar para acomodarse a los requerimientos y necesidades de la
empresa. Se pueden definir parámetros como:
• Protocolo (RPC sobre IP o SMTP)
• Horarios (Para conservar ancho de banda en horas pico)
• Costos (Para definir rutas preferidas en caso de múltiples rutas)
• La data que se replica a través de los site link se comprime a razón de 10 a 1.

47
Recomendaciones
La nomenclatura de sites que el grupo de trabajo decidió implementar esta formada por
5 caracteres alfanuméricos y en mayúsculas los cuales representan la localidad o
agencia al cual pertenecen.

BG018 = Sede Principal

BG004 = Agencia Puerto Ordaz

La siguiente figura, refleja el resultado de la decisión tomada por el equipo de trabajo

en cuanto a la estructura de sites para satisfacer las necesidades de la organización en
el nuevo servicio de directorio basado en Windows 2003 para el dominio de
Bancoguayana.com.ve:

Figura 16: Topología de Sites de Banco Guayana

Para ofrecer alta disponibilidad en todas las localidades se debe considerar la creación
de un controlador de dominio (DC) en cada site.

48
Roles de los Controladores de Dominio por Site:

El Directorio Activo define cinco roles maestros de operación: schema master, domain
naming master, relative identifier (RID) master, primary domain controller emulator e
infrastructure master. (FSMO significa Flexible Single Master Operations). El schema
master y domain naming master son roles a nivel de bosque; esto significa que
solamente existe un schema master y un domain naming master en el bosque entero.

Schema Master (Nivel de Bosque FSMO)

El controlador de dominio que contiene el rol de schema master es el único controlador
de dominio que puede ejecutar operaciones de escritura al schema de directorio. Las
actualizaciones del schema son replicados desde el schema master hacia todos los
controladores de dominio en el bosque.

Domain Naming Master (Nivel de Bosque FSMO)

El controlador de dominio que contiene el rol de domain naming master es el único
controlador de dominio que puede agregar nuevos dominios al bosque y remover
dominios existentes en el bosque.

RID Pool Master (por Dominio FSMO)

Un objeto nuevo de seguridad (Usuario, Grupo o Computadora) puede ser creado en
cualquier controlador de dominio. Sin embargo, después de crear un determinado
numero de objetos de seguridad, un controlador de dominio debe comunicarse con el
controlador de dominio que contiene el RID master role para que le asigne un nuevo
rango de IDs y poder crear el siguiente objeto de seguridad. Después de esto, recién
pueden ser creados más objetos de seguridad, y luego que este conjunto de objetos
han sido creados y se agota el pool de IDs, el proceso de contactar el RID master se
repite. Si el rango de RID de un controlador de dominio está vacío, y el RID master no
está disponible, usted no puede crear nuevos objetos de seguridad en ese controlador
de dominio.

PDC Emulator (por Dominio FSMO)

El controlador de dominio que contiene el PDC Emulator provee compatibilidad hacia
atrás con los Backup Domain Controllers (cuando se opera en modo Mixto). El PDC
emulator también provee sincronización de tiempo y control del “password latency”.
Cambios en las claves secretas de una cuenta de seguridad representan un problema
de latencia de replicación, cuando una clave secreta de un usuario es cambiada en un
controlador de Dominio A (de pronto por un administrador en un site) y el usuario
subsecuentemente trate de iniciar una sesión, siendo autenticado por un controlador de
dominio B (en su oficina local). Si la clave secreta no ha sido replicada desde A hacia
B, el intento de iniciar una sesión no resultará. La replicación de Directorio Activo
resuelve esta situación mediante el envío de los cambios en las clave secretas de

49
manera inmediata a un controlador de dominio en el bosque, el PDC emulator. Si la
autenticación falla en un backup domain controller, el requerimiento de autenticación es
enviado de manera inmediata el controlador de dominio principal, que está garantizado
de tener la clave secreta actual. La replicación urgente de cambios de clave secretas al
PDC Emulator ocurre de manera inmediata sin tomar en cuenta el cronograma entre
sites en los site links.

50
Infrastructure Master (per Domain FSMO)
El controlador de dominio que contiene el role de infrastructure master para el grupo de
dominio es responsable de actualizar las referencias de grupo-a-usuarios (entre
dominio) para reflejar el nombre del nuevo usuario. El infrastructure master actualiza
estas referencias localmente e utiliza replicación para asegurar que todas las otras
réplicas del dominio se actualicen. Si el rol de infraestructura master no está
disponible, estas actualizaciones serán postergadas.

Los controladores de dominio asignados a cada Site cumplirán algunos de los roles
que se describen. La ubicación de los controladores de dominio con sus funciones se
demuestra con el siguiente gráfico:

ESTRUCTURA LOGICA Y FISICA PROPUESTA DE ACTIVE DIRECTORY

(El mismo esquema se replica para todos los sites)

BG018DCO2
BG018DC01 128.50.4.14
128.50.4.6 DC, IM, RM,
DC, GC, SM, DNM, DNS Secundario.
PE, DNS

Site: BG018
Site L

Sit
in

e Lin
k: BG

k :B
G0
18
0

-B
18-BG

G0
04
BGNNNDC01
NNN

128.50.x.x
DC, GC, BG004DC01
DNS Sec. 128.50.36.6
DC, GC,
Site: BGNNN DNS Secundario
Site: BG004

Bancoguayana.com.ve

Figura 17: Estructura Lógica y Física del Active Directory

Estructura de Sites Links para Banco Guayana

En el diagrama anterior se muestran los site links para replicación del Directorio Activo
entre los sites propuestos.
Para cada site link que se defina, se debe registrar la información siguiente:
• Agenda de la replicación

51
 • Intervalo de replicación
• Costo del vínculo
• Transporte de replicación
A continuación se describe el site link que deberá crearse para conectar ambas
localidades (el mismo esquema aplica para todas las agencias).

Tabla 30: Site Link.

Site Link Agenda de Replicación Intervalo de Costo de Transporte de

Replicación Replicación Replicación

Lunes a Viernes:
12:00 AM - 06:00 AM, 09:00 AM -
BG018-BG004 01:00 PM, 02:00 PM - 03:00 PM, 30 Minutos 100 IP
06:00 PM - 12:00 AM
Sábado y Domingo:
12:00 AM -12:00 AM

El equipo de diseño decidió establecer estos valores con la consideración de ajustarlos

a medida que la experiencia del día a día lo permita, con el fin de mejorar el
rendimiento de la topología de sites.

Subredes:
Las subredes permitirán optimizar el tráfico de validación entre las distintas localidades
para el dominio Bancoguayana.com.ve, por lo cual el diseño contempla la creación de
dos (2) subredes definidas de la siguiente manera:

Tabla 31: Definición del Network ID de las subredes para las oficinas Puerto Ordaz y Agencia Puerto Ordaz.

SItes Subred Network ID

BG018 Sede Principal 128.50.4.0/22

BG004 Agencia Puerto Ordaz 128.50.36.0/22

BG003 Agencia Sur 128.50.40.0/22

… … …

BGNNN Agencia NNN 128.50.x.0/22

52
Plan de Unidades Organizacionales (OU’s) para Banco Guayana
Las Unidades Organizacionales (OUs) son contenedores especiales dentro del
Directorio Activo. Pueden contener usuarios, computadoras, grupos y otros recursos.
Estos OUs se utilizan básicamente para aplicar GPOs (Objetos de Políticas de Grupo),
o para delegar tareas administrativas a algún usuario o grupo sobre los recursos
contenidos en el OU, de esta forma se reduce el número de los Administradores del
Dominio.

Objetivos
Crear una estructura de OUs simple en su administración pero que a su vez permita
delegar tareas administrativas y aplicar GPOs de acuerdo con las necesidades
expuestas por Banco Guayana.

Recomendaciones
El diseño de Unidades Organizacionales propuestas para el dominio
Bancoguayana.com.ve se basa en un esquema de delegación, clasificación y
aplicación de Políticas de seguridad.
En el primer nivel de jerarquía se definirán una cantidad determinada de OU’s (una
para la sede principal y otra para todas las demás agencias) para facilitar la delegación
de la administración basado en un esquema geográfico, y una unidad organizacional
para las cuentas de usuarios con derechos administrativos.
El siguiente diagrama muestra la estructura de OU’s propuesta:
Estructura de OU’s para el dominio Bancoguayana.com.ve

Figura 18: Estructura de OU’s para el Dominio Banco Guayana

53
Estructura de OU’s para el dominio Bancoguayana.com.ve
• BG018: Contendrá los objetos del dominio para la Sede Principal. Esta OU
permitirá facilitar la delegación a los administradores regionales de Puerto
Ordaz.
• IT: Se utilizará para clasificar las distintas cuentas con derechos administrativos.
Esta OU existirá solamente en el Site Principal (BG018), ya que el modelo de
administración de Banco Guayana es centralizado, y los administradores del
dominio están ubicados físicamente en la Sede Principal. Esta OU contendrá a
su las la OU:
o Help Desk: Se utilizará para clasificar las distintas cuentas de
usuarios a los cuales se delegaran ciertos privilegios administrativos.
Esta OU existirá solamente en el Site Principal (BG018), ya que el
modelo de administración de Banco Guayana es centralizado, y los
administradores del dominio están ubicados físicamente en la Sede
Principal.

• Agencias: Contendrá los objetos del dominio para todas las agencias. Esta OU
permitirá clasificar y aplicar políticas a los usuarios y maquinas de las agencias.
• Dentro de las OU’s BG018 y Agencias existirán las siguientes OU’s :
o Usuarios: Esta OU se creará para clasificar usuarios de manera local
o regional, es decir, contendrá los usuarios de Sede Principal en la
OU BG018 y los usuarios de La Agencia Puerto Ordaz en la OU
BG004, y así sucesivamente.
Dentro de la OU Usuarios se definirán dos OU’s:

Restringido: Contendrá usuarios a los cuales se les aplicará la
política de restricción de acceso a configuraciones, a través de
GPO’s.

Comunes: Contendrá usuarios los cuales no tendrán restricción
de acceso a configuraciones del sistema, a través de GPO’s.
Nota: Las configuraciones que pueden o no ser modificados por los
usuarios, se definirán mas adelante, en la sección de las Políticas de
Grupo o GPO’s.

o Computadoras: Se creará con el fin de delegar la administración de

los objetos cuentas de computadoras y clasificarlas para la aplicación
de políticas.
Dentro de la OU Computadoras se definirán dos OU’s:

54

Comunes: Son equipos para uso de aplicaciones generales o
diversas, o aquellos que se comparten entre varios usuarios.

Dedicadas: Son aquellos equipos que utilizan aplicaciones muy
especificas para un determinado trabajo.

o Grupos: Esta OU contendrá “grupos de seguridad” y “grupos de

distribución” del dominio clasificados por localidad.

o Cuentas de Servicio: En esta OU se definirán las cuentas que utiliza

cada servicio para su funcionamiento, por ejemplo Exchange, SMS,
etc.

o Impresoras: Se creara con el fin de delegar la administración de los

objetos impresoras.

o Servidores: Se creara con el fin de delegar la administración de los

objetos cuentas de servidores y clasificarlas para la aplicación de
políticas.
Dentro de la OU Servidores se definirán dos OU’s:

DC: contendrá los servidores controladores de dominio por
localidad geográfica

MemberServer: contendrá todos aquellos servidores que no
son controladores de dominio.

55
2.4.- Políticas de Grupo

Políticas de Grupo para el dominio Bancoguayana.com.ve

Un objeto de Política de Grupo (Group Policy Object, GPO) contiene un perfil extensivo
de los permisos de seguridad que aplican hacia las configuraciones de seguridad de un
site, dominio, unidad organizacional (OU), computadora, o usuario. Un objeto de
Política de Grupo puede ser aplicado a todas las computadoras o usuarios en una
unidad organizacional. Las Políticas de Grupo se aplican cuando la computadora
individual se inicia, y periódicamente es refrescado si los cambios son realizados sin
reinicio.

¿Cómo funciona la Política de Grupo?

Los objetos de Política de Grupo son asociados con los dominios y unidades
organizacionales (OUs) mediante el “Active Directory Users and Computers” snap-in en
la consola MMC. Los permisos otorgados por las Políticas de Grupos son aplicados a
las computadoras y usuarios almacenados en dicha carpeta. Los Grupos de Política
también pueden ser aplicadas a los sites utilizando el “Active Directory Sites and
Services snap-in”.

Las configuraciones de Políticas de Grupo son heredados de la carpeta padre hacia la

carpeta hijo, que a la vez puede tener sus propios objetos de Política de Grupo. Una
carpeta puede tener más de un objeto de Política de Grupo asignado.

La Política de Grupo le permite aplicar un perfil de seguridad a múltiples computadoras

o usuarios simultáneamente. Esto asegura consistencia y provee una administración
fácil.

Los objetos de Política de Grupo contienen permisos y parámetros que implementan

múltiples tipos de estrategias de seguridad.

Para utilizar esta capacidad de Windows 2003, se requiere que los servidores y las
estaciones corran Windows 2003 y Windows 2000 pro ó XP pro, por lo que se sugiere
estandarizar este sistema operativo para todos los equipos que se desee aplicar
GPOs.

Consideraciones acerca de Políticas de Grupo

En general, las Políticas de Grupo pueden ser transferidas desde el padre hacia los
sites hijos, e unidades organizacionales. Si usted ha asignado una Política de Grupo
específico a un nivel alto de padre, dicha Política de Grupo se aplica a todas las
unidades organizaciones por debajo del padre, incluyendo los objetos de usuarios y
computadoras en cada contenedor. A continuación se describen las pautas a tomar en
cuenta por los administradores IT de Banco Guayana en el momento de administrar y
diagnosticar las políticas.

56
Modificando la Herencia:
• Block Inheritance: previene la herencia de todas las políticas provenientes de
contenedores padres.
• No Override: previene que los contenedores hijos sobrescriban las políticas
definidas en niveles superiores.
• No Override prevalece sobre Block Inheritance.
• No Override a un nivel superior prevalece sobre No Override a niveles
inferiores.

Filtrado de Políticas:
• Se pueden filtrar GPOs modificando los permisos aplicados al mismo GPO.
• Para que un GPO se aplique se necesita tener permisos Read y Apply Group
Policy
• Para modificar un GPO se necesitan permisos Read y Write sobre el GPO.

Permisos por Defecto sobre los GPOs

Authenticated Users:
o Read
o Apply Group Policy
Local System, Domain Administrators y Enterprise Administrators:
o Todos los permisos excepto Apply Group Policy

Objetivos
• Proveer una seguridad consistente por toda la corporación.
• Proveer un ambiente consistente para los usuarios de estaciones de trabajo
según las necesidades de Banco Guayana.
• Proveer flexibilidad en la personalización de escritorios de la empresa.

Recomendaciones
Las configuraciones serán implementadas a nivel de las Unidades Organizacionales
definidas anteriormente. Esto proveerá una política de seguridad consistente para cada
tipo de usuario.

Aplicar políticas de cuentas, políticas para definir la auditoria y la configuración para los
event log a nivel de dominio, mediante el Default Domain Policy.

57
Todas las políticas de Dominio, excepto por las políticas de cuentas, políticas locales, y
la configuración para los event log deberán ser implementados a nivel de Unidad
Organizacional. El número de objetos de políticas de grupo deben ser mantenidos al
mínimo, preferentemente uno por cada OU, para reducir los tiempos de inicio de
sesión.

Se modificará la GPO aplicada al dominio (Default Domain Policy) con políticas de

cuentas (account Policy) tal como se indica a continuación:

Tabla 33: Políticas de Grupos para el dominio Bancoguayana.com.ve.

Descripción Valor
Enforce password history 18 passwords remembered
Maximum password age 15 days
Minimum password age 0 days
Minimum password length 8 characters
Password must meet complexity requirements Disabled
Account lockout duration 60 minutes
Account lockout threshold 3 invalid logon attempts
Reset account lockout counter after 60 minutes

58
Políticas aplicables a nivel de OU’s

A continuación se detallan algunas de las políticas de grupo para establecer

restricciones al ambiente de trabajo del usuario:

Hemos contemplado en este diseño, la creación de dos OU’s dentro de la OU

Usuarios, para la aplicación de GPO’s:
• Restringido
• Comunes

Tabla 34: Políticas de grupos para usuarios.

Políticas de Grupos para Usuarios
Política Comunes Restringido
Panel de Control Deshabilitado Deshabilitado
Comando Ejecutar Deshabilitado Deshabilitado
Propiedades de Red Deshabilitado Deshabilitado
Entorno de Red Habilitado Deshabilitado
Fondo del Deshabilitado Deshabilitado
Escritorio
Barra de tareas y Deshabilitado Deshabilitado
menú inicio
Administrador de Habilitado Deshabilitado
Tareas
Carpetas Habilitado Deshabilitado
compartidas
Símbolo del Habilitado Deshabilitado
Sistema

Dentro de la OU Computadoras se definen dos OU’s:

• Comunes
• Dedicadas

El perfil de estación de trabajo común no tendrá ningún tipo de restricciones de

configuración.

59
Tabla 35: Políticas de grupo para Computadoras
Políticas de Grupo para computadores
Política Común Dedicado
Panel de Control Deshabilitado Deshabilitado
Comando Ejecutar Deshabilitado Deshabilitado
Propiedades de Red Deshabilitado Deshabilitado
Entorno de Red Habilitado Deshabilitado
Fondo del Escritorio Deshabilitado Deshabilitado
Barra de tareas y Deshabilitado Deshabilitado
menú inicio
Administrador de Habilitado Deshabilitado
Tareas
Carpetas compartidas Habilitado Deshabilitado
Símbolo del Sistema Habilitado Deshabilitado
Unidad CDROM Habilitado Deshabilitado
Unidad de Floppy Deshabilitado Deshabilitado
Comando Apagar Habilitado Deshabilitado

A continuación se mostrará en detalles la configuración de cada una de las GPOs que

se implementarán en el dominio BANCOGUAYANA.

60
2.5.- Detalle de configuración de GPOs:

a.- Default Domain Policy: Estas políticas aplican al dominio y a toda la estructura
debajo de este, es decir, a todos los OUs, usuarios y equipos del dominio.

Computer Security Settings Computer Configuration\Windows Settings\Security Settings

Account Policies

Password Policy
Minimum password age 0
Maximum password age 15
Minimum password length 8
Password must meet complexity requirements Disabled
Enforce password history 16
0
Store password using reversible encription for all users in the domain Disabled

Account Lockout Policy

Account lockout threshold 3
Reset account lockout counter after 90
Account lockout duration 90

Kerberos Policy
Maximum lifeTime for user ticket 10
Maximum lifeTime for user ticket renewal 7
Maximum lifeTime for service ticket 600
Maximum tolerance for computer clock synchronization 5
Enforce user logon restrictions Disabled

Local Policies

Audit Policy
Audit system events Success
Audit logon events Not defined
Audit object access Success
Audit privilege use Success
Audit policy change Success

61
 Audit account management Success
Audit directory service access Success
Audit account logon events No auditing

User Right Assignment

Access this computer from the network BANCOGUAYANA\Usuarios del dominio,
Todos, NTserverices, SMSServices
log on locally Usuarios, BANCOGUAYANA\Usuarios del
dominio, Administradores, NTserverices,
SMSServices
Shut down the system BANCOGUAYANA\Usuarios del dominio,
Todos, NTserverices, SMSServices
Manage auditing and security log BANCOGUAYANA\Admins. del dominio
Take ownership of files or other objects BANCOGUAYANA\Admins. del dominio

Security Option
Automatically log off users when logon Time expires Enabled
Audit use of Backup and Restore privilege Enabled
Disable CTRL+ALT+DEL requirement for logon Disabled
Automatically log off users when logon Time expires(local) Disabled
Clear virtual memory pagefile when system shuts down Enabled
Allow system to be shut down without having to log on Disabled
Message text for users attempting to log on No intente validarse si no esta debidamente
autorizado.
Message title for users attempting to log on Bienvenidos a la red de Banco Guayana!!!
Do not display last user name in logon screen Disabled
Prompt user to change password before expiration 3
Unsigned non-driver installation behavior Warn but allow installation
Unsigned driver installation behavior Warn but allow installation
Audit the access of global system objects Enabled

Event log

Settings for Event log

Shut down the computer when the security audit log is full Disabled
Maximum Application Log size 20480
Retention method for Application Log Overwrite events as needed
Restrict guest access to Application Log Enabled
Maximum Security Log size 20480
Retention method for Security Log Overwrite events as needed
Restrict guest access to Security Log Enabled

62
 Maximum System Log size 20480
Retention method for System Log Overwrite events as needed
Restrict guest access to System Log Enabled

System Services

User Internet Explorer Maintenance

{User Configuration\Windows Settings\Internet Explorer Maintenance}
Name Value

Connection
Automatic Browser Configuration
Automatically detect configuration Settings No
Enable Automatic Configuration No

Windows 2003 System settings

User Configuration\Administrative Templates
\Control Panel\Display
Activate screen saver Enabled

Password protect the screen saver Enabled

Screen Saver Timeout

Seconds: 600

63
b.- Default Domain Controllers Policy

Computer Security Settings Computer Configuration\Windows Settings\Security Settings

Account Policies

Password Policy
Minimum password age 0
Maximum password age 15
Minimum password length 8
Password must meet complexity requirements Disabled
Enforce password history 16
Store password using reversible encription for all users in the domain Disabled

Account Lockout Policy

Account lockout threshold 3
Reset account lockout counter after 60
Account lockout duration 60

Local Policies

Audit Policy
Audit system events Success
Audit logon events Success
Audit object access Success
Audit privilege use Success
Audit policy change Success
Audit account management Success
Audit process tracking No auditing
Audit directory service access Success
Audit account logon events Success

User Right Assignment

Replace a process level tocken BANCOGUAYANA\Admins. del dominio,
Administradores
Back up files and directories Administradores, Operadores de copia
log on as a batch job Administradores, Operadores de copia
Bypass traverse checking BANCOGUAYANA\Admins. del dominio,
Authenticated Users, Administradores

64
 Create a pagefile Administradores
Create permanents shared objects
Create a token object
Debug programs Administradores
Increase scheduling priority Administradores
Increase quotas Administradores
log on locally Administradores, Operadores de copia,
Load and unload device drivers Administradores
Lock pages in memory
Access this computer from the network Administradores, Authenticated Users,
Operadores de copia
Profile single process Administradores
Force shutdown from a remote system Administradores
Restore files and directories Administradores, Operadores de copia
Manage auditing and security log Administradores
log on as a service BANCOGUAYANA\Admins. del dominio,
Operadores de copia, Administradores
Shut down the system Opers. de servidores, Operadores de copia,
Administradores
Modify firmware environment values Administradores
Profile system performance Administradores,
Check the system Time Opers. de servidores, Administradores
Take ownership of files or other objects Administradores
Act as part of the operating system Administradores, Operadores de copia
Deny logon locally
Deny logon as a batch job
Deny logon as service
Deny access to this computer from the network
Enable computer and user accounts to be trusted for delegation Administradores
Add workstations to domain Administradores,
BANCOGUAYANA\GG_Micros
Synchronize directory service data
Remove computer from docking station Administradores
Generate security audits BANCOGUAYANA\Admins. del dominio,
Administradores

Security Option
Automatically log off users when logon Time expires Disabled
Rename administrator account Enabled
Rename quest account Enabled
Unsigned driver installation behavior Warn but allow installation
Unsigned non-driver installation behavior Warn but allow installation
Restrict CD-ROM access to locally logged-on user only Enabled
Restrict floppy access to locally logged-on user only Enabled

65
 Prompt user to change password before expiration 3
Disable CTRL+ALT+DEL requirement for logon Disabled
Do not display last user name in logon screen Disabled
Message title for users attempting to log on No intente validarse si no esta debidamente
autorizado
Message text for users attempting to log on Bienvenidos a la red de Banco Guayana!!!
Allow system to be shut down without having to log on Disabled
Audit the access of global system objects Enabled
Audit use of Backup and Restore privilege Enabled
Prevent users from installing printer drivers Disabled
Clear virtual memory pagefile when system shuts down Enabled
Automatically log off users when logon Time expires(local) Disabled

Event log

Settings for Event log

Shut down the computer when the security audit log is full Disabled
Maximum Application Log size 20480
Retention method for Application Log Overwrite events as needed
Restrict guest access to Application Log Enabled
Maximum Security Log size 20480
Retention method for Security Log Overwrite events as needed
Restrict guest access to Security Log Enabled
Maximum System Log size 20480
Retention method for System Log Overwrite events as needed
Restrict guest access to System Log Enabled

66
c.- GPO Corporativo: Este tipo de usuario tiene políticas menos restrictivas. Se
activara a nivel a la OU usuarios, y aplicara a aquellos usuarios que sean considerados
VIP.
Administrative Templates

Windows 2003 Internet Explorer settings

User Configuration\Administrative Templates
\Windows Components\Internet Explorer
Disable AutoComplete for forms Enabled

Disable changing accessibility settings Enabled

Disable changing Automatic Configuration settings Enabled

Disable changing color settings Disabled

Disable changing font settings Enabled

Disable changing home page settings Enabled

Disable changing language settings Enabled

Disable changing link color settings Enabled

Disable importing and exporting of favorites Enabled

Disable Internet Connection wizard Enabled

Do not allow AutoComplete to save passwords Enabled

Search: Disable Find Files via F3 within the browser Enabled

Search: Disable Search Customization Enabled

\Windows Components\Internet Explorer\Browser menus

Disable Save this program to disk option Enabled

File menu: Disable Open menu option Disabled

File menu: Disable Save As Web Page Complete Disabled

File menu: Disable Save As... menu option Disabled

Help menu: Remove 'For Netscape Users' menu option Enabled

Help menu: Remove 'Send Feedback' menu option Enabled

Help menu: Remove 'Tip of the Day' menu option Enabled

Help menu: Remove 'Tour' menu option Enabled

Hide Favorites menu Disabled

View menu: Disable Source menu option Enabled

\Windows Components\Internet Explorer\Internet Control Panel

Disable the Advanced page Enabled

Disable the Connections page Enabled

Disable the Content page Enabled

Disable the Programs page Enabled

67
 Disable the Security page Enabled

\Windows Components\Internet Explorer\Toolbars

Configure Toolbar Buttons Enabled

Show Back button Yes

Show Copy button No
Show Cut button No
Show Discussions button No
Show Edit button No
Show Encoding button No
Show Favorites button Yes
Show Folders button No
Show Font size button No
Show Forward button Yes
Show Fullscreen button No
Show History button Yes
Show Home button Yes
Show Mail button No
Show Paste button No
Show Print button No
Show Refresh button Yes
Show Search button Yes
Show Stop button Yes
Show Tools button No
Disable customizing browser toolbar buttons Enabled

Disable customizing browser toolbars Enabled

Windows 2003 System settings

User Configuration\Administrative Templates
\Control Panel\Display
Disable changing wallpaper Disabled

Disable Display in Control Panel Disabled

\Desktop
Disable adding, dragging, dropping and closing the Taskbar's toolbars Enabled

Disable adjusting desktop toolbars Enabled

Don't save settings at exit Disabled

Hide My Network Places icon on desktop Disabled

\Desktop\Active Desktop
Active Desktop Wallpaper

68
 Wallpaper Name: c:\winnt\tapiz.bmp
Wallpaper Style: Center
Allow only bitmapped wallpaper Enabled

Disable all items Disabled

Enable Active Desktop Enabled

\Start Menu & Taskbar

Disable changes to Taskbar and Start Menu Settings Enabled

Disable context menus for the taskbar Enabled

Disable drag-and-drop context menus on the Start Menu Enabled

Remove Network & Dial-up Connections from Start Menu Enabled

Remove Run menu from Start Menu Disabled

\System
Disable registry editing tools Enabled

\System\Logon/Logoff
Disable Task Manager Disabled

\Windows Components\Windows Explorer

Hides the Manage item on the Windows Explorer context menu Enabled

No "Entire Network" in My Network Places Disabled

User Internet Explorer Maintenance

{User Configuration\Windows Settings\Internet Explorer Maintenance}
Name Value

Browser User Interface

Browser Title
Title Bar Text BANCO GUAYANA, C.A.

Connection
Automatic Browser Configuration
Automatically detect configuration Settings No
Enable Automatic Configuration No

Proxy Settings
Enable proxy settings Yes
HTTP_Proxy_Server 128.50.4.35:8002

69
 Use same proxy for all addresses Yes
Do not use proxy server addresses begining with or Local

URLs
Channels
Delete existing Channels Yes

Favorites and Links

Delete existing Favorite and Links No
Only delete the Favorites created by the administrator No

Important URLs
Customise Home page URL

http://bg018symante_ms.bancoguayana.com.ve:8002/IssueLogin?redirect=http%3A%2F%2Fwww.bancoguayana.net%2F

Programs
Programs
Import the current program settings Yes
Calendar Microsoft Outlook
Contact list Microsoft Outlook
Internet call Microsoft NetMeeting
E-mail Microsoft Outlook
Newsgroups Microsoft Outlook
Internet Explores should check it to see whether it is the default yes
HTML editor Bloc de notas

70
d.- GPO Comunes. . Esta GPO Se aplicará a la mayoria de los usuarios del Banco,
quienes solo necesitan ciertos privilegios para realizar sus tareas cotidianas. Ademas
heredará las politicas establecidas en las GPOs del Dominio y Coporativo.

Administrative Templates

Windows 2003 System settings

User Configuration\Administrative Templates
\Control Panel\Printer
Prohibit remove printer Enabled

\Control Panel\
Prohibit access to control panel Enabled

\Desktop
Disable adjusting desktop toolbars Enabled

Don't save settings at exit Enabled

Hide My Network Places icon on desktop Disabled

\Desktop\Active Desktop
Disable all items Enabled

Enable Active Desktop Enabled

\Start Menu & Taskbar

Disable changes to Taskbar and Start Menu Settings Enabled

Disable context menus for the taskbar Disabled

Disable drag-and-drop context menus on the Start Menu Disabled

Remove Network & Dial-up Connections from Start Menu Enabled

Remove Run menu from Start Menu Disabled

Remove Common Program menu from Start Menu Disabled

\Windows Components\Windows Explorer

Hides the Manage item on the Windows Explorer context menu Enabled

No "Entire Network" in My Network Places Disabled

Prevent access to drives from My Computer

Pick one of the following combinations Restrict A, B drives only

71
e.- GPO Restringidos: Este tipo de usuario requiere las políticas más restrictivas.
Solamente deberán ser capaces de ingresar al equipo sin realizar cambios sobre la
configuración local del mismo. Esta GPO heredará las politicas establecidas en las
GPOs del Dominio y Coporatarivo

Administrative Templates

Windows 2003 Internet Explorer settings

User Configuration\Administrative Templates

\Windows Components\Internet Explorer\Browser menus

Disable Context menu Enabled

Disable Open in New Window menu option Enabled

Disable Save this program to disk option Enabled

File menu: Disable New menu option Enabled

File menu: Disable Open menu option Enabled

File menu: Disable Save As Web Page Complete Enabled

File menu: Disable Save As... menu option Enabled

Help menu: Remove 'For Netscape Users' menu option Enabled

Help menu: Remove 'Send Feedback' menu option Enabled

Help menu: Remove 'Tip of the Day' menu option Enabled

Help menu: Remove 'Tour' menu option Enabled

Hide Favorites menu Enabled

Tools menu: Disable Internet Options... menu option Enabled

View menu: Disable Full Screen menu option Enabled

View menu: Disable Source menu option Enabled

\Windows Components\Internet Explorer\Internet Control Panel

Disable the Advanced page Enabled

Disable the Connections page Enabled

Disable the Content page Enabled

Disable the General page Enabled

Disable the Programs page Enabled

Disable the Security page Enabled

\Windows Components\Internet Explorer\Offline Pages

Disable adding channels Enabled

Disable removing channels Enabled

72
Windows 2003 Net Meeting settings
Computer Configuration\Administrative Templates
\Windows Components\NetMeeting
Disable remote Desktop Sharing Enabled

Windows 2003 System settings

User Configuration\Administrative Templates
\Control Panel
Disable Control Panel Enabled

\Control Panel\Display
Disable changing wallpaper Enabled

\Desktop
Disable adding, dragging, dropping and closing the Taskbar's toolbars Enabled

Disable adjusting desktop toolbars Enabled

Do not add shares of recently opened documents to My Network Places Enabled

Don't save settings at exit Enabled

Hide all icons on Desktop Enabled

Hide My Network Places icon on desktop Enabled

Prohibit user from changing My Documents path Enabled

Remove My Documents icon from desktop Disabled

Remove My Documents icon from Start Menu Enabled

\Desktop\Active Desktop
Allow only bitmapped wallpaper Enabled

Disable all items Enabled

Enable Active Desktop Enabled

Prohibit adding items Enabled

Prohibit changes Enabled

Prohibit closing items Enabled

Prohibit deleting items Enabled

Prohibit editing items Enabled

\Desktop\Active Directory
Enable filter in Find dialog box Disabled

Hide Active Directory folder Enabled

\Network\Network and Dial-up Connections

73
 Prohibit access to properties of a LAN connection Enabled

Prohibit access to properties of components of a LAN connection Enabled

Prohibit access to the Network Connection wizard Enabled

Prohibit enabling/disabling a LAN connection Enabled

Prohibit enabling/disabling components of a LAN connection Enabled

Prohibit TCP/IP advanced configuration Enabled

Prohibit viewing of status statistics for an active connection Enabled

\Network\Offline Files
Action on server disconnect

Action: Work offline

Disable 'Make Available Offline' Enabled

Disable user configuration of Offline Files Enabled

Prevent use of Offline Files folder Enabled

\Start Menu & Taskbar

Add "Run in Separate Memory Space" check box to Run dialog box Disabled

Add Logoff to the Start Menu Disabled

Clear history of recently opened documents on exit Enabled

Disable and remove links to Windows Update Enabled

Disable and remove the Shut Down command Disabled

Disable changes to Taskbar and Start Menu Settings Enabled

Disable context menus for the taskbar Enabled

Disable drag-and-drop context menus on the Start Menu Enabled

Disable personalized menus Enabled

Disable programs on Settings menu Enabled

Disable user tracking Enabled

Do not keep history of recently opened documents Enabled

Remove common program groups from Start Menu Enabled

Remove Documents menu from Start Menu Enabled

Remove Favorites menu from Start Menu Enabled

Remove Help menu from Start Menu Enabled

Remove Network & Dial-up Connections from Start Menu Enabled

Remove Run menu from Start Menu Enabled

Remove Search menu from Start Menu Enabled

Remove user's folders from the Start Menu Enabled

\System

74
 Code signing for device drivers

When Windows detects a driver file without a digital signature: Block

Disable Autoplay

Disable Autoplay on: CD-ROM drives

Disable registry editing tools Enabled

Disable the command prompt

Disable the command prompt script processing also? No

Don't display welcome screen at logon Enabled

List of allowed applications

\System\Logon/Logoff
Connect home directory to root of the share Disabled

Disable Task Manager Enabled

Run logoff scripts visible Disabled

Run logon scripts visible Disabled

\Windows Components\Microsoft Management Console

Restrict the user from entering author mode Enabled

Restrict users to the explicitly permitted list of snap-ins Enabled

\Windows Components\Microsoft Management Console\Restricted/Permitted snap-ins

Active Directory Domains and Trusts Disabled

Active Directory Sites and Services Disabled

Active Directory Users and Computers Disabled

Certificates Disabled

Component Services Disabled

Computer Management Disabled

Device Manager Disabled

Disk Defragmenter Disabled

Disk Management Disabled

Distributed File System Disabled

Event Viewer Disabled

FAX Service Disabled

Indexing Service Disabled

Internet Authentication Service (IAS) Disabled

Internet Information Services Disabled

75
 IP Security Disabled

Local Users and Groups Disabled

Performance Logs and Alerts Disabled

QoS Admission Control Disabled

Removable Storage Management Disabled

Routing and Remote Access Disabled

Security Configuration and Analysis Disabled

Security Templates Disabled

Services Disabled

Shared Folders Disabled

System Information Disabled

Telephony Disabled

Terminal Services Configuration Disabled

WMI Control Disabled

\Windows Components\Microsoft Management Console\Restricted/Permitted snap-ins\Extension snap-ins

AppleTalk Routing Disabled

Certification Authority Disabled

Connection Sharing (NAT) Disabled

DCOM Configuration Extension Disabled

Device Manager Disabled

DHCP Relay Management Disabled

Event Viewer Disabled

IAS Logging Disabled

IGMP Routing Disabled

IP Routing Disabled

IPX RIP Routing Disabled

IPX Routing Disabled

IPX SAP Routing Disabled

Logical and Mapped Drives Disabled

OSPF Routing Disabled

Public Key Policies Disabled

RAS Dialin - User Node Disabled

Remote Access Disabled

Removable Storage Disabled

RIP Routing Disabled

Routing Disabled

76
 Send Console Message Disabled

Service Dependencies Disabled

SMTP Protocol Disabled

SNMP Disabled

System Properties Disabled

\Windows Components\Microsoft Management Console\Restricted/Permitted snap-ins\Group Policy

Administrative Templates (Computers) Disabled

Administrative Templates (Users) Disabled

Folder Redirection Disabled

Group Policy snap-in Disabled

Group Policy Tab for Active Directory Tools Disabled

Internet Explorer Maintenance Disabled

Remote Installation Services Disabled

Scripts (Logon/Logoff) Disabled

Scripts (Startup/Shutdown) Disabled

Security Settings Disabled

Software Installation (Computers) Disabled

Software Installation (Users) Disabled

\Windows Components\Windows Explorer

Disable DFS tab Disabled

Hide Hardware tab Enabled

Hides the Manage item on the Windows Explorer context menu Enabled

No "Computers Near Me" in My Network Places Enabled

No "Entire Network" in My Network Places Enabled

Prevent access to drives from My Computer

Pick one of the following combinations A y B only

Remove "Map Network Drive" and "Disconnect Network Drive" Enabled

Remove File menu from Windows Explorer Enabled

Remove Search button from Windows Explorer Enabled

Removes the Folder Options menu item from the Tools menu Enabled

\Windows Components\Windows Explorer\Common Open File Dialog

Hide the common dialog back button Enabled

Hide the common dialog places bar Enabled

Hide the dropdown list of recent files Enabled

77
\Windows Components\Windows Installer
Always install with elevated privileges

Check to force setting on; uncheck to force setting off. No

Disable media source for any install

Check to force setting on; uncheck to force setting off. No

Disable rollback

Check to force setting on; uncheck to force setting off. No

Search order Disabled

78
f.- GPO Help Desk
Administrative Templates

Windows 2003 Internet Explorer settings

User Configuration\Administrative Templates
\Windows Components\Internet Explorer
Disable AutoComplete for forms Enabled

Disable changing accessibility settings Disabled

Disable changing color settings Disabled

Disable changing font settings Disabled

Disable changing home page settings Disabled

Disable changing language settings Disabled

Disable changing link color settings Disabled

Disable Internet Connection wizard Enabled

Do not allow AutoComplete to save passwords Enabled

Windows 2003 System settings

User Configuration\Administrative Templates
\Control Panel\Display
Activate screen saver Enabled

Disable changing wallpaper Enabled

Hide Background tab Enabled

Hide Screen Saver tab Enabled

\Desktop\Active Desktop
Active Desktop Wallpaper

Wallpaper Name: c:\winnt\tapiz.bmp

Wallpaper Style: Stretch
Allow only bitmapped wallpaper Enabled

Disable all items Enabled

Enable Active Desktop Enabled

User Internet Explorer Maintenance

{User Configuration\Windows Settings\Internet Explorer Maintenance}
Name Value

Connection
Automatic Browser Configuration
Automatically detect configuration Settings No
Enable Automatic Configuration No

79
Proxy Settings
Enable proxy settings Yes
HTTP_Proxy_Server Bg018symante_ms:8002
Use same proxy for all addresses Yes
Do not use proxy server addresses begining with or Local
FTP_Proxy_Server Bg018symante_ms:8002
Gopher_Proxy_Server Bg018symante_ms:8002
Secure_Proxy_Server Bg018symante_ms:8002
Socks_Proxy_Server Bg018symante_ms:8002

URLs
Channels
Delete existing Channels Yes

Important URLs
Customise Home page URL
http://bg018symante_ms.bancoguayana.com.ve:8002/IssueLogin?redirect=http%3A%2F%2Fwww.microsoft.com%2F

Programs
Programs
Import the current program settings Yes
Calendar Microsoft Outlook
Contact list Microsoft Outlook
Internet call Microsoft NetMeeting
E-mail Microsoft Outlook
Newsgroups Microsoft Outlook
Internet Explores should check it to see whether it is the default yes
HTML editor Bloc de notas

80
 IV. Diseño de Servicio de Correo Electrónico

La siguiente sección describe el diseño para la Infraestructura de Correo Electrónico de

Banco Guayana, la cual contempla las siguientes etapas:

Selección del Producto Exchange Server 2003 a instalar

Plan Administrativo
Planificación de Roles
Ubicación de Servidores de Correo
Outlook Web Access

1.- Producto a instalar: Exchange Server 2003

Para efectos de los servicios de correo requeridos por Banco Guayana se propone el
uso de Microsoft Exchange Server 2003 Enterprise Edition, considerando los siguientes
aspectos:
• El tamaño actual de la Base de Datos de Correo es 16 GB. Exchange 5.5 y
Exchange 2003 en sus versiones Estándar, plantean que el tamaño máximo
recomendado la Base de Datos Privada (Mailbox Store), no debe exceder de 16
GB, para ofrecer alta disponibilidad y confiabilidad del servicio; distinto a la
Microsoft Exchange 2003 Enterprise la cual no limita la capacidad de las bases
de datos de correo, solo dependiendo del hardware para almacenamiento,
soportado en el documento del technet Q268000 y en el MS Exchange 2003
Server Features Guide”.
• Para ofrecer tiempos de respuesta satisfactorios e independencia de backup,
restore, defragmentación entre otros, de ciertos buzones considerados críticos
para la empresa se plantea la creación de varios mailbox stores, y en un futuro
la posibilidad de independizar más aún el almacenamiento de correo usando
varios Storage groups, característica presente solo en la versión Enterprise de
Microsoft Exchange Server 2003.

2.- Plan Administrativo

En el diseño de Exchange Server 2003 un Plan Administrativo para una organización
permite planificar y manejar recursos de manera eficiente, asignando
responsabilidades administrativas y permitiendo acceso seguro, partiendo de este
concepto, se presenta a continuación el Plan previsto para este proyecto:

2.1.- Modelo Administrativo

Actualmente la Organización de Exchange 5.5 presente en Banco Guayana esta
comprendida en un solo Site el cual es administrado localmente de manera

81
independiente. Este modelo permite independencia en las funciones administrativas y
se cataloga como Modelo Centralizado.
El diseño planteado para Exchange Server 2003 se fundamenta principalmente en el
modelo Administrativo del Servicio de Directorio o Directorio Activo de Windows Server
2003, y considerando que existirá un solo dominio en Banco Guayana, se plantea un
Plan Administrativo Nativo, lo cual consiste en un Plan Centralizado, es decir, todas las
tareas relevantes a la Organización de Exchange Server 2003 se manejaran de
manera centralizada.

Por lo antes expuesto se plantea la creación de los siguientes grupos administrativos

(Administratives Groups): Uno para la Sede Principal y otro contentivo de todos las
Agencias. Ambos grupos pertenecerán a la organización Altavista, estos grupos se
adaptarán a la infraestructura existente de Sites dentro de la Organización de
Exchange 5.5, la cual será pasada una vez finalizada la migración a Modo Nativo
Exchange Server 2003.

2.2.- Políticas de Servidores y Almacenamiento

Se plantea la creación de un grupo de Políticas de Servidores y Almacenamiento las
cuales reflejan las necesidades actuales de la empresa con la posibilidad de ser
ampliadas o reducidas según fuese necesario, quedando distribuidas de la siguiente
manera:
Tamaño Máximo de cada Buzón: 100 MB
Tamaño Máximo de Mensajes Externos: 3 MB
Tamaño Máximo de Mensajes Internos: 3 MB

En la sección Planificación de Roles y Ubicación de Servidores de Correo, se indicará

la distribución de las Bases de Datos Públicas y Privadas, con sus respectivos Archivos
de Logs.

2.3.- Administración de Usuarios y Buzones de Correo

Basado en el diseño de Directorio Activo para Banco Guayana, el grupo de Help Desk,
será delegado de las siguientes actividades:
• Crear y configurar cuentas de usuario
• Crear y configurar Buzones de Correo

Adicional a estas tareas, los administradores de la Organización (OU IT) serán los
responsables de:
• Crear y Configurar Grupos

82
 • Crear y Configurar Listas de Distribución

2.4.- Delegación de Autoridad Administrativa

La delegación de la Organización de Exchange Server 2003 en sus distintos niveles se
fundamenta en conjunto de grupos que tendrán derechos administrativos sobre la
infraestructura de Correo Electrónico.
La delegación será asignada de la siguiente manera:
• Administradores de la Organización
• Administradores de Buzones

Administradores de la Organización:
Este grupo tendrá el más alto nivel dentro de la Escala de Permisos de la Organización
de Exchange y deberán tener permisos dentro del Directorio Activo. De igual forma
estos administradores tendrán la capacidad de delegar tareas administrativas
relacionadas con el correo electrónico. Este permiso se sustenta en el role Exchange
Full Administrator, por lo cual tendrán Control Total sobre todos los objetos de la
Organización, Servidores, Conectores, Listas de Direcciones y Políticas.

La siguiente tabla resume los roles que tendrá cada grupo de administradores:

Tabla 36: Delegación de Roles Exchange

Nivel Tipo de Permiso Grupo de Seguridad

Organización Exchange Full Admins ORG

Altavista Administrator

Mailbox Stores Account Operators Helpdesk Group

Con el rol Exchange Full Administrator los Administradores de la Organización estarán

capacitados para realizar cualquier tarea sobre los objetos de Exchange.

Administradores de Buzones:
Este grupo de Administradores tendrá el privilegio de crear cuentas de usuario y
buzones de correo, entre otras, por lo cual deben tener la permisologia definida para tal
fin, tal como se planteó en el diseño de Directorio Activo.

83
Usando el asistente de delegación del Directorio Activo de Microsoft Windows Server
2003 y Exchange Server 2003 se le asignaran los permisos de creación y configuración
de buzones de correo. Estos administradores no podrán hacer cambios sobre la
configuración del servidor de correo ni de los grupos administrativos, además deberán
ser miembros del grupo Account Operators.

La siguiente tabla resume los permisos y tareas según la estructura de delegación

antes mencionada:

Administrador de

Administradores
la Organización

de Buzones
Derechos Administrativos

Configurar la Organización X

Ver Configuraciones Generales X

Añadir/borrar Servidores de Correo X

Añadir/borrar Grupos Administrativos X

Añadir/borrar Routing Groups X

Añadir/borrar Conectores X

Configurar Conectores SMTP X

Configurar Políticas Globales X

Añadir/borrar/Cambiar Listas de Distribución X

Crear o configurar Protocolos X

Crear o modificar Storage groups X

Crear o modificar Stores (Bases de Datos) X

Mantenimiento de Stores (Bases de Datos) X

Crear y configurar Grupos de Distribución X X

Crear y configurar Buzones de Usuarios X X

Backups servidores de Correo X

Restore servidores de correo X

Iniciar/parar servicios de correo X

84
El resto de las tareas administrativas están descritas en la sección para delegación del
Directorio Activo.

Diseño de Sites del Directorio Activo de Windows Server 2003

Dado que ya existe una estructura previamente diseñada en relación con el Directorio
Activo de Microsoft Windows 2003 y que Microsoft Exchange Server 2003 se integra
con este servicio de directorio, esto simplifica la estructura de delegación y control a
nivel de buzones de correo.
A nivel de servicios requeridos por el Exchange Server 2003 para su funcionamiento es
importante destacar que en cada site donde exista un servidor Exchange Server 2003,
se debe considerar la designación de un Domain Controller como Global Catalog
Server para agilizar el proceso de búsqueda. El siguiente diagrama muestra la
topología de correo propuesta:

DIAGRAMA DEL SERVICIO DE CORREO PROPUESTO

Internet

200.11.182.83/29 BG018SMTP_MS
192.168.1.2/24
SERVIDOR SMTP

192.168.1.2/24
DMZ 192.168.1.0/24

BG018ISA_MS
128.50.4.32/22
Firewall,
VPN Server BG018NAVGATEWAY
192.168.1.3/24
NAV FOR GATEWAY
RED LAN 128.50.4.0/22

128.50.8.1/22

BG018CORREO_MS
129.1.x.1
128.50.4.9/22
MAIL SERVER
129.1.1.1 Frame Relay Servidor Principal
Router Router de 128.50.x.x
Principal Agencia PDC, WINS,
128.50.x.1 DHCP, SNA Server

Agencia 128.50.x.0/22

Estaciones de trabajo
con Cliente outlook
Apuntando al servidor
BG018CORREO_MS

85
3.- Planificación de Roles Ubicación de Servidores de Correo
Basado en el Hardware previamente adquirido y en las necesidades de la Organización
relacionadas con la Infraestructura de Correo, a continuación se presenta la ubicación
y rol específico que tendrá cada servidor de correo presente. La siguiente tabla
muestra el equipo seleccionado:
Tabla 37: Delegación de Roles Exchange
Nombre Marca/Modelo Sistema Operativo
BG018CORREO IBM X-Series 345 Windows Server 2003
1 Pentium Xeon 2.4 Ghz, Enterprise en Español
2,5 Gb RAM
3 Discos 36.4 Gb en Raid Exchange Server 2003
5 Enterprise en Español
Disco Lógico: 72 GB

3.1.- Mailbox Server

La configuración de los servidores para almacenamiento de Buzones de Usuarios
(Mailboxes) quedara distribuida de la siguiente manera:
En cada servidor se crearán dos bases de datos de buzones (stores) dentro del
Storage Groups, para clasificar a futuro distintas necesidades de almacenamiento,
quedando indicadas de la siguiente manera:
Tabla 38: Delegación de Roles Exchange

Storage Group Store Política de Ubicación Física en

Almacenamiento Servidor

First Storage Groups Básico 100 MB D:\MDBDATA

Avanzado 100 MB D:\MDBDATA

3.2.- Servidores del Directorio Activo

Para efectos de la integración del Directorio Activo y Exchange Server 2003, debe
instalarse un domain controller como global catalog Server.

4.- Outlook Web Access

Para Banco Guayana se plantea la configuración de un servidor con el servicio de
OWA para dar acceso desde Internet a los buzones de correo electrónico en cada
localidad, quedando publicados usando el servidor ISA para configurar la publicación
http.
Se creará un web site con la siguiente dirección:
Puerto Ordaz: http://mail.bancoguayana.net/exchange
Esto usando el IIS instalado en el servidor de correo.

86
 V. Diseño de Estrategia de Migración

Este esquema plantea la migración de cuentas de usuarios, grupos, buzones de

correo, y computadoras del dominio BG018 y BG004 al dominio
Bancoguayana.com.ve, siendo este último un dominio aparte de Directorio Activo en
Windows 2003.
Esta actividad se fundamenta en el uso del Active Directory Migration Tool (ADMT)
v2.0.

La migración de Banco Guayana, estará dividida en dos etapas: Prueba de Concepto e

Implementación.

A.- Plan Piloto

Consiste en generar un ambiente de pruebas, en el cual se pueda verificar la

efectividad del diseño propuesto. Esta fase estará dividida en un grupo de etapas que
se describen luego del siguiente diagrama, el cual muestra los equipos utilizados para
esta prueba.

1.- Instalación de la Infraestructura Actual en del dominio BG018

• Instalar un servidor BDC del dominio BG018 en un equipo de transición,
verificar la replicación de todos los datos del dominio.
• Desincorporar el BDC generado de la red en producción y promoverlo a PDC,
para ser utilizado como controlador principal del dominio de prueba.

87
 • Se instalará un Router el cual será un equipo con Windows 2000 ó 2003 y dos
tarjetas de red, para interconectar las redes antes mencionadas.
• Al comprobar el funcionamiento de servidor PDC, se Instalará un servidor de
Correo en un equipo designado para tal fin, con el mismo nombre del servidor
en producción BG018CORREO_BDC, usando Microsoft Exchange 5.5 SP4. A
este servidor se le aplicará el procedimiento de restore descrito en el documento
“Exchange 5.5 Disaster Recovery” disponible en la página de Microsoft.
• Se instalará el servicio de WINS tal como se tiene configurado en la plataforma
actual, y se colocará el servidor como cliente de si mismo.
• Se instalará y configurará el servicio de DHCP para proveer con el Scope
correspondiente. El direccionamiento IP a usar será el mismo que la red de
producción, 128.50.4.0/22.
• Se configurara el servidor de la Agencia para emular el ambiente actual (HIS,
MOSAIC)
• Se instalará y configurará un servidor de Isa Server que servirá para emular el
ambiente de DMZ actual.
• Se instalará y configurará un servidor de Windows 2000 Server con Exchange
5.5. service pack 4, para configurar el servicio Internet mail Server, tal como
funciona en el ambiente actual.
• Se instalará y configurará un servidor de SMS.
• Se instalará y configurará un servidor de Symatec Web Security, tal como
funciona en el ambiente actual.
• Se instalará un configurará un servidor para emular el servidor de la agencia.
• Se instalará y configurará un servidor BDC Windows NT 4.0 para migración de
password.

2.- Instalación de la Infraestructura Actual en del dominio BG004

• Instalar un servidor BDC del dominio BG004 en un equipo de transición,
verificar la replicación de todos los datos del dominio. Este equipo será
conectado en la LAN correspondiente al ambiente de pruebas.
• Desincorporar el BDC generado de la red en producción y promoverlo a PDC.
• Al comprobar el funcionamiento de servidor PDC, se instalará el servicio de
WINS tal como se tiene configurado en la plataforma actual, y se colocará el
servidor como cliente de si mismo.
• El direccionamiento IP a usa será el mismo que la red de producción,
128.50.36.0/22.
• Se instalará y configurará el servicio de DHCP para proveer con el Scope
correspondiente.

88
 • Se configurara el servidor de la Agencia para emular el ambiente actual (HIS,
MOSAIC, Etc.)
• Se instalará y configurará un servidor BDC Windows NT 4.0 para migración de
password

3.- Integración de los dominios de prueba BG018 y BG004

Una vez comprobado el funcionamiento de cada dominio y sus correos respectivos, se
debe proceder a:
• Configurar las puertas de enlaces para cada máquina.
• Configurar la replicación de los servidores WINS.
• Verificar la comunicación entre ambos servidores, Verificar la recepción y envío
de correo.

4.- Pruebas en la Infraestructura Actual ya consolidada

Al estar configurada y consolidada la Infraestructura actual de ambas redes, se
procederá a realizar las pruebas descritas a continuación:
Tabla 39: Resultados Prueba de Concepto

Pruebas y datos
Tipo de Prueba Descripción Responsables Resultado
utilizados
Probar con 2 usuarios
Oscar Rodriguez
actuales del Domino para Validación de
Validación de Usuario Darley Rincon
comprobar el Usuarios con Cuentas Positivo
de Dominio BG018 Wilfredo Blanco
funcionamiento del del Dominio
Victor Marrero
Dominio BG018

Probar con 2 usuarios

Oscar Rodriguez
actuales del Domino para Validación de
Validación de Usuario Darley Rincon
comprobar el Usuarios con Cuentas Positivo
del Dominio BG004 Wilfredo Blanco
funcionamiento del del Dominio
Victor Marrero
Dominio BG004

Validación en una
Oscar Rodriguez Validación de un
Maquina del Dominio Probar Relación de
Darley Rincon Usuario de BG018 en
BG004 con un confianza entre los Positivo
Wilfredo Blanco un computador del
usuario del dominio dominios BG018 y BG004
Dominio BG004
BG018

Validación en una
Oscar Rodriguez Validación de un
Maquina del Dominio Probar Relación de
Darley Rincon Usuario de BG004 en
BG018 con un confianza entre los Positivo
Wilfredo Blanco un computador del
usuario del dominio dominios BG004 y BG018
Dominio BG018
BG004

89
Configuración y
Oscar Rodriguez Configuración y
Pruebas de Correo Prueba de Correo
Wilfredo Blanco Lectura de Correos Positivo
Electrónico dentro del Electrónico Local
Electrónicos
Dominio BG018
Configuración y
Configuración y
Pruebas de Correo Prueba de Correo Oscar Rodriguez
Lectura de Correos Positivo
Electrónico dentro del Electrónico Local Wilfredo Blanco
Electrónicos
Dominio BG004

Validación del
Envío, Lectura y
Pruebas de Correos Funcionamiento del Oscar Rodriguez
Respuesta de Positivo
entre Ambos Sites Conector entre ambos Wilfredo Blanco
Correos entre Sites
Sites

Validación de la Impresión de
Configuración de la Wilfredo Blanco documentos de
Pruebas de Impresión Positivo
impresora en Victor Marrero prueba desde equipos
BG018_Correo de ambos Dominios

Acceso a Carpetas
Verificar el Acceso al nivel Se accesaron y
Compartidas en el
requerido a la carpetas Wilfredo Blanco colocaron datos en la Positivo
Servidor
Datos Victor Marrero carpeta compartida
BG018Correo_BDC

90
5.- Creación y configuración del dominio Bancoguayana.com.ve (Migración del
Dominio BG018).
En esta etapa deberán realizarse las siguientes actividades:
• Transferir el rol de PDC (BG018PDC) y los servicios de red que proporciona
(DHCP, WINS, etc.) a un equipo de transición. Cambiar el direccionamiento IP
del servidor PDC (asignarle la IP 128.50.4.19), y al equipo de transición
asignarle la IP 128.50.4.6. Validar que siga operando normalmente.
• Modificar el archivo Lmhost para reflejar el cambio de direcciones. Replicarlo a
los demás servidores. Modificar el servicio WINS para reflejar el cambio.
• Formatear el servidor que tenia el rol de PDC del dominio BG018. Instalar en
este servidor Windows Server 2003, el cual será utilizado como controlador de
dominio. El nombre de este servidor será BG018DC01, usando la dirección IP:
128.1.50.x. Pertenecerá al grupo de trabajo WORKGROUP.
• Instalación y configuración del servicio de DNS en el servidor BG018DC01,
creando la zona estándar primaria Bancoguayana.com.ve y las zonas reversas
primarias para cada una de las redes. Colocar este equipo como cliente DNS de
si mismo. Habilitar Dynamic Update.
• Ejecutar el DCPROMO en el servidor BG018DC01, indicando el nombre del
dominio Bancoguayana.com.ve y colocando las bases de datos, logs y carpeta
de SYSVOL, de manera predeterminada. Colocar en el password de Directory
Service Restore: password.
• Agregar la ruta estática, para la sub-red 192.168.1.0.
• Verificar la promoción del equipo BG018DC01 a Domain Controller en el DNS y
Event Viewer.
• Integrar la Zonda DNS con el Directorio Activo
• Deshabilitar la política Strong Password.
• Crear la relación de confianza con el dominio BG018 de manera bidireccional.
• Instalar el servicio WINS en el servidor BG018DC01, indicar que será cliente
WINS de si mismo y configurar la replicación con el servidor PDC del dominio
BG018.
• Renombrar el Default-First-Site-Name a BG018 y crear la subred 128.50.4.0/22,
asociada a este site.
• Renombrar el Default-Site-Link a BG018-BG004.
• Crear el site BG004, luego la subred 128.50.36.0/22 indicando que esta
pertenece a este site.
• Crear la estructura básica de OUs para la migración, según el diseño.
.

91
6.- Migración de BG018 a Bancoguayana.com.ve.
Tareas que deben realizarse para migración de cuentas del dominio BG018 al dominio
Bancoguayana.com.ve.
• Instalación del ADMT en el servidor BG018DC01 (ver documento Q325851,
Q83221 y Q326480).
• Intercambio de grupos Administradores de Dominio de BG018 Y
Bancoguayana.com.ve como administradores Locales de todos los servidores y
equipos que intervienen en la prueba de concepto.
• Ejecutar el ADMT en el servidor BG018DC01 para generar el archivo de
exportación de password.
• Instalar y configurar la herramienta de migración de password, en el Servidor
PDC del dominio BG018. Esto siguiendo los pasos descritos por Microsoft
según documentos Q325851, Q326480 y Q832221.
• Migración de cuentas de Usuario de BG018 al dominio Bancoguayana.com.ve
usando ADMT, indicando que se desean migrar los password de usuarios.
• Migración de grupos de BG018 al dominio Bancoguayana.com.ve usando
ADMT.
• Sincronización del Exchange Directory Services, para indicar la relación de
buzones con cuentas del dominio Bancoguayana.com.ve, usando el ADMT
• Migración de Cuentas de Computadoras de BG018 a Bancoguayana.com.ve
usando ADMT, indicando que se desean conservar los perfiles y permisos.

7.- Servidores de Correo para Bancoguayana.com.ve.

• Instalar Windows Server 2003 en el servidor de correo del Site BG018
(BG018CORREO), su dirección IP será 128.50.4.9.
• Crear una partición con el espacio restante del disco para las bases de datos y
logs de Exchange.
• Colocar BG018CORREO como clientes DNS y WINS del servidor
BG018DC01.
• Agregar BG018CORREO al dominio Bancoguayana.com.ve.
• Instalar el ADC en el servidor BG018CORREO para sincronizar las cuentas de
Bancoguayana.com.ve con los buzones del site de Exchange BG018.
• Instalar Exchange 2003 en el servidor BG018CORREO. Siguiendo
detalladamente los pasos descritos en la herramienta de Instalación de
Exchange Server 2003 (Exchange Deployment Tools)

92
 • Configurar el First Storage Group para que ubique los logs en la partición
dispuesta para tal fin D:\mdbdata, y las bases de datos de los stores, crear un
store llamado avanzados, ubicar la base de datos en D:\mdbdata.
|

8.- Buzones de correo de BG018 para Bancoguayana.com.ve.

En esta etapa se moverán los buzones del servidor BG018CORREO_BDC, al servidor
BG018CORREO, los cuales están en el mismo site
Se debe verificar la integración entre el servicio de correo presente. Una vez
comprobada la integración se harán pruebas de envío y recepción de correo interno.

9.- Pruebas de Migración BG018 a Bancoguayana.com.ve.

Se realizaran las siguientes pruebas una vez migrada toda la infraestructura del
dominio BG018;
• Validación en el dominio Bancoguayana.com.ve
• Envío de correo entre usuarios de Bancoguayana.com.ve y del Dominio
BG004
• Pruebas de Impresión en el dominio Bancoguayana.com.ve

93
10.- Migración de BG004 a Bancoguayana.com.ve.
• Transferir el rol de PDC (BG018PDC) y los servicios de red que proporciona
(DHCP, WINS, etc.) a un equipo de transición. Cambiar el direccionamiento IP
del servidor PDC (asignarle la IP 128.50.36.19), y al equipo de transición
asignarle la IP 128.50.36.6. Validar que siga operando normalmente.
• Modificar el archivo Lmhost para reflejar el cambio de direcciones. Replicarlo a
los demás servidores. Modificar el servicio WINS para reflejar el cambio.
• Formatear el servidor que tenia el rol de PDC del dominio BG004. Instalar en
este servidor Windows Server 2003, el cual será utilizado como controlador de
dominio. El nombre de este servidor será BG004DC01, usando la dirección IP:
128.1.36.6. Pertenecerá al grupo de trabajo WORKGROUP.
• Ejecutar DCPROMO en el equipo BG004DC01, para generar un DC adicional
del dominio Bancoguayana.com.ve, usando la cuenta del administrador del
dominio Bancoguayana.com.ve, dejando las bases de datos, logs y carpeta de
SYSVOL, de manera predeterminada. Colocar en el password de Directory
Service Restore: password. Este equipo será automáticamente asignado al site.
• Instalación y configuración del servicio de DNS en el servidor BG004DC01
Colocar este equipo como cliente DNS de si mismo. Comprobar la replicación de
todas las zonas. Habilitar Dynamic Update.
• Verificar la promoción del equipo BG018DC01 a Domain Controller en el DNS y
Event Viewer.
• Colocar el equipo BG004DC01 como Global Catalog del Site BG004.
• Verificar la replicación de ambos controladores de dominio de
Bancoguayana.com.ve
• Instalar el servicio WINS en el servidor BG018DC01, indicar que será cliente
WINS de si mismo y configurar la replicación con el servidor PDC del dominio
BG004.
• Instalación del ADMT en el servidor BG004DC01 (ver documento Q325851,
Q83221 y Q326480).
• Intercambio de grupos Administradores de Dominio de BG004 Y
Bancoguayana.com.ve como administradores Locales de todos los servidores y
equipos que intervienen en la prueba de concepto.
• Ejecutar el ADMT en BG004DC01 para generar el archivo de exportación de
password.
• Instalar y configurar la herramienta de migración de password, en el Servidor
PDC del dominio BG004. Esto siguiendo los pasos descritos por Microsoft
según documento Q245678.
• Migración de cuentas de Usuario de BG004 al dominio Bancoguayana.com.ve
usando ADMT, indicando que se desean migrar los password de usuario.

94
 • Migración de grupos de BG004 al dominio Bancoguayana.com.ve usando
ADMT.
• Migración de Cuentas de Computadoras de BG004 a Bancoguayana.com.ve
usando ADMT, indicando que se desean conservar los perfiles y permisos.

11.- Pruebas de Migración BG004 a Bancoguayana.com.ve.

Se realizaran las siguientes pruebas una vez migrada toda la infraestructura del
dominio BG004:
• Pruebas de validación en el dominio Bancoguayana.com.ve
• Envío de correo entre usuarios de Bancoguayana.com.ve en Sede Principal
y Agencia Puerto Ordaz.
• Pruebas de Impresión en el dominio Bancoguayana.com.ve

12.- Desincorporación de BG018 y BG004.

En esta etapa se instalarán el servicio DHCP con el mismo scope configurado en los
servidores de cada localidad, y se detendrá en los servidores PDC de cada dominio.
Desinstalación del Servidores de Correo de la Localidad Altavista
Cambio de modo de la Organización a modo Nativo Exchange 2003.
Eliminar del Servidor Wins de los Sites BG018 y BG004 los registros duplicadores de
los dominios BG018 y BG004.
Se apagarán los servidores de correo y luego cada PDC.

95
B.- Implementación
A continuación se presentan las tareas necesarias para realizar la implementación de
la migración del dominio BG018 al dominio Bancoguayana.com.ve. Esta fase estará
dividida en siguientes etapas:

1.- Entonación de la Infraestructura Actual BG018 (Tareas Pre-Upgrade)

• Cambiar el password de la cuenta de administrador actual para efectos de
migración y colocar un password que será manejado por todo el personal
involucrado en el proyecto de migración
• Instalar un servidor BDC adicional del dominio BG018 en un equipo de
transición, verificar la replicación de todos los datos del dominio. Se usará
Windows NT Server 4.0 en Español con el SP 6a. La configuración de este
equipo será la siguiente:
o Nombre: BG018Respaldo
o IP: Asignación por DHCP
• Al comprobar el funcionamiento de servidor BDC BG018Respaldo, debe
apagarse este equipo y guardarse para uso de contingencia.
• Instalar un servidor BDC del dominio BG018 en un equipo de transición,
verificar la replicación de todos los datos del dominio. Se usará Windows NT
Server 4.0 con el SP 6a. Instalarle Internet Explorer 6.0. Para soportar la
migración de password según documento de Microsoft Q245678, No instalar IIS.
La configuración de este equipo será la siguiente:
o Nombre: BG018PDCB
o IP: 128.50.4.19/22
o Default Gateway: 128.50.4.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.4.14
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.4.14
• Cambiar el direccionamiento IP del servidor PDC (asignarle la IP 128.50.4.19) y
al BG018PDCB asignarle la IP 128.50.4.6
• Renombrar el BG018PDC como BG018PDCTEMP y el BG018PDCB como
BG018PDC.
• Respaldar la base de datos de Exchange según el procedimiento de backup
descrito en el documento “Exchange 5.5 Disaster Recovery” disponible en la
página de Microsoft.
• Transferir el rol de PDC (BG018PDC) y los servicios de red que proporciona
(DHCP, WINS, etc.) al equipo de transición. Validar que siga operando
normalmente.

96
• Modificar el archivo Lmhost para reflejar el cambio de direcciones. Replicarlo a
los demás servidores. Modificar el servicio WINS para reflejar el cambio (Ver
anexo A. Script para cambio de direccionamiento IP de Servidores PDC y de
Correo).
• Se configurará el servicio de DHCP actual para que asigne adicionalmente las
opciones 044 Wins Server: 128.50.4.19, 006 DNS Server: 128.50.4.6 y
128.50.4.35; y 015 Domain Name Space: Bancoguayana.com.ve, a todos los
clientes de BG018.
• Instalar un servidor como Member Server del dominio BG018 en un equipo de
transición. Se usará Windows NT Server 4.0 con el SP 6a. Instalarle Internet
Explorer 5.5 o posterior. Instalar IIS 4.0 (Windows NT Option Pack). La
configuración de este equipo será la siguiente:
o Nombre: BG018CORREO
o IP: 128.50.4.20/22
o Default Gateway: 128.50.4.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.4.14
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.4.14
• Cambiar el direccionamiento IP del servidor BG018CORREO_BDC (asignarle la
IP 128.50.4.20) y al BG018CORREO asignarle la IP 128.50.4.9
• Renombrar el BG018CORREO como BG018CORREO_BDC y el
BG018CORREO como BG018CORREOTEMP.
• Instalar Exchange 5.5 en el nuevo servidor BG018CORREO_BDC, y restaurar
las base de datos de Exchange según el procedimiento de restore descrito en el
documento “Exchange 5.5 Disaster Recovery” disponible en la página de
Microsoft.

97
 2.- Creación del dominio Bancoguayana.com.ve
En esta etapa deberán realizarse las siguientes actividades:
• Formatear el servidor que tenia el rol de PDC del dominio BG018. Instalar en
este servidor Windows Server 2003, el cual será utilizado como controlador de
dominio de la Sede Principal, con los componentes DNS, WINS y DHCP, Se
usara la siguiente configuración:
DC1
o Nombre: BG018DC01
o IP: 128.50.4.6/19
o Default Gateway: 128.50.4.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.4.14
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.4.14
o Pertenecerá al grupo de trabajo WORKGROUP.

• Configuración del servicio de DNS en el servidor BG018DC01, creando la zona

estándar primaria Bancoguayana.com.ve y las zonas reversas primarias para
cada una de las redes. Colocar este equipo como cliente DNS de si mismo.
Habilitar Dynamic Update.
• Ejecutar el DCPROMO en el servidor BG018DC01, indicando el nombre del
dominio Bancoguayana.com.ve y colocando las bases de datos, logs y carpeta
de SYSVOL, de manera predeterminada. Colocar en el password de Directory
Service Restore, el password elegido para este fin.
• Verificar la promoción del equipo BG018DC01 a domain controller en el DNS y
Event Viewer.
• En el servidor BG018DC01 instalar y configurar el Servicio WINS. Configurar la
replicación WINS con el servidor PDC del dominio BG018.
• Agregar la ruta estática para la sub-red 192.168.1.0/24.
• Integrar la Zona DNS con el Directorio Activo.
• Deshabilitar la política de Strong Password.
• Crear la relación de confianza con el dominio BG018 y BG004 de manera
bidireccional.
• Renombrar el Default-First-Site-Name a BG018 y crear la subred 128.50.4.0/22,
asociada a este site.
• Renombrar el Default-Site-Link a BG018-BG004.

98
• Crear el site BG004, luego la subred 128.50.36.0/22 indicando que esta
pertenece a este site.
• Crear la estructura básica de OUs para la migración, según el diseño.

• Configurar los roles de los DC tal como se indica en el siguiente diagrama:

99
 3.- Migración de BG018 a Bancoguayana.com.ve.
Tareas que deben realizarse para migración de cuentas del dominio BG018 al dominio
Bancoguayana.com.ve.
• Instalación del ADMT en el servidor BG018DC01 (ver documento Q325851,
Q83221 y Q326480).
• Intercambio de grupos Administradores de Dominio de BG018 Y
Bancoguayana.com.ve como administradores Locales de todos los servidores
y equipos que intervienen en la migración.
• Ejecutar el ADMT en BG018DC01 para generar el archivo de exportación de
password.
• Instalar y configurar la herramienta de migración de password, en el Servidor
PDC del dominio BG018. Esto siguiendo los pasos descritos por Microsoft
según documentos Q325851, Q326480 y Q832221.
• Migración de cuentas de Usuario de BG018 al dominio Bancoguayana.com.ve
usando ADMT, indicando que se desean migrar los password de usuarios.
• Migración de grupos de BG018 al dominio Bancoguayana.com.ve usando
ADMT.
• Migración de cuentas de Servicio de BG018 al dominio Bancoguayana.com.ve
usando ADMT, indicando que se desean migrar los password de usuarios.
• Migración de las relaciones de Confianza de BG018 contra los distintos
dominios del banco (Dominios: BG001, BG002, BG003, etc.).
• Migración de grupos de BG018 al dominio Bancoguayana.com.ve usando
ADMT.
• Sincronización del Exchange Directory Services, para indicar la relación de
buzones con cuentas del dominio Bancoguayana.com.ve
• Migración de Cuentas de Computadoras de BG018 a Bancoguayana.com.ve
usando ADMT, indicando que se desean conservar los perfiles y permisos.

4.- Pruebas de Migración BG018 a Bancoguayana.com.ve.

Se realizaran las siguientes pruebas una vez migrada toda la infraestructura del
dominio BG018;
• Validación en el dominio Bancoguayana.com.ve
• Envío de correo entre usuarios de Bancoguayana.com.ve y de otros
Dominios.
• Pruebas de Impresión en el dominio Bancoguayana.com.ve.

100
 5.- Servidores de Correo para Bancoguayana.com.ve y Member Servers para
la Migración.

Servidor de Correo: BG018CORREO

• Instalar Windows Server 2003 en el servidor de correo del Site BG018 Agregar
el componente NNTP Server de IIS y Activar el modo Administración Remota.
o Nombre: BG018CORREO
o IP: 128.50.4.9/19
o Default Gateway: 128.50.4.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.4.14
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.4.14
o Equipo a utilizar: HP DL380 2 Pentium XEON 2.4 Ghz, Ram 1 GB
o Pertenecerá al grupo de trabajo WORKGROUP.
• Crear una partición con el espacio restante del disco para las bases de datos y
logs de Exchange.
• Colocar BG018CORREO como clientes DNS y WINS del servidor BG018DC01.
• Agregar BG018CORREO al dominio Bancoguayana.com.ve.
• Instalar el ADC en el servidor BG018CORREO para sincronizar las cuentas de
Bancoguayana.com.ve con los buzones del site de Exchange BG018.
• Instalar Exchange 2003 en el servidor BG018CORREO. Siguiendo
detalladamente los pasos descritos en Las herramientas de Instalación de
Exchange Server 2003 (Exchange Deployment Tools)
• Configurar el First Storage Group para que ubique los logs en la partición
dispuesta para tal fin D:\mdbdata, y las bases de datos de los stores, crear un
store llamado avanzados, ubicar la base de datos en D:\mdbdata.

101
Servidor de Systems Management Server: BG018SMS_BDC
• Instalar un servidor BDC adicional del dominio BG018 en un equipo de
transición, verificar la replicación de todos los datos del dominio. Se usará
Windows NT Server 4.0 en Español con el SP 6a. La configuración de este
equipo será la siguiente:
o Nombre: BG018TEMP
o IP: Asignada por DHCP
o Pertenecerá al Dominio BG018.
• Sacar a los servidores BG018TEMP y BG018SMS_BDC del dominio BG018.
• Conectar los equipos en una red separada del ambiente de producción, y
promover al BG018TEMP a PDC.
• Actualizar a Windows Server 2003 el sistema operativo del servidor
BG018TEMP. Configurar WINS y DNS. Verificar el correcto funcionamiento del
Controlador de dominio.
• Actualizar a Windows Server 2003 el sistema operativo del servidor de SMS
BG018SMS_BDC. Durante la fase de instalación, Indicar que el servidor será un
Member Server.
• Una vez que se haya verificado la correcta actualización del sistema operativo,
prodecer a conectar nuevamente el Servidor BG018SMS_BDC en el ambiente
de producción. Realizar los ajustes y cambios de servicios y cuentas que sean
necesarios.
• Apagar el servidor BG018TEMP.

6.- Buzones de correo de BG018 para Bancoguayana.com.ve.

En esta etapa se moverán los buzones del servidor BG018CORREO_BDC, al servidor
BG018CORREO, los cuales están en el mismo site
Se debe verificar la integración entre el servicio de correo presente y el nuevo servidor.

102
C.- Migración de BG004 a Bancoguayana.com.ve.

1.- Tareas Pre-upgrade

• En el dominio BG004 cambiar el password de la cuenta de administrador actual,
para efectos de migración y colocar un password que será manejado por todo el
personal involucrado en el proyecto de migración
• Instalar un servidor BDC adicional del dominio BG004 en un equipo de
transición, verificar la replicación de todos los datos del dominio. Se usará
Windows NT Server 4.0 en Español con el SP 6a. La configuración de este
equipo será la siguiente:
o Nombre: BG004Respaldo
o IP: Asignación por DHCP
• Al comprobar el funcionamiento del servidor BDC BG004Respaldo, debe
apagarse este equipo y guardarse para uso de contingencia.
• Eliminar de la Consola de Systems Management Server (SMS), el sitio
secundario BG004 - Pto. Ordaz. Según los procedimientos acostumbrados. Es
altamente recomendable desinstalar el cliente SMS de las estaciones de trabajo,
ya que el servidor SMS cambiara de nombre y los clientes no podrán accesarlo.
• Instalar un servidor BDC del dominio BG004 en un equipo de transición,
verificar la replicación de todos los datos del dominio. Se usará Windows NT
Server 4.0 con el SP 6a. Instalarle Internet Explorer 6.0. Este equipo se usará
para transferir el rol de PDC. La configuración de este equipo será la siguiente:
o Nombre: BG004PDCB
o IP: 128.50.x.19/22
o Default Gateway: 128.50.x.1
o WINS Primario: 128.50.x.6
o WINS Secundario: 128.50.4.6
o DNS Primario: 128.50.x.6
o DNS Secundario: 128.50.4.6
• Respaldar toda la información importante del servidor BG004PDC, incluyendo la
carpeta Moaproj (todo lo que tenga que ver con Mosaic). Apagar el servidor
BG004PDC.
• Renombrar el BG004PDCB como BG004PDC.
• Promover a PDC (BG004PDC) al equipo de transición. Validar que el nuevo
PDC este operando normalmente.

103
 NOTA1: Estos pasos de crear un BDC en un equipo de transición y la
transferencia del rol de PDC, se deben realizar solamente en aquellos
dominios donde el Controlador de Dominio de Windows 2003 deberá ser
el equipo que actualmente se encuentra en producción, Si se tiene un
equipo nuevo que reemplazará al PDC de producción, no se hace
necesario transferir el rol del actual PDC.

NOTA2: Para cada una de las agencias del banco, se deberá crear la
sub-red y el site apropiado, antes de empezar con la instalación y
promoción del equipo a Controlador de dominio.

2.- Instalación de Windows Server 2003.

• Formatear el servidor que tenia el rol de PDC del dominio BG004. Instalar en
este servidor Windows Server 2003, el cual será utilizado como controlador de
dominio de la Sede Principal. Se usara la siguiente configuración:
o Nombre: BG004DC01
o IP: 128.50.x.6/19
o Default Gateway: 128.50.x.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.x.6
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.x.6
o Pertenecerá al dominio Bancoguayana.com.ve

• Instalar en este servidor los servicios DNS, WINS y DHCP. No configure el

servicio DNS, ya que este se completara cuando se ejecute el DCPROMO.
• Ejecutar DCPROMO en el equipo BG004DC01, para generar un DC adicional
del dominio Bancoguayana.com.ve, usando la cuenta del administrador del
dominio Bancoguayana.com.ve, dejando las bases de datos, logs y carpeta de
SYSVOL, de manera predeterminada. Colocar en el password de Directory
Service Restore, el password elegido para este fin. Este equipo será
automáticamente asignado al Site BG004.
• Verificar la promoción del servidor BG004DC01 en el Site BG004, a través del
DNS y del Event Viewer.

104
• Se debe esperar aproximadamente 10 min. Abrir el DNS Manager. Si no
aparecen los registros de la zona DNS Bancoguayana.com.ve, proceda a
reiniciar el servicio DNS. (En ocasiones puede ser necesario desintalar el
servicio DNS y reinstalarlo).
• En el DNS crear la zona inversa para la sub-red de la agencia que se esta
trabajando.
• Cambiar la Configuracion TCP/IP del servidor BG004DC01 para colocar como
DNS y WINS primario, la direccion IP del mismo servidor (128.50.x.6).
• Configurar el ambito del DHCP. Verificar en las propiedades del DHCP, que esté
activada la detección de conflictos de direcciones IP.
• Configurar la Replicación del WINS: en el servidor BG018DC01, se debe
eliminar el asociado de replicación identificado con la IP 128.50.x.6
(correspondiente a la agencia actual), ya que esta IP corresponde al antiguo
PDC. Añadir el nuevo servidor de replicación 128.50.x.6 (correspondiente Al
nuevo servidor BG004DC01) como asociado de replicación del BG018DC01.
De igual manera, en el servidor BG004DC01, se debe añadir el asociado de
replicación BG018DC01.
• Designar el DC BG004DC01 como Global Catalog Server.
• Modificar el archivo Lmhost que se encuentra en
\\128.50.4.6\admin$\system32\drivers\etc, para reflejar el cambio de nombre del
servidor y de dominio. Ejecutar el comando Nbtstat –R. Copiar este archivo
modificado al nuevo servidor BG004DC01 en la carpeta
C:\WINDOWS\System32\drivers\etc. Ejecutar el comando Nbtstat –R.
• Instalar las herramientas de ADMT, del CD de Windows Server 2003, en el
Servidor BG004DC01.
• Ejecutar el comando: “Admt Key BG004 c:\ ” (sin las comillas), en el servidor
BG004DC01. para generar el archivo de exportación de password.
• Copiar la carpeta i386\ADMT\PWDMIG, del CD de Windows Server 2003, al
servidor BG004DC01. Copiar el archivo de cifrado generado en el paso anterior,
hasta el BG004PDC.
• Instalar y configurar la herramienta de migración de password, en el Servidor
BG004PDC del dominio BG004. Esto siguiendo los pasos descritos por
Microsoft según documentos Q325851, Q326480 y Q832221.
• Desde el Servidor BG004DC01, realizar una prueba de migración de usuarios,
para que el asistente de instalación termine de configurar el servidor
BG004PDC. Se debe responder si a las preguntas que realice el asistente.
• Migración de cuentas de Usuario de BG004 al dominio Bancoguayana.com.ve
usando ADMT, indicando que se desean migrar los password de usuario.
• Migración de cuentas de Servicio de BG004 al dominio Bancoguayana.com.ve
usando ADMT.

105
 • Migración de grupos de BG004 al dominio Bancoguayana.com.ve usando
ADMT.
• Migración de Cuentas de Computadoras de BG004 a Bancoguayana.com.ve
usando ADMT, indicando que se desean conservar los perfiles y permisos.
• Instalar y configurar las aplicaciones de Negocio.

3.- Pruebas de Migración BG004 a Bancoguayana.com.ve.

Se realizaran las siguientes pruebas una vez migrada toda la infraestructura del
dominio BG004;
• Validación en el dominio Bancoguayana.com.ve
• Envío de correo entre usuarios de Bancoguayana.com.ve y de otros
Dominios.
• Pruebas de Impresión en el dominio Bancoguayana.com.ve.
• Realizar prueba con el Mosaic.

4.- Desincorporación del dominio BG004

• Eliminar las relaciones de confianza del Dominio BG004 con el resto de los
dominios.
• Apagar los servidores PDC y BDC del dominio BG004, verificar que los
usuarios sigan trabajando normalmente y que no tengan servicios de red
requeridos del PDC antiguo.

5.- Instalación de Symantec Antivirus y SMS 2.0 en el servidor BG004DC01.

• Proceder a la instalación del Symantec Antivirus y SMS 2.0 según los
procedimientos acostumbrados. Instalar el cliente SMS y el cliente Antivirus
en la estaciones de trabajo.

106
D.- Instalación de Agencia Nueva en el dominio Bancoguayana.com.ve.

NOTA: Antes de empezar con la instalación de la nueva agencia, se

deberá crear la sub-red y el site apropiado, Verificar que se repliquen en
el Active directory antes de proceder con la instalación y promoción del
equipo a Controlador de dominio.

1.- Instalación de Windows Server 2003.

• Formatear el servidor que será el controlador de dominio de la Agencia. Instalar

en este servidor Windows Server 2003, el cual será utilizado como controlador
de dominio de la Sede Principal. Se usará la siguiente configuración:
o Nombre: BGxxxDC01
o IP: 128.50.x.6/19
o Default Gateway: 128.50.x.1
o WINS Primario: 128.50.4.6
o WINS Secundario: 128.50.x.6
o DNS Primario: 128.50.4.6
o DNS Secundario: 128.50.x.6
o Pertenecerá al dominio Bancoguayana.com.ve

• Instalar en este servidor los servicios DNS, WINS y DHCP. No configure el

servicio DNS, ya que este se completara cuando se ejecute el DCPROMO.
• Ejecutar DCPROMO en el equipo BGxxxDC01, para generar un DC adicional
del dominio Bancoguayana.com.ve usando la cuenta del administrador del
dominio Bancoguayana.com.ve. Ubique las bases de datos, logs y carpeta de
SYSVOL, de manera predeterminada. Colocar en el password de Directory
Service Restore, el password elegido para este fin. Este equipo será
automáticamente asignado al Site BGxxx.
• Verificar la promoción del servidor BGxxxDC01 en el Site BGxxx, a través del
DNS y del Event Viewer.
• Se debe esperar aproximadamente 10 min. Abrir el DNS Manager. Si no
aparecen los registros de la zona DNS Bancoguayana.com.ve, proceda a
reiniciar el servicio DNS. (En ocasiones puede ser necesario desintalar el
servicio DNS y reinstalarlo).

107
• En el DNS crear la zona inversa para la sub-red de la agencia que se esta
trabajando. A través de herramientas administrativas, Sitios y Servicios de
Active Directory.
• Cambiar la Configuracion TCP/IP del servidor BGxxxDC01 para colocar como
DNS y WINS primario, la direccion IP del mismo servidor (128.50.x.6).
• Configurar el ambito del DHCP. Verificar en las propiedades del DHCP, que esté
activada la detección de conflictos de direcciones IP.
• Configurar la Replicación del WINS: añadir el nuevo servidor de replicación
128.50.x.6 (correspondiente Al nuevo servidor BGxxxDC01) como asociado de
replicación del BG018DC01. De igual manera, en el servidor BGxxxDC01, se
debe añadir el asociado de replicación BG018DC01.
• Designar el DC BGxxxDC01 como Global Catalog Server.
• Modificar el archivo Lmhost que se encuentra en
\\128.50.4.6\admin$\system32\drivers\etc, para reflejar el cambio de nombre del
servidor y de dominio. Ejecutar el comando Nbtstat –R. Copiar este archivo
modificado al nuevo servidor BGxxxDC01 en la carpeta
C:\WINDOWS\System32\drivers\etc. Ejecutar el comando Nbtstat –R.
• Instalar y configurar las aplicaciones de Negocio.

2.- Pruebas de operación del Dominio BGxxx a Bancoguayana.com.ve.

Se realizaran las siguientes pruebas una vez instalada toda la infraestructura del
dominio en la agencia BGxxx;
• Validación en el dominio Bancoguayana.com.ve
• Envío de correo entre usuarios de Bancoguayana.com.ve y de otras
agencias.
• Pruebas de Impresión en el dominio Bancoguayana.com.ve.
• Realizar pruebas con el Mosaic.

3.- Instalación de Symantec Antivirus y SMS 2.0 en el servidor BGxxxDC01.

Proceder a la instalación del Symantec Antivirus y SMS 2.0 según los
procedimientos acostumbrados. Instalar el cliente SMS y el cliente Antivirus en la
estaciones de trabajo.

108
 VI. Desincorporación de BG018.

Una vez que se hayan migrado todas las agencias al nuevo dominio
Bancoguayana.com.ve, se procederá a apagar el servidor PDC del dominio BG018,
según el siguiente procedimiento.

• Configuración de las políticas del dominio según el diseño.

• Desinstalar Exchange 5.5 del servidor BG018CORREO_BDC
• Cambiar la Organización de Exchange a modo Nativo
• Eliminar las relaciones de confianza del Dominio BG018 con el resto de los
dominios.
• Eliminar el duplicador Wins BG018 en el Servidor Wins del Dominio
Bancoguayana.com.ve.
• Cambiar la contraseña del Administrador de Dominio y revisar la membresía de
los grupos con privilegios administrativos.
• Apagar los servidores PDC y BDC del dominio BG018, verificar que no tenga
servicios de red requeridos.

109
 VII. Estándares para Estaciones de Trabajo

De acuerdo a la estrategia de migración seleccionada para la implementación del

proyecto de Actualización Tecnológica a Windows Server 2003 y Exchange Sever
2003, se requiere efectuar algunas tareas en los equipos de los usuarios para así
adaptarlos a la nueva infraestructura, dependiendo de la versión de sistema operativo
que tengan instalado las configuraciones varían.
Para todas las versiones de sistema operativo aplican las mismas configuraciones de
Protocolos TCP/IP, los cuales son:

BG018 DNS y WINS: 128.50.4.x y 128.50.4.14

Mascara de Subred: 255.255.252.0
Gateway: 128.50.4.1

BG004 DNS y WINS: 128.50.36.x y 128.50.4.6

Mascara de Subred: 255.255.252.0
Gateway: 128.50.36.1

Computadores con Windows NT 4.0

• Instalación o actualización del Internet Explorer a versión 6
• Instalación de Service Pack 6a
• Verificar que el computador pertenezca al dominio Bancoguayana.com.ve.
• Escribir nombre de usuario y contraseña, seleccionar en la línea de dominios:
BANCO GUAYANA.
• Colocar o Mantener el grupo Domain Admins como miembros del grupo de
administradores locales
• El correo del usuario de este computador queda automáticamente configurado.
• Verificar el correcto funcionamiento del Antivirus.
• Realizar Windows Update

Computadores con Windows 2000

• Instalación de Service Pack 4
• Verificar que el computador pertenezca al dominio Bancoguayana.com.ve.

110
 • Escribir nombre de usuario y contraseña, seleccionar en la línea de dominios:
BANCO GUAYANA.
• Colocar o Mantener el grupo Domain Admins como miembro del grupo de
administradores locales
• El correo del usuario de este computador queda automáticamente configurado.
• Verificar el correcto funcionamiento del Antivirus.
• Realizar Windows Update

Cambios para Computadores con Windows XP

• Instalación de Service Pack 1a
• Verificar que el computador pertenezca al dominio Bancoguayana.com.ve.
• Escribir nombre de usuario y contraseña, seleccionar en la línea de dominios:
BANCO GUAYANA.
• Colocar o Mantener el grupo Domain Admins como miembro del grupo de
administradores locales
• El correo del usuario de este computador queda automáticamente configurado.
• Verificar el correcto funcionamiento del Antivirus.
• Realizar Windows Update

111
 VIII. Recomendaciones

Una vez que se ha hecho la Implementación de una red basada en Ambiente

Windows Server 2003, es necesario realizar un conjunto de tareas para establecer
una línea base que permita asegurar el rendimiento de los servidores y estaciones
de trabajo de manera óptima. Los siguientes recursos son los que tienen mayor
impacto sobre el rendimiento de un servidor o una estación de trabajo:

• Memoria
• Procesador
• Subsistema de Disco
• Subsistema de Red

Cuando se monitorea un sistema es importante no solo considerar cada recurso

individualmente, sino el sistema como un todo. De esta manera es más fácil
detectar problemas que son resultado de la combinación de algunos recursos.

Antes de realizar una optimización sobre un servidor Windows Server 2003, se

debe determinar el tipo de ambiente en que esta siendo utilizado: Servidor de
impresión y archivos, Servidor de Aplicaciones y Controlador de Dominio. Cada uno
de estos roles involucra diferentes consideraciones de monitoreo y de rendimiento
de cada uno de los recursos de sistema.

Por otra parte, se recomienda realizar algunas tareas para así implementar
seguridad, rendimiento y confiabilidad en toda la infraestructura, entre las cuales se
encuentran:

• Cambiar o renombrar la cuenta de administrador de dominio.

• Crear cuentas de administración regional o local con permisos en sus
respectivas Ou’s.
• Usar password complejos en todas las cuentas con privilegios administrativos.
• Realizar cambio de password administrativo de manera frecuente.
• Restricción de acceso a la sala de servidores, solo personal autorizado.
• Instalación de antivirus a servidores controladores de dominio, impresión,
archivos y de aplicación, además instalar en el servidor de Exchange Server
2003 antivirus adecuado para tal aplicación.
• Realizar periódicamente backup del System State Data en los controladores de
dominio (DC´s).

112
• Realizar periódicamente backup de la base de datos de Exchange Server 2003,
además se recomienda hacer restore de dicho backup en ambientes de prueba,
para comprobar que estos funcionen correctamente.
• Revisar periódicamente el Event Viewer con el fin de monitorear posibles
errores de aplicación, sistema o de seguridad.
• Habilitar la auditoria de acceso y a cambios en el directorio activo
• Realizar Windows update a los servidores.
• Instalar Baseline Security Analizer y realizar chequeos periódicos.
• Se recomienda mantener los servidores en Log Off, después de realizar tareas
en los mismos.

113
 IX. Bibliografía y Documentos de Referencia

1561 Designing a Microsoft Windows 2000 Active Directory

1562 Designing a Microsoft Windows 2000 Networking Infrastucture
1572 Implementing Microsoft Exchange 2000
1573 Designing Microsoft Exchange 2000 for the Enterprise, Course 1573.
2159 Implementing Microsoft ISA Server 2000
2272 Implementing and Supporting Microsoft Windows XP Professional
2270 Updating Support Skills from Microsoft Windows NT 4.0 to Microsoft Windows
Server 2003
2283 Migrating from Microsoft Windows NT 4.0 to Microsoft Windows Server 2003
Directory Services
2282 Designing a Microsoft Windows Server 2003 Active Directory and Network
Infrastructure
2281 Designing a Microsoft Windows Server 2003 Directory Services Infrastructure
2279 Planning, Implementing, and Maintaining a Microsoft® Windows® Server 2003
Active Directory® Infrastructure
2278 Planning and Maintaining a Microsoft® Windows® Server 2003 Network
Infrastructure
2277 Implementing, Managing, and Maintaining a Microsoft Windows Server 2003
Network Infrastructure: Network Services
2276 Implementing a Microsoft® Windows® Server 2003 Network Infrastructure:
Network Hosts

Documentos Technet
240152 - XADM: What Determines a Limited Information Store in Exchange Server 5.5
268000 - XADM: Installing Exchange Server 5.5, Standard Edition, from Select CD Limits
Information Store Databases to 16 GB
267992 - XADM: How to Configure a Routing Group Connector
189286 - XADM: How to Delete a Server from a Site
152959 - XADM: How to Remove the First Exchange Server in a Site
272314 - XADM: Preparing a Mixed Mode Organization for Conversion to Native Mode
270143 - XADM: Mixed Mode vs. Native Mode
313395 - HOW TO: Examine Relay Restrictions for Anonymous SMTP Connections and Filter
Unsolicited E-mail Messages in Exchange 2000 Server
310380 - HOW TO: Prevent Exchange 2000 from Being Used as a Mail Relay in Windows 2000
324958 - HOW TO: Block Open SMTP Relaying and Clean Up Exchange Server SMTP Queues on
SBS 2000

114
155027 - XCON: Unable to Start Microsoft Exchange Server MTA: Errors 1067 and 2140
261251 - XCON: Check DNS When Receiving Event ID 9318 with Windows NT Error 1722
248488 - XCON: Event ID 9318 Occurs Within Site When Servers Operate over a WAN
283628 - How to Enable PPTP Clients to Connect Through an ISA Firewall
256862 - XADM: How to Correct Mismatched Accounts After Active Directory Connector
Replication
175496 - XCON: Using RPCPING To Troubleshoot MTA Connections
170056 - XCON: Messages Back Up on MTA with Event 9215 and Event 9318
239088 - Windows 2000 Terminal Services Server Logs Events 1111, 1105, and 1106
271135 - Windows 2000 Microsoft Management Console and Snap-in Restrictions
313072 - HOW TO: Configure the Web Publishing Service to Work with Internet Security and
Acceleration Server in Windows 2000
325851 - HOW TO: Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration
331062 - Running ISA Server on Windows Server 2003
322234 - SMTPEVT 20031 or 20033 Entries in the Application Log After You Apply ISA Server SP1
287646 - HOW TO: Configure Exchange 2000 Behind an ISA Server Computer
192185 - XADM: How to Defragment with the Eseutil Utility (Eseutil.exe)
328884 - XCCC: Messages Are Stuck in the Outbox in Outlook 2002 SP2 Because the Spooler
Encounters Entries That Do Not Have Corresponding Messages in the Outbox
186713 - Event ID 1010, 1008, 1011, and 4005 with CIM and Perflib

Documentación de Productos
Microsoft ISA Server 2000 – Configuring and Securing Microsoft Exchange 2000
Server and Cliens
Configuring SMTP Relaying with Microsoft Exchange

115
 X. Apéndice A.

Script de modificación direccionamiento IP de Servidores PDC y de Correo

(Tareas Pre-upgrade).

1. Modificar el Archivo Lmhost, reemplazando y agregando las siguientes

direcciones IP:
a. 128.50.4.19 BG018PDC
b. 128.50.4.20 BG018CORREO_BDC
c. 128.50.4.6 BG018DC01
d. 128.50.4.9 BG018CORREO

2. Conectarse al share administrativo (Admin$) de cada servidor para

reemplazar el archivo Lmhost: En el dialogo ejecutar, escribir:
\\nombredeservidor\admin$\system32\drivers\etc

3. Conectarse vía remota al servidor al cual se acaba de copiar el archivo

Lmhost. Abrir una interfaz de comando y ejecutar la siguiente instrucción:
Nbtstat -R

4. Iniciar el Administrador WINS en el servidor remoto y eliminar la referencia al

servidor de duplicación 128.50.4.6. (Menú Servidores - Duplicadores).

5. Iniciar el Administrador DHCP en el servidor remoto y modificar las opciones

del ámbito con las siguientes opciones:

a. 006 DNS Server: Agregar el valor 128.50.4.6 (ultimo en el orden)

b. 044 WINS Server: Agregar el valor 128.50.4.19
c. 044 WINS Server: Agregar el valor 128.50.4.6 (ultimo en el orden)

6. Reiniciar el servidor remoto. Asegurarse de NO APAGARLO.

7. Conectarse nuevamente vía remota al servidor

8. Iniciar el Administrador WINS en el servidor remoto y agregar el servidor de

duplicación 128.50.4.19. (Menú Servidores - Duplicadores). Indicar que
será un servidor de extracción e inserción.

9. Reiniciar el servidor remoto. Asegurarse de NO APAGARLO

10. Conectarse nuevamente vía remota al servidor. Comprobar el normal

funcionamiento del mismo. Verificar que a través del entorno de red pueda
visualizar los demás dominios y los equipos pertenecientes a los mismos.

116