PAG.

1

Diseño Funcional Infraestructura Centros Comunitarios Digitales

.

PAG. 2

Tabla de Contenido

Objetivo _______________________________________________________________ 3 Resumen Ejecutivo ___________________________________________________ 4 Descripción de problema _____________________________________________ 6
Objetivos _____________________________________________________________________ 6

Solución Conceptual __________________________________________________ 8
Instalación/Reinstalación Desatendida. _____________________________________________ 8 Administración ________________________________________________________________ 8
Protección de la configuración de PC’s _____________________________________________________ 8 Administración remota _________________________________________________________________ 9

Análisis de utilización __________________________________________________________ 10 Administración y Control CCD __________________________________________________ 10

Análisis de Alternativas de arquitectura ___________________________ 11
Esquema de Dominios y ubicación de Controladores de Dominio _____ 11
Un dominio con controladores de dominio centrales _______________________________ 11 Varios dominios con controladores centrales y locales _____________________________ 12 Dominios independientes en cada CCD ____________________________________________ 13 PC-Proxy _________________________________________________________________________ 14 PC-Estación de trabajo ____________________________________________________________ 15

Sistema Operativo ________________________________________________________ 14

Pruebas realizadas __________________________________________________ 17
Logon y Aplicación de perfiles Local _______________________________________________ 17 Logon y Aplicación de perfiles Remoto (enlace satelital, doble salto) _______________ 17 Replicación entre Controladores de Dominio (enlace satelital, doble salto) _________ 17 Administración remota (enlace satelital, doble salto)_______________________________ 17 Bitácoras de Acceso_______________________________________________________________ 18

Arquitectura Propuesta______________________________________________ 19
Esquema de Dominios____________________________________________________ 19 Perfiles de usuario________________________________________________________ 20 Proxy ______________________________________________________________________ 20 Administración____________________________________________________________ 22 Requerimientos de hardware y software _______________________________ 23
Proxy ______________________________________________________________________________ 23 Estaciones de Trabajo _________________________________________________________________ 24

Apéndices ____________________________________________________________ 26

3 Objetivo El objetivo del presente documento es mostrar la arquitectura propuesta para la implantación de los Centros Comunitarios Digitales. . Las conclusiones alcanzadas se fundamentan en las pruebas de conectividad realizadas en conjunto con la SCT y TELECOMM durante el mes de octubre en las instalaciones del CTO Iztapalapa.PAG. utilizando la red satelital instalada en este lugar por la compañía Gilat Satellite Networks.

La instalación/recuperación de los equipos de los CCD’s se realizará con instalaciones automatizadas. si así se requiere. La integridad de las PC’s será protegida por medio de: o Asignación de cuentas de usuarios con menos privilegios sobre el sistema operativo. Se encontró que la mayoría de estas operaciones tenía problemas durante las horas pico y coincidentemente se presentaron interrupciones del enlace durante estas pruebas. y otras herramientas estándares de administración de Windows 2000 y Windows XP Professional. los cuales prestarán servicios de informática. Correo Electrónico e Internet para todos los integrantes de las comunidades del país. o Perfiles de usuario que limiten las funciones de los mismos.PAG. o o o o . 4 Resumen Ejecutivo Uno de los proyectos primordiales que soportarán la iniciativa de e-México es la creación de los Centros Comunitarios Digitales (CCD’s). o Ejecutar en él la aplicación que se desarrolle para el control de reservación y asignación de las estaciones de trabajo a los usuarios del CCD. Una PC que fungirá como proxy del CCD: o Proporcionará acceso a la red satelital para el resto de PC’s del CCD. Revisión y configuración remota por medio del acceso a la consola del proxy y las PC. Durante el mes de octubre se realizaron diversas pruebas de conectividad para determinar el comportamiento del enlace satelital por medio de la ejecución de operaciones necesarias para implementar diferentes opciones de administración. o Este equipo tendrá también la función de almacenar el directorio de Usuarios del CCD. con permisos de acceso. o Un sistema de archivos más seguro y robusto. Este esquema mostró mejorar en forma muy sustancial el rendimiento y consistencia del acceso a Internet para todas las PC’s del CCD. así como el control de cobro del tiempo y recursos consumidos por estos usuarios. De forma que se evite generar tráfico por replicación. o Opcionalmente contará con servicios de firewall/cache y generará bitácoras del acceso de los usuarios a Internet. En la solución propuesta se definen los siguientes elementos: o Un directorio de usuarios propio e independiente del resto los otros CCD’s. que no requieran conocimientos técnicos del encargado. o Podrá ser usada como una estación de trabajo.

. o Permite obtener el análisis detallado del acceso de los usuarios a Internet. 5 Beneficios o Proporciona una solución de bajo costo para la implementación de las funciones del CCD o Permite la intervención remota por parte de áreas de soporte centrales. o Permite una instalación/recuperación desatendida con mínima intervención central.PAG. o La protección en clientes y procedimientos automatizados de instalación reducirá llamas de soporte. o Adecuada para los enlaces de comunicación planeados.

Los CCD’s proporcionarán servicios de acceso a Internet a través del browser. etc. Uno de estos proyectos es la habilitación de los Centros Comunitarios Digitales (CCD’s). acceso a correo vía Web o SMTP/POP3. Inicialmente los CCD’s serán implementados en escuelas donde ya se cuenta con equipo de cómputo existente. Acceso a audio y video que utilicen tecnologías de streaming Acceso al correo por medio de Web y por medio de SMTP/POP3. Mensajería instantánea. 6 Descripción de problema Las Secretaría de Comunicaciones y Transportes está participando en varias áreas del proyecto e-México impulsado por el Presidente Vicente Fox. Proveer facilidad para instalación y recuperación o Instalación desatendida que instalación/reinstalación con la encargado del CCD. Procesador de Palabras. En las escuelas el servicio se proporcionará parte del tiempo a los alumnos del plantel en cuestión. Para este servicio cada CCD tendrán entre 10 y 15 computadoras personales.). pero durante el resto del día se proporcionará acceso al público en general. Descarga (download) de archivos por medio de HTTP y FTP. permita una rápida menor intervención del . Se continuará con escuelas y oficinas de servicios del gobierno en cada municipio. Objetivos Los siguientes objetivos se tomaron como base para el diseño de una solución efectiva para los CCD’s: Proveer los servicios planeados: o o o o o Acceso al servicio de Web a través de browser desde todas las computadoras personales en cada CCD. FTP y aplicaciones de productividad (Hoja de Cálculo.PAG. El alcance final de la implantación es tener un CCD en cada uno de los 2500 municipios.

Permitir a las áreas de soporte y operación central de la SCT la administración y acceso en forma remota a los equipos de cómputo ubicados en cada CCD. La solución debe soportar PC’s existentes con sistemas operativos: Windows 95. Windows 2000 Professional y Windows XP Professional. Windows 98. . o Análisis de utilización o Proveer medios que permitan verificar que las PC’s de los CCD’s sean utilizadas para el acceso de los servicios de Internet que la SCT les proveerá. 7 o No requerir conocimiento técnico por parte del encargado del CCD para la instalación/reinstalación Administración o Proveer un esquema en el que se proteja la configuración de las PC’s de modificaciones por error o intencionalmente por parte de los usuarios del servicio. Windows 98SE.PAG.

se puede negar el acceso a la configuración de la dirección de red. CD o Internet. la modificación del tapiz de escritorio y el protector de pantalla. Administración Protección de la configuración de PC’s Se propone que para la protección de la configuración de las PC’s y controlar el uso posible de estos recursos. Estos sistemas operativos permiten reforzar y realizar de forma más sencilla esta protección. 8 Solución Conceptual En esta sección se describen algunas de las opciones existentes para cumplir con los objetivos planteados. el encargado puede reinstalar la PC de forma que pueda restablecer rápidamente el servicio de ese puesto de trabajo y sin que el personal de soporte de la SCT tenga que viajar a configurar este equipo. por ejemplo. Instalación/Reinstalación Desatendida. se establezcan perfiles de usuario. En caso de que una PC sufra daños a los archivos del sistema operativo o paquetes. Estos perfiles de usuario permiten limitar las operaciones de configuración que el usuario puede realizar en una PC. En el caso de equipo nuevo o que tenga los requisitos mínimos necesarios se sugiere instalar Windows 2000 Professional o la versión mas reciente Windows XP Professional. Entre las características con las que cuentan estos sistemas operativos y no cuenta Windows 95/98 están las siguientes: . etc. Entre otras limitaciones. analizando las ventajas y desventajas de cada uno de estas. Para proveer una solución efectiva para realizar una instalación de las PC’s de un CCD.PAG. negar la instalación de software que el usuario trate de bajar de Floppy. se propone desarrollar procesos de instalación desatendida. a partir de los discos compactos del sistema operativo y paquetes o a través de la LAN desde una copia de éstos almacenada en el disco duro de otra PC. En estos esquemas se logra una rápida instalación o recuperación de un equipo sin que el encargado del CCD le dedique tiempo y sin que deba tener conocimientos técnicos. Los esquemas de instalación desatendida permiten la instalación y configuración completa de PC’s sin la intervención o mínima intervención de encargado del CCD.

Exige que el usuario proporcione la cuenta de acceso y contraseña. se sugiere la utilización de cuentas genéricas. el cual permite tener permisos de acceso en los fólder y archivos del sistema operativo. así como poder limitar los fólderes donde puede escribir y establecer una cuota máxima de espacio ocupado por sus archivos. Power Users y Usuarios sin privilegios). . y se evita la modificación o borrado de programas y archivos del sistema. Las PC’s del CCD pertenecerán a este dominio. Telnet y Terminal services entre otros. Estas cuentas y sus correspondientes perfiles son implementados a través de un dominio en directorio activo de Windows 2000. Si los usuarios de los CCD’s son configurados como usuarios sin privilegios y utilizando el sistema de archivos NTFS. 9 Permiten configurarlos con el sistema de archivos NTFS. que pueden corresponder a diferentes perfiles de usuarios. asegurando que el perfil se va a aplicar a la sesión de trabajo del usuario.PAG. Existen diferentes tipos de usuario con diferentes niveles de acceso al sistema operativo (Administradores. Administración remota Existen distintas herramientas para realizar administración remota sobre plataforma Microsoft. Dependiendo del tipo de enlace es factible utilizar las herramientas de administración de Windows 2000 (menú Administrative Tools) tales como Computer Management. De esta forma será posible aplicar perfiles (políticas de grupo) en forma general a las PC’s y en especificó a las cuentas con las que se firmen los usuarios a estas. Sin embargo las herramientas deberán poder utilizarse a través del ancho de banda y tipo de enlace (Satelital o ADSL) con que estén comunicadas al Data Center de SCT o hacía Internet (ISP). herramientas de ejecución de comandos remotos. Por ejemplo una herramientas que puede ser factible de utilizar para administrar los CCD’s es el Terminal Services para acceder a las consolas de las PC’s que hacen funciones de proxy/ruteo para realizar labores de revisión de funcionamiento del sistema operativo y configuración de este equipo y de las demás PC’s del CCD. El control y administración de las PC’s de un CCD se facilita por medio del uso de un dominio del Directorio Activo de Windows 2000. Esto proporciona control sobre las PC’s del Sitio. Debido que en este momento no están completamente definidos los servicios que se utilizarán a nivel de contenido y que no existe un estimado de los diferentes usuarios que utilizaran los equipos de un CCD. se restringe al usuario el poder de cambiar configuraciones del sistema.

asignación y control de tiempo en estaciones de trabajo. se puede obtener a partir del log del(os) firewall(s) ubicados en el Data Center. Existen dos opciones dependiendo del nivel de granularidad que se desee obtener.PAG. Algunas de las funciones que pudiera incluir esta aplicación son: Reservación. 10 Análisis de utilización El análisis del nivel y tipo de utilización del servicio de Internet por parte los usuarios de los CCD’s puede ser medido en gran parte a partir del análisis de las bitácoras del servicio de WebProxy de un firewall. Reportes administrativos membresías) y estadísticos (uso. por ejemplo. necesidades. de cada CCD se deberá desarrollar una aplicación que permita realizar las labores de administración de cada CCD. . en el caso de enlaces que la SCT provea directamente. dinero. tamaño y formas de recuperación de costos. Si se quiere saber el comportamiento de un CCD en su conjunto. Control de cobro de pago por el tiempo o membresías. Si se desea obtener la utilización por cada estación será necesario configurar un firewall en los equipos que realizan las funciones de proxy en los CCD’s. se sugiere que ésta sea instalada y ejecutada en la PC que tiene funciones de proxy dentro del CCD. tiempo. Membresía de usuarios en algún plan definido de prepago basado en horas de uso o en cuotas por períodos semanales o mensuales. Administración y Control CCD En forma opcional y dependiendo de los objetivos. cobro de consumibles y otros servicios del CCD. En los casos en los que un CCD requiera y utilice dicha aplicación.

que ya haya hecho logon. En el caso de equipos con Windows 2000 o XP mantienen en cache las credenciales del usuario. Ventajas La administración se facilita al ser mas centralizada. 11 Análisis de Alternativas de arquitectura Como se mencionó en la sección anterior. durante un periodo definido. . Desventajas Desventajas el tiempo de logon es considerablemente mas largo (7 a 10 minutos hora pico a través del enlace satelital) El enlace satelital no es constante y puede llegar al punto de no permitir el logon. Menos elementos para configurar en los CCD’s. soporta que cada usuario puede tener su cuenta debido a que no hay necesidad de replicar el directorio a cada CCD a través de los enlaces satelitales. Esquema de Dominios y ubicación de Controladores de Dominio Derivado del objetivo de establecer servicio de control y administración se analizaron varios esquemas de configuraciones de dominio y se probaron a través de los enlaces satelitales proporcionados por Gilat.PAG. A continuación se describen estos esquemas: Un dominio con controladores de dominio centrales En esta alternativa se analizó la posibilidad que los 10 o 15 usuarios de un CCD salieran a través de WAN para hacer logon en los controladores de dominio ubicados en Data Center (HUB). la utilización de un dominio del directo de Windows 2000 permite proveer los servicios necesarios para aplicar los perfiles de usuario y administrar los equipos del CCD. No se requiere que la PC que funge como proxy deba tener la función de controlador de dominio en los CCD’s. No hay tráfico de replicación entre el Data Center y los CCD’s. Adicionalmente a las cuentas de usuario genéricas. Si no hay comunicación por el enlace durante un largo período puede generar problemas para hacer logon en las PC’s.

Durante la pruebas realizadas en las instalaciones del TELECOMM (CTO Iztapalapa) con los enlaces satelitales entre dos estaciones se determinó en forma definitiva que no es factible hacer logon y aplicar los perfiles definidos desde un servidor controlador de dominio ubicado en el Data Center (HUB). debido a que los tiempos de respuesta para un logon son inaceptables para un usuario y pueden no lograrse el logon o la aplicación del perfil. 12 Debido a esta dificultad para la comunicación a los controladores de dominio es posible que no sea factible acceder las políticas de grupo (perfiles) y scripts de logon definidos. replicados a los controladores de dominio de los CCD’s. Varios dominios con controladores centrales y locales Esta alternativa consiste en particionar el directorio en diferentes bosques con él objetivo de disminuir el tráfico de replicación.PAG. serán accedidas y aplicadas a todas las PC’s de cada CCD. La configuración del equipo proxy como controlador de dominio deberá tener cierto grado de coordinación con los administradores centrales. El tiempo de logon para los usuarios en cada CCD’s será inmediato (de 20 a 30 segundos) A pesar de la fragmentación del directorio/dominio en pocos dominios (y bosques) independientes todavía se pueden establecer políticas de seguridad y perfiles para las cuentas genéricas de forma central Asegura que las políticas de seguridad y grupo (perfiles) y logon scripts. La utilización de cuentas de usuario se deberá restringir al uso de cuentas genéricas ya que el generar cuentas por usuarios haría crecer cada directorio de forma tal que la replicación bajo este . Al tener un directorio que abarca a varios CCD’s (250) el tamaño del directorio crece y genera mayor procesamiento en el equipo que funge como controlador de dominio en el CCD y podría resultar en mayor requerimiento de hardware para este equipo. Más elementos que configurar en los CCD’s. Desventajas Es necesario replicar el directorio a cada controlador de dominios de los CCD’s. Ventajas La administración se facilita al ser mas centralizada. utilizando controladores de dominio locales y centrales con dominios que abarquen como máximo a 250 sitios (CCD’s) distintos.

cada usuario puede tener su cuenta debido a que no hay necesidad de replicar el directorio. adicionalmente a las cuentas de usuario genéricas. procesos y procedimientos de respaldo y recuperación. No hay tráfico de replicación entre el Data Center y los CCD’s. 13 esquema pudiera no lograrse a ejecutar en la ventana de tiempo definida y los requerimientos de hardware para el controlador de dominio se incrementarían. Desventajas Más elementos que configurar en los CCD’s. La administración tiene menos facilidades y controles centralizados. Ventajas El tiempo de logon para los usuarios en cada CCD será inmediato (de 20 a 30 segundos) Soporta un esquema en que. Si se planea generar cuentas por usuario específico será necesario proporcionar dispositivos. el requerimiento de hardware no será mayor. Se requieren servidores adicionales en el Data Center. Debido a que el directorio solo soportará a las cuentas locales. por tanto es más compleja para las áreas de administración y soporte centrales. medios. Dominios independientes en cada CCD En este esquema cada CCD tiene un dominio y bosque independiente de los demás. Esto es un punto a tomar en cuenta en caso de recuperación de cero de la PC que fungirá como controlador de dominio . cualquier cambio a la configuración de seguridad y/o de perfiles deberá hacerse en el controlador de dominio cada CCD. al menos uno por cada dominio creado.PAG. Debido a que en cada CCD el dominio (y bosque) es independiente. serán accedidas y aplicadas a todas las PC’s de cada CCD. Asegura que las políticas de seguridad y grupo (perfiles) y logon scripts. La configuración del equipo proxy como controlador de dominio no requiere coordinación con los administradores centrales.

adicionales a la sesión de la consola. Windows 2000/XP Professional y Windows 2000 Server. Advanced Server y DataCenter pueden ser controladores de dominio del directorio de Windows 2000. DHCP. o o o o Adicionalmente a la funcionalidad básica se busca lo siguiente: o Poder definir rangos de IPs (Subnets) específicas en el servicio de DHCP. o Permitir el pasar a través de este equipo para realizar tareas de revisión y configuración de todas las demás PC’s del CCD. Ser eficiente en el manejo de conexiones y sesiones de red. Windows 2000 Server incluye los servicios de terminal. durante las pruebas efectuadas. . 14 Sistema Operativo Esta sección evalúa las opciones de sistema operativo para los equipos que estarán ubicados en los CCD’s. Está funcionalidad existe en Windows 98 SE. Windows 2000 Server permite la flexibilidad de poder definir esta función de manera específica (NAT.PAG. Sin embargo Windows 2000 Server mostró mejor desempeño realizando está función. la alternativa directa es Windows 2000 Server. Adicionalmente a la funcionalidad del ICS. Solo Windows 2000 Server. debido a que ofrece la flexibilidad y configuración adecuada para realizar las funciones que tendrá o que factiblemente tendrá: La funcionalidad mínima que deberá tener el sistema operativo instalado en este equipo deberá ser: o Tener la opción de habilitar la funcionalidad de Internet Connection Sharing (ICS). para maximizar los puestos de trabajo. DHCP y DNS proxy. las cuales puedan usarse en cualquier PC del CCD y se les apliquen los perfiles definidos. el cual proporciona configuración automática de NAT. DNS) permitiendo realizar configuraciones mas adecuadas para los requerimientos de la red de la SCT y las definiciones para administración central. Tener la seguridad y estabilidad necesarias para proveer mayor disponibilidad de conexión a las otras PC’s. Fungir como una estación de trabajo para los usuarios de los CCD. con hasta dos sesiones remotas para administración. PC-Proxy Para la PC que tendrá entre otras las funciones de proxy. Proporcionar un directorio de cuentas de usuarios genéricos y para administración y la posibilidad de crear cuentas de usuarios específicos.

o instale software que desestabilice el sistema o provoque fallas. PC-Estación de trabajo En el proceso de implantación de los CCD’s. El sistema de archivos (FAT y FAT32). NAT. o . Mayor esfuerzo de configuración para establecer perfiles (políticas de grupo). Mayor compatibilidad con versiones anteriores de programas o o Desventajas o o o o o El sistema operativo es mucho menos estable que Windows 2000/XP. Esto abre la posibilidad de que el usuario modifique la configuración del sistema. Sin embargo es importante tomar en cuenta las características de cada sistema operativo para cumplir con los objetivos planteados. se proporcionarán medios de comunicación a escuelas donde actualmente ya se cuenta con equipo de cómputo. Requiere menos recursos de Hardware. no permiten proteger a los fólderes y archivos del sistema. por lo que la solución deberá contemplar esta posibilidad e incluir sistemas operativos anteriores. 15 o Tener capacidad para soportar un producto de firewall que provea las capacidades de HTTP Proxy.PAG. Windows 95/98/98SE/ME Ventajas o Sistema operativo actualmente instalado en PC’s de muchas de las escuelas donde se proporcionarán enlaces de comunicación para formar CCD’s. No se puede forzar completamente al usuario para que haga logon con una cuenta definida y así aplicar perfiles. generación de logs del uso de Internet y cache. No existen muchos mecanismos incluidos dentro del sistema operativo que faciliten la administración del equipo. El producto Internet Security and Acceleration (ISA) server provee esta funcionalidad. Las opciones para los perfiles son más limitadas. ruteo.

PAG. Existen diferentes niveles del acceso al sistema operativo por medio de grupos de usuarios (administradores. Nota: Windows 3.1/Windows NT3. . contra modificaciones no autorizadas. Existe una función adicional del sistema operativo. Este posibilita el proteger los fólderes y archivos de sistema operativo. Soportan el sistema de archivos NTFS. 16 Windows 2000/XP Professional Ventajas o o o o Muchas veces más estable que Windows95/98/ME Mayor facilidad para establecer y aplicar perfiles a los usuarios Mayor control de las múltiples opciones del sistema operativo por medio de perfiles. Es posible definir cuotas máximas para archivos almacenados por el usuario. por los que no son una opción para esta solución.51/Windows XP Home Edition. El usuario solo puede escribir en los fólderes definidos para ese propósito. Menor compatibilidad con programas anteriores (Heredados). garantizando que el usuario tendrá el perfil y los permisos de acceso planeados. Logon forzoso. no soportan la aplicación de perfiles de usuario. operadores. usuarios sin privilegios) con diferentes privilegios definidos. el cual recupera los archivos y programas originales del mismo. si estos son sustituidos o borrados. o o o Desventajas o o Mayores requerimientos del Hardware. power users.

Replicación entre Controladores de Dominio (enlace satelital. 17 Pruebas realizadas En esta sección se resumen las pruebas realizadas durante el piloto en las instalaciones de TELECOMM en el CTO Iztapalapa. Sin embargo debido a que la configuración de Hughes no estuvo a punto y que no estaba habilitado el ruteo entre las dos estaciones solo fue posible realizar pruebas a través de las estaciones de Gilat. Logon y Aplicación de perfiles Remoto (enlace satelital. simulando el enlace hacia el HUB con las dos estaciones satelitales disponibles. Lo normal es que la replicación se realice fuera de horario. Aún tomando en cuenta el doble salto el tiempo es mayor al aceptable para un usuario del servicio. En ocasiones se observó que la PC no lograba obtener la política de grupo y por tanto no era factible aplicarlas. doble salto) Se probó la replicación entre dos controladores de dominio. Los tiempos para hacer logon y recuperar las políticas de grupo (perfiles) fueron extremadamente largos (entre 7 y 10 minutos). La operación de logon y aplicación de las políticas de grupo (perfiles) desde el controlador de dominio local tardó entre 20 y 30 segundos. cada uno ubicado en una de las estaciones satelitales.PAG. doble salto) Se realizaron pruebas en diferentes horarios accesando al equipo proxy desde la otra estación por medio de los Servicios de Terminal de Windows 2000. durante las horas pico no fue factible realizar esta comunicación. A pesar de que esto se logró en algunas ocasiones. . El laboratorio contó con dos estaciones satelitales de Gilat y dos estaciones de Hughes. Administración remota (enlace satelital. Windows XP Professional y Windows 98. se ejecutaron operaciones de Logon y aplicación de perfiles con sistemas operativos Windows 2000 Professional. Logon y Aplicación de perfiles Local En estas pruebas se probó el acceso al DNS local. doble salto) Se realizaron múltiples pruebas de logon en forma remota.

Se configuró el Cache y antes de hacer la petición a Internet se verificaba la existencia del contenido en el cache. 18 En horas pico prácticamente no se logró la comunicación entre los equipos. se probaron herramientas como “Computer Management” desde la cual se accede a un 90% de la administración de este equipo y en forma remota a la de las demás PC’s del CCD (Está disponible solo en Windows 2000 y Windows XP). . A manera de conclusión durante las horas pico parece poco factible realizar actividades de revisión y configuración remota. También durante las horas pico se observó interrupción de comunicación entre las estaciones satelitales e interrupción del enlace (VSAT fuera de línea). Ya en la consola del equipo proxy. Se determinó que a partir de las 8:30pm. fue factible realizar tareas de revisión y configuración en forma remota en el proxy del CCD y en el resto de las PC’s Bitácoras de Acceso Se instaló Internet Security and Acceleration (ISA) server el equipo proxy sustituyendo los servicios del Internet Connection Sharing. Se generó un log de acceso de contenido a través del servicio de Web Proxy. Se ruteo la comunicación recibida por el Web Proxy para seguir utilizando el RPA de Gilat. Se habilitaron los servicios de NAT. Y se logró hacer conexión durante el día de forma un poco menos lenta. Después de las 8:30pm se logró trabajar con fluidez con esta herramienta y con pocas interrupciones Posteriormente se realizaron pruebas con los servicios de terminal a través de HTTP. Web Proxy y Cache de ISA. También se tuvo acceso a las consolas de los equipos que contaban con Windows XP Professional a través del servicio “Remote Desktop”. Se accedieron a los discos de los equipos a través de los “shares” administrativos (Windows 2000/XP únicamente). aspecto que dificultó la ejecución de las pruebas realizadas.PAG. en ese ambiente de pruebas. a través de los Servicios de Terminal.

Es deseable evitar tráfico de replicación. debido al comportamiento observado durante las pruebas y a la naturaleza intrínseca de los enlaces satelitales. Estos equipos adicionalmente harán funciones de NAT y/o proxy. A la posibilidad de que se puedan crear cuentas por usuario específico por razones de membresía y/o cobro del servicio.PAG. 19 Arquitectura Propuesta A partir de las alternativas planteadas y a los resultados de las pruebas con los enlaces satelitales. así como sus actualizaciones. cache y podrán ser utilizados como estaciones de trabajo para los usuarios del CCD. se definió la configuración que se describe a continuación. Satellite Internet Controlador de Dominio NAT. DNS Opcional: Web Proxy Bitácoras de acceso Cache Windows 2000 Server ISA Server (opcional) PROXY Windows XP Professional Office XP Firewall HUB CCD VSAT Esquema de Dominios Se propone el manejar dominios y bosques independientes en cada CCD. DHCP. debido a que: o o no existe el objetivo para que las cuentas de usuario definidos en un CCD puedan ser utilizadas en otro. o o o . El mantener bajos requerimientos de hardware para los equipos de computo que fungirán como controladores de dominio. con lo que el directorio de usuarios crecería en forma importante. El poder reinstalar la infraestructura completa en base a procedimientos y scripts automatizados que requieran mínima coordinación con la administración central.

Esta facilidad existe también en Windows 2000 para soportar la aplicación de perfiles en forma remota para los sistemas operativos de versiones anteriores. . En el caso de los sistemas operativos Windows 2000 y Windows XP Professional. Si se está adquiriendo nuevo equipo de cómputo para implementar un CCD o si el equipo cumple con los requerimientos mínimos. Una de las PC’s que formarán parte de un CCD’s tendrá en su configuración dos adaptadores de red (deberá cumplir con los requerimientos mínimos de hardware definidos mas adelante) y dependiendo de sus funciones deberá estar configurada con los siguientes servicios: Funcionalidad solo para compartir enlace: o Servicio de NAT entre la red interna del CCD y la red proporcionada por el enlace satelital. mostró mejores resultados que la conexión en forma independiente de cada PC. de forma que sea factible el poder hacer cambios y mejoras a estos perfiles. Para los sistemas operativos Windows 95/98/98SE se realizará por la herramienta de políticas del sistema (podelit). se recomienda que el sistema operativo Windows XP Professional o en su defecto Windows 2000. Será necesario implementar un mecanismo que permita realizar la actualización de estos perfiles en el controlador de dominio de cada CCD. se establecerán estos perfiles por medio de la facilidad de las políticas de grupo del Directorio Activo de Windows 2000. Proxy Como se encontró en las pruebas realizadas por la SCT con la red satelital la utilización de un equipo que funja como proxy entre el enlace satelital y el resto de PC’s del CCD. Se definirán perfiles de usuario para cada grupo de usuario estándar tanto para sistemas los sistemas operativos Windows 2000/XP y Windows 95/98. Perfiles de usuario Se crearán grupos de usuarios y cuentas genéricas estándares para todos los CCD’s. este esquema dificultará la administración centralizada. Debido a esto se deberán realizar acciones que garanticen medios para acceder a los recursos de los CCD’s. En la sección de alternativas se describen los motivos por lo que estos sistemas operativos son los ideales para controlar y proteger la configuración de las PC’s en los CCD’s. Entre las estrategias que se deben de seguir será el asegurar el tener cuentas de administración y claves de acceso que permitan al personal de administración y soporte central el poder administrar al controlador de dominios de cada CCD y proporcionar una cuenta con menos privilegios al encargado de cada CCD. 20 Sin embargo como ya se mencionó antes.PAG.

Generación de bitácoras de accesos a Internet por parte de los usuarios del CCD. . 21 o o Servicio de DHCP con los rangos de direcciones IP. para la funcionalidad de cache. debido a que da la facilidad de establecer esta funcionalidad de forma configurable para implementar definiciones mas adecuadas para la administración central. sin embargo se sugiere que estas funciones se configuren por medio de la herramienta Routing and Remote Access. Funcionalidad de proxy/firewall: o o o o Servicio de NAT entre la red interna del CCD y la red proporcionada por el enlace satelital. Este servicio de proxy deberá ser capaz de redireccionar las peticiones hacia el puerto del software acelerador de páginas del proveedor satelital (si el proveedor proporciona alguno). Durante las pruebas se utilizó la función de Internet Connection Sharing (ICS) de Windows para configurar de manera muy simple estas funciones (NAT. definidos para cada CCD. Cache de contenido. Para los CCD’s que estarán conectados directamente a Internet por medio de un ISP. Esto liberará al enlace satelital de peticiones frecuentes realizadas por usuarios del CCD. para la funcionalidad de cache. En el caso de los CCD’s que tengan enlace directo a Internet por medio de un ISP. DHCP. la funcionalidad de firewall y la generación bitácoras locales de acceso es una función necesaria. Servicio de DHCP con los rangos de direcciones IP. DNS proxy). Servicio de DNS.PAG. o o o Para el caso de los enlaces que estarán conectados a la red de la SCT. definidos para cada CCD. también deberá realizar funciones de firewall por medio de filtrado de paquetes e implementar una VPN para comunicarse con la red la SCT a través de Internet. Servicio de Proxy de HTTP entre las red interna del CCD y la red proporcionada por el enlace satelital. De otra forma el firewall central de en el Data Center proporcionará los accesos globales de cada CCD. la funcionalidad de generación de logs es opcional. Adicionalmente a estas tareas este equipo tendrá la funcionalidad de controlador de dominios con que se soportará el directorio de usuarios. solo será necesaria si se quiere tener el detalle de acceso a Internet por cada PC de un CCD. Servicio de DNS.

Si las PC’s de un CCD tienen otro sistema operativo y se desea tener una funcionalidad similar se deberá adquirir software adicional de terceros para este propósito. En caso de que en este CCD’s se estén creando cuentas por usuario específico será necesario ejecutar procedimientos adicionales para restaurar el directorio de una copia de respaldo. es necesario pasar a través del proxy. Administración Para realizar la administración remota el equipo proxy.PAG. tenga la misma configuración del equipo proxy. Otra opción es que este segundo equipo desde un inicio sea también un controlador del dominio y por tanto mantenga todo el tiempo una copia del directorio de usuarios actualizada. La utilización de los servicios de terminal permiten acceder a la consola del equipo proxy. Windows XP soporta un servicio limitado de los servicios de terminal (Remote Desktop) lo cual permite tener acceso a la consola de cada PC de un CCD que cuente con este sistema operativo. si se quiere revisar la configuración del los equipos de un CCD. en uso en el CCD. 22 Redundancia Si se tuviera como objetivo el tener mayor disponibilidad a los servicios que provee este equipo una opción de bajo costo es que otra de las estaciones de trabajo. éste tendrá instalados los Servicios de Terminal y el componente para acceso a este servicio a través de Web. Si las PC’s del CCD cuentan con Windows 95/98/98SE las opciones de administración remota son muy limitadas. . Este equipo de respaldo puede ser configurado ejecutando los procedimientos automatizados de instalación/recuperación del proxy. A partir de este punto es posible utilizar diversas herramientas para revisar y configurar a los equipos del CCD si las PC’s del CCD cuentan con Windows 2000 o Windows XP Professional. Debido a la configuración de acceso a la red a través del equipo proxy. De esta forma si el equipo sufre una falla mayor será posible remplazar el equipo dañado por éste y reanudar el servicio de una forma muy rápida y sin esperar el tiempo de reparación. A menos de que este provea una VPN hacia su red.

PAG. 23 Requerimientos de hardware y software A continuación se describe el software y hardware recomendado para la configuración propuesta: Acceso a Web Streaming de Video Correo Mensajes Instantaneos Estaciones de Trabajo Windows XP Professional Office XP Controlador de Dominio NAT. DNS Opcional: Web Proxy Bitácoras de acceso Cache de Contenido Uso como Estación de Trabajo Windows 2000 Server ISA Server (opcional) Acceso a Web Streaming de Video Correo Mensajes Instantaneos PROXY Estaciones de Trabajo Windows XP Professional Office XP VSAT Proxy Software o Windows 2000 Server SP2 o o Internet Explorer 5. DHCP.0 Internet Information Services 5.0 Web FTP o o DNS Terminal Services .5 SP2 o 6.

o o o Concentrador o switch ethernet 10 o 10/100 Mbs ó Access Point 11 Mbs (IEEE 802. teclado y mouse. 24 o o o o Web Terminal Services Component Software acelerador de páginas del proveedor del enlace satelital (si el proveedor proporciona alguno). Software de Antivirus.11b).PAG. Estaciones de Trabajo Software o o o o Windows XP Professional Office XP Enciclopedia Encarta Software de Antivirus. ISA Server (Opcional) o o Firewall Cache o Aplicación de administración y control (opcional) Hardware o o o o Pentium III 700 Ghz o mayor 256 Mb de RAM (mínimo soportado 128 MB. Tarjeta de modem 56 Kbs (opcional) Monitor.11b). . sin instalar ISA Server) 20 GB en Disco 2 Tarjeta Ethernet 10/100 Mbs ó 1 Tarjeta Ethernet 10/100 Mbs y 1 Tarjeta Inalámbrica 11 Mbs (IEEE 802.

210 MB Office XP. teclado y mouse. 1.11b) Monitor.PAG. 25 Hardware o o o Pentium III 300 Mhz o superior 128 Mb de RAM 10 GB en Disco (1. o o .5 GB Windows XP.6 GB Encarta en el disco) 1 Tarjeta Ethernet 10/100 Mbs ó 1 Tarjeta inalámbrica 11 Mbs (IEEE 802.

PAG. 26 Apéndices .