Gestión de Windows en Infolab | Algo de Linux

martes, 14 de febrero de 2017

Gestión de Windows en Infolab

Como ya sabéis, a algún iluminado con una falta de conocimientos técnicos brutal evidente, se le ocurrió la idea de desplegar Windows masivamente sin tener en cuenta que no era suficiente con suministrar los equipos sino que había que montar una serie de servidores y servicios para gestionarlos. Como consecuencia, los administradores nos estamos comiendo el marrón de poner el sistema en marcha tan sólo con lo que tenemos y los usuarios... de sufrir una serie de problemas que no hubieran tenido si todo ésto se hubiera planificado y se hubiera contado tanto con los técnicos como los usuarios.

Enfin....¿Y qué es lo que tenemos en los infolaboratorios? Unos equipos con arranque dual Windows/Ubuntu que hay que hacer funcionar. La parte de Linux está resuelta porque ya teníamos la infraestructura, pero en Windows... hay mucho trabajo de ingeniería por hacer.

Como dicen algunos compañeros que mi blog es una fuente de inspiración, y aunque aún me queda mucho por hacer, os cuento lo que ya tengo hecho para gestionar Windows:
  • Aislé la red de Infolab en una VLAN para tratar de controlar los problemas de consumo de ancho de banda derivados de virus y demás lindezas como las actualizaciones de Windows. De este modo, los equipos de Infolab tienen accceso a los servicios del centro a través del firewall pfSsense.
  • Instalé un controlador de dominio Windows mediante Zentyal Developement Edition. De este modo, los usuarios pueden hacer login con su usuario/password y puedo establecer políticas de grupo para los equipos y usuarios del dominio de windows.
  • El controlador de dominio Zentyal está montado como máquina virtual en el servidor principal del centro. Cuando recibí el servidor HP Proliant, no me convenció que se le hubiera instalado un Debian de 32 bits ni que se hubiera dejado de usar LVM, así que lo monté desde cero basándome en el servidor de virtualización Proxmox y añadiéndole los servicios que debía tener.
  • Escribí un script que parsea el fichero de exportación de usuarios de rayuela para crear las cuentas de usuarios en el controlador de dominio. El controlador de dominio en Zentyal se encuentra implementado mediante Samba 4 y no podía relacionarlo con nuestro Ldap, al menos sin meterme en demasiados berenjenales...
  • Monté wsus offline update en el NAS para que cada fin de semana descargue las actualizaciones de Windows que me permitan realizar actualizaciones offline.
  • He configurado mi servidor secundario Puppet para que sirva módulos Puppet tanto a máquinas Windows como Ubuntu distinguiendo por sistema operativo en el site.pp. Lo que significa que puedo usar el servidor puppet secundario para actualizar tanto clientes Ubuntu como clientes Windows.
  • He agregado el módulo puppetlabs/chocolatey al servidor secundario puppet. Ésto me permite mantener actualizado el software como LibreOffice, Gimp, 7zip, Firefox, Google Chrome, etc...
  • He definido algunas GPO para evitar que se muestre el último usuario que inició sesión, se mapeen las carpetas compartidas del NAS como una unidad de red, ...
  • He modificado el instalador msi del cliente puppet v3.4.3 para que se autoconfigure al instalar la aplicación, ajustando como servidor puppet el servidor secundario (puppetinstituto2) y como autoridad de certificación el servidor principal (puppetinstituto). 

Como ya decía al principio, aún me quedan unas cuantas ideas y cosas por hacer. Lo único que me falta es tiempo.
Publicado por primera vez en http://enavas.blogspot.com.es

No hay comentarios: