martes, 15 de junio de 2010

Plantilla de instalación para Windows Server

Hoy en día es necesario disponer de algún tipo de plantilla o "check-list" como administradores de sistemas para ir más allá de una instalación típica de "siguiente-siguiente".

A modo de ejemplo, dejo lo que podría ser una plantilla tipo para instalar un servidor bajo cualquier versión de Windows Server, ya sea físico o para crearnos una maqueta o "template" en entornos virtuales (VMWare, Hyper-V, Citrix).

Obviamente cada uno ajustaremos este tipo de plantillas a las especificidades de nuestros estornos:


Plantilla de instalación para Windows Server

- Instalación de S.O Base

- Configuración regional: La que aplique.
- Contraseña del administrador local: Seleccionar una con requisitos de contraseña segura

* Tener una longitud mínima de 8 caracteres.
* No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
* Estar compuesta por uno o más caracteres de al menos 3 de estos grupos:
o Letras Mayúsculas (de la A a la Z)
o Letras Minúsculas (de la a a la z)
o Números (del 0 al 9)
o Símbolos (caracteres no alfanuméricos): ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

- Seleccionar tipo de licencias.
- Nombre de máquina: El que aplique según nomenclatura.
- Instalación del último service pack si es necesario.
- Configuración de RED :
  • Renombrar las conexiones de red con un título explicativo que indique su función.
  • Visualizar icono en la barra de tareas.
  • IP:
  • Máscara:
  • Dns 1:
  • Dns 2:
  • Dns3:
  • Dns4:
  • Gateway:
  • Añadir Dns suffix for this connection: Nombre del dominio, en Tcp/Ip Properties, click Advanced, y ficha DNS.
  • Configurar velocidad indicada por Comunicaciones y eliminar Autodetect.
  • Configurar ILO con Ip Fija (En servidores físicos).
-Particiones: Asignación de nombres y tamaño.
  • C:\"Sistema" (sistema operativo y programas) Mínimo 15 Gb, ideal 20 a 40Gb.
  • D:\"Datos" (datos de las aplicaciones, drivers, imágenes, parches).
- Crear una carpeta "D:\Sistemas", en la que dejar utilidades, drivers, etc. Muy recomendables como herramientas básicas y gratuitas: Disk Scanner, Windows Update List, Process Monitor, Process Explorer (o cualquiera que aplique de SysInternals).
- Meter máquina en dominio y moverla a la OU correspondiente si debe estar en dominio.
- Si aplcia, Iniciar sesión con una cuenta que sea administrador de dominio.
- Copiar el directorio "i386" con el último service pack integrado a la partición de Datos.
- Instalar parches del sistema operativo, configurar las actualizaciones bien vía (Windows Update, Wsus, SMS, SCCM o el software que aplique).
- Instalar la consola de recuperación (\i386\winnt32.exe /cmdcons)
- Dar funcionalidad a Consola de recuperación en la directiva local, activar la política: Local Compurter Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Recovery Console: Allow floppy copy and Access to all Drives and folders.
- Configurar la entrada del registro HKLM\Software\Microsoft\Windows\CurrentVersion \Policies\System\dontdisplaylastusername, poner valor a 1. Esta opción está incluida el la política aplicada a la raíz del dominio Salud.
- Configurar la entrada del registro HKLM\Software\Microsoft\Windows\CurrentVersion \Setup\SourcePath, indicar la unidad de disco duro donde se ha copiado el i386.
- Configurar la entrada del registro HKLM\Software\Microsoft\Windows\CurrentVersion\ Setup\ServicePackSourcePath, indicar la unidad de disco duro donde se ha copiado el i386 con el service pack integrado.
- Configurar la entrada del registro HKLM\Software\Microsoft\WindowsNT\CurrentVersion \SourcePath, indicar la unidad de disco duro donde se ha copiado el i386.
- Dentro de System Properties: (Control Panel y System)
  • Deshabilitar el Error Reporting en la ficha Advanced y botón Error Reporting.
  • Asegurarse de que Small Memory Dump esta seleccionado en la ficha Advanced, Startup and Recovery y ver System Failure: Write debugging information.
  • Habilitar Remote Desktop (for administration) en la ficha Remote.
  • Asegurarse de que Background Services esta seleccionado en la ficha Advanced, Performance, de nuevo la ficha Advanced y ver Procesor scheduling.
  • Modificar las variables de entorno de usuario TMP y TEMP (en la ficha Advanced y pinchar en Environment Variables) para que apunten a la carpeta C:\temp, crear esta carpeta.

- Deshabilitar los servicios:
  • Dhcp client (sólo para servidores que no son miembros de dominio).
  • Indexing Service
  • License Logging
  • Fax service
  • Wireless Configuration
- Deshabilitar la cuenta de usuario Guest (estado por defecto).
- Instalar Support Tools
- Si aplica, instalar Admin Pack.
- Modificar el tamaño de los logs de aplicación y sistema a 49984 Kb y establecer opción "Borrar sucesos cuando sea necesario". El de Seguridad a 184320 Kb.
- Dentro del Panel de Control:
  • Establecer en las opciones de Energía (Power Options) la opción de “Siempre Activo”, valor por defecto.
  • Activar el Protector de Pantalla con contraseña a 15 min. para Administrador Local y de Dominio.
- Creación de los usuarios locales de la máquina si no está en dominio.
- Configuración explorador windows desde escritorio: Seleccionar Detalles, Visualización de todo tipo de archivos y Mostrar extensiones de archivos conocidos.
- Configurar la papelera de reciclaje para ocupar un 5% en todas la unidades.
- Configurar Terminal Server para desconectar sesiones que lleguen a estar inactivas más de 15 minutos, con la herramienta "Terminal Services Configuration" situada en la ruta All Programs, Administrative Tools.
- Instalar cliente de backup y solicitar su inclusión como cliente en el servidor de de backup.
- Probar que funciona el Backup y el Restore.
- Instalar el agente del antivirus desde la consola del servidor.
- Si aplica, configurar las políticas de actualización WSUS en local de las máquinas fuera de dominio.
- Programar la Copia de Seguridad del Estado del Sistema todos los días en horario no productivo. Realizarlo antes de la instalación de cualquier aplicación que pudiera ocasionar algún problema. Tarea programada con NTBackup.
- Instalar p.e. VNC solo en aquellos casos que no tengamos "Terminal Server for administration". (Otra opción es acceder con Dameware u otro programa de control remoto similar)
- Defragmentar la unidad C:
- Cambiar nombre de la cuenta "Administrator" por otra del tipo: manager o admin
- En caso de existir plataformas de monitorización que requieran de cliente, instalarlo.
- Comunicar la disponibilidad de la máquina a todos los proveedores de aplicaciones dependientes de la misma.
- Realizar imagen del servidor con el software de que se disponga (p.e. Acronis o Ghost). Para máquinas virtuales, realizar un "snapshot".
- Actualizar el inventario de hardware.
- Actualizar el gráfico-mapa correspondiente en donde deba aparecer el nuevo servidor.

No hay comentarios:

Publicar un comentario