Escolar Documentos
Profissional Documentos
Cultura Documentos
Captulo 1 | Pgina 1 |
Un poco de
istoria
$esde el lan*amiento de los sistemas operativos de 0edes, pasando por Windows 1-, los sistemas se ueron per eccionando a la medida de las necesidades de las empresas) $esde las ya conocidas di erencias que introdujo Windows 2000 sobre su predecesor Windows 1- 2)0, lle,amos hoy en da al Sistema /perativo #ptimo para las e3i,encias del mercado (n ormtico, donde se han implementado notables mejoras con respecto a su predecesor Windows 2000) 4n el caso de Windows Server 2003, +ste est basado en e3periencias del mercado consumidor (n ormtico, y es por eso que en +l encontraremos muchas caractersticas de las que siempre nos pre,untamos 5Se puede hacer esto6))))5y aquello6 7asta el momento sin respuesta, pero a partir de ahora, esas pre,untas encuentran posibles respuestas en Windows Server 2003) $urante este m#dulo estaremos haciendo una introducci#n a las nuevas caractersticas y uncionalidades de la amilia de Servidores Windows Server 2003) "l inali*ar este captulo 8sted tendr los conocimientos necesarios para describir uncionalidades, caractersticas y requerimientos de los distintos sistemas operativos de esta amilia)
1! "uevas Caractersticas
Storage Active !irectory "nstalacin Servicios #eb
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 1 of
por: Polchowski,
Captulo 1 | Pgina 2 |
'ara este proceso, necesitar el dis9ette y los medios de "S0 que contienen los archivos de :ac9up) 4l sistema operativo ser restaurado al mismo estado que tena en el momento del :ac9up "S0, permiti+ndole arrancar su sistema) 'ara crear un set "S0, vea el si,uiente lin9 en el -ech1et>(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@prodtechnol@windowsserver2003@proddo cs@server@recoveryBautomaticBsr)asp "ota' $urante el proceso de 0estore la System 'artition ser ormateada destruyendo todos los datos, y el bac9up ser restaurado a su locaci#n ori,inal) -odos los archivos modi icados con posterioridad al momento del bac9up, se perdern)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 2 of
por: Polchowski,
Captulo 1 | Pgina 3 |
0estore de bac9up) 5.#mo unciona6 8tili*a un cache en disco para el almacenamiento de versiones de archivos, que lue,o se pueden recuperar cuando sea necesario desde esa copia)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 3 of
por: Polchowski,
Captulo 1 | Pgina . |
#ni$acin Interactiva' 8sted proda simular mediante la si,uiente animaci#n el uso de Eolume Shadow .opy) Si quiere bajar la animaci#n ha,a clic9 ac) Si quiere ver la animaci#n en (nternet 43plorer ha,a clic9 ac)
Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@prodtechnol@windowsserver2003@proddo cs@entserver@snapshotBenable)asp http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@prodtechnol@windowsserver2003@proddo cs@entserver@accessin,BshadowBcopiesBtop)asp
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 4 of
por: Polchowski,
Captulo 1 | Pgina 1 |
Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@prodtechnol@ windowsserver2003@proddocs@standard@devm,rBoverviewB0H)asp
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 5 of
por: Polchowski,
Captulo 1 | Pgina 4 |
Mane/o de Sites 4l manejo de sites incluye un nuevo al,oritmo de (nter;Site -opolo,y Kenerator >(S-K?, eliminando la limitaci#n del nLmero m3imo de Sites en N00 a N000 Sites >'robado en laboratorio 3000?) "ota' -odas estas caractersticas estn e3plicadas con ms detalle en el .apitulo 2 G"ctive $irectoryG
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 6 of
por: Polchowski,
Captulo 1 | Pgina 7 |
Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@prodtechnol@windowsserver2003@proddo cs@standard@sa,B0(SB"rchitecture)asp
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 7 of
por: Polchowski,
Captulo 1 | Pgina 9 |
"ntegracin con Aplicaciones ((S C)0 o rece inte,raci#n con "S')14-, =icroso t )14- %ramewor9 y O=L Web Services, pasando a ser la plata orma especialmente diseMada para aplicaciones )1et) Seguridad ((S C)0 es 5;oc3ed6down server <% de(ault5, en otras palabras, est se,uro desde su instalaci#n, requiriendo que el administrador habilite las unciones especiales y necesarias para correr el Web Site) Sin estas tareas s#lo puede o recer contenido esttico y e3tensiones dinmicas deshabilitadas) -odo esto hace de ((S C)0 el Web Server ms se,uro)
1!10! -ersiones
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 8 of
por: Polchowski,
Captulo 1 | Pgina : |
Windows Sever 2003 presenta cuatro versiones con di erentes si,uiente cuadro uncionalidades que estn descriptas en el
'ara servicios web y hostin,, esta versi#n provee una plata orma para el desarrollo y la instalaci#n rpida de servicios y aplicaciones web) Solo Eersi#n /4=
'ara servicios de administraci#n de 0edes, esta versi#n de Windows Server 2003 es ideal para ile and print servers, web servers, y wor9,roups) -ambi+n provee acceso remoto a redes)
.ontiene todas las caractersticas de Windows Server 2003 Standard y provee escalabilidad y disponibilidad incrementada) 4sta versi#n es ideal para servers utili*ados en ,randes redes y para bases de datos de uso intensivo) .ontiene todas las caractersticas de Windows Server 2003 4nterprise 4dition y, adems, soporte para ms memoria y ms .'8 por computadora) 4sta versi#n es ideal para uso de datawarehouses de ,ran tamaMo, procesamiento online, transacciones >/L-'? y proyectos de consolidaci#n de servidores) 4l soporte en cuanto a memoria, procesadores y uncionalidad vara en las di erentes versiones) 4s por ello que 8sted deber tener en cuenta las necesidades al momento de la elecci#n del Sistema operativo) 1 .'8 @ 0"= 2 .'8 2 K: Server #eb Server 2 .'8 2K: Puede correr' ((S C)0 1L:S $1S, $7.', W(1S ;i$itaciones' 1o $. 'romo 1o "plicaciones 1o -S "pp =ode $nterprise Server F .'8 32 K: >3FC? C2 K: >C2;:it? #ll (eatures (ro$ Standard plus' F;node .lusterin, C2;bit Eersion !atacenter F;C2 .'8 C2K: >3FC? NH2 K: >C2;:it? #ll (eatures (ro$ /nterprise= plus' $atacenter pro,ram ;$atacenter 7.L ;=aintenance =ulti;instance support
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 9 of
por: Polchowski,
4n el si,uiente cuadro se presentan los requerimientos mnimos y recomendados para cada versi#n de Windows Server 2003)
Windows Server 2003 &e>ueri$ientos del Siste$a &e>ueri$iento -elocidad de CPU $ni$a Standard /dition
H33 =7*
/nterprise /dition
H33 =7* para arquitectura 3FC P33 =7* para arquitectura (tanium
+atacenter /dition
200 =7* para arquitectura 3FC P33 =7* para arquitectura (tanium P33 =7* NH2 =: H K:
We2 /dition
H33 =7*
P33 =7* H2F =: 2NC =: 32 K: or para arquitectura 3FC NH2 K: para arquitectura (tanium
C2 K: para arquitectura 3FC NH2 K: para arquitectura (tanium 0equerido F =nimo =3imo C2
2 K:
&#* *?i$a
7asta 2
7asta F
7asta 2
H)N K:
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 10 of
por: Polchowski,
Los servidores desempeMan muchos papeles en el ambiente client@server de una red) "l,unos servidores se con i,uran para proporcionar la autenti icaci#n y otros se con i,uran para uncionar con otros usos) "simismo, muchos proporcionan los servicios de red que permiten a usuarios comunicar o encontrar otros servidores y recursos en la red) .omo administrador de sistemas, de 8sted se espera que sepa los tipos primarios de servidores y qu+ unciones reali*an en su red)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 11 of
por: Polchowski,
2!7! ;a
.uando Windows Server 2003 es instalado y un administrador reali*a el lo,on por primera ve*, la herramienta =ana,e Qour Server corre automticamente) 8sted utili*a esta herramienta para a,re,ar o para quitar 0oles a Servers) .uando a,re,ue un 0ol de Server a una computadora, la herramienta =ana,e Qour Server a,re,ar ese rol de la lista de roles disponibles) $espu+s que el Server 0ole se a,re,ue a la lista, usted podr utili*ar varios wi*ards que le ayudarn a administrar roles espec icos del Server) La herramienta =ana,e Qour Server tambi+n provee archivos de ayuda espec icos a los 0oles de Servers, tiene chec9lists y recomendaciones de troubleshootin,)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 12 of
por: Polchowski,
Captulo 2 | Pgina 1 |
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 13 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 14 of
por: Polchowski,
Captulo 2 | Pgina 3 |
Asistente para instalacin de #indo(s Server 2003
'ara obtener in ormaci#n sobre compatibilidad de hardware! http!@@www)microso t)com @whdc@hcl@de ault)msp3
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 15 of
por: Polchowski,
Captulo 2 | Pgina . |
0A) y 0A)32 1ormalmente, 8sted no utili*ara %"- o %"-32 para dar ormato a la partici#n del sistema, a menos que requiera un dual boot entre Windows Server 2003 y otro sistema operativo) %"- y %"-32 no o recen las caractersticas de se,uridad que provee 1-%S) Si 8sted requiere las caractersticas de 1-%S, particularmente se,uridad a nivel archivos y carpetas, es recomendable que use sistema 1-%S) "ota' Si eli,e dar ormato a la partici#n usando %"-, la instalaci#n automticamente dar particiones que son mayores de 2 K: en %"-32) ormato a
2!3! Seleccionando *odo de ;icencia$iento 2!3!1! *odelo de licencia$iento para Windows Server 2003' lo >ue no se a $odi(icado
"unque hubo cambios en el modelo de licenciamiento de Windows Server 2003, +stos son los elementos que no han cambiado! .ada copia instalada del so tware de servidor requiere la compra de una licencia de servidor de Windows) Se requiere una Licencia de "cceso para .liente de Windows >."L de Windows? para poder acceder al uso del so tware del servidor) 1o se requiere una ."L si el acceso al servidor es a trav+s de (nternet y no est Gautenti icadoG ; por ejemplo el acceder a un sitio Web para obtener in ormaci#n ,eneral donde no se intercambian credenciales de identi icaci#n;) 8na ."L de Windows >'er Server? puede aLn ser desi,nada para su uso con un solo servidor, autori*ando acceso por medio de cualquier dispositivo o usuario, cuando la modalidad de so tware de licencia para el servidor est+ de inida en G'er ServerG) 4n esta modalidad, el nLmero de ."LRs de Windows es i,ual al numero m3imo de cone3iones corrientes) 8na ."L de Windows >'er $evice o 'er 8ser? puede ser desi,nada para su uso con cualquier nLmero de servidores, autori*ando el acceso por medio de un dispositivo espec ico o usuari cuando la modalidad de licencia del so tware de servidor est+ de inida en G'er $evice o 'er 8serG >anteriormente llamada modalidad G'er SeatG?) Se requiere una licencia de "cceso de .liente a -erminal Server >."L -S? para utili*ar un Servidor -erminal u hospedar una sesi#n de inter ase de usuario ,r ica remota >K8(?, e3cepto para una sesi#n de consola) 4n Windows 2000, haba una e3cepci#n a este requerimiento de licencia y eso cambiar)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 16 of
por: Polchowski,
$urante la instalaci#n, 8sted debe ele,ir un dominio o un wor9,roup como ,rupo de se,uridad para la pertenencia de la computadora)
2!.!1! +o$inio
$urante la instalaci#n 8sted puede a,re,ar la computadora a un dominio e3istente como member server, operaci#n que requiere lo si,uiente! 8n nombre de $ominio) 8n ejemplo de un nombre de dominio $1S vlido es )microso t)com) 8na cuenta de computadora) "ntes de unir una computadora a un dominio, tiene que e3istir una cuenta para esa computadora en el $ominio) 8sted puede crear la cuenta antes de la instalaci#n o, si tiene privile,ios administrativos en el dominio su icientes, puede crear esta cuenta durante la instalaci#n) Si la cuenta de la computadora se crea durante la instalaci#n, el pro,rama de instalaci#n le pedir que in,rese usuario y contraseMa con autoridad para a,re,ar cuentas de computadoras al dominio) 8n domain controller disponible y un server corriendo el servicio $1S Server) 'or lo menos un domain controller y un $1S server deben estar online al momento de a,re,ar una computadora al dominio
2!.!2! Wor3group
.omo con Windows 1- 2)0, 8sted puede a,re,ar la computadora a un wor9,roup, Lnicamente si est en una red pequeMa sin un dominio o si se est preparando para a,re,ar a un dominio ms adelante) 4l nombre del wor9,roup que 8sted asi,ne puede ser el nombre de un wor9,roup e3istente o de un wor9,roup nuevo que cree durante la instalaci#n
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 17 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 18 of
por: Polchowski,
Captulo 2 | Pgina 7 |
La instalaci#n de Windows Server 2003 desde compact disc implica encender la computadora de compact disc o loppy dis9s y proceder con varios wi*ards) "unque el proceso de instalaci#n no es perceptiblemente di erente de Windows 1- 2)0 o Windows 2000, tener e3periencia con el proceso de la instalaci#n de Windows Server 2003 le ayudar a reali*ar este proceso ms e icientemente)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 19 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 20 of
por: Polchowski,
2!4!1!2! Pre6re>uisitos
"ntes de trabajar en esta prctica, deber tener una computadora que cumpla con el mnimo hardware requerido para instalar Windows Server 2003 o el so tware .onnecti3 Eirtual '. or Windows) 'ara terminar esta prctica, necesitar lo si,uiente! 4l compact disc Windows Server 2003 4valuation 4dition) 4l %loppy dis9 =S;$/S para boot >optional?) Si su computadora se con i,ura para arrancar de .$; 0/=, usted puede instalar Windows Server 2003 sin usar el %loppy $is9) (n ormaci#n para instalaci#n en sistemas sin opci#n de arranque desde .$;0/=! http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFH0NC2 8n nombre de computadora y una (' address)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 21 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 22 of
por: Polchowski,
Las instalaciones desde la red uncionan del mismo modo que en Windows 1-2)0 y Windows 2000) -odava hay tres requisitos para comen*ar una instalaci#n desde la red! 8n $istribution Server que conten,a los archivos de la instalaci#n i3FC) >Las computadoras (tanium usan la carpeta iaC2) 4stas carpetas se encuentran en el .$;0/= de Windows Server 2003?) 8na partici#n disponible de 2,b en la computadora) 8n cliente de red para poder conectarse al $istribution Server) "ota' =icroso t Windows 'reinstallation 4nvironment >Win'4? permitir a un cliente conectarse al $istribution Server) /bten,a in ormaci#n en! http!@@www)microso t)com@licensin,@pro,rams@sa@sam@win'e)asp Los pasos para la instalaci#n son similares a Windows 1- 2)0 y Windows 2000T s#lo se tiene que conectar al $istribution Server y ejecutar Winnt)e3e) $urante el proceso inicial se copian los archivos necesarios en el disco local y lue,o la computadora reinicia y ejecuta) " partir de ese momento, el proceso de instalaci#n es normal)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 23 of
por: Polchowski,
4l Servicio 0emote (nstallation Services >0(S? permite a las computadoras cliente conectarse con un servidor durante la ase de inicial de encendido e instalar remotamente Windows 2000 >en todas sus versiones?,Windows O' >32 y C2 :it? o Windows Server 2003 >en todas sus versiones?) 4s un proceso totalmente di erente a la instalaci#n desde la red ya que +sta se reali*a ejecutando Winnt)e3e) 8na instalaci#n remota no requiere que los usuarios sepan d#nde se encuentran los archivos de instalaci#n o la in ormaci#n a suministrarle al pro,rama de instalaci#n) 0(S permite con i,urar las opciones de la instalaci#n) 'or ejemplo, usted podra tener una alternativa que provea a los usuarios una instalaci#n mnima sin opciones y otra que provea a los usuarios opciones adicionales) 'or de ecto, todas las im,enes estn disponibles para todos los usuarios) Sin embar,o, 8sted puede restrin,ir las im,enes que estn disponibles para los usuarios utili*ando permisos 1-%S en el archivo de respuesta) Los pasos si,uientes permiten determinar qu+ im,enes puede seleccionar y descar,ar un usuario) H) 2) 3) 2) N) (nstalar 0(S) .on i,urar los componentes opcionales que 8sted planea instalar en la computadora del cliente) Las im,enes que se almacenan en el 0(S server) 4l cliente se conecta usando 're;:oot 43ecution 4nvironment >'O4? en el adaptador de red, o usando G1etwor9 :oot $is9G que es creado por 0(S) 4l sistema operativo se instala en el cliente desde el 0(S server con poca o nin,una intervenci#n del usuario)
8sted puede controlar la in ormaci#n requerida por usuario, creando y usando scripts) -ambi+n puede crear a +stos manualmente o puede utili*ar el Setup =ana,er Wi*ard) /bten,a in ormaci#n acerca del Setup =ana,er! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32323F
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 24 of
por: Polchowski,
.uando 8sted quiera instalar Windows 2000,Windows O' o Windows Server 2003 en varias computadoras que tienen id+ntico hardware, uno de los m+todos que podra se,uir para ello es utili*ar la duplicaci#n de disco) .reando una ima,en del disco de una instalaci#n de Windows 2000, Windows O' o Windows Server 2003, y copiando esa ima,en sobre las computadoras mLltiples de destino, 8sted ahorra tiempo en deployment de Windows 2000, Windows O' o Windows Server 2003) 'ara instalar Windows 2000, Windows O' o Windows Server 2003 usando duplicaci#n de disco, con i,ure una computadora de re erencia y duplique una ima,en de disco al server, usando Sysprep)in para preparar la computadora a duplicar) 4l proceso de la duplicaci#n de disco consiste en los pasos si,uientes! (nstalar y con i,urar el sistema operativo en la computadora de re erencia) (nstalar y con i,urar los aplicativos en la computadora de re erencia) 4jecutar sysprep)e3e en la computadora de re erencia) -ambi+n puede ejecutar el Setup =ana,er Wi*ard para crear el archivo Sysprep)in ) Sysprep)in proporciona respuestas, como por ejemplo, el nombre de computadora al =ini;Setup que se ejecuta en las computadoras destino) "dems, este archivo se puede utili*ar para especi icar drivers especiales) 4l Setup =ana,er Wi*ard crea una carpeta Sysprep en el root del disco y coloca el archivo Sysprep)in en esa carpeta) 4l =ini;Setup chequea la carpeta Sysprep en busca de ese archivo para reali*ar la instalaci#n del sistema operativo)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 25 of
por: Polchowski,
Captulo 2 | Pgina 1. |
Lue,o se debe apa,ar la computadora de re erencia y ejecutar el So tware de duplicaci#n de disco) .olocar el disco duplicado en la computadora destino) 4ncender la computadora destino) 8n =ini;Setup se ejecutar inmediatamente solicitando! 1ombre de computadora, 'assword del "dministrador local y 'roduct Dey)
/bten,a in ormaci#n acerca de Sysprep Eersi#n 2)0 en! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32NFNF
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 26 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 27 of
por: Polchowski,
Captulo 2 | Pgina 14 |
" continuaci#n se detalla la mi,raci#n de $omain .ontrollers y =ember Servers ejecutando Windows 1- 2)0 Windows Server 2003 para sistemas operativos de Server) +esde Windows 1- 3)NH o 2)0 '$. o :$. Windows 1- 3)NH o 2)0 =ember Server Windows 1- 3)H o 3)N &esultado Windows Server 2003 $omain .ontroller Windows Server 2003 =ember Server 'rimero debe mi,rar a Windows 1- 3)NH # 2)0
-en,a en cuenta para la mi,raci#n de Windows 1- 3)H@3)N@3)NH, los requerimientos de hardware necesarios para Windows Server 2003) /bten,a ms in ormaci#n en! http!@@www)microso t)com@windowsserver2003@up,radin,@nt2@de ault)msp3
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 28 of
por: Polchowski,
'ara comprender el proceso de mi,raci#n, lo dividiremos en dos posibles procesos! =i,raci#n $irecta > (n; 'lace? o reestructuraci#n)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 29 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 30 of
por: Polchowski,
Windows Server 2003 Standard 4dition 4nterprise 4dition $atacenter 4dition Web 4dition
Windows 2000 Server Windows 2000 Server Windows 2000 "dvanced Server Windows 2000 $atacenter Server 1o 4quivalent
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 31 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 32 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 33 of
por: Polchowski,
Captulo 3 | Pgina 1 |
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 34 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 35 of
por: Polchowski,
2!2!2!1 Introduccin
$7.' permite manejar la asi,naci#n de (' de una locali*aci#n central, y por lo tanto 8sted puede con i,urar el $7.' Server para asi,nar direcciones de (' a una sola subnet o mLltiples subnets) "simismo, el $7.' Server puede asi,nar la con i,uraci#n (' a los clientes en orma
2!2!2!2 +e(inicin
4l lease es el espacio de tiempo en el cual un cliente $7.' puede utili*ar una con i,uraci#n dinmicamente asi,nada de (') "ntes de la e3piraci#n del tiempo de lease, el cliente debe renovarlo u obtener un nuevo lease del $7.')
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 36 of
por: Polchowski,
$l cliente !27- enva un broadcasts5 pa'uete !27-!"S7B&$* para locali.ar al !27- Server 4ste paquete $7.'$(S./E40 es el mensaje que los clientes $7.' envan la primera ve* que se conectan a la red y solicitan la in ormaci#n (' de un $7.' Server) 43isten dos ormas de comen*ar el proceso $7.' Lease Keneration) La primera ocurre cuando una computadora cliente se enciende o se inicia -.'@(' por primera ve*, y la se,unda ocurre cuando un cliente intenta renovar su lease y recibe una dene,aci#n >$7.' 1".D?) >'or ejemplo, un cliente puede no lo,rar una renovaci#n cuando 8sted lo mueve a otra subnet)? $l !27- Server enva un broadcast pa'uete !27-B00$* al cliente 4l paquete $7.'/%%40 es un mensaje que el $7.' Server utili*a para o recer el lease de una direcci#n (' al cliente, cuando +ste se conecta a la red) .ada $7.' Server que responde, reserva la direcci#n (' o recida para no o recerla nuevamente a otro cliente $7.', antes de la aceptaci#n del cliente inicial) Si el cliente no recibe una o erta despu+s de cuatro peticiones, utili*a una (' en la ,ama reservada a partir del HCU)2N2)0)H a HCU)2N2)2NN)2N2) 4l uso de una de estas direcciones auto;con i,uradas (' ase,ura que los clientes situados en una subnet $7.' Server inaccesible, puedan comunicarse con otros clientes) =ientras tanto el cliente $7.' continLa buscando un $7.' Server disponible cada cinco minutos) .uando el $7.' Server lle,ue a estar disponible, los clientes recibirn direcciones vlidas (', permitiendo que esos clientes se $l cliente !27- enva un broadcasts5 pa'uete !27-*$C9$S) 4l paquete $7.'04S84S- es el mensaje que un cliente enva al $7.' Server para solicitar o renovar su lease de (') 4l cliente $7.' responde al primer paquete $7.'/%%40 que recibe con un broadcasts de $7.'04S84S- para aceptar la o erta) 4l paquete $7.'04S84S- incluye la identi icaci#n del server que o erta y el cliente que acept#) -odos los otros $7.' Servers despu+s eliminan sus o ertas y conservan sus direcciones de (' para otros lease) $l !27- server enva un broadcast5 !27-A7@ al cliente 4l paquete $7.'".D es un mensaje que $7.' Server enva a un cliente como acuse de recibo y inali*aci#n del proceso de lease) 4ste mensaje contiene un lease vlido para la direcci#n (' y la otros datos de con i,uraci#n (') .uando el cliente $7.' recibe el ac9nowled,ment, inicia -.'@(' usando la con i,uraci#n (' provista por el $7.' Server)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 37 of
por: Polchowski,
Captulo 3 | Pgina 1 |
"ota' 8sted puede ver todo el proceso de lease capturando los paquetes con 1etwor9 =onitor) -en,a en cuenta que el cliente y el server utili*an los puertos CP y CF 8$') 'ara reali*ar el proceso en ambientes se,uros ser necesario que permita la comunicaci#n de esos puertos entre el cliente y el server)
2!.!1! +e(iniciones
!27- 8ease *ene(al -rocess es el proceso por el cual un cliente $7.' renueva o actuali*a sus datos de con i,uraci#n (' con el $7.' Server) 4l cliente $7.' renueva la con i,uraci#n (' antes de la e3piraci#n del tiempo de lease) Si el perodo de lease e3pira y el cliente $7.' todava no ha renovado su con i,uraci#n (', pierde los datos de la con i,uraci#n (' y comien*a nuevamente el proceso $7.' Lease Keneration)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 38 of
por: Polchowski,
'ara a,re,ar un $7.' Server, 8sted deber instalar $7.' Service en una computadora corriendo =icroso tI WindowsI Server 2003) Antes de agregar el servicio !27- Server% Eeri icar que la con i,uraci#n (' en el servidor est+ correcta) Eeri icar que la con i,uraci#n (' del servidor conten,a una direcci#n (' esttica y una subset mas9 en ambientes ruteados un $e ault Kateway) Eeri icar que la cuenta de usuario ten,a los permisos necesarios)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 39 of
por: Polchowski,
Captulo 3 | Pgina 7 |
-ara agregar el servicio !27- Server deber6% H) 2) 3) (niciar sesi#n usando una cuenta no;administrativa) 7acer clic9 en Start y despu+s en 7ontrol -anel) "brir las Administrative )ools en el .ontrol 'anel y hacer clic9 derecho en Manage ?our Server, seleccionando *un as) 2) Seleccionar )+e follo(ing user en el cuadro *un As e in,resar una cuenta de usuario y password que ten,a los permisos apropiados para reali*ar la tarea, haciendo clic9 en B@) N) 7acer clic9 Add or remove a role de la ventana =ana,e Qour Server) C) 7acer clic9 en 3e>t de la p,ina -reliminary Steps) P) Seleccionar !27- server en el wi*ard .on i,ure Qour Server, y en 3e>t) F) 7acer clic9 en 3e>t de la p,ina Summary of Selections, U) 7acer clic9 en 7ancel del wi*ard 1ew Scope para no crear el scope en ese momento) H0) 7acer clic9 en 0inis+ del wi*ard .on i,ure Qour Server)
2!4!1! +e(iniciones
8a autori.acin de !27- es el proceso de re,istrar el servicio $7.' Server en un dominio "ctive $irectory, con el prop#sito de dar soporte a clientes $7.') La autori*aci#n $7.' es solo para $7.' Servers corriendo Windows Server 2003 y Windows 2000 en "ctive $irectory)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 40 of
por: Polchowski,
Captulo 3 | Pgina 9 |
Server se con i,ura direccionamiento (') incorrectamente, los clientes recibirn una con i,uraci#n incorrecta de
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 41 of
por: Polchowski,
2!9!1! +e(inicin
8n scope es un ran,o de direcciones vlidas (' que estn disponibles para asi,nar a computadoras cliente en una subnet en particular) 8sted puede con i,urar un scope en el $7.' Server para determinar el pool de direcciones (' que ese server asi,nar a clientes) Los scopes determinan las direcciones (' que se asi,nan a los clientes) 8sted debe de inir y activar un scope antes que los clientes puedan usar el $7.' Server para una con i,uraci#n dinmica -.'@(') "simismo puede con i,urar tantos scopes en el $7.' Server como lo necesite para su ambiente de red)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 42 of
por: Polchowski,
-ara activar el !27- scope% 7acer clic9 derecho sobre el scope de la consola, y en "ctivate
N)
C)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 43 of
por: Polchowski,
8as opciones de !27- son los parmetros de con i,uraci#n que un servicio de $7.' asi,na a los clientes cuando asi,na la direcci#n (')
-ara configurar un scope !27- deber6% H) 2) 3) "brir la consola $7.' y bajo el scope apropiado, hacer clic9 en Scope Bptions) 7acer clic9 en 7onfigure Bptions del menL Action Seleccionar, en el cuadro Scope Bptions, la opci#n que usted desea con i,urar de la lista Available Bptions
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 44 of
por: Polchowski,
Captulo 3 | Pgina 12 |
2) N) .ompletar, bajo !ata entry, la in ormaci#n que se requiere para con i,urar esta opci#n) 7acer clic9 en B@ del cuadro Scope Bptions)
2!13!1! +e(inicin
4l !27- *elay Agent es una computadora o router con i,urado para escuchar broadcast $7.'@://-' de clientes $7.' y reenviar esos mensajes a los $.7' Servers en di erentes subnets) $7.'@://-' 0elay ",ents es parte de los estndares $7.' y ://-', y unciona se,Ln los documentos estndar *e'uest for 7omments >0%.s? que describen el diseMo del protocolo y el comportamiento relacionado) 8n *07 DE<217ompliant *outer es un router que soporta el reenvo de tr ico $7.' broadcast) Los clientes $7.' utili*an broadcasts para obtener el lease del $7.' Server) Los 0outers normalmente no pasan broadcasts e3cepto que est+n con i,urados espec icamente para dejarlos pasar) 'or lo tanto, sin con i,uraci#n adicional, los $7.' Servers solo proveen direcciones (' a clientes en su subset local) 'ara que 8sted pueda asi,nar direcciones a clientes en otros se,mentos, deber con i,urar la red para que los $7.' broadcasts puedan lle,ar desde el cliente al $.7' Server) 4sto se puede hacer de dos maneras! con i,urando los routers que conectan las subnets para dejar pasar $7.' broadcasts, o con i,urando $.7' 0elay ",ents) Windows Server 2003 soporta el servicio 0outin, and 0emote "ccess con i,urado para uncionar
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 45 of
por: Polchowski,
4l $7.' 0elay ",ent soporta el proceso Lease Keneration entre el cliente $7.' y el $7.' Server, cuando se separan por un router) 4sto habilita al cliente $7.' para recibir una direcci#n (' del $7.' Server) 8os siguientes pasos describen el funcionamiento de !27- *ea4y Agent% H) 2) 3) 2) N) C) P) F) 4l cliente $7.' enva un paquete broadcast $7.'$(S./E40) 4l $7.' 0elay ",ent, desde la subnet del cliente, reenva el mensaje $7.'$(S./E40 al $7.' Server usando unicast) 4l $7.' Server usa unicast para enviar el mensaje $7.'/%%40 al $7.' 0elay ",ent) 4l $7.' 0elay ",ent enva un paquete broadcast $7.'/%%40 al cliente $7.' en su subnet) 4l cliente $7.' enva un paquete broadcast $7.'04S84S-) 4l $7.' 0elay ",ent, desde la subnet del cliente, reenva el mensaje $7.'04S84S- al $7. Server, usando unicast) 4l $7.' Server usa unicast para enviar el mensaje $7.'".D al $7.' 0elay ",ent) 4l $7.' 0elay ",ent enva un paquete broadcast $7.'".D al cliente $7.' en su subnet)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 46 of
por: Polchowski,
Captulo 3 | Pgina 1. | 2!1.!1 Prctica 4' EC$o con(igurar el +DCP &ela% #gentG
-ara agregar un !27- *elay Agent deber6% H) 2) "brir la consola 0outin, and 0emote "ccess) 7acer clic9 derecho en el server y despu+s en 7onfigure and $nable *outing and *emote Access) 3) 7acer clic9 en 1e3t de la pantalla del wi*ard #elcome to t+e *outing and *emote Access Server Setup #i.ard) 2) Seleccionar 7ustom configuration en la p,ina 7onfiguration, y hacer clic9 en 3e>t) N) Seleccionar 8A3 routing en la p,ina 7ustom 7onfiguration y hacer clic9 en 3e>t) C) 7acer clic9 en 0inis+ de la p,ina 7ompleting t+e *outing and *emote Access Server Setup #i.ard) P) 7acer clic9 en ?es del cuadro de advertencia de *outing and *emote Access, para iniciar el servicio) F) 7acer clic9 en 0inis+ de la p,ina )+is Server is 3o( a *emote AccessF&-3 Server U) 43pandir el server y el "- *outing en la consola, y seleccionar ,eneral) H0) 7acer clic9 derecho en ,eneral y despu+s en 3e( *outing -rotocol)
-ara configurar la direccin "- del !27- Server en el !27- *elay Agent deber6% H2) H3) H2) HN) "brir la consola 0outin, and 0emote "ccess) Seleccionar !27- *elay Agent en la consola) 7acer clic9 derecho en !27- *elay Agent y despu+s en -roperties) (n,resar la direcci#n (' del $7.' Server al que quiere enviar los pedidos $7.', en ,eneral del campo Server address) HC) 7acer clic9 en Add, y despu+s en B@) -ara +abilitar el !27- *elay Agent en una interfase del router deber6% HP) HF) HU) 20) "brir la consola *outing and *emote Access) Seleccionar !27- *elay Agent en la consola 7acer clic9 derecho en !27- *elay Agent y despu+s en 3e( "nterface) Seleccionar la inter ase donde quiere habilitar el $7.' 0elay ",ent, y despu+s hacer clic9 en B@) 2H) Eeri icar si est seleccionado el cuadro *elay !27- pac4ets en ,eneral del cuadro !27*elay -roperties, en ,eneral)
'ara obtener ms in ormaci#n acerca de $7.'! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HC http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32N2P3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT30CH02 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233C0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233NN
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 47 of
por: Polchowski,
4l !omain 3amespace es un rbol de nombres jerrquico que utili*a $1S para identi icar y locali*ar un host en un dominio dado, concerniente a la ra* del rbol) Los nombres en la base de datos $1S establecen una estructura l#,ica llamada $omain 1amespace, que identi ica la posici#n de un dominio en el rbol y su dominio superior) La convenci#n principal es simplemente +sta! para cada nivel de dominio, un perodo >)? se utili*a para separar a cada descendiente del subdominio y de su dominio de nivel superior)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 48 of
por: Polchowski,
Captulo 3 | Pgina 14 |
4l 0ully Cualified !omain 3ame :0C!3; es el nombre de dominio $1S que indica con certe*a la locali*aci#n del host al que se re iere, y su ubicaci#n en el $omain 1amespace)
3e>t) F) 7acer clic9 en 3e>t de la p,ina Summary of Selections, U) (n,resar el .$ =icroso t Windows Server 2003, si se lo pide) H0) 7acer clic9 en 7ancel de la p,ina #elcome to t+e 7onfigure a !3S Server #i.ard,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 49 of
por: Polchowski,
8na Cuery *ecursiva es una solicitud de resoluci#n al $1S Server, en el caso que el cliente realice la Suery directamente al $1S Server) La Lnica respuesta aceptable a una Suery 0ecursiva es la respuesta completa o la respuesta en donde el nombre no puede ser resuelto) 8na Suery 0ecursiva nunca se redirecciona a otro $1S Server) Si el $1S consultado no obtiene la respuesta de su propia base o del cache o de otros $1S, la respuesta es un error, indicando que no puede resolver el nombre)
" di erencia de las Suerys 0ecursivas, cuando un cliente reali*a un pedido de resoluci#n y el $1S Server no obtiene la respuesta de su propia base o del cache, la Suery (terativa consulta a otros $1S Servers en nombre del cliente para devolver la respuesta) 4jemplo! si usted necesita acceder a un sitio Web en (nternet, normalmente consultara al $1S de su (S', y +ste Lltimo se encar,ara de
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 50 of
por: Polchowski,
Captulo 3 | Pgina 19 |
contactar a otros $1S Servers hasta lo,rar la respuesta) 'ero analice lo si,uiente! es imposible en (nternet que el $1S de su (S' conten,a todas las resoluciones posibles en toda la red (nternet, y por eso las bases de $1S se distribuyen y se resuelven nombres de orma (teractiva)
7ac+ing es el proceso de almacenar la in ormaci#n reciente temporalmente, y resulta en un subsistema especial de la memoria para un acceso ms rpido) .uando un server est procesando una Suery 0ecursiva, puede ser que se requiera enviar varias Suerys para encontrar la respuesta de initiva) 4n el peor de los casos para resolver un nombre, el server local comien*a en el 0oot $1S y trabaja hacia abajo hasta que encuentra los datos solicitados) 4l server ,uarda la in ormaci#n de la resoluci#n en su cache por un tiempo determinado) 4ste periodo de tiempo se denomina -ime to Live >--L? y es especi icado en se,undos) 4l administrador del server que contiene la primary *one donde estn los datos, decide el valor del --L) .uanto ms pequeMo sea el valor del --L, le ayudar a mantener datos ms consistentes en caso de cambios) Sin embar,o, esto tambi+n ,enerar ms car,a de trabajo sobre el 1ame Server) $espu+s que el $1S Server ,uarda en cache los datos, el --L comien*a a decrecer hacia abajo hasta lle,ar a 0 >*ero? y en ese punto el re,istro es eliminado del cache de $1S Server) =ientras el valor de --L est activo, el $1S Server resuelve los pedidos utili*ando el re,istro de cache)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 51 of
por: Polchowski,
Captulo 3 | Pgina 1: | 3!3! Prctica 9' EC$o con(igurar propiedades del servicio +"S ServerG
'ara con i,urar propiedades del servicio $1S Server, 8sted necesita actuali*ar los 0oot 7ints en el $1S Server) Los 0oot 7ints determinan si su server consulta a los root de (nternet o si el root es un server interno) -ara actuali.ar los *oot 2ints en el !3S Server deber6% H) 2) 3) 2) "brir la consola de $1S) Seleccionar el server apropiado en la consola $1S) 7acer clic9 en -roperties del menL Action) 4n *oot 2ints, 8sted puede hacer clic9 en! Add, para a,re,ar un 1ame Server) ",re,ue la (' de su server) $dit, para editar un 1ame Server) *emove, para quitar un 1ame Server) 7opy from Server, para copiar la lista de 1ame Servers desde otro $1S Server) 7acer clic9 en B@ para cerrar el cuadro -roperties) .errar la consola $1S
N) C)
8na .ona es una parte conti,ua del espacio de nombres de dominio en el que un servidor $1S tiene autoridad para resolver consultas $1S) 4l espacio de nombres $1S se puede dividir en di erentes *onas, que almacenan in ormaci#n de nombres acerca de uno o varios dominios $1S, o partes de ellos) 'ara cada nombre de dominio $1S incluido en una *ona, +sta se convierte en el ori,en autori*ado de la in ormaci#n acerca de ese dominio) Antes de crear .onas5 debe comprender los siguientes conceptos% )ipos de .onas Los servidores $1S pueden alojar varios tipos de *ona) 'ara limitar el nLmero de servidores $1S en la red, puede con i,urar uno solo que admita o aloje varias *onas) -ambi+n puede con i,urar varios servidores para alojar una o varias *onas con el in de proporcionar tolerancia a errores y distribuir la car,a de trabajo administrativa y de resoluci#n de nombres)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 52 of
por: Polchowski,
Captulo 3 | Pgina 20 |
Arc+ivo de .ona Los re,istros de recursos que se almacenan en un archivo de *ona de inen a +sta) 4l archivo de *ona almacena in ormaci#n que se utili*a para convertir nombres de host en direcciones (' y viceversa) I$portante' 'ara crear *onas y administrar un servidor $1S que no se ejecuta en un controlador de dominio, debe ser miembro del ,rupo de administradores en ese equipo) 'ara con i,urar un servidor $1S que se ejecuta en un controlador de dominio, debe ser miembro de los ,rupos administradores de $1S, administradores de dominio o administradores 4nterprise)
4n la tabla si,uiente se describen los cuatro tipos de *onas que se pueden con i,urar, as como los archivos de *ona asociados con ellas) /stndar Principal' .ontiene una versi#n de lectura y escritura del archivo de *ona que se almacena en un archivo de te3to estndar) Los cambios reali*ados en la *ona se re,istran en dicho archivo) /stndar Secundario' .ontiene una versi#n de s#lo lectura del archivo de *ona que se almacena en otro archivo de te3to estndar) Los cambios e ectuados en la *ona se re,istran en el archivo de *ona principal y se replican en el archivo de *ona secundaria) .ree una *ona secundaria estndar para crear una copia de una *ona e3istente y de su archivo de *ona) $e esta orma se puede distribuir la car,a de trabajo de la resoluci#n de nombres entre varios servidores $1S) Integrada de #ctive +irector%' 4n lu,ar de almacenar la in ormaci#n de *ona en un archivo de te3to, se almacena en "ctive $irectory) Las actuali*aciones de la *ona se producen automticamente durante la replicaci#n de "ctive $irectory) .ree una *ona inte,rada de "ctive $irectory para simpli icar el planeamiento y la con i,uraci#n de un espacio de nombres $1S) 1o es necesario con i,urar servidores $1S para especi icar c#mo y cundo se producen las actuali*aciones, ya que "ctive $irectory mantiene la in ormaci#n de *ona)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 53 of
por: Polchowski,
Captulo 3 | Pgina 21 |
Kona Stu2' La *ona Stub son las copias de una *ona que contienen solamente los re,istros que son necesarios identi icar en el server autoritativo $1S para esa *ona) 8na *ona stub contiene un subconjunto de datos de la *ona que consisten en re,istros S/", 1S, y ") Las *ona Stub puede ser utili*ada donde un servidor interno $1S representa al 0oot en lu,ar de los 0oot Servers de
3) 2) N)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 54 of
por: Polchowski,
Captulo 3 | Pgina 22 |
Si a,re,a un servidor secundario, intente ubicarlo lo ms cerca posible de los clientes que requieran muchos nombres en la *ona) "dems, es recomendable colocar servidores secundarios a trav+s de un router, ya sea en otras subredes >si se utili*a una L"1 ruteada? o en vnculos W"1) $e esta manera, se usa e ica*mente un servidor secundario como copia de se,uridad local en aquellos casos en los que un vnculo de red intermedio se convierte en un punto de concentraci#n de errores entre servidores y clientes $1S que utili*an la *ona) .omo el servidor principal siempre mantiene la copia maestra de las actuali*aciones y cambios e ectuados en la *ona, el servidor secundario depende de mecanismos de trans erencia de *onas $1S para obtener su in ormaci#n y mantenerla actuali*ada) "l,unas cuestiones como los m+todos de trans erencia de *ona, ya sea mediante trans erencias de *ona completas o incrementales, se simpli ican cuando se utili*an servidores secundarios) "l considerar el impacto de las trans erencias de *ona causadas por los servidores secundarios, ten,a en cuenta su ventaja como ori,en de copia de se,uridad de in ormaci#n 8na re,la sencilla es que por cada servidor secundario que se a,re,a, aumenta el uso de la red >debido al tr ico adicional ,enerado en la replicaci#n de *ona? y el tiempo necesario para sincroni*ar la *ona en todos los servidores secundarios)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 55 of
por: Polchowski,
Los archivos de *ona contienen la in ormaci#n a la que un servidor $1S hace re erencia para reali*ar dos tareas distintas! convertir nombres de host en direcciones (' y convertir direcciones (' en nombres de host) 4sta in ormaci#n se almacena como re,istros de recursos que llenan el archivo de *ona) 8n archivo de *ona contiene los datos de resoluci#n de nombres para una *ona, incluidos los re,istros de recursos con in ormaci#n para responder a consultas $1S) Los re,istros de recursos son entradas de base de datos que incluyen varios atributos de un equipo, como el nombre de host o el nombre de dominio completo, la direcci#n (' o el alias) 8os servidores !3S pueden contener los siguientes tipos de registros de recursos% # ) ost,' .ontiene la in ormaci#n de asi,naciones de nombre a direcci#n (', que se utili*a para asi,nar un nombre de dominio $1S a una direcci#n (' de host en la red) Los re,istros de recursos " tambi+n se conocen como re,istros de host) "S )na$e server,' $esi,na los nombres de dominio $1S de los servidores que tienen autoridad en una *ona determinada o que contienen el archivo de *ona de ese dominio) C"#*/ )canonical na$e,' 'ermite proporcionar nombres adicionales a un servidor que ya tiene un nombre en un re,istro de recursos ") 'or ejemplo, si el servidor llamado webserverH)nwtraders)ms t aloja el sitio web de nwtraders)ms t, debe tener el nombre comLn ww)nwtraders)ms t) Los re,istros de recursos .1"=4 tambi+n se conocen como re,istros de alias) *L )$ail e?c anger,' 4speci ica el servidor en el que las aplicaciones de correo electr#nico pueden entre,ar correo) 'or ejemplo, si tiene un servidor de correo que se ejecuta en un equipo llamado mailH)nwtraders)ms t y desea que todo el correo de nombre$e8suarioXnwtraders)ms t se entre,ue en este servidor, es necesario que el re,istro de recursos =O e3ista en la *ona de nwtraders)ms t y apunte al servidor de correo de ese dominio)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 56 of
por: Polchowski,
Captulo 3 | Pgina 2. |
SB# )Start #ut orit%,' (ndica el punto de partida o el punto ori,inal de autoridad para la in ormaci#n almacenada en una *ona) 4l re,istro de recursos S/" es el primero que se crea cuando se a,re,a una *ona nueva) .ontiene tambi+n varios parmetros que utili*an otros equipos que emplean $1S para determinar cunto tiempo utili*arn la in ormaci#n de la *ona y con cunta recuencia hay que reali*ar actuali*aciones) P8& )pointer,' Se utili*a en una *ona de bLsqueda inversa creada en el dominio in;addr)arpa para desi,nar una asi,naci#n inversa de una direcci#n (' de host a un nombre de dominio $1S de host) S&- )service,' Lo re,istran los servicios para que los clientes puedan encontrar un servicio mediante $1S) Los re,istros S0E se utili*an para identi icar servicios en "ctive $irectory y tambi+n se conocen como re,istros de ubicaci#n de servicio)
4n la mayora de las bLsquedas de $1S los clientes suelen reali*ar una bLsqueda directa, que es un solicitud para asi,nar un nombre de equipo a una direcci#n (') $1S proporciona tambi+n un proceso de bLsqueda inversa, que permite a los clientes solicitar un nombre de equipo en unci#n de la direcci#n (' del equipo)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 57 of
por: Polchowski,
Captulo 3 | Pgina 21 |
archivo de *ona y los re,istros de recursos necesarios para el servidor $1S en el que se crea la *ona)
'ara cada *ona, el servidor que mantiene los archivos de *ona principal estndar se llama servidor principal, y los servidores que alojan los archivos de *ona secundaria estndar se llaman servidores secundarios) 8n servidor $1S puede alojar el archivo de *ona principal estndar >como servidor principal? de una *ona y el archivo de *ona secundaria estndar >como servidor secundario? de otra *ona) -uede configurar uno o varios servidores !3S para alo/ar% 8na o varias *onas principales estndar) 8na o varias *onas secundarias estndar) 8na combinaci#n de *onas principales estndar y *onas secundarias estndar) "ota' 'ara crear una *ona secundaria estndar, debe crear primero una *ona principal estndar)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 58 of
por: Polchowski,
Captulo 3 | Pgina 24 |
'ara proporcionar disponibilidad y tolerancia a errores en la resoluci#n de nombres, los datos de la *ona deben estar disponibles desde ms de un servidor $1S de una red) 'or ejemplo, si se utili*a un solo servidor $1S y +ste no responde, las consultas de nombres allarn) .uando se con i,ura ms de un servidor para alojar una *ona, se requieren trans erencias de *ona para replicar y sincroni*ar los datos de la *ona entre todos los servidores que estn con i,urados para alojarla)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 59 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 60 of
por: Polchowski,
Captulo 3 | Pgina 29 |
8sted puede con i,urar servidores $7.' para asi,nar automticamente direcciones (' a equipos cliente .uando un cliente recibe una nueva direcci#n (' de un servidor $7.', se debe actuali*ar la in ormaci#n de asi,naciones de nombres a direcciones (' almacenadas en el servidor $1S) 4n Windows 2003, los servidores y los clientes $7.' pueden re,istrar y actuali*ar dinmicamente esta in ormaci#n de los servidores $1S
2) 3)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 61 of
por: Polchowski,
Captulo 3 | Pgina 2: |
http!@@www)microso t)com@Windows2000@technolo,ies@communications@dns@de ault)asp http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFH2NUH http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32322N http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HU http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222NU http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222C0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HP http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCNHF http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCNCP http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HF
4l m+todo ms habitual para resolver nombres 1et:(/S remotos y locales es el uso de un servidor de nombres 1et:(/S) .uando un usuario ejecuta determinados comandos, como net use, o hace que una aplicaci#n 1et:(/S interactLe con la red, se inicia el proceso de resoluci#n de nombres 1et:(/S) 4n la cach+ de nombres 1et:(/S es donde s
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 62 of
por: Polchowski,
Captulo 3 | Pgina 30 |
comprueba si se encuentra la asi,naci#n de nombre 1et:(/S en direcci#n (' del host de destino) 4n caso que el nombre 1et:(/S no se encuentre en la cach+, el cliente intentar determinar la direcci#n (' del host de destino mediante otros m+todos) Si el nombre no se puede resolver con la cach+, el nombre 1et:(/S del host de destino se enva al servidor de nombres 1et:(/S con i,urado para el host de ori,en) 8na ve* que el nombre se convierte en una direcci#n (', se devuelve al host de ori,en) W(1S es la implementaci#n de =icroso t de un servidor de nombres 1et:(/S) -ara 'ue #"3S funcione correctamente en una red5 cada cliente debe% 0e,istrar su nombre en la base de datos W(1S) "l iniciar un cliente, +ste re,istra su nombre en el servidor W(1S con i,urado) 0enovar el re,istro a intervalos con i,urables) Los re,istros de los clientes son temporales y, por lo tanto, los clientes W(1S deben renovar re,ularmente su nombre o, de lo contrario, su concesi#n caducar) Liberar los nombres de la base de datos al cerrarse) Si el cliente W(1S ya no necesita su nombre, por ejemplo cuando se apa,a, enva un mensaje para indicar al servidor W(1S que lo libere) 9na ve. 'ue se +a configurado con #"3S como mKtodo de resolucin de nombres5 el cliente lo usar6 para llevar a cabo resoluciones de nombres 3etB"BS -ara ello debe reali.ar las acciones siguientes% H) 2) 3) Si el cliente no puede resolver el nombre en su cach+, enva una consulta de nombre a su servidor W(1S principal) Si +ste no responde, el cliente enviar la solicitud dos veces ms) Si el cliente no recibe una respuesta del servidor W(1S principal, vuelve a enviar la solicitud a todos los servidores W(1S adicionales, con i,urados en el cliente) Si un servidor W(1S resuelve el nombre, responder al cliente con la direcci#n (' del nombre 1et:(/S solicitado) 4n caso que no se reciba nin,una respuesta, el servidor W(1S enviar un mensaje indicando que el nombre no se encuentra, y el cliente pasar al si,uiente m+todo de resoluci#n de nombres con i,urado)
La snap;in W(1S de =icroso t =ana,ement .onsole >==.? permite al usuario ver el contenido de la base de datos W(1S y buscar entradas espec icas)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 63 of
por: Polchowski,
Captulo 3 | Pgina 31 |
#pertura de la 2ase de datos WI"S -ara abrir la base de datos #"3S deber6% H) 2) 3) 43pandir el nombre del servidor en W(1S y hacer clic9 en Active registries) 7acer clic9 con el bot#n secundario del mouse en Active registries y lue,o hacer clic9 en find by o(ner) 7acer clic9 en All B(ners del cuadro de dilo,o find by o(ner, en la icha B(ners, y lue,o hacer clic9 en 0ind)
"unque un servidor W(1S puede admitir ms de N)000 clientes en condiciones normales de car,a de trabajo, puede instalar tambi+n un se,undo servidor para proporcionar tolerancia a errores en la resoluci#n de nombres 1et:(/S) $icho servidor permitir, al mismo tiempo, locali*ar el tr ico de resoluci#n) $e esta orma, si se produce un error en uno de los servidores W(1S, el otro servidor continuar reali*ando la resoluci#n de nombres 1et:(/S en la red) .ada servidor W(1S de una red mantiene su propia base de datos W(1S) 'or lo tanto, si hay varios servidores W(1S en la red, debern con i,urarse para replicar los re,istros de su base de datos en el resto de los servidores W(1S) La replicaci#n de bases de datos W(1S ,aranti*a que un cliente W(1S con i,urado para usar un servidor W(1S distinto, pueda resolver nombres re,istrados con un servidor W(1S)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 64 of
por: Polchowski,
Captulo 3 | Pgina 32 |
-or e/emplo% 4l host " de la subred H se re,istra con el servidor W(1S " de la subred H) 4l host : de la subred 2 se re,istra con el servidor W(1S : de la subred 2) .uando se produce una replicaci#n de W(1S, cada servidor W(1S actuali*a su base de datos con la nueva entrada procedente de la base de datos del otro servidor) .omo resultado de la replicaci#n, ambos servidores W(1S disponen de in ormaci#n acerca de ambos hosts, y los hosts " y : pueden resolver mutuamente sus nombres si se ponen en contacto con su servidor W(1S local) 'ara que se produ*ca la replicaci#n, cada servidor W(1S deber con i,urarse con un asociado de replicaci#n, como mnimo) "l con i,urar un asociado de replicaci#n para un servidor W(1S, puede especi icarlo como asociado de e3tracci#n, como asociado de inserci#n o como asociado de e3tracci#n e inserci#n para el proceso de replicaci#n)
.!3!1!1! +e(inicin
La replicaci#n -us+ es el proceso de copia de los re,istros actuali*ados desde un W(1S Server a otros, siempre que el W(1S Server que conten,a datos actuali*ados, alcance un valor especi icado de cambios) $l proceso de replicacin -us+ funciona de la siguiente forma% H) 4l 'ush 'artner noti ica a sus 0eplication 'artners, siempre que el nLmero de cambios a su base de datos del W(1S pase un valor espec ico con i,urable) 'or
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 65 of
por: Polchowski,
Captulo 3 | Pgina 33 |
ejemplo, 8sted puede con i,urar el 'ush 'artner para noti icar a los 0eplication 'artners cuando ocurran N0 cambios en la base) .uando los 0eplication 'artners respondan a la noti icaci#n con un pedido de r+plica, el 'ush 'artner enva la r+plica de las entradas nuevas en la base)
2)
.!3!2!1! +e(inicin
La replicaci#n -ull es el proceso de copia de los re,istros actuali*ados desde un W(1S Server a otros W(1S Servers, en intervalos espec icos de tiempo) $l proceso de replicacin -ull funciona de la siguiente forma% H) 2) 4l 'ull 'artner solicita los cambios en la base de W(1S en intervalos de tiempo) 'or ejemplo, 8sted puede con i,urar un 'ull 'artner para solicitar los cambios cada F horas) Los 0eplication 'artners responden enviando las entradas nuevas de la base)
-ambi+n e3iste la posibilidad de con i,urar 0eplications 'artners de modo 'ush@'ull) 4sto le ase,ura que bajo determinada cantidad de cambios, se produ*ca la replicaci#n en intervalos de tiempo)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 66 of
por: Polchowski,
Captulo 3 | Pgina 3. |
H) 2) 3) 2) Seleccionar, en la consola W(1S, el W(1S Server al que quiere a,re,ar un 0eplication 'artner, y hacer clic9 en *eplication -artners) 7acer clic9 en 3e( *eplication -artner del menL Action, (n,resar, en el campo #"3S Server, el nombre o la (' del W(1S Server a a,re,ar como 0eplication 'artner) >Se,unda .omputadora? 7acer clic9 en B@)
-ara modificar el tipo de *eplication -artner deber6% H) 2) 3) 2) 43pandir el W(1S Server en la consola W(1S) 7acer clic9 en *eplication -artners de la consola W(1S) 7acer clic9 derecho en el server apropriado del cuadro de detalles, y lue,o hacer clic9 en -roperties Seleccionar una de las si,uientes opciones en el cuadro Server -roperties, en Advanced, en el campo! *eplication partner type! -us+ -ull -us+F-ull 7acer clic9 en B@ del cuadro Server -roperties) .errar la consola W(1S)
N) C)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 67 of
por: Polchowski,
Captulo 3 | Pgina 31 | .!4! Procesos de resolucin de no$2res e integracin WI"S H +"S .!4!1! &esolucin de no$2res de ost
$l proceso de resolucin de nombres de 2BS) en un cliente cumple con el siguiente diagrama% H) 2) 3) 2) N) C) en 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as la resoluci#n se encuentra en el $1S cach+ local del cliente y inali*a el proceso) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 4l cliente reali*a una query al $1S primario) Si el $1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as, la resoluci#n se encuentra en el 1et:(/S cach+ local del cliente y inali*a el proceso) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 4l cliente reali*a una query al W(1S primario) Si el W(1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) Si hasta el momento no pudo resolver el nombre, el cliente reali*a un :roadcast local) Si resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 'or Lltimo tendr que consultar el archivo local L=7/S-S que se encuentra VsystemrootVWsystem32WdriversWetc) 4ste archivo es una base esttica de resoluci#nT no tiene e3tensi#n y tampoco se actuali*a) Si este Lltimo proceso no es e3itoso, el cliente no
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 68 of
por: Polchowski,
Captulo 3 | Pgina 34 |
/Ce$plo de arc ivo DBS8S
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 69 of
por: Polchowski,
Captulo 3 | Pgina 37 |
$l proceso de resolucin de nombres de 3etB"BS en un cliente cumple con el siguiente diagrama% H) 2) 3) 2) en 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as, la resoluci#n se encuentra en el 1et:(/S cach+ local del cliente y inali*a el proceso) Si no obtiene resoluci#n, si,ue al paso si,uiente) 4l cliente reali*a una query al W(1S primario) Si el W(1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) Si hasta el momento no pudo resolver el nombre, el cliente reali*a un :roadcast local) Si resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 'or Lltimo tendr que consultar el archivo local L=7/S-S que se encuentra VsystemrootVWsystem32WdriversWetc) 4ste archivo es una base esttica de resoluci#nT no tiene e3tensi#n y tampoco se actuali*a) Si este Lltimo proceso no es e3itoso, el cliente no lo,rar la resoluci#n) /Ce$plo de #rc ivo ;*DBS8
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 70 of
por: Polchowski,
4l inte,rar W(1S con $1S habilita a los clientes a usar e3clusivamente $1S para la resoluci#n de nombres) Los clientes podrn acceder a los datos de W(1S a trav+s del $1S server) Sin embar,o, el $1S Server no puede locali*ar recursos sin reali*ar una query a W(1S) 4n Windows Server 2003, 8sted puede con i,urar inte,raci#n entre W(1S y $1S para habilitar a clientes no;W(1S para resolver nombres 1et:(/S, usando un $1S Server) 8sted puede con i,urar $1S inte,rado con W(1S Servers) -ara configurar una .ona !3S para uso de #"3S loo4up deber6% H) 2) 3) 2) N) "brir $1S en el menL Administrative )ools) 43pandir, en la consola $1S, el server donde est la *ona a con i,urar, e3pandir 0or(ard 8oo4up Hones, y lue,o hacer clic9 en la *ona) 7acer clic9 derecho en la *ona, y lue,o en -roperties) Seleccionar el cuadro 8se #"3S for(ard loo4up, del cuadro -roperties, en #"3S) (n,resar la direcci#n (' del W(1S Server, del cuadro "- address, y lue,o hacer clic9 en Add)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 71 of
por: Polchowski,
Captulo . | Pgina 1 |
1!1! +e(inicin
4n una red de =icroso tI WindowsI Server 2003, el servicio de directorio "ctive $irectoryI proporciona la estructura y las unciones para or,ani*ar, administrar y controlar el acceso a los recursos de red) 'ara implementar y administrar una red de Windows Server 2003, deber comprender el prop#sito y la estructura de "ctive $irectory) "ctive $irectory proporciona tambi+n la capacidad de administrar centralmente la red de Windows Server 2003) 4sta capacidad si,ni ica que puede almacenar centralmente in ormaci#n acerca de la empresa, por ejemplo, in ormaci#n de usuarios, ,rupos e impresoras, y que los administradores pueden administrar la red desde una sola ubicaci#n) "ctive $irectory admite la dele,aci#n del control administrativo sobre los objetos de +l mismo) 4sta dele,aci#n permite que los administradores asi,nen a un ,rupo determinado de administradores, permisos administrativos espec icos para objetos, como cuentas de usuario o de ,rupo) "ctive $irectory es el servicio de directorio de una red de Windows Server 2003, mientras que un servicio de directorio es aquel que almacena in ormaci#n acerca de los recursos de la red y permite que los mismos resulten accesibles a los usuarios y a las aplicaciones) Los servicios de directorio proporcionan una manera coherente de nombrar, describir, locali*ar, tener acceso, administrar y ase,urar la in ormaci#n relativa a los recursos de red)
1!2! ;a (uncionalidad
"ctive $irectory proporciona uncionalidad de servicio de directorio, como medio para or,ani*ar, administrar y controlar centralmente el acceso a los recursos de red) "simismo hace que la topolo,a sica de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener acceso a cualquier recurso sin saber d#nde est el mismo o c#mo est conectado sicamente a la red) 8n ejemplo de este tipo "ctive $irectory est or,ani*ado en secciones que permiten el almacenamiento de una ,ran cantidad de objetos) .omo resultado, es posible ampliar "ctive $irectory a medida que crece una or,ani*aci#n, permitiendo que una or,ani*aci#n que ten,a un Lnico servidor con unos cuantos centenares de objetos, cre*ca hasta tener miles de servidores y millones de objetos)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 72 of
por: Polchowski,
Captulo . | Pgina 2 |
8n servidor que ejecuta Windows Server 2003 almacena la con i,uraci#n del sistema, la in ormaci#n de las aplicaciones y la in ormaci#n acerca de la ubicaci#n de los per iles de usuario en "ctive $irectory) 4n combinaci#n con las directivas de ,rupo, "ctive $irectory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicaci#n central, al tiempo que utili*a una inter a* de administraci#n coherente) "dems, "ctive $irectory proporciona un control centrali*ado del acceso a los recursos de red, al permitir que los usuarios s#lo inicien sesi#n una sola ve* para obtener pleno acceso a los recursos mediante "ctiv $irectory)
"ctive $irectory proporciona el almacenamiento se,uro de la in ormaci#n sobre objetos en su estructura jerrquica l#,ica) Los objetos de "ctive $irectory representan usuarios y recursos, como por ejemplo, l computadoras y las impresoras) "l,unos objetos pueden lle,ar a ser containers para otros objetos) 4ntendiendo el prop#sito y la unci#n de estos objetos, 8sted podr reali*ar una variedad de tareas, incluyendo la instalaci#n, la con i,uraci#n, la administraci#n y la resoluci#n de problemas de "ctive $irectory)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 73 of
por: Polchowski,
Captulo . | Pgina 3 |
8a estructura lgica de Active !irectory incluye los siguientes componentes% Bb/ects 4stos son los componentes bsicos de la estructura l#,ica) Bb/ect classes Son las plantillas o los modelos para los tipos de objetos que se pueden crear en "ctive $irectory) .ada clase de objeto es de inida por un ,rupo de atributos, los cuales de inen los valores posibles que se pueden asociar a un objeto) .ada objeto tiene una combinaci#n Lnica de los valores de atributos) Brgani.ational units 8sted puede utili*ar estos container objects para or,ani*ar otros objetos con prop#sitos administrativos) /r,ani*ando objetos en /r,ani*ational 8nit, se hace ms cil locali*ar y administrar objetos) 8sted puede tambi+n dele,ar la autoridad para administrar las /r,ani*ational 8nit) 4stas Lltimas pueden contener otras /r,ani*ational 8nits para simpli icar la administraci#n de objetos) !omains Son las unidades uncionales core de la estructura l#,ica de "ctive $irectory, y asimismo es una colecci#n de los objetos administrativos de inidos, que comparten en una base de datos comLn del directorio, polticas de la se,uridad y relaciones de con ian*a con otros $omains) Los $omains proporcionan las tres unciones si,uientes! 8n lmite administrativo para los objetos =edios de administrar la se,uridad para los recursos compartidos 8na unidad de r+plica para los objetos !omain trees Son $omains a,rupados en estructuras de jerarqua) .uando se a,re,a un se,undo dominio a un tree, se convierte en .hild del tree 0oot $omain) 4l dominio al cual un .hild $omain se une, se llama 'arent $omain) 4l .hild $omain puede tener sus propios .hild $omain, y su nombre se combina con el nombre de su 'arent $omain para ormar su propio y Lnico nombre, $omain 1ame System >$1S?) 8n ejemplo de ellos sera corp)nwtraders)ms t) $e este modo, un tree tiene un 1amespace conti,uo) 0orests 8n %orest es una instancia completa de "ctive $irectory, y consiste en uno o ms trees) 4n un solo two;level tree, el cual se recomienda para la mayora de las or,ani*aciones, todos los .hild $omains se hacen .hildren del %orest 0oot $omain para ormar un tree conti,uo) 4l primer dominio en el orest se llama %orest 0oot $omain, y el nombre de ese dominio se re iere al orest, por ejemplo, nwtraders)ms t) 'or de ecto, la in ormaci#n en "ctive $irectory se comparte solamente dentro del orest) $e esta manera, la se,uridad del orest estar contenida en una sola instancia de "ctive $irectory)
4n contraste con la estructura l#,ica y los requisitos administrativos de los modelos, la estructura sica de "ctive $irectory optimi*a el tr ico de la red, determinando c#mo y cundo ocurre la replicaci#n y el tr ico de lo,on) 'ara optimi*ar el uso del ancho de banda de la red "ctive $irectory, 8sted debe entender la estructura sica del mismo)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 74 of
por: Polchowski,
Captulo . | Pgina . |
8os elementos de la estructura fsica de Active !irectory son% !omain controllers 4stas computadoras corren =icroso tI WindowsI Server 2003 o Windows 2000 Server y "ctive $irectory) .ada $omain .ontroller reali*a unciones de almacenamiento y replicaci#n, y adems soporta solamente un domain) 'ara ase,urar una disponibilidad contnua de "ctive $irectory, cada domain debe tener ms de un $omain .ontroller) Active !irectory sites Los sites son ,rupos de computadoras conectadas) .uando 8sted establece sites, los $omain .ontrollers que estn dentro de un solo site pueden comunicarse con recuencia) 4sta comunicaci#n reduce al mnimo el estado de la latencia dentro del site, esto es, el tiempo requerido para un cambio que se realice en un $omain .ontroller y sea replicado a otros domain controllers) 8sted crea sites para optimi*ar el uso del ancho de banda entre domain controllers en diversas locaciones) Active !irectory partitions $irectory! .ada $omain .ontroller contiene las si,uientes particiones de "ctive
$omain 'artition, que contiene la r+plica de todos los objetos en ese domain) 4sta partici#n es replicada solamente a otros $omain .ontrollers en el mismo domain) .on i,uration 'artition, que contiene la topolo,ia del cone3iones de los $omain .ontrollers en el mismo orest) orest) La topolo,a re,istra todas las
Schema 'artition, que contiene el schema del orest) .ada orest tiene un schema de modo que la de inici#n de cada clase del objeto sea constante) Las particiones .on i,uration y Schema 'artitions son replicadas a cada $omain .ontroller en el orest) "pplication 'artitions 'pcionales) que contienen los objetos relacionados a la se,uridad y son utili*ados por una o ms aplicaciones) Las "pplication 'artitions son replicadas a $omain .ontrollers espec icos en orest)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 75 of
por: Polchowski,
Captulo . | Pgina 1 |
.uando un cambio se reali*a a un domain, el cambio se replica a todos los $omain .ontrollers del mismo) "l,unos cambios, por ejemplo los que se hacen en el schema, son replicados a todos los domains en el orest) 4ste tipo de replicaci#n es llamada Multimaster *eplication)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 76 of
por: Polchowski,
Captulo . | Pgina 4 |
al objeto para re lejar los cambios reali*ados en el objeto real, por ejemplo, movimientos en y entre domains o la eliminaci#n del objeto) .ada domain en el orest tiene su propio '$. 4mulator, 0($ =aster e (n rastructure =aster)
8sted colocar los /perations =aster 0oles en un orest cuando implemente una estructura de orest y dominio) Los /perations =aster 0oles se trans ieren, solamente cuando se reali*a un cambio importante en la in raestructura del dominio) -ales cambios incluyen el desarme de un $omain .ontroller que haya tenido un rol, y la adici#n de un nuevo $omain .ontroller que satis a,a mejor las operaciones de un rol espec ico) La trans erencia de /perations =aster 0oles implica mover el rol de un $omain .ontroller a otro) 'ara trans erir roles, los dos $omain .ontrollers deben estar uncionando y conectados a la red) 1in,una p+rdida de datos ocurre cuando 8sted trans iere /perations =aster 0ole) "ctive $irectory replica el actual /peration =aster 0ole al nuevo $omain .ontroller, ase,urando que el nuevo /peration =aster 0ole obtendr la in ormaci#n necesaria para dicho rol) 4sta trans erencia utili*a el mecanismo de la r+plica del directorio)
'ara obtener in ormaci#n sobre el proceso de trans erencia! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322F0H
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 77 of
por: Polchowski,
8n servicio de directorio es un dep#sito estructurado de la in ormaci#n sobre personas y recursos en una or,ani*aci#n) 4n una red Windows Server 2003, el servicio de directorio es "ctive $irectory)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 78 of
por: Polchowski,
Captulo . | Pgina 9 |
4l Schema de "ctive $irectory contiene las de iniciones de todos los objetos, como por ejemplo usuarios computadoras e impresoras almacenados en "ctive $irectory) Sobre $omain .ontrollers corriendo Windows Server 2003, hay solamente un Schema para todo el orest) $e esta manera, todos los objetos que se crean en "ctive $irectory cumplen con las mismas re,las) 4l Schema tiene dos tipos de de iniciones! /bject .lasses y atributos) 8n ejemplo de /bject .lasses son los usuarios, la computadora y la impresora, que describen los objetos posibles que se pueden crear en el directorio) .ada /bject .lass es una colecci#n de atributos) Los atributos se de inen separadamente de los /bject .lasses) .ada atributo se de ine solamente una ve* y puede ser utili*ado en mLltiples /bject .lasses) 'or ejemplo, el atributo de la descripci#n se utili*a en muchos /bject .lasses, pero se de ine solamente una "simismo 8sted puede crear nuevos tipos de objetos en "ctive $irectory e3tendiendo el Schema) 'or ejemplo, para un aplicaci#n 4;mail Server, se podra ampliar el 8ser .lass en "ctive $irectory con nuevos atributos que conten,an in ormaci#n adicional, como la direcci#n y el e;mail de los usuarios) Sobre $omain .ontrollers Windows Server 2003, 8sted puede revertir cambios al Schema desactivndolos y permitiendo a las or,ani*aciones, de esta orma, mejorar el uso de las caractersticas de e3tensibilidad de "ctive $irectory) -ambi+n se puede rede inir una clase o atributo del Schema, por ejemplo, cambiar la sinta3is de la secuencia de 8nicode del atributo llamado Sales=ana,er a $istin,uished 1ame)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 79 of
por: Polchowski,
4l global 7atalog es un repositorio de in ormaci#n que contiene un subconjunto de atributos de todos los objetos en "ctive $irectory) Los miembros del ,rupo Schema "dmins pueden cambiar los atributosque son almacenados en el Klobal .atalo,, dependiendo de los requerimientos de la or,ani*aci#n) $l ,lobal 7atalog contiene% Los atributos que se utili*an con ms recuencia en queries, por ejemplo, irst name, last name y lo,on name de los usuarios) La in ormaci#n que es necesaria para determinar la locali*aci#n de cualquier objeto en el directorio) 8n subconjunto por de ecto de los atributos para cada tipo de objeto) Los permisos de acceso para cada objeto y atributos, que son almacenados en el Klobal .atalo,) Si 8sted busca un objeto y no tiene los permisos apropiados para verlo, el objeto no aparecer en los resultados de la bLsqueda) Los permisos de acceso ase,uran que los usuarios puedan encontrar solamente los objetos a los cuales les han asi,nado el acceso) 4l ,lobal 7atalog Server es un $omain .ontroller que procesa e icientemente queries intra orest al Klobal .atalo,) 4l primer $omain .ontroller que 8sted crea en "ctive $irectory se convierte automticamente en Klobal .atalo, Server) 8sted puede con i,urar Klobal .atalo, Servers adicionales para balancear el tr ico para lo,on y queries) $l ,lobal 7atalog permite a usuarios reali.ar dos funciones importantes% :uscar in ormaci#n en "ctive $irectory en todo el orest, sin importar la locali*aci#n de los datos) 8sar in ormaci#n del membership del 8niversal Kroup en el proceso de lo,on a la red) Los Klobal .atalo, Servers replican su contenido en un esquema de replicaci#n) 7asta Windows 2000 estas r+plicas eran del tipo ull sync, pero a partir de Windows Server 2003 se hacen de modo partial sync, es decir, solo se replican cambios en lu,ar de enviar el catalo,o completo) 'ara poder utili*ar esta nueva caracterstica de Windows Server 2003, 8sted puede tener el nivel uncional del orest en modo Windows 2000 o Windows server 2003, pero solamente se harn r+plicas parciales entre los servidores Klobal .atalo, que corran Windows Server 2003)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 80 of
por: Polchowski,
Captulo . | Pgina 10 |
L$"' utili*a un nombre que representa objetos en "ctive $irectory por una serie de componentes que se relacionan con la estructura l#,ica) 4sta representaci#n es llamada !istinguis+ed 3ame del objeto, e identi ica el domain donde se locali*a el objeto y la trayectoria completa por la cual el objeto es alcan*ado) 4l $istin,uished 1ame debe ser Lnico en el "ctive $irectory orest) 4l *elative !istinguis+ed 3ame de un objeto identi ica Lnicamente el objeto en su container) $os objetos en el mismo container no pueden tener el mismo nombre) 4l 0elative $istin,uished 1ame siempre es el primer componente del $istin,uished 1ame, pero puede no ser siempre un .ommon 1ame) 'ara un usuario llamado Su*an %ine de Sales /r,ani*ational 8nit en .ontoso)ms t domain, cada elemento de la estructura l#,ica se representa en el si,uiente $istin,uished 1ame! C"NSuAan 0ine=BUNSales=+CNcontoso=+CN$s(t .1 es el .ommon 1ame del objeto en su container) /8 es la /r,ani*ational 8nit que contiene el objeto) 'uede haber ms de un valor de /8 si el objeto reside en una /r,ani*ational 8nit anidada a ms niveles) $. es el $omain .omponent, por ejemplo )com) o )ms t)) 7ay siempre al menos dos $omain .omponents, pero posiblemente ms si el domain es un child domain) Los domain components de los $istin,uished 1ame estn basados en $omain 1ame System >$1S?)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 81 of
por: Polchowski,
Captulo . | Pgina 11 |
8a tabla siguiente describe los snap1ins administrativos comunes para administracin de Active !irectory Snap6in "ctive $irectory 8sers and .omputers +escripcin 4s una =icroso t =ana,ement .onsole >==.? que se utili*a para administrar y publicar la in ormaci#n en "ctive $irectory) 8sted puede administrar cuentas de usuario, ,rupos, y cuentas de computadora, a,re,ar computadoras al domain, administrar polticas de cuentas, derechos de usuario, y polticas de 4s una ==. que se utili*a para administrar $omain -rusts y %orest -rusts, a,re,ar su ijos user principal name, y cambiar niveles de uncionamiento de domains y orest) "ctive $irectory Sites and Services 4s una ==. que usted utili*a para administrar replicacion de directorio) 4s una ==. que se utili*a para administrar el Schema) 1o est disponible po de ecto en el menu 8sted debe a,re,arlo manualmente)
"ctive $irectory $omains and -rusts "ctive $irectory Schema "dministrative -ools)
8a tabla siguiente describe las +erramientas de command1line para utili.ar cuando se 'uiera administrar Active !irectory Derra$ienta $sadd $smod ",re,a objetos a "ctive +escripcin $irectory, tales como computadoras, usuarios, ,rupos,
or,ani*ational units y contactos) =odi ica objetos en active $irectory, tales como computadoras, servidores, usuarios, ,rupos, or,ani*ational units y contactos) .orre queries en "ctive $irectory se,Ln criterios especi icados) 8sted puede correr queries contra servidores, computadoras, ,rupos, usuarios, sites, or,ani*ational units, y particiones) =ueve objetos dentro de un dominio, a una nueva locali*aci#n en "ctive $irectory o renombra un solo objeto sin moverlo) Suprime un objeto de "ctive $irectory) =uestra atributos seleccionados de una computadora, contacto, ,rupo, or,ani*ational unit, servidor o usuario de "ctive $irectory) (mporta y e3porta datos de "ctive $irectory usando ormato separado por comas) .rea, modi ica y borra objetos de "ctive $irectory) 'uede tambi+n e3tender el Schema de "ctive $irectory y e3portar in ormaci#n de usuarios y ,rupos a otras aplicaciones o servicios)
$squery
'ara obtener ms in ormaci#n acerca de las herramientas command;line! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322CF2
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 82 of
por: Polchowski,
Captulo . | Pgina 12 | 3! Instalacin de #ctive +irector% 3!1! &e>uisitos para instalar #ctive +irector%
"ntes de instalar "ctive $irectory, 8sted debe ase,urarse que la computadora puede ser con i,urada como $omain .ontroller, cumpliendo con los requisitos de hardware y del sistema operativo) "dems, el $omain .ontroller deber tener acceso al $1S Server, que deber cumplir con ciertos requisitos para soportar la inte,raci#n con "ctive $irectory) 8a lista siguiente identifica los re'uisitos para la instalacin de Active !irectory% 8na computadora corriendo =icroso tI WindowsI Server 2003 Standard 4dition, 4nterprise 4dition o $atacenter 4dition) Windows Server 2003 Web 4dition no soporta "ctive $irectory) 8n mnimo de 2N0 me,abytes >=:? de espacio en disco)200 =: para la base de datos de "ctive $irectory y N0 =: para lo,s de transacciones de "ctive $irectory) Los requisitos de tamaMo del archivo para la base de "ctive $irectory y los archivos lo,, dependen del nLmero y el tipo de objetos en el domain) Se requerir el espacio de disco adicional si el $omain .ontroller tambi+n es Klobal .atalo, Server) 8na partici#n o un volumen con ormato 1-%S) La partici#n 1-%S se requiere para la carpeta SQSE/L) Los privile,ios administrativos necesarios para crear un domain, si es que 8sted est creando uno en una red e3istente Windows Server 2003) -.'@(' instalado y con i,urado para utili*ar $1S) 8n $1S Server autoritativo para el $1S $omain y soporte para los requisitos enumerados en la si,uiente tabla) S*& *esource *ecords :Mandatory; Service 8ocator *esource :S*&; Son re,istros $1S que identi ican los servicios espec icos que o recen las computadoras en una red Windows Server 2003) 4l $1S Server que soporta la instalaci#n de "ctive $irectory necesita soporte de S0E 0esource 0ecords) $e lo contrario, 8sted deber con i,urar el $1S localmente durante la instalaci#n de "ctive $irectory o con i,urar !ynamic 9pdates :Bpcional; =icroso t recomienda que los servidores $1S tambi+n soporte actuali*aciones dinmicas) 4l protocolo dinmico de actuali*aci#n permite a los servidores y a los clientes, en un ambiente $1S, a,re,ar y actuali*ar la base de datos del $1S automticamente, lo que reduce es uer*os administrativos) Si 8sted utili*a so tware $1S que soporta S0E 0esource 0ecords pero que no soporta el protocolo dinmico de actuali*aci#n, deber in,resar los S0E 0esource 0ecords manualmente en la base $1S) "ncremental Hone )ransfers :Bpcional; 4n una trans erencia incremental de *ona, los cambios reali*ados en una *ona en el =aster $1S Server, deben ser replicados a los $1S Servers secundarios de esa *ona) Las trans erencias incrementales de la *ona son opcionales, pero se recomiendan porque ahorran
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 83 of
por: Polchowski,
Captulo . | Pgina 13 |
ancho de banda de la red, replicando solamente los re,istros nuevos o modi icados entre los $1S Servers, en ve* del archivo de base de datos entero de la *ona)
$l proceso de la instalacin reali.a las siguientes tareas% "nicia el protocolo de autenticacin @erberos version E Aplica la politica 8ocal Security Aut+ority :8SA; 4sta con i,uraci#n indica que el server es un $omain .ontroller) 7rea las particiones de Active !irectory 8na partici#n del directorio es una porci#n del $irectory 1amespace) .ada partici#n del directorio contiene una jerarqua o subtree de los objetos del directorio en el rbol del directorio) $urante la instalaci#n, se crean las particiones si,uientes en el primer domain controller del orest! Schema $irectory 'artition .on i,uration $irectory 'artition $omain $irectory 'artition %orest $1S Yone si est inte,rada en el active directory $omain $1S Yone 'artition si est inte,rada en el active directory
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 84 of
por: Polchowski,
Captulo . | Pgina 1. |
Las particiones, entonces, se actuali*arn a trav+s de la r+plica, en cada uno de los $omain .ontrollers creados subsi,uientemente en el orest) 7rea la base de datos y los logs de Active !irectory La locaci#n por de ecto para la base de datos y los archivos de lo,s es VsystemrootVW1tds) 7rea el forest root domain Si el servidor es el primer $omain .ontroller en la red, el proceso de la instalaci#n crea el %orest 0oot $omain, y entonces le asi,nar los /perations =aster 0oles al $omain .ontroller, incluyendo! 'rimary $omain .ontroller >'$.? 4mulator 0elative (denti ier >0($? /perations =aster $omain;1amin, =aster Schema =aster (n rastructure =aster 7rea la carpeta compartida del volumen del sistema 4sta estructura de carpetas reside en todos los Windows Server 2003 $omain .ontrollers y contiene las si,uientes carpetas! La carpeta compartida SQSE/L, que contiene in ormaci#n de Kroup 'olicy) La carpeta compartida 1et Lo,on, que contiene los lo,on scripts para computadoras que no corren Windows Server 2003) 7onfigura pertenencia al site apropiado para el !omain 7ontroller Si la (' del servidor que 8sted est promoviendo a $omain .ontroller est dentro de una subnet de inida en "ctive $irectory, el wi*ard colocar el $omain .ontroller en el site asociado con la subnet) Si no se de ine nin,Ln objeto de subnet o si la (' del servidor no est dentro del ran,o de la subnet presente en "ctive $irectory, el servidor se colocar en el site $e ault;%irst;Site;1ame) 4l primer site se instala automticamente cuando 8sted crea el primer $omain .ontroller en el orest) 4l wi*ard de instalaci#n de "ctive $irectory crea un objeto servidor del $omain .ontroller en el site apropiado) 4l objeto servidor contiene la in ormaci#n requerida para la r+plica y -ermite seguridad en el !irectory Service y en 0ile *eplication 0olders acceso de usuario a objetos de "ctive $irectory) Aplica el pass(ord para la cuenta del administrador !S*M el $omain .ontroller en $irectory Services 0estore =ode) 4sto implica controlar el
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 85 of
por: Polchowski,
Captulo . | Pgina 11 |
-ara crear el 0orest *oot !omain5 deber6 reali.ar los siguientes pasos% H) 7acer clic9 en Start, despu+s en *un y escribir dcpromo) Lue,o presionar 4nter) 4l Wi*ard veri icar! Si el usuario actualmente validado es un miembro del ,rupo de administradores locales) Si en la computadora est uncionando en un sistema operativo que soporte "ctive $irectory) Si una instalaci#n o un retiro anterior de "ctive $irectory no ha ocurrido sin reiniciar la computadora, o que una instalaci#n o un retiro de "ctive $irectory no est en marcha) Si cualesquiera de estas cuatro veri icaciones allan, un mensaje de error aparecer y 8sted saldr del wi*ard) 4n la p,ina #elcome5 hacer clic9 en 3e>t) 4n la p,ina Bperating System 7ompatibility, hacer clic9 en 3e>t) 4n la p,ina !omain 7ontroller )ype, hacer clic9 en !omain controller for a ne( domain, y despu+s hacer clic9 en 3e>t) 4n la p,ina 7reate 3e( !omain, hacer clic9 en $omain in a new orest, y despu+s en 3e>t) 4n la p,ina 3e( !omain 3ame, in,resar el $1S 1ame para el nuevo domain >nwtraders)ms t?, y despu+s hacer clic9 en 3e>t) 4n la p,ina 1et:(/S $omain 1ame, veri icar 1et:(/S 1ame >1W-0"$40S?, y despu+s hacer clic9 en 1e3t) 4l nombre 1et:(/S identi ica el domain a las computadoras de cliente corriendo versiones anteriores de Windows y Windows 1-) 4l wi*ard veri ica que le nombre 1et:(/S sea Lnico) Si no lo es, le pedir cambiar el nombre) 4n la p,ina !atabase and 8og 0olders, especi icar la locali*aci#n en la cual se desea instalar las carpetas de la base de datos y de los lo,s) $espu+s hacer clic9 en 3e>t) 4n la p,ina S+ared System &olume, especi icar la locaci#n en la cual se desea instalar la carpeta de SQSE/L, o hacer clic9 en Bro(se para ele,ir una locaci#n, y despu+s hacer clic9 en 3e>t) 4n la pa,ina !3S *egistration !iagnostics, veri icar si un servidor e3istente de $1S es autoritario para este orest o, en caso de necesidad, hacer clic9 en "nstall and configure t+e !3S server on t+is computer5 and set t+is computer to use t+is !3S server as its preferred !3S server, y despu+s hacer clic9 en 3e>t) 4n la pa,ina -ermissions, especi icar se si asi,nan los permisos por de ecto en los objetos usuario y ,rupo compatible con los servidores que uncionan con versiones anteriores de Windows o Windows 1-, o solamente con los servidores Windows Server 2003) .uando se pre,unte, especi icar el password para $irectory Services 0estore =ode) Los $omain .ontrollers Windows Server 2003 mantienen una versi#n pequeMa de la base de datos de cuentas de =icroso t Windows 1- 2)0) La Lnica cuenta en esta base de datos es la cuenta del administrador y la misma se requiere para la autenti icaci#n al encender la computadora en $irectory Services 0estore mode, porque "ctive $irectory no se inicia de este modo) 0epasar la p,ina Summary, y despu+s hacer clic9 en 3e>t para comen*ar la instalaci#n) .uando se pre,unte, reiniciar la computadora)
2) 3) 2) N) C) P)
F) U) H0)
HH) H2)
H3) H2)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 86 of
por: Polchowski,
Captulo . | Pgina 14 | 3!2!2 Prctica 2 )Bpcional,' EC$o agregar un +o$ain Controller adicionalG
'ara llevar a cabo esta prctica 8sted necesitar dos computadoras o dos Eirtual '., con un $omain .ontroller instalado >'rctica H? y un Windows Server 2003) 4l procedimiento es similar a la creaci#n de un nuevo $omain .ontrollerT solamente se debe seleccionar, en la primera pantalla del wi*ard, la opci#n Add additional !omain 7ontroller for e>isting domain) 4l resto del proceso se puede reali*ar de dos ormas! H) 2) Bver t+e net(or4% 4sto requiere, en el caso que 8sted ten,a ,ran cantidad de objetos, un enlace con ancho de banda su iciente o bastante tiempo para la replica inicial) *eplicate from Media% 4sta nueva caracterstica de Windows Server 2003, permite reali*ar la replica inicial por medio de un bac9up, de la si,uiente manera! 'rimero debe reali*ar un bac9up del System State en el $omain .ontroller e3istente) Lue,o debe hacer lle,ar ese bac9up a la computadora destino) 4n la computadora destino deber reali*ar la operaci#n de restore en una locaci#n alternativa > 4lija una carpeta ej! .!W1-$S0estore? 'or Lltimo corra el wi*ard dcpromo Fadv 4l wi*ard le permitir seleccionar la opci#n 0rom Media
3!3!
8sted podr cambiar el 'rimary $1S su i3 de un $omain .ontroller cuando renombre el $omain .ontroller) Sin embar,o, el cambiar el 'rimary $1S su i3 no mueve el $omain .ontroller a un nuevo "ctive $irectory domain) 'or ejemplo, si 8sted renombra dc2)nwtraders)ms t a dcH)contoso)ms t, la computadora si,ue siendo un $omain .ontroller del dominio nwtraders)ms t, aunque su 'rimary $1S su i3 es contoso)ms t) 'ara mover un $omain .ontroller a otro domain, 8sted debe primero de,radar el $omain .ontroller y entonces promoverlo en el nuevo dominio) /bten,a in ormaci#n acerca de instalaci#n de "ctive $irectory! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322PN3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCH0C http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCH0F
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 87 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 88 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 89 of
por: Polchowski,
1!1! Introduccin
4n Windows Server 2003, la uncionalidad de orest y domain proporciona una manera de permitir caractersticas nuevas orest;wide o domain;wide de "ctive $irectory en su ambiente de red) $iversos niveles de la uncionalidad del orest y del dominio estn disponibles, dependiendo de su ambiente de red)
1!3!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 90 of
por: Polchowski,
Captulo . | Pgina 20 |
0elaciones de con ian*a entre orest 0eplicaci#n mejorada I$portante' 8sted no puede bajar el nivel uncional del dominio o del orest despu+s que se haya elevado)
1!.!
&e>uisitos para
1!.!1
Introduccin
"dems de las caractersticas bsicas de "ctive $irectory en $omain .ontrollers individuales, nuevas caractersticas orest;wide y domain;wide estn disponibles cuando se cumplen ciertas condiciones) 'ara habilitar las nuevas caractersticas domain;wide, todos los $omain .ontrollers en el dominio deben correr Windows Server 2003, y el nivel uncional del dominio se debe elevar a Windows Server 2003) 8sted debe ser administrador del dominio para elevar el nivel uncional del dominio) 'ara habilitar las nuevas caractersticas orest;wide, todos los $omain .ontrollers en el orest debern correr Windows Server 2003, y el nivel uncional del orest se debe elevar a Window Server 2003) 8sted debe ser 4nterprise "dministrator para elevar el nivel uncional del orest) 'ara obtener mas in ormaci#n acerca de niveles de uncionalidad! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322CU2
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 91 of
por: Polchowski,
Captulo . | Pgina 21 |
-ara elevar el nivel funcional del forest5 deber6 reali.ar los siguientes pasos% H) 2) 4n "ctive $irectory $omains and -rusts, en la consola, hacer clic9 derecho en Active !irectory !omains and )rusts, y despu+s clic9 en *aise 0orest 0unctional 8evel) 4n el cuadro Select an available forest functional level, seleccionar #indo(s Server 2003, y despu+s hacer clic9 en *aise) orest a Windows
"ota' 8sted debe elevar el nivel uncional de todos los dominios en un 2000 native o ms alto, antes de elevar el nivel uncional del orest)
4!1! Introduccin
Windows Server 2003 soporta cross; orest trusts, el cual permite que los usuarios en un orest ten,an acceso a recursos en otro orest) .uando un usuario intente tener acceso a un recurso en un trustin, orest, "ctive $irectory primero locali*ar el recurso) $espu+s de locali*ar el recurso, el usuario podr ser autenticado y tener acceso al recurso) 4ntender c#mo este proceso trabaja, le ayudar a locali*ar problemas que pueden presentarse con cross; orest trusts)
2)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 92 of
por: Polchowski,
Captulo . | Pgina 22 |
otro dominio en el orest) $ado que el Klobal .atalo, contiene solamente la in ormaci#n sobre su propio orest, no encuentra el S'1) 4l Klobal .atalo, entonces comprueba su base de datos para saber si hay in ormaci#n sobre orest trusts establecidos con su orest) Si el Klobal .atalo, encuentra uno, compara los name su i3es que estn listados en el orest trust -$/ para el su i3 de destino S'1) $espu+s de encontrar una i,ualdad, el Klobal .atalo, proporciona la in ormaci#n de routin, sobre c#mo locali*ar el recurso al $omain .ontroller en vancouver)nwtraders)ms t) 4l $omain .ontroller en vancouver)nwtraders)ms t enva una re erencia para su dominio 'arent, nwtraders)ms t, a la computadora del usuario) La computadora del usuario contacta al $omain .ontroller en nwtraders)ms t por la re erencia $omain .ontroller del %orest 0oot $omain del orest contoso)ms t) 8sando la re erencia del $omain .ontroller en nwtraders)ms t, la computadora contacta al $omain .ontroller en el orest contoso)ms t para el pedido de servicio al service tic9et) 4l recurso no est situado en el %orest 0oot $omain del orest contoso)ms t, y por eso el $omain .ontroller contacta a su Klobal .atalo, para buscar el S'1) 4l Klobal .atalo, busca el S'1 y lo enva al $omain .ontroller) 4l $omain .ontroller enva la re erencia seattle)contoso)ms t a la computadora del usuario) La computadora del usuario contacta al D$. en el $omain .ontroller en seattle)contoso)ms t y ne,ocia el tic9et para el acceso del usuario al recurso en el dominio seattle)contoso)ms t) La computadora enva el server service tic9et a la computadora en la cual est el recurso compartido, donde se leen las credenciales de se,uridad del usuario y se construye el access to9en,
3) 2) al N) C) P) F) U)
"ota' 0ecuerde que para poder utili*ar esta nueva caracterstica, debe tener los dos orest en nivel Windows Server 2003) Los trust entre orest en Windows Server 2003 le permiten validar usuarios usando Derberos vN, utili*ando la se,uridad propia del protocolo) -ambi+n le permite que los trust sean transitivos entre dos orest, no as, en mLltiples orest) 'or ejemplo! 4l orest" tiene establecido un trust con el orest :, y todos los dominios en los dos orest pueden utili*ar el trust) 'ero si a su ve* el orest : tiene un trust con el orest ., no e3iste nin,Ln tipo de relaci#n entre el orest " y el orest .) 'ara obtener ms in ormaci#n acerca de trust! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32NFP2 http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHC30H
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 93 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 94 of
por: Polchowski,
Captulo . | Pgina 2. |
-ropagation dampening 4l proceso de prevenir la r+plica innecesaria) .ada $omain .ontroller asi,na a cada cambio de atributo y objeto un 8pdate Sequence 1umber >8S1? para prevenir la r+plica innecesaria) 7onflicts .uando actuali*aciones concurrentes que ori,inan en dos r+plicas master separadas son inconsistentes, los con lictos pueden presentarse) "ctive $irectory resuelve tres tipos de con lictos! atributo, .ontenedores eliminados, y con lictos de 0elative $istin,uished 1ame >0$1?) ,lobally uni'ue stamp "ctive $irectory mantiene un stamp que contiene el version number, timestamp, y server ,lobally unique identi ier >K8($? que "ctive $irectory creado durante la actuali*aci#n ori,inaria)
7!2!
7!3!
.uando usted a,re,a $omain .ontrollers a un site, "ctive $irectory usa el Dnowled,e .onsistency .hec9er >D..? para establecer una trayectoria de la r+plica entre $omain .ontrollers)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 95 of
por: Polchowski,
Captulo . | Pgina 21 |
4l D.. es un proceso que unciona en cada $omain .ontroller y ,enera la topolo,a de la r+plica para todas las particiones del directorio que se conten,an en ese $omain .ontroller) 4l D.. corre en los intervalos espec icos cada HN minutos por de ecto y diseMa las rutas de replicaci#n entre $omain .ontrollers de las cone3iones ms avorables que estn disponibles en ese momento) 4ste proceso ue mejorado con respecto al proceso de Windows 2000, haciendo que esta nueva caracterstica elimine la limitaci#n e3istente de un m3imo de N00 sites en "ctive $irectory) "ctualmente se ha probado hasta 3000 sites y el soporte m3imo es de N000 sites) "ota' 'ara aprovechar esta caracterstica usted debe tener el orest en nivel uncional Windows Server 2003 # Windows Server 2003 (nterim)
8sted utili*a sites para controlar el tr ico de replicaci#n, tr ico de lo,on y las queries del cliente al Klobal .atalo, Server)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 96 of
por: Polchowski,
-ara crear un subnet ob/ect5 deber6 reali.ar los siguientes pasos% H) 4n "ctive $irectory Sites and Services, en la consola, hacer doble;clic9 en Sites, hacer clic9 derecho en Subnets, y despu+s hacer clic9 en 3e( Subnet) 2) 4n el cuadro Address, in,resar la direcci#n (' de la subnet) 3) 4n el cuadro Mas4, in,resar la subnet mas9 que describe el ran,o de direcciones de la subnet) 2) Seleccionar el site a asociar con la subnet, y despu+s hacer clic9 en B@)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 97 of
por: Polchowski,
7acer bac9up de "ctive $irectory es esencial para mantener la base de datos de "ctive $irectory) 8sted puede hacer bac9up de "ctive $irectory usando una ,raphical user inter ace >K8(? y herramientas command;line, que prov Windows Server 2003) 8sted con recuencia debe hacer bac9up del System State data en $omain .ontrollers de modo que pueda restaurar los datos ms actuales) 4stableciendo un schedule re,ular de bac9up, 8sted tiene una mejor ocasi#n de recuperaci#n de datos cuando sea necesario) $l System State !ata en un !omain 7ontroller incluye los siguientes componentes% Active !irectory 4l System State $ata no contiene "ctive $irectory a menos que el servidor en el cual 8sted est haciendo bac9up del System State $ata sea un $omain .ontroller) "ctive $irectory est presente solamente en $omain .ontrollers) )+e S?S&B8 s+ared folder 4sta carpeta compartida contiene plantillas de Kroup 'olicy y lo,on scripts) La carpeta compartida SQSE/L est presente solamente en domain controllers) )+e registry 4ste repositorio base de datos contiene la in ormaci#n sobre la con i,uraci#n de la computadora) System startup files Windows Server 2003 requiere estos archivos durante su ase de encendido inicial) (ncluyen los boot y archivos de sistema que estn prote,idos por Windows ile protection) )+e 7BMO 7lass *egistration database La base de datos .lass 0e,istration contiene in ormaci#n sobre .omponent Services applications) )+e 7ertificate Services database 4sta base de datos contiene los certi icados del servidor que Windows Server 2003 utili*a para autenticar usuarios) 4sta base solamente est presente si el servidor est uncionando como certi icate server)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 98 of
por: Polchowski,
Captulo . | Pgina 29 |
-ara reali.ar la operacin de bac4up usted puede utili.ar la +erramienta provista por #indo(s Server 2003% H) 2) 3) 2) N) C) P) F) 7acer clic9 en Bac4up en el menu Start, All -rograms, Accessories, System )ools) 7acer clic9 en 3e>t en la p,ina #elcome to t+e Bac4up or *estore #i.ard) 4n la p,ina Bac4up or *estore, hacer clic9 en Bac4up files and settings, y despu+s hacer clic9 en 3e>t) 4n la p,ina #+at to Bac4 9p, hacer clic9 en 8et me c+oose (+at to bac4 up, y despu+s hacer clic9 en 3e>t) 4n la p,ina "tems to Bac4 9p, e3pandir My 7omputer, seleccionar el System State, y despu+s hacer clic9 en 3e>t) 4n la p,ina Bac4up )ype5 !estination5 and 3ame, hacer clic9 en Bro(se, seleccionar una locaci#n para el bac9up, hacer clic9 en Save, y despu+s hacer clic9 en 3e>t) 4n la p,ina 7ompleting t+e Bac4up or *estore #i.ard, hacer clic9 en 0inis+) 4n la p,ina Bac4up -rogress, hacer clic9 en 7lose)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 99 of
por: Polchowski,
Captulo . | Pgina 2: |
8sted puede utili*ar uno de los tres m+todos para restaurar "ctive $irectory de medios de bac9up! primary restore, normal >nonauthoritative? restore, y authoritative restore) H) -rimary restore 4ste m+todo reconstruye el primer domain controller en el dominio cuando no hay otra manera de reconstruir el dominio) 0eali*ar un primary restore solamente cuando todos los domain controllers en un domain se perdieron, y usted desea reconstruir el dominio usando el bac9up) 3ormal restore 4ste m+todo reinstala los datos de "ctive $irectory al estado antes del bac9up, actuali*a los datos con el proceso normal de r+plica) 0eali*ar un normal restore solamente cuando usted desea restaurar un solo domain controller a un buen estado previamente conocido) Aut+oritative restore 8sted reali*a este m+todo en tndem con un restore normal) 8n restore autoritativo marca datos espec icos y evita que la r+plica sobreescriba esos datos) Los datos autoritativos entonces se replican a trav+s del dominio)
2)
3)
-ara reali.ar un primary restore de Active !irectory5 deber6 reali.ar los siguientes pasos% H) 2) 3) 2) N) C) P) F) U) 0einiciar su domain controller en $irectory Services 0estore =ode) (niciar la utilidad de :ac9up) 7acer clic9 en Advanced Mode en la p,ina #elcome to t+e Bac4up or *estore #i.ard, 4n la p,ina #elcome to Bac4up 9tility Advanced Mode, sobre *estore and Manage Media seleccioar qu+ desea restaurar, y despu+s hacer clic9 en Start *estore) 4n el cuadro #arning, hacer clic9 en B@) 4n el cuadro 7onfirm *estore, hacer clic9 en Advanced) 4n el cuadro Advanced *estore Bptions, hacer clic9 en #+en restoring replicated data sets5 mar4 t+e restored data as t+e primary data for all replicas, y despu+s hacer clic9 en B@ dos veces) 4n el cuadro *estore -rogress, hacer clic9 en 7lose) 4n el cuadro Bac4up 9tility, hacer clic9 en ?es)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 100 of
por: Polchowski,
Captulo 1 | Pgina 1 |
1! Introduccin
8sted utili*a Kroup 'olicy en "ctive $irectoryI para centrali*ar el manejo de usuarios y computadoras en una empresa) .on i,urando Kroup 'olicy puede centrali*ar policies para una or,ani*aci#n entera, dominio, sitio u or,ani*ational unit, y asimismo puede descentrali*ar la con i,uraci#n de Kroup 'olicy, con i,urndolo para cada departamento en el nivel or,ani*ational unit) 8sted puede ase,urarse que los usuarios ten,an los ambientes que requieren para reali*ar sus trabajos y hacer cumplir las polticas de las or,ani*aciones, incluyendo re,las de ne,ocio, metas y requisitos de se,uridad) "dems, puede bajar el -otal .ost o /wnership controlando ambientes del usuario y de computadora, de modo tal que se redu*ca el nivel de ayuda t+cnica a los usuarios y la productividad perdida de los mismos a causa de sus errores) Al terminar este captulo 9sted podr6% .rear y con i,urar Kroup 'olicy objects >K'/s?) .on i,urar intervalos de actuali*aci#n de Kroup 'olicy y con i,uraciones de Kroup 'olicy) "dministrar K'/s)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 101 of
por: Polchowski,
Captulo 1 | Pgina 2 |
'ara ms in ormaci#n acerca de Kroup 'olicy! =icroso t (ntelli=irrorI) Kroup 'olicy Settin,s /verview)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 102 of
por: Polchowski,
Captulo 1 | Pgina 3 |
Las Kroup 'olicy Settin,s que modi ican el ambiente para requisitos particulares de escritorio y para todos los usuarios de una computadora, o que hacen cumplir las polticas de se,uridad en las computadoras de una red, se contienen debajo de 7omputer 7onfiguration en el editor de Kroup 'olicy /bject) !eba/o de 7omputer 7onfiguration5 tambiKn se encuentran% La carpeta So tware Settin,s! contiene las con i,uraciones de so tware que se aplican a todos los usuarios que inicien sesi#n en la computadora) 4sta carpeta posee con i,uraci#n de instalaci#n de so tware y puede contener otras con i,uraciones que se coloquen all de (SEs) La carpeta Windows Settin,s! contiene con i,uraciones Windows que se aplican a todos los usuarios que inicien sesi#n en la computadora) 4sta carpeta tambi+n contiene los si,uientes puntos! Securit% Settings % Scripts)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 103 of
por: Polchowski,
Captulo 1 | Pgina . |
Security Settings est disponible debajo de la carpeta Windows Settin,s que se encuentra debajo de .omputer .on i,uration y 8ser .on i,uration en el editor de Kroup 'olicy /bject) Security Settin,s o Security 'olicies son las re,las que 8sted con i,ura en una computadora o las computadoras mLltiples que prote,en recursos en una computadora o una red) .on Security Settin,s, 8sted puede especi icar Security 'olicy de una or,ani*ational unit, domain o site) 'ara ms in ormaci#n sobre e3tender Kroup 'olicy, ver los m+todos "van*ados e3tendiendo Kroup 'olicy en! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA @technet@prodtechnol@windowsserver2003@proddocs@server@sa,BS'conceptsB30)asp
-ara evitar 'ue los usuarios apaguen el servidor usando 8ocal -olicy Setting deber6% H) 2) 3) 2) N) 43pandir, en la .ustom==., el snap;in 8ocal 7omputer -olicy) 43pandir, en la consola, 9ser 7onfiguration) 43pandir Administrative )emplates y despu+s hacer clic9 en Start Menu and )as4bar) 7acer doble;clic9 en *emove and prevent access to t+e S+ut !o(n command, del panel de los detalles 7acer clic9 en $nabled del cuadro *emove and prevent access to t+e S+ut !o(n command -roperties, y despu+s hacer clic9 en B@) .errar y ,uardar todos los pro,ramas y hacer lo, o )
-ara probar la policy deber6% H) 2) 3) (niciar sesi#n como 9ser con una contraseMa) 7acer .lic9 en Start y veri icar que el bot#n S+ut !o(n se haya quitado del menL Start) .errar y ,uardar todos los pro,ramas y hacer lo, o )
1!.! ;as
Active !irectory 9sers and 7omputers 8sted puede abrir el editor de Kroup 'olicy /bject desde "ctive $irectory 8sers and .omputers para administrar K'/s para dominios y or,ani*ational units) 4n el cuadro 'roperties para un dominio u or,ani*ational unit, hay una len,[eta Kroup 'olicy, con la cual se puede manejar K'/s para el dominio u or,ani*ational units) Active !irectory Sites and Services 8sted puede abrir el editor de Kroup 'olicy /bject desde "ctive $irectory Sites and Services para manejar K'/s de sites) 4n el cuadro 'roperties para el site, hay una len,[eta Kroup 'olicy, con la cual se puede manejar K'/s para el site)
,roup -olicy Management 7onsole La Kroup 'olicy =ana,ement .onsole es un sistema de inter ases pro,ramables para el manejo de Kroup 'olicy, as como las ==. snap;in que se construyen en estas inter ases pro,ramables tambi+n) Los componentes de Kroup 'olicy =ana,ement, por su parte, consolidan la administraci#n de Kroup 'olicy a trav+s de la empresa) La Kroup 'olicy =ana,ement .onsole combina la uncionalidad de componentes mLltiples en una sola inter a* de usuario >8(?) La 8( se estructura para emparejar la manera en que se utili*a y maneja Kroup
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 104 of
por: Polchowski,
Captulo 1 | Pgina 1 |
'olicy) "simismo incorpora la uncionalidad relacionada con Kroup 'olicy de las herramientas si,uientes en una sola ==. snap;in! "ctive $irectory 8sers and .omputers "ctive $irectory Sites and Services 0esultant Set o 'olicy >0So'? Kroup 'olicy =ana,ement tambi+n proporciona las si,uientes capacidades e3tendidas que no estaban disponibles en herramientas anteriores de Kroup 'olicy) .on Kroup 'olicy =ana,ement, 8sted puede! 7acer :ac9 up y restore de K'/s) .opiar e importar K'/s) 8sar iltros Windows =ana,ement (nstrumentation >W=(?) Kenerar reportes de K'/ y 0So') :Lscar para K'/s) ,roup -olicy Management vs default ,roup -olicy tools "ntes de Kroup 'olicy =ana,ement, 8sted administraba Kroup 'olicy usando una variedad de herramientas Windows, incluyendo "ctive $irectory 8sers and .omputers, "ctive $irectory Sites and Services y 0So') 'ero ahora, Kroup 'olicy =ana,ement consolida la administraci#n de todas las tareas base de Kroup 'olicy en una sola herramienta) Kracias a esta administraci#n consolidada, la uncionalidad de Kroup 'olicy ya no es requerida en las otras herramientas) $espu+s de instalar Kroup 'olicy =ana,ement, 8sted aLn utili*a cada una de las herramientas de "ctive $irectory para sus prop#sitos previstos de administraci#n de directorio, por ejemplo, crear un usuario, computadora y ,rupo) Sin embar,o, usted puede utili*ar Kroup 'olicy =ana,ement para reali*ar todas las tareas relacionadas con Kroup 'olicy) La uncionalidad de Kroup 'olicy ya no estar disponible con las herramientas de "ctive $irectory cuando instale Kroup 'olicy =ana,ement) Kroup 'olicy =ana,ement no sustituye al editor de Kroup 'olicy /bject) 8sted todava debe editar K'/s, usando el editor de Kroup 'olicy /bject) Kroup 'olicy =ana,ement inte,ra la uncionalidad de edici#n proporcionando acceso directo al editor de Kroup 'olicy /bject) "ota' La Kroup 'olicy =ana,ement .onsole no viene con Windows Server 2003) Usted de2e descargarlo de' http!@@www)microso t)com@windowsserver2003@,pmc@de ault)msp3
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 105 of
por: Polchowski,
-odas las K'/s se almacenan en un contenedor de "ctive $irectory llamado Kroup 'olicy /bjects) .uando una K'/ es utili*ada por un site, dominio u or,ani*ational unit, la K'/ es lin9eada al contenedor Kroup 'olicy /bjects) .onsecuentemente, 8sted puede centrali*ar la administraci#n y el deploy de K'/s a muchos dominios u or,ani*ational units) .uando 8sted crea un K'/ lin9 a un site, dominio u or,ani*ational unit, podr reali*ar dos operaciones separadas! crear la K'/ nueva y lin9earla al site, dominio u or,ani*ational unit) "l dele,ar permisos para lin9ear una K'/ al dominio, or,ani*ational unit o site, 8sted tendr que modi icar los permisos para el dominio, or,ani*ational unit o site que desee dele,ar) 'or de ecto, solamente miembros de los ,rupos $omain "dmins y 4nterprise "dmins tienen los permisos necesarios para lin9ear K'/s a domains y or,ani*ational units) \nicamente los miembros del ,rupo 4nterprise "dmins tienen los permisos para lin9ear K'/s a sites) =iembros del ,rupo Kroup 'olicy .reator /wners pueden crear K'/s, pero no pueden lin9ear)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 106 of
por: Polchowski,
Captulo 1 | Pgina 7 |
.uando 8sted crea una K'/ en el contenedor Kroup 'olicy /bjects, la K'/ no se aplica a nin,Ln usuario o computadora hasta que el K'/ lin9 sea creado) 8sted puede crear una unlin9ed K'/ usando Kroup 'olicy =ana,ement y tambi+n puede lle,ar a crear unlin9ed K'/s en una or,ani*aci#n ,rande, donde un ,rupo cree K'/s y otro ,rupo cree lin9s de K'/s al site, dominio u or,ani*ational unit)
1!9! EC$o se
La orden en la cual Windows Server 2003 aplica K'/s depende del contenedor de "ctive $irectory al cual es lin9eada la K'/) Las K'/s se aplican primero al site, despu+s a dominios y por Lltimo a or,ani*ational units en los dominios) 8n contenedor child hereda K'/s del contenedor parent) 4sto si,ni ica que un contenedor child puede tener muchos Kroup 'olicy Settin,s aplicados a sus usuarios y computadoras, sin tener un K'/ lin9eado a +l) Sin embar,o, no hay jerarqua de dominios como en las or,ani*ational units, por ejemplo, las parent or,ani*ational units y child or,ani*ational units) Las K'/s son acumulativas, implicando que estn heredadas) La herencia de Kroup 'olicy es el orden en el cual Windows Server 2003 aplica K'/s) 4ste orden y la herencia de K'/s determinan, en Lltima instancia, qu+ con i,uraciones a ectan a usuarios y computadoras) Si hay K'/s mLltiples que se ijan en el mismo valor, por de ecto la K'/ que se aplic# Lltima, tomar precedencia) 8sted puede tambi+n tener K'/s mLltiples lin9eadas al los mismos contenedores) 'or ejemplo, puede tener tres K'/s lin9eadas a un solo dominio) 4l orden en el cual se aplican las K'/s puede a ectar el resultado de
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 107 of
por: Polchowski,
Captulo 1 | Pgina 9 |
la con i,uraci#n de Kroup 'olicy) 7ay tambi+n un orden o prioridad de Kroup 'olicy y de K'/s para cada contenedor)
a% con(licto de IPBsG
Las combinaciones complejas de K'/s pueden crear con lictos y consecuentemente requerir modi icar comportamiento de la herencia por de ecto) .uando una con i,uraci#n de Kroup 'olicy se con i,ura para una or,ani*ational unit parent y la misma con i,uraci#n de Kroup 'olicy no se con i,ura para la or,ani*ational unit child, los objetos de esta Lltima heredan la con i,uraci#n de Kroup 'olicy de la or,ani*ational unit parent) .uando se con i,ura una Kroup 'olicy para ambas, or,ani*acional unit parent y or,ani*ational units child, las con i,uraciones para estas or,ani*ational units se aplican) Si las con i,uraciones son incompatibles, la or,ani*ational unit child conserva sus propia con i,uraci#n de Kroup 'olicy) 'or ejemplo, una con i,uraci#n de Kroup 'olicy para la or,ani*ational unit se aplica por Lltimo a la computadora o el usuario sobreescribe la que est en con licto de con i,uraci#n de Kroup 'olicy para un contenedor, que es de ms alta jerarqua en "ctive $irectory) Si el orden de herencia por de ecto no resuelve las necesidades de su or,ani*aci#n, 8sted puede modi icar las re,las de herencia para K'/s espec icas) Windows Server 2003 proporciona las dos si,uientes opciones para cambiar el orden de herencia por de ecto! 3o Bverride :$nforced; 4sta opci#n se utili*a para prevenir que contenedores child iltren K'/s con prioridad ms alta de con i,uraci#n) 4sta alternativa es Ltil para hacer cumplir K'/s que representen re,las de ne,ocio de la or,ani*aci#n) La opci#n 3o Bverride se ija sobre una base individual de K'/) 8sted puede ijar esta opci#n en una o ms K'/s se,Ln lo requiera) .uando se ija ms de una K'/ en 3o Bverride, la K'/ ms alta en la jerarqua de "ctive $irectory, ijada en 3o Bverride, tomar precedencia) Bloc4 -olicy in+eritance 4sta opci#n se utili*a en contenedores child para bloquear herencia de todos los contenedores parent) 4s Ltil cuando una or,ani*ational unit requiere una Lnica con i,uraci#n de Kroup 'olicy) Bloc4 -olicy in+eritance se ija basndose en el contenedor) 4n caso de con licto, la opci#n 3o Bverride toma siempre precedencia sobre la opci#n Bloc4 -olicy in+eritance)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 108 of
por: Polchowski,
Captulo 1 | Pgina : |
Al usar Bloc4 -olicy in+eritance5 deber6 considerar lo siguiente% 1o se puede ele,ir selectivamente qu+ K'/s bloquea) Bloc4 -olicy in+eritance a ecta todas las K'/s de todos los contenedores parent, e3cepto las K'/s con i,uradas con la opci#n 3o Bverride sin K'=. instalada y $nforced con K'=. instalada) Bloc4 -olicy in+eritance no bloquea la herencia de una K'/ lin9eada a un contenedor parent, si el lin9 se con i,ura con la opci#n 3o Bverride)
I$portante' "ntes de instalar Kroup 'olicy =ana,ement, la opci#n $nforced se llama 1o /verride en "ctive $irectory 8sers and .omputers) -ara configurar enforcement de ,-B lin4 deber6% H) 4n Kroup 'olicy =ana,ement de la consola, e3pandir el orest con el lin9 en el cual 8sted desea con i,urar el en orcement) Lue,o, se,uir uno de si,uientes pasos! -ara configurar enforcement de ,-B lin4 a un dominio, e3pandir $omains y el dominio que contiene el K'/ lin9) -ara configurar enforcement de ,-B lin4 a una organi.ational unit, e3pandir $omains y el dominio que contiene la or,ani*ational unit) $espu+s e3pandir la or,ani*ational unit que pued incluir parent o child or,ani*ational unit y que conten,a el K'/ lin9) -ara configurar enforcement de ,-B lin4 a un site, e3pandir Sites, y lue,o e3pandir el site que contiene el K'/ lin9) 2) 7acer clic9 derecho en el K'/ lin9 y despu+s hacer clic9 en $nforced para permitir o inhabilitar el en orcement)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 109 of
por: Polchowski,
'or de ecto, todos los Kroup 'olicy Settin,s contenidos en las K'/s, a ectan al contenedor y se aplican a todos los usuarios y computadoras de ese contenedor, el cual no puede producir los resultados que 8sted desea) 8sando la caracterstica de iltrado, se puede determinar qu+ con i,uraciones se aplican a los usuarios y a las computadoras en el contenedor espec ico) 8sted puede iltrar el deployment de K'/ ijando permisos en el K'/ Lin9 para determinar el acceso de lectura o ne,ar el permiso en la K'/) 'ara que los Kroup 'olicy Settin,s se apliquen a una cuenta de usuario o de computadora, la cuenta debe tener por lo menos el permiso de lectura para una K'/ y de aplicaci#n) Los permisos por de ecto para una K'/ nueva tienen el si,uiente "ccess .ontrol 4ntries >".4s?! "uthenticated 8sers) 'ermitir read y permitir apply Kroup 'olicy $omain "dmins, 4nterprise "dmins and SQS-4=) 'ermitir read, 'ermitir Write, 'ermitir .reate "ll .hild objects, 'ermitir $elete "ll .hild objects 9sted puede utili.ar los siguientes mKtodos de filtrado% $>plicitly deny 4ste m+todo se utili*a al ne,ar el acceso a la Kroup 'olicy) 'or ejemplo, 8sted podra ne,ar e3plcitamente el permiso al ,rupo de se,uridad de los administradores, lo cual prevendra a los administradores en la or,ani*ational unit de la recepci#n de K'/ Settin,s) *emove Aut+enticated 9sers 8sted puede omitir a los administradores de la or,ani*ational unit del ,rupo de se,uridad, lo cual si,ni ica que no tienen nin,Ln permiso e3plcito para la K'/) 'ara ms in ormaci#n acerca de Kroup 'olicy! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322P23 http!@@microso t)com@downloads@details)asp36 %amily(dA$2C4FF:.;$22N;24F%;""24;:U.2P0CH%P."&displaylan,Aen http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@ prodtechnol@windowsserver2003@mana,ement@,p@de ault)asp
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 110 of
por: Polchowski,
Si 8sted inhabilita un policy settin,, est inhabilitando la acci#n del policy settin,) 'or ejemplo, los usuarios por de ecto pueden tener acceso al .ontrol 'anel) 'ara ello, 8sted no necesita inhabilitar el policy settin, -ro+ibit access to t+e 7ontrol -anel, a menos que previamente haya aplicado un policy settin, habilitndolo) 4n esta situaci#n, 8sted habr ijado otro policy settin, para deshabilitar el aplicado previamente) 4sto es provechoso cuando se heredan policy settin,s y no se desea usar iltrado para aplicar policy settin,s a un ,rupo y a otro no) 8sted puede aplicar una K'/ que permita un policy settin, en la parent or,ani*ational unit y otro policy settin, que deshabilite la K'/ en la child or,ani*ational unit) Si 8sted permite un policy settin,, estar consintiendo la acci#n del policy settin,) 'or ejemplo, para revocar a al,uien acceso al .ontrol 'anel, 8sted puede habilitar el policy settin, -ro+ibit access to t+e 7ontrol -anel)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 111 of
por: Polchowski,
Captulo 1 | Pgina 12 |
8n K'/ lleva a cabo los valores que cambian re,istry para los usuarios y las computadoras que estn con ormes al K'/) La con i,uraci#n por de ecto para un policy settin, es 3ot 7onfigured) Si 8sted desea ijar a una computadora o a un usuario un policy settin,, de nuevo al valor pre ijado o de nuevo a la local policy, deber seleccionar la opci#n 3ot 7onfigured) 'or ejemplo, 8sted puede permitir un policy settin, para al,unos clientes, y al usar la opci#n 1ot .on i,ured, la policy invertir a la policy por de ecto, o local policy settin,) "l,unas K'/s requieren proporcionar una cierta in ormaci#n adicional despu+s de permitir el objeto) .iertas veces 8sted puede necesitar seleccionar un ,rupo o una computadora si el policy settin, necesita volver a diri,ir al usuario a una cierta in ormaci#n) /tras veces, por ejemplo,para permitir pro3y settin,s, 8sted deber proporcionar el nombre o la direcci#n (nternet 'rotocol >('? del pro3y server y el nLmero de puerto) Si el policy settin, es multi;valued y los settin,s estn en con licto con otro policy settin,, el con licto de multi;
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 112 of
por: Polchowski,
Captulo 1 | Pgina 13 | 2!.! Prctica 1' EC$o asignar Scripts con Iroup Polic%G
'ara implementar script 8sted utili*a Kroup 'olicy, a,re,ndolo a la con i,uraci#n apropiada en un Kroup 'olicy template) 4sto indica que el script puede correr durante el startup, shutdown, lo,on o lo,o ) -ara agregar un script a la ,-B deber6% H) 2) 3) 2) N) 4n Kroup 'olicy =ana,ement, editar la K'/) 4n el editor de Kroup 'olicy /bject de la consola, buscar 8ser .on i,uration@Windows Settin,s@Scripts >Lo,on@Lo,o ?) 4n el panel de detalles, hacer doble;clic9 en 8ogon) 4n el cuadro 8ogon -roperties, hacer clic9 en Add) 4n el cuadro Add a Script, con i,urar cualquiera de las con i,uraciones si,uientes que se desee utili*ar) $espu+s, hacer clic9 en B@! Script 3ame (n,resar el path del script o hacer clic9 en Bro(se para locali*ar el archivo de script en la carpeta compartida 1etlo,on del $omain controller) Script -arameters (n,resar los parmetros que se desean utili*ar, de la misma manera que se in,resara en command line) 4n el cuadro 8ogon -roperties, con i,urar cualquiera de las si,uientes con i,uraciones que se deseen utili*ar! 8ogon Scripts for 4sta lista enumera todas los scripts que estn actualmente asi,nados a la K'/ seleccionada) Si se asi,nan mLltiples scripts, +stos sern procesados en el orden que se especi ic#) 'ara mover el script en la lista, hacer clic9 en el script y despu+s 9p o !o(n)
C)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 113 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 114 of
por: Polchowski,
Captulo 1 | Pgina 11 |
8as opciones avan.adas para 0older *edirection son las siguientes% Select a group:s; "qu es donde se especi ica a qui+n aplicar la redirecci#n) )arget 0older 8ocation "qu se pueden ele,ir cualquiera de las si,uientes opciones! 7reate a folder for eac+ user under t+e root pat+ 8tili*ar para los datos con idenciales) *edirect to t+e follo(ing location 8tili*ar para los datos compartidos) *edirect to t+e local userprofile location 8tili*ar para los usuarios que utili*an una me*cla de computadoras cliente que no son parte de "ctive $irectory por un lado y s lo son por otro) *oot -at+ 4n este cuadro, se especi ica el servidor y el nombre de la carpeta compartida a la que se desear redireccionar)
N) C) P)
,pupdate es una herramienta command;line que actuali*a los local Kroup 'olicy settin,s y Kroup 'olicy settin,s almacenados en "ctive $irectory, incluidas las con i,uraciones de se,uridad) 'or de ecto, las con i,uraciones de se,uridad se actuali*an cada U0 minutos en un puesto de trabajo o un servidor, y cada cinco minutos en un $omain .ontroller) 8sted puede correr ,pupdate para probar una Kroup 'olicy settin, o aplicar inmediatamente un Kroup 'olicy settin,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 115 of
por: Polchowski,
Captulo 1 | Pgina 14 |
8os e/emplos siguientes demuestran cmo 9sted puede utili.ar el comando gpupdate% 7%Mgpupdate 7%Mgpupdate Ftarget%computer 7%Mgpupdate Fforce F(ait%D00 7%Mgpupdate Fboot Ipupdate tiene los siguientes par$etros! F)arget%Q7omputer R 9serS 4speci ica la actuali*aci#n solamente de usuario o computadora para sus policy settin,s) 'or de ecto, la policy de usuario y computadora son actuali*adas) F0orce 0eaplica todos los policy settin,s) 'or de ecto, solamente los policy settin,s que han cambiado se reaplican) F#ait%Q&alueS %ija el nLmero de se,undos para esperar el procesamiento de policy) 'or de ecto, es de C00 se,undos) 4l valor R 0 R si,ni ica no esperar) 4l valor R ; H R si,ni ica esperar inde inidamente) F8ogoff .ausa un lo,o despu+s de actuali*ar la con i,uraci#n de Kroup 'olicy settin,s)
FBoot 'rovoca que la computadora se reinicie despu+s de la actuali*aci#n de Kroup 'olicy settin,s) FSync 'rovoca que la pr#3ima con i,uraci#n de policy settin, se aplique sincr#nicamente)
$ebido a que 8sted puede aplicar niveles traslapados de policy settin,s a cualquier computadora o usuario, Kroup 'olicy ,enera un reporte que resulta de aplicar policies al lo,on) ,presult e3hibe el reporte que resulta de aplicar policies que se hacen cumplir en la computadora para el usuario especi icado al lo,on) 4l comando gpresult e3hibe los Kroup 'olicy settin,s y el 0esultant Set o 'olicy >0So'? para un usuario o una computadora) 8sted puede utili*ar gpresult para ver qu+ con i,uraciones de la K'/ son e ectivas y locali*ar problemas en la aplicaci#n) 8os e/emplos siguientes demuestran cmo se puede utili.ar el comando gpresult% 7%Mgpresult 7%Mgpresult 7%Mgpresult 7%Mgpresult Fuser targetusername Fscope computer Fs srvmain Fu maindomF+iropln Fp pAss#23 Fuser targetusername Fscope 9S$* Fs srvmain Fu maindomF+iropln Fp pAss#23 Fuser targetusername F. Tpolicy t>t Fs srvmain Fu maindomF+iropln Fp pAss#23
Ipresult tiene los siguientes par$etros! Fs 7omputer 4speci ica el nombre o direcci#n (' de una computadora remota) 'or de ecto es la computadora local) Fu !omainM9ser 4l comando unciona con los permisos de la cuenta del usuario que se especi ica 8ser o $omain@8ser) 4l de ecto son los permisos del usuario que se encuentre autenticado en la computadora y que ejecute el comando) Fp -ass(ord 4speci ica el password de la cuenta del usuario que se especi ica en el parmetro @u)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 116 of
por: Polchowski,
Captulo 1 | Pgina 17 |
Fuser )arget9ser3ame 4speci ica el nombre del usuario del que se e3hiben los datos 0So') Fscope QuserRcomputerS 43hibe los policy settin,s del usuario o computadora) Los valores vlidos para el parmetro @scope son user o computer) Si se omite el parmetro @scope, ,presult e3hibe a ambos, usuario y computadora) Fv 4speci ica que la salida e3hibir in ormaci#n verbose de la policy) F. 4speci ica que la salida e3hibir toda la in ormaci#n disponible acerca de Kroup 'olicy) $ado que este parmetro produce ms in ormaci#n que el parametro @v, se debe redireccionar la salida a un archivo de te3to cuando se utilice este parmetro >por ejemplo, s puede escribir gpresult F. Tpolicy t>t?) FJ 43hibe la ayuda en la ventana de comandos)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 117 of
por: Polchowski,
4n Windows Server 2003, 8sted puede utili*ar Kroup 'olicy para manejar el proceso de instalaci#n de so tware centrali*ado a partir de una locali*aci#n) "dems, Kroup 'olicy settin,s puede aplicarse a los usuarios o computadoras en un site, dominio u or,ani*ational unit para instalar automticamente, actuali*ar o quitar so tware) "plicando Kroup 'olicy settin,s al so tware, 8sted puede manejar varias ases de l instalaci#n del so tware sin instalar so tware en cada computadora individualmente) 8a lista siguiente describe cada fase en la instalacin del soft(are y proceso de mantenimiento% H) -reparation 'rimero hay que instalar el so tware usando la estructura corriente de Kroup 'olicy object >K'/?, y tambi+n identi icar los ries,os al usar la in raestructura actual para instalar so tware) 'ara preparar los archivos que permitan a un pro,rama ser instalado con Kroup 'olicy, 8sted debe copiar los archivos Windows (nstaller pac9a,e para un pro,rama a un so tware distribution point, el cual puede ser una carpeta compartida en un servidor) "simismo puede adquirir el archivo Windows (nstaller pac9a,e del vendedor del pro,rama o crear el archivo pac9a,e usando una utilidad de terceras partes) 2) !eployment "qu hay que crear una K'/ que instala el so tware en la computadora y lin9ea la K'/ a un contenedor apropiado de "ctive $irectory) 4l so tware estar instalado cuando la computadora se encienda o cuando un usuario inicie el pro,rama) 3) Maintenance 4l so tware se actuali*a con una nueva versi#n o reinstalando el so tware con un service pac9 o un so tware update) $e esta maner, estar automticamente actuali*ado o reinstalado cuando la computadora se encienda o cuando el usuario inicie el pro,rama) 2) *emoval 'ara eliminar el so tware que no es requerido, se necesita quitar el so tware pac9a,e settin, de la K'/ que ori,inalmente instal# el so tware) 4l so tware entonces se quitar automticamente cuando la computadora se encienda o cuando un usuario inicie sesion)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 118 of
por: Polchowski,
Captulo 1 | Pgina 1: |
'ara habilitar Kroup 'olicy para instalaci#n y administraci#n de so tware, Windows Server 2003 usa Windows (nstaller) 4ste componente automati*a la instalaci#n y el retiro de pro,ramas, aplicando un sistema de re,las centralmente de inidas durante el proceso de la instalaci#n) #indo(s "nstaller contiene dos componentes% #indo(s "nstaller service 4ste servicio del lado del cliente automati*a completamente la instalaci#n del so tware y proceso de la con i,uraci#n) 4l servicio Windows (nstaller puede tambi+n modi icar o reparar un pro,rama instalado e3istente) 'ara instalar un pro,rama lo hace directamente del .d;0/= o usando Kroup 'olicy) 'ara ello, el servicio Windows (nstaller requiere un Windows (nstaller pac9a,e) #indo(s "nstaller pac4age 4ste archivo pac9a,e contiene toda la in ormaci#n que el Windows (nstaller service requiere para instalar o quitar so tware) 4l "rchivo contiene! 4s un archivo Windows (nstaller con e3tenci#n )msi) "rchivos uente e3ternos, que son requeridos para instalar o quitar el so tware) (n ormaci#n estndar sobre el so tware y el pac9a,e) "rchivos del producto o una re erencia a un punto de instalaci#n donde residen los archivos del producto) 8as venta/as de usar tecnologia #indo(s "nstaller incluye% 7ustom installations .aractersticas opcionales de un aplicativo) 'or ejemplo, clip art o un diccionario, puede ser visible en un pro,rama sin que la caracterstica sea instalada) "unque los comandos de menL son accesibles, la caracterstica no est instalada hasta que el usuario acceda al menL de comandos) 4ste m+todo de instalaci#n ayuda a reducir la complejidad y la cantidad de espacio de disco duro que el pro,rama utili*a) *esilient applications Si un archivo crtico se borra o se corrompe, el pro,rama adquiere automticamente una nueva copia del archivo de la uente de la instalaci#n, sin requerir la intervenci#n del usuario) 7lean removal Windows (nstaller quita aplicaciones sin dejar archivos hu+r anos o inadvertidamente romper otro aplicativo, por ejemplo, cuando un usuario borra un archivo compartido que otro aplicativo requiera) -ambi+n, Windows (nstaller quita todas las con i,uraciones de re,istry relacionadas y almacena las transacciones de instalaci#n en una base de datos y archivos de lo, subsecuentes)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 119 of
por: Polchowski,
.uando 8sted instala so tware, est especi icando c#mo se instalan los aplicativos y c#mo se mantienen los mismos en su or,ani*aci#n) -ara instalar nuevo Soft(are5 utili.ando ,roup -olicy5 deber6% H) 2) 7rear un soft(are distribution point 4sta carpeta compartida en su servidor contiene el pac9a,e y los archivos del so tware para instalar) .uando el so tware se instala en una computadora local, el Windows (nstaller copia archivos a la computadora) 9tili.ar la ,-B para instalar soft(are 8sted debe crear o reali*ar cambios necesarios a la K'/ para el contenedor en donde desea instalar el aplicativo) "l mismo tiempo puede con i,urar la K'/ para instalar so tware para una cuenta de usuario o de computadora) 4sta tarea tambi+n incluye seleccionar el tipo de instalaci#n que se requiere) Ca$2iar las caractersticas de la instalacin del so(tware! $ependiendo de sus requisitos, 8sted puede cambiar las caractersticas que ueron ijadas durante la instalaci#n inicial del so tware)
3)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 120 of
por: Polchowski,
Captulo 1 | Pgina 21 |
;os dos tipos de instalacin son' asi,nar so tware y publicar so tware) 8sando la asi,naci#n de so tware, 8sted se ase,ura que el so tware est+ siempre disponible para el usuario) .uando +ste inicie sesi#n, aparecern Start menu shortcuts y des9top icons para el aplicativo) 'or ejemplo, si el usuario abre un archivo que utili*a =icroso t 43cel en una computadora que no tiene 43cel, pero 43cel ha sido asi,nado al usuario, Windows (nstaller instala 43cel en la computadora cuando el usuario abre archivo) "dems, el asi,nar so tware hace al so tware resilient) Si por cualquier ra*#n el usuario quita el so tware, Windows (nstaller lo reinstalar la pr#3ima ve* que el usuario inicie sesi#n e inicie el aplicativo) 8sando la publicaci#n de so tware, 8sted se ase,ura que el so tware est+ disponible para que los usuarios lo instalen en sus computadoras) Windows (nstaller no a,re,a shortcuts en el escritorio del usuario o en el Start menu, y no reali*a entradas en re,istry local) $ado que los usuarios deciden instalar el published so tware, 8sted puede publicar so tware solamente a los usuarios y no a las computadoras) 9sted puede asignar y publicar soft(are usando uno de los mKtodos de la tabla siguiente% *Ftodo de instalacin
*Ftodo 1 .on i,urando al usuario) .uando 8sted asi,ne so tware a un usuario, el so tware se anunciar en el escritorio del mismo cuando inicie sesi#n) La instalaci#n no comen*ar hasta que el usuario ha,a doble;clic9 al inicio de la aplicaci#n o a un archivo asociado con la aplicaci#n) 4ste es un m+todo llamado documento) Si el usuario no activa el aplicativo, el so tware no es instalado) $e esta orma, se ahorra espacio en el disco duro y tiempo) 8sando "dd or 0emove 'ro,rams) 8n usuario puede abrir el .ontrol 'anel y hacer doble;clic9 en "dd or 0emove 'ro,rams para e3hibir los aplicativos disponibles) 4l usuario puede seleccionar un aplicativo y entonces hacer clic9 en "dd)
*Ftodo 2 .on i,urando la computadora) .uando 8sted asi,ne so tware a una computadora, nin,un aviso ocurrir) 4n su lu,ar, el so tware se instalar automticamente cuando la computadora se encienda) "si,nando so tware a una computadora 8sted se ase,ura que ciertos aplicativos est+n siempre disponibles en esa computadora, sin importar qui+n la utili*a) 8sted so tware a una computadora que sea domain controller)
"si,naci#n
'ublicaci#n
8sando la activaci#n de documentos) Si usted publica un aplicativo en "ctive $irectory las e3tenciones de nombre de archivo de los documentos soportados por la aplicaci#n sern asociadas en el directorio)
3!1! Prctica 7' EC$o utiliAar una IPB para instalar So(twareG
$espu+s de crear un so tware distribution point, 8sted deber crear una K'/ que instale esos aplicativos, y despu+s lin9ear la K'/ al contenedor que conten,a los usuarios o computadoras en donde desee instalar el so tware) I$portante' 1o asi,nar ni publicar un Windows (nstaller pac9a,e ms de una ve* en la misma K'/) 'or ejemplo, si 8sted asi,na =icroso t / ice O' a computadoras que son a ectadas por una K'/, no deber asi,nar ni publicar a los usuarios a ectados por la misma K'/) -ara utili.ar una ,-B para instalar soft(are5 tendr6 'ue reali.ar los siguientes pasos% H) 2) .rear o editar la K'/) :ajo 9ser 7onfiguration o 7omputer 7onfiguration >dependiendo si 8sted est asi,nando el so tware a los usuarios o a las computadoras o publicndolo a los usuarios?, e3pandir Soft(are Settings, hacer clic9 derecho en Soft(are "nstallation, marcar 3e(, y despu+s hacer clic9 en -ac4age) 4n el cuadro 0ile Bpen, hacer browse al so tware distribution point, usando el nombre 8niversal 1amin, .onvention >81.?) 'or ejemplo,
3)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 121 of
por: Polchowski,
Captulo 1 | Pgina 22 |
2) 4n el cuadro !eploy Soft(are, seleccionar el m+todo de instalaci#n y despu+s hacer clic9 en B@)
3!4! Prctica 9' EC$o ca$2iar las opciones para la instalacin de So(twareG
8n K'/ puede contener varias con i,uraciones que a ecten c#mo un aplicativo es instalado, manejado y quitado) 8sted puede de inir las con i,uraciones por de ecto ,lobal para los nuevos pac9a,es en la K'/, tambi+n puede cambiar al,unas de estas con i,uraciones ms adelante, editando las propiedades del pac9a,e en la e3tensi#n de la instalaci#n de so tware) $espu+s de instalar un so tware pac9a,e, reci+n podr cambiar las caractersticas de la instalaci#n que ueron ijadas durante la instalaci#n inicial del so tware) 'or ejemplo, 8sted puede prevenir a usuarios la instalaci#n del so tware pac9a,e usando la activaci#n de documento) -ara configurar las opciones implcitas para la instalacin del soft(are5 deber6 reali.ar los siguientes pasos% H) 2) 3) .rear o editar la K'/) :ajo 9ser 7onfiguration o 7omputer 7onfiguration, e3pandir Soft(are Settings, hacer clic9 derecho en Soft(are "nstallation y despu+s en -roperties) 4n la len,[eta ,eneral, con i,urar las opciones si,uientes de la instalaci#n de so tware! !efault pac4age location #+en adding ne( pac4ages to user settings "nstallation user interface options 2) 4n la len,[eta Advanced, seleccionar la opci#n 9ninstall t+e application (+en t+ey fall out of t+e scope of management)
-ara cambiar las caractersticas de la instalacin de soft(are5 deber6% H) 2) 4n So tware (nstallation, hacer clic9 derecho en el pac9a,e instalado, y despu+s hacer clic9 en -roperties) 4n el cuadro -roperties de la len,[eta !eployment, cambiar las si,uientes opciones! !eployment type !eployment options "nstallation user interface options
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 122 of
por: Polchowski,
Las modi icaciones se asocian a un Windows (nstaller pac9a,e en la instalaci#n anterior que utilice es Windows (nstaller pac9a,e para instalar o modi icar el aplicativo) (nstalar varias con i,uraciones de un aplicativo, permite a diversos ,rupos en su or,ani*aci#n utili*ar un paquete de so tware de diversas maneras) 8sted puede utili*ar modi icaciones de so tware o archivos mst >tambi+n llamado arc+ivos de transformacin? para instalar varias con i,uraciones de un aplicativo) 8n archivo )mst es un custom so tware pac9a,e que modi ica c#mo Windows (nstaller instala el msi pac9a,e asociado) Windows (nstaller aplica modi icaciones a pac9a,es en el orden que 8sted especi ique) 'ara ,uardar modi icaciones en un archivo )mst, deber correr el custom installation wi*ard y ele,ir el archivo )msi en el cual desea basar la trans ormaci#n) 8sted deber determinar el orden en el cual aplicar las trans ormaciones a los archivos antes de asi,nar o publicar el aplicativo) /Ce$plo' 8na or,ani*aci#n ,rande, por ejemplo, puede querer instalar =icroso t / ice O', pero los requisitos por departamento para el / ice suite varian e3tensamente en la or,ani*aci#n) 4n lu,ar de con i,urar manualmente cada uno de los departamentos, 8sted puede utili*ar di erentes K'/s y archivos )mst en combinaci#n con los archivos )msi por de ecto, para que cada departamento instale varias con i,uraciones de / ice O') 4n este ejemplo, 8sted puede correr el / ice O' custom installation wi*ard del
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 123 of
por: Polchowski,
Las tareas en una or,ani*aci#n son dinmicas y variadas) 8sted puede utili*ar Kroup 'olicy para instalar y administrar so tware up,rades que cumplan con requisitos departamentales en su or,ani*aci#n) Las actuali*aciones implican tpicamente cambios importantes al so tware y tienen nuevos nLmeros de versi#n) Keneralmente, un nLmero substancial de archivos cambia para una actuali*aci#n) &arios acontecimientos en el ciclo de vida de un aplicativo pueden accionar la necesidad de una actuali.acin5 incluyendo lo siguiente% 8na nueva versi#n del so tware se lan*a y contiene nuevas y mejoradas caractersticas) 'arches y se,uridad o realces uncionales se han hecho al so tware desde el lan*amiento pasado) 8na or,ani*aci#n decide utili*ar un so tware de diversos vendedores) 2ay tres tipos de actuali.aciones% Mandatory upgrades 4stas actuali*aciones substituyen automticamente una vieja versi#n de so tware con la nueva version) 'or ejemplo, si los usuarios utili*an actualmente la versi#n del pro,rama H)0, se quita esta versi#n, y la versi#n del pro,rama 2)0 se instala la pr#3ima ve* que la computadora se encienda o el usuario inicie sesi#n) Bptional upgrades 4stas actuali*aciones permiten que los usuarios decidan cundo actuali*ar la nueva versi#n) 'or ejemplo, los usuarios pueden determinar si desean actuali*ar a la versi#n 2)0 del so tware o continuar usando la versi#n H)0) Selective upgrades Si al,unos usuarios requieren una actuali*acion pero no otros, 8sted puede crear K'/s mLltiples para que se apliquen a los usuarios que requieran la actuali*aci#n y crear los paquetes de so tware apropiados en ellas)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 124 of
por: Polchowski,
2) N)
*edeployment es la aplicaci#n de service pac9s y actuali*aciones de so tware al so tware instalado) 8sted puede instalar un pac9a,e instalado or*ando la reinstalaci#n del so tware) La reinstalaci#n puede ser necesaria si el so tware pac9a,e instalado previamente es actuali*ado pero si,ue teniendo la misma versi#n, o si hay problemas de interoperabilidad o virus que la reinstalaci#n del so tware arre,le) .uando 8sted marca un archivo pac9a,e para reinstalaci#n, el so tware se anuncia a cada uno de los que se ha concedido el acceso al aplicativo, ya sea a trav+s asi,naci#n o publicaci#n) 4ntonces, dependiendo de c#mo el pac9a,e ori,inal haya sido instalado, uno de estos tres escenarios ocurrir!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 125 of
por: Polchowski,
Captulo 1 | Pgina 24 |
.uando usted asi,ne so tware a un usuario, el Start menu, los shortcuts de escritorio y la con i,uraci#n de re,istry sern relevantes al so tware y actuali*ados la pr#3ima ve* que el usuario inicie sesi#n) La pr#3ima ve* que el usuario inicie el so tware, el service pac9 o actuali*aci#n de so tware se aplicar automticamente) .uando usted asi,ne so tware a una computadora, el service pac9 o actuali*aci#n de so tware se aplicar automticamente la pr#3ima ve* que la computadora se encienda) .uando 8sted publique e instale so tware, el Start menu, los shortcuts de escritorio y la con i,uraci#n de re,istry, sern relevante al so tware y actuali*ados la pr#3ima ve* que el usuario inicie sesi#n) La pr#3ima ve* que el usuario inicie el so tware, el service pac9 o actuali*aci#n de so tware se aplicar automticamente)
'uede ser necesario quitar el so tware si una versi#n no es soportada en adelante o si los usuarios no requieren ms el so tware) 8sted puede or*ar el retiro del so tware o dar a los usuarios la opci#n de continuar, usando el viejo so tware) Da% dos $Ftodos de re$ocin'
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 126 of
por: Polchowski,
Captulo 1 | Pgina 27 |
0orced removal 8sted puede or*ar la remoci#n del so tware, lo cual automticamente remover el so tware de la computadora la pr#3ima ve* que la computadora se encienda o la pr#3ima ve* que un usuario inicie sesi#n, en caso de un Kroup 'olicy settin, de usuario) 4l so tware se remover antes que apare*ca el escritorio del usuario) Bptional removal 8sted puede quitar el so tware de la instalaci#n del mismo sin or*ar el retiro del so tware) 4l so tware no se quita realmente de las computadoras) 4l so tware no aparece ms en Add or *emove -rograms, pero los usuarios pueden todava utili*arlo) Si los usuarios remueven manualmente el so tware, no podrn reinstalarlo)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 127 of
por: Polchowski,
.onjuntamente con =icroso tI Windows Server) 2003, =icroso t est lan*ando una nueva herramienta Kroup 'olicy =ana,ement que uni ica la administracion de Kroup 'olicy) La =icroso t Kroup 'olicy =ana,ement .onsole >K'=.? proporciona una sola soluci#n para manejar todas las areas relacionadas a Kroup 'olicy) .onsiste en un nuevo =icroso t =ana,ement .onsole >==.? snap;in y un sistema de inter ases de scriptin, para la administraci#n de Kroup 'olicy =ana,ement .onsole) La K'=. ayuda manejar una empresa con ms e icacia)
La Kroup 'olicy =ana,ement .onsole >K'=.? es una herramienta nueva para manejar Kroup 'olicy en Windows Server 2003) 8a ,-M7% 'ermite que usted maneje Kroup 'olicy para mLltiples orests, dominios y or,ani*ational units a partir de una inter a* constante) 43hibe los lin9s, herencia y dele,aci#n de Kroup 'olicy =uestra los contenedores a los cuales se aplican policy) 'roporciona reportes 7-=L de las con i,uraciones) 'roporciona las herramientas para mostrar el 0esultant Set o 'olicies >0So'? y e3perimentar con combinaciones propuestas de policies) "ota' La K'=. no viene con Windows Server 2003) 8sted puede descar,arla de http!@@www)microso t)com@windowsserver2003@,pmc@de ault)msp3
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 128 of
por: Polchowski,
Sobre la terminaci#n de la instalaci#n, la len,[eta Kroup 'olicy que apareca en las p,inas de propiedades de sites, dominios y or,ani*ational units >/8s? en el "ctive $irectory snap;ins, es actuali*ada para proporcionar un acceso directo a la K'=.) La uncionalidad que e3isti# previamente en la len,[eta ori,inal de Kroup 'olicy no estar ms disponibleT toda la uncionalidad para manejar Kroup 'olicy estar disponible a trav+s de la K'=.) -ara abrir el ,-M7 snap1in directamente5 utili.ar alguno de los mKtodos siguientes% 7acer .lic9 en Start, clic9 *un, in,resar ,-M7 msc, y despu+s hacer clic9 en B@) 7acer .lic9 en el acceso ,roup -olicy Management en la carpeta Administrative )ools del Start =enu o en el .ontrol 'anel) .rear una consola custom ==. H) 2) 7acer .lic9 en Start, clic9 *un, in,resar MM7, y despu+s hacer clic9 en B@) 4n el menu 0ile, hacer clic9 en AddF*emove Snap1in5 hacer clic9 en Add, seleccionar ,roup -olicy Management, hacer clic9 en Add, hacer clic9 en 7lose, y despu+s hacer clic9 en B@)
'ara reparar o quitar K'=., usar Add or *emove -rograms en .ontrol 'anel) "lternativamente, correr el ,pmc)msi pac9a,e, seleccionr la opci#n apropiada, y hacer clic9 en 0inis+)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 129 of
por: Polchowski,
,roup -olicy Modeling Windows Server 2003 tiene una nueva caracterstica de ,ran alcance! Kroup 'olicy =ana,ement) 4sta permite que el usuario simule la aplicaci#n de policy que sera aplicada a los usuarios y a las computadoras antes aplicar realmente policies) 4sta caracterstica, es conocida como 0esultant Set o 'olicy >0So'?) 4l =odo de planeamiento en Windows Server 2003, se inte,ra en K'=. como Kroup 'olicy =odelin,) 4sto requiere un domain controller Windows Server 2003 en el orest porque la simulaci#n es reali*ada por un servicio que est solamente presente en domain controllers Windows Server 2003) Sin embar,o, usando esta caracterstica, 8sted puede simular el resultant set o computadora en el orest, incluyendo las que uncionan con =icroso t WindowsI 2000) ,roup -olicy *esults 4sta caracterstica permite que los administradores determinen el resultant set o policy que ue aplicada a una computadora espec ica y >opcionalmente? el usuario que inici# sesi#n en esa computadora) Los datos que se presentan son similares a los datos de Kroup 'olicy =odelin,) Sin embar,o, son di erentes a Kroup 'olicy =odelin, puesto que no son una simulaci#n) 4s el resultado real de resultant set o policy obtenido de la computadora destino) -ambi+n di iere Kroup 'olicy =odelin,, con los datos de Kroup 'olicy 0esults que se obtienen del cliente, y no se simula en el domain controller) 4l cliente debe correr Windows O', Windows Server 2003 o superior) 1o es posible conse,uir Kroup 'olicy 0esults para una computadora que corra Windows 2000 o anterior) policy para cualquier
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 130 of
por: Polchowski,
2)
4speci icar el nombre $1S o 1et:(/S del dominio deseado en el orest que no se haya car,ado en K'=., y hacer clic9 en B@)
4l orest especi icado aparecer como nodo secundario en la consola y ser car,ado en la consola con dominio que ue incorporado en el cuadro Add 0orest) 'ara quitar un nodo de orest, simplemente ha,a clic9 derecho en el nodo, y seleccione *emove) 'or de ecto usted puede a,re,ar solamente orest a la K'=. si hay 2;way trust con el orest del usuario que corre la K'=.)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 131 of
por: Polchowski,
Captulo 1 | Pgina 32 |
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 132 of
por: Polchowski,
Captulo 1 | Pgina 33 |
Los in ormes 7-=L tambi+n hacen cil que el administrador ten,a visi#n de todas las con i,uraciones que se conten,an en un K'/ de un vista*o) Seleccionando la opci#n S+o( All arriba del in orme, +ste se ampla completamente y se muestran todas las con i,uraciones) 'ara ver o ,uardar un in orme directamente en un browser Web, 8sted debe utili*ar (nternet 43plorer C o 1etscape P) 1etscape P no soporta la uncionalidad que permita mostrar u ocultar datos en in ormes)
.!9!1! <ac3up
$l Bac4up de ,-B pone una copia de todos los datos relevantes de ,-B en una locali.acin especificada del sistema de arc+ivos 8os datos relevantes incluyen% 4l K'/ K8($ y dominio) .on i,uraciones K'/) La $iscretionary "ccess .ontrol List >$".L? de la K'/) Los W=( ilter lin9) La operaci#n de bac9up solamente hace bac9up de componentes de la K'/ que estn en "ctive $irectory y en la estructura de archivo de K'/ en SQSE/L) La operaci#n no captura los datos almacenados uera del K'/, por ejemplo W=( ilters e (' Security policies) Zstos son objetos separados con su propio sistema de permisos y es posible que un administrador que reali*a el bac9up o el restore, pueda no tener los permisos requeridos en esos otros objetos)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 133 of
por: Polchowski,
Captulo 1 | Pgina 3. |
8os administradores pueden +acer bac4up de una o m6s ,-Bs usando los mKtodos siguientes% 7acer clic9 derecho en la K'/ bajo el nodo ,roup -olicy ob/ects y ele,ir Bac4 upU del menL de conte3to) 7acer clic9 derecho en una o ms K'/s en la len,[eta 7ontents del nodo ,roup -olicy ob/ects y ele,ir Bac4 upU del menL de conte3to) 4sto hace bac9up de las K'/>s? seleccionadas) 4n el nodo ,roup -olicy Bb/ects, hacer clic9 derecho y ele,ir la opci#n Bac4 9p AllU 4sto hace bac9up de todas las K'/s en el dominio) 8se los K'/ bac9up scripts) 8sted puede escribir sus el propios scripts o puede utili*ar la muestra de scripts incluida con K'=. en la carpeta K'=.Wscripts ) 7ay dos scripts Bac4up,-B (sf y Bac4upAll,-Bs (sf que se incluyen con K'=., los cuales usted pueden utili*ar para hacer bac9up de K'/s)
.!9!2! &estore
La operaci#n de 0estore de K'/ restaura la K'/ a un estado anterior y puede ser utili*ada en los casos si,uientes! se reali*a bac9up a la K'/ pero se ha removido desde entonces, o la K'/ est viva y se desea volverla a un estado anterior) 8a operacin de restore substituye los componentes siguientes de una ,-B% .on i,uraciones de K'/) ".Ls en la K'/) Los W=( ilter lin9s)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 134 of
por: Polchowski,
Captulo 1 | Pgina 31 |
9sted puede reali.ar un restore de ,-Bs usando cual'uiera de los mKtodos siguientes% 'ara hacer restore una K'/ e3istente, hacer clic9 derecho a la K'/ en el contenedor ,roup -olicy ob/ects y seleccionar *estore from Bac4upU 4sto abre el *estore ,roup -olicy Bb/ect #i.ard) 8sar los K'/ restore scripts) 8sted puede escribir sus propios scripts o utili*ar las muestras de scripts includas con K'=. en la carpeta IP*CPscripts 7ay dos scripts *estore,-B (sf y *estoreAll,-Bs (sf)
.!9!3! I$port
La operaci#n de importaci#n trans iere con i,uraci#n en una K'/ e3istente de "ctive $irectory usando un bac9up de K'/ en la locali*aci#n del sistema de archivos como su uente) Las operaciones de importaci#n se pueden utili*ar para trans erir con i,uraciones a trav+s de K'/s dentro del mismo dominio, a trav+s de dominios en el mismo orest o en orest separados) Las operaciones de importaci#n son ideales para emi,rar Kroup 'olicy a trav+s de ambientes donde no hay con ian*a) 8as operaciones de importacin se pueden reali.ar usando cual'uiera de los mKtodos siguientes% 7acer clic9 derecho en la K'/ bajo el nodo Kroup 'olicy /bjects y hacer clic9 en (mport Settin,s) 4sto iniciar un wi*ard que lo ,uiar en el proceso de seleccionar el bac9up y opcionalmente especi icando una tabla de mi,raci#n si es apropiado) 8sar uno de los scripts "mport,-B (sf o "mportAll,-Bs (sf que se incluyen co K'=.)
.!9!.! Cop%
H) 8na operaci#n de copia trans iere con i,uraciones usando una K'/ e3istente en "ctive $irectory como la uente y crea un K'/ nueva como su destino) 8na operaci#n de copia se puede utili*ar para trans erir con i,uraciones a un K'/ nuevo cualquiera en el mismo dominio, en otros dominios, en el mismo orest o en orest separados) 'uesto que una operaci#n de copia utili*a un K'/ e3istente en "ctive $irectory como ori,en, la con ian*a se requiere entre el ori,en y los dominios de la destino)
2)
8as operaciones de copia se pueden reali.ar usando cual'uiera de los mKtodos siguientes% 7acer clic9 derecho en la K'/ ori,in, ele,ir la copy y hacer clic9 derecho en el contenedor ,roup -olicy Bb/ects del dominio deseado de destino) 4le,ir la opci#n paste) 8sar dra, and drop para arrastrar la K'/ ori,in al contenedor ,roup -olicy Bb/ects en el dominio destino) 8sar el script 7opy,-B (sf command;line que se incluye con K'=.) 'ara obtener mas in ormaci#n! http!@@www)microso t)com@windowsserver2003@,pmc@de ault)msp3 http!@@www)microso t)com@windowsserver2003@,pmc@mi,r,po)msp3 http!@@www)microso t)com@,rouppolicy http!@@www)microso t)com@technet@,rouppolicy
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 135 of
por: Polchowski,
Captulo 4 | Pgina 1 |
-erminal Server, en =icroso tI Windows Server 2003, o rece la e3periencia de WindowsI para diversi icar hardware de escritorio mediante la emulaci#n de terminales)
As imismo soporta una amplia gama de clientes y me/ora los ambientes de cmputo al% "mpliar la amilia Windows escalable, que da servicio a compaMas que deseen implementar la soluci#n de Gcliente del,adoG para o recer Windows de 32;bits a una ,ran variedad de dispositivos de hardware de escritorio heredados) .ombinar el bajo costo de una terminal con los bene icios de un ambiente administrado, basado en Windows) -ambi+n o rece el mismo ambiente de bajo costo y administraci#n central de un mainframe tradicional con terminales, pero aMade la amiliaridad, acilidad de uso y variedad de soporte para aplicaciones que o rece una plata orma de sistema operativo Windows) Al finali.ar este capitulo 9sted tendr6 la +abilidad de% (mplementar 0emote $es9top para administraci#n (nstalar -erminal Server "dministrar un entorno -erminal Server
1! Introduccin
-erminal Services permite el acceso de mLltiples usuarios a Windows Server 2003, permitiendo que varias personas inicien sesiones en un servidor simultneamente) Los administradores pueden instalar aplicaciones basadas en Windows del -erminal Server y ponerlas a disposici#n de todos los clientes que se conecten con el servidor) "unque los usuarios pueden tener diversos hardware y sistemas operativos, la sesi#n -erminal que se abre en el escritorio del cliente conserva el mismo aspecto y uncionalidad para todos)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 136 of
por: Polchowski,
#indo(s Server 2003 )erminal Server consiste en cuatro componentes% )erminal Server% 4ste nLcleo de servidor multi;usuario proporciona la capacidad de alber,ar varias sesiones simultneas de clientes en Windows Server 2003 y en versiones uturas de Windows Server) "simismo puede alber,ar en orma directa escritorios de cliente multi;usuario compatibles, que se ejecuten en una variedad de hardware) Las aplicaciones estndar basadas en Windows, si estn escritas adecuadamente, no requieren nin,una modi icaci#n para ejecutarse en -erminal Server, y la ve* se pueden utili*ar todas las in raestructuras de administraci#n y tecnolo,as estndar basadas en Windows server 2003 para administrar los escritorios cliente) -rotocolo de escritorio remoto% 4ste 'rotocolo es un componente clave de -erminal Server y permite al cliente comunicarse con -erminal Server en una red) Se basa en el protocolo -)H20 de la 8ni#n (nternacional de -elecomunicaciones >8(-?, y es un protocolo de multi;canal que est ajustado para ambientes empresariales de ancho de banda elevado, y que dar soporte a tres niveles de encriptaci#n) 7liente de )erminal Server% 4s el so tware de cliente que presenta una inter a* Windows de 32 bits amiliar, en una ,ran variedad de hardware de escritorio! 1uevos dispositivos -erminal basados en Windows >incrustados?) .omputadoras personales que ejecutan Windows UN, Windows UF y Windows 1Wor9station 3)NH o 2)0, Windows 2000 o O' 'ro essional) .omputadoras personales que ejecutan Windows or Wor9,roups 3)HH) 7erramientas de administraci#n! "dems de todas las herramientas de administraci#n amiliares de Windows Server 2003, -erminal Server aMade un administrador de licencias de -erminal Services, la con i,uraci#n de -erminal Server >==.? y herramientas de administraci#n para -erminal Server y para sesiones de clientes) "simismo, se han a,re,ado dos nuevos objetos al =onitor de rendimiento, que son Sesi#n y 8suario, para permitir ajustarlos al servidor en un ambiente de usuarios mLltiples)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 137 of
por: Polchowski,
$espu+s de instalar el so tware de cliente, los usuarios acceden al -erminal Server abriendo 0emote $es9top .onnection .lient del menL -rogramsFAccesoriesF 7ommunications .uando un usuario conecta e inicia sesi#n al -erminal Server, el escritorio de Windows Server 2003 aparece en el escritorio del cliente) .uando un usuario inicia un pro,rama, si el pro,rama no est uncionando en orma local, es al,o totalmente transparente)
Las caractersticas de -erminal Server proporcionan varias ventajas que una or,ani*aci#n puede utili*a como instalaci#n, acceso y manejo de los aplicativos de ne,ocio)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 138 of
por: Polchowski,
Captulo 4 | Pgina . |
Instalacin CentraliAada Las or,ani*aciones pueden instalar aplicaciones de ne,ocios, puesto que el uncionamiento de los pro,ramas se reali*ar enteramente en el servidor) -erminal Server tiene el -./ ms bajo para un solo dispositivo de aplicativo que unciona en una lnea del aplicativo de ne,ocio, por ejemplo, un sistema de reservas o un .all .enter) Asimismo proporciona las siguientes venta/as% Menos +ard(are costoso 4mpleados que reali*an s#lo los trabajos que requieran el acceso a un pro,rama de ne,ocio y que se puedan equipar de terminales o computadoras menos costosas) Acceso f6cil a soft(are nuevo o actuali.ado .uando -erminal Server se habilita en Windows Server 2003, los administradores no tienen que instalar aplicaciones en cada computadora de escritorio) 4l aplicativo ya est instalado en el servidor y los clientes tienen acceso automtico a la nueva o actuali*ada versi#n de so tware) #cceso al escritorio Windows Server 2003 -erminal Server puede e3tender Windows Server 2003 y aplicaciones basadas en Windows a una variedad de clientes) Al mismo tiempo5 permite% $/ecutar aplicaciones #indo(s -erminal Server puede hacer disponibles aplicaciones Windows a una amplia ,ama de clientes) 4stas aplicaciones basadas en Windows pueden uncionar en diversos sistemas, en el operativo o el hardware, con poca o nin,una modi icaci#n) Ampliar el uso de un e'uipo m6s vie/o 8na or,ani*aci#n puede implementar -erminal Server como tecnolo,a transitoria para tender un puente sobre sistemas operativos viejos, con entornos de escritorio Windows Server 2003 y aplicaciones 32;bit basadas en Windows) Sustituir las terminales basados en te>to $ado que muchos terminales basados en Windows pueden soportar conectividad de emulaci#n terminal en el mismo dispositivo, las or,ani*aciones pueden sustituir terminales basadas en te3to por terminales basadas en Windows) 4stas Lltimas permiten a usuarios que trabajan con datos de sistemas, tener acceso a so tware ms nuevo basado en Windows, como por ejemplo =icroso t /utloo9) Seguridad y confiabilidad incrementadas $ebido a que nin,Ln pro,rama o datos de usuario residen en el cliente, -erminal Server puede proporcionar un ambiente ms se,uro para los datos sensibles) -ambi+n proporciona soporte de encripci#n multinivel, el cual se permite que siempre haya ries,o de intercepci#n desautori*ada de transmisi#n en la cone3i#n entre el servidor y el cliente) 7ay tres niveles de encripci#n disponibles! low, medium y hi,h) -odos estos niveles usan el Standard 0ivest;Shamir;"dleman >0S"? 0.2 4ncryption) 4ste es un estndar de encripci#n para los datos que se envan sobre redes pLblicas, como por ejemplo (nternet) #d$inistracin % soporte $eCorados )erminal Server tiene varias caractersticas 'ue son Gtiles para la administracin y tareas d soporte5 las cu6les puede tambiKn ayudar a reducir los costos de administracin y soporte% *emote administration) 0emote $es9top "dministration es una nueva caracterstica en -erminal Server para Windows Server 2003) 4st diseMado para proveer a operadores y administradores, el acceso remoto a servidores =icroso t :ac9/ iceI y $omain .ontrollers) 4l administrador tiene acceso a las herramientas de inter a* ,r icas que estn disponibles en el ambiente Windows, incluso
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 139 of
por: Polchowski,
Captulo 4 | Pgina 1 |
*emote support Los administradores pueden reali*ar soporte remoto para un usuario que inicia sesi#n al -erminal Server, si,uiendo la sesi#n del cliente desde otra sesi#n de cliente) Los administradores o el personal de soporte pueden tambi+n reali*ar acciones de teclado y de mouse a nombre de un usuario, usando 0emote .ontrol) 0emote .ontrol puede ser Ltil para el entrenamiento o el soporte de usuarios en sistemas o aplicaciones nuevas)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 140 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 141 of
por: Polchowski,
Captulo 4 | Pgina 7 | 1!.!3! +eter$inando la con(iguracin del Server para el soporte de usuarios
'uesto que todo el proceso de aplicaciones ocurre en el servidor, el -erminal Server requiere normalmente ms recursos de servidor que una computadora ejecutando Windows Server 2003) "se,urar que su servidor pueda acomodar su base de usuarios es crucial para determinar la manera en que el uncionamiento del servidor -erminal Serverdebe soportar a usuarios) 4n adici#n, es necesario considerar los actores si,uientes! con i,uraci#n Con(iguracin del Siste$a Antes de instalar )erminal Server5 considere las siguientes recomendaciones% )ipo de servidor Se recomienda instalar -erminal Server en un =ember Server y no en un $omain .ontroller) (nstalar -erminal Server en un $omain .ontroller puede obstaculi*ar el uncionamiento del servidor debido a la memoria adicional, el tr ico de la red y el tiempo de procesador que requiere reali*ar las tareas de un $omain .ontroller en el dominio) *AM Keneralmente, un -erminal Server requiere un adicional de 2 a H0 =: o 0"= para cada sesi#n terminal en administraci#n, o ms, en modo aplicaci#n 0ile system Se recomienda instalar un -erminal Server en una partici#n ormateada con 1-%S %ile System, ya que +ste proporciona la se,uridad para los usuarios en un ambiente mLltiple de sesi#n que tienen acceso a las mismas estructuras de datos) +ispositivos Peri(Fricos 8os dispositivos perifKricos pueden tambiKn afectar el funcionamiento del )erminal Server% !iscos duros La velocidad de disco es crtica para el uncionamiento del -erminal Server) Small .omputer System (nter ace >S.S(? dis9 drives, especialmente dispositivos compatibles con S.S( y Scsi;2 rpidos, tienen un rendimiento de procesamiento perceptiblemente mejor que otros tipos de discos) 4sto es menos importante en los sistemas que no almacenan 8ser 'ro iles y datos en el -erminal Server, pero s a ectar el tiempo de car,a del pro,rama inicial) 'ara un rendimiento ms alto de disco, es importante considerar el uso de S.S( 0edundant "rray o (ndependent $is9s >0"($? .ontroller) 0"($ .ontroller pone automticamente los datos en discos mLltiples para aumentar el rendimiento del disco y para mejorar la con iabilidad de los Adaptador de red 4l adaptador de red de alta;per ormance es recomendado, especialmente si los usuarios requieren acceso a datos que se almacenan en los servidores de red o ejecutan aplicaciones client@server) 8sando adaptadores mLltiples, se puede aumentar perceptiblemente el throu,hput de la red, y tambi+n se puede incrementar la se,uridad del sistema en la separaci#n del acceso de cliente de servicios bac9;end)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 142 of
por: Polchowski,
Captulo 4 | Pgina 9 |
Caractersticas de Usuario Los patrones de uso de los usuarios de computadoras pueden tener un impacto si,ni icativo en el uncionamiento de -erminal Server) 8a prueba de funcionamiento de Microsoft clasifica a usuarios en las tres categoras siguientes% !ata1entry (or4er 4stos trabajadores uncionan tpicamente con un solo aplicativo que utili*an para la entrada de datos >por ejemplo, aplicaciones de ne,ocio escritos en =icroso t Eisual :asicI?) Structured1)as4 (or4er 4stos trabajadores ejecutan uno o dos pro,ramas al mismo tiempo) Los usuarios tpicos ejecutan los pro,ramas que e3i,e el sistema in ormtico no pesado >por ejemplo, un procesador de te3tos y un browser?) Los pro,ramas se abren y cierran con recuencia) @no(ledge (or4er Los trabajadores de conocimiento ejecutan tres o ms pro,ramas simultneamente, y ,eneralmente dejan los pro,ramas abiertos) Dnowled,e wor9ers tambi+n pueden ejecutar pro,ramas que e3i,en al sistema intensamente >por ejemplo, queries detalladas en ,randes bases de datos?)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 143 of
por: Polchowski,
Los usuarios que tienen cuentas en un -erminal Server se habilitan para iniciar sesi#n en el servidor por de ecto) 'ara inhabilitar el proceso de cone3i#n para un usuario, se debe limpiar el cuadro Allo( logon to )erminal Server en la len,[eta )erminal Services -rofile del cuadro 'roperties para la cuenta del usuario, y lue,o hacer clic9 en Apply) 4n esta len,[eta, 8sted tambi+n puede especi icar home directories y user pro iles para los usuarios)
1!7!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 144 of
por: Polchowski,
1!7!2!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 145 of
por: Polchowski,
9sando el comando 7+ange 9ser5 solamente cuando no se pueda instalar el aplicativo usando AddF*emove -rograms -ara instalar un programa usando el comando 7+ange 9ser5 deber6 reali.ar los siguientes pasos% H) 2) H) 2) (niciar sesi#n en el -erminal Server como administrador y cerrar todos los pro,ramas) 4n una ventana de lnea de comandos, in,resar c+ange user Finstall y despu+s presionar 41-40) (nstalar el pro,rama en el disco local se,Ln las instrucciones del pro,rama de instalaci#n) 4n una ventana de lnea de comandos, in,resar c+ange user Fe>ecute cuando la instalaci#n se complete)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 146 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 147 of
por: Polchowski,
Captulo 4 | Pgina 13 |
-ara +abilitar *emote !es4top for Administration deber6% H) 4n el control panel, hacer doble;clic9 en System) 2) 7acer clic9 en la len,[eta *emote, y despu+s seleccionar el cuadro Allo( users to connect remotely to t+is computer) 3) 7acer clic9 en Apply y despu+s en B@) -ara reali.ar una cone>in al Servidor deber6% H) (niciar sesi#n normalmente en otro equipo con Windows O' # Windows Server 2003) 2) 4n Start5 *un, in,resar mstsc e>e y despu+s presionar $3)$*) 3) 4n el cuadro 7omputer, in,resar el nombre del servidor al cual desea conectarse y despu+s presionar $3)$*) -ara reali.ar una cone>in a la consola deber6% H) (niciar sesi#n normalmente en otro equipo con Windows O' # Windows Server 2003) 2) 4n Start *un, in,resar mstsc e>e Fconsole Fv%nombredelserver, y despu+s presionar $3)$*) 3) Eeri icar si lue,o de iniciar la sesi#n de consola el servidor al cual 8sted se conect#, ha bloqueado la sesi#n activa)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 148 of
por: Polchowski,
Captulo 4 | Pgina 1. |
&ecuerde' 'ara reali*ar esta prctica debe tener al menos dos equipos, ya que es imposible conectar la consola dentro de la misma sesi#n) 'ara obtener ms in ormaci#n! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233N3
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 149 of
por: Polchowski,
Captulo 4 | Pgina 11 |
8er$inal Services *anager 4sta utilidad, tsadmin)e3e, se utili*a para administrar usuarios -erminal Services, sesiones y procesos en cualquier servidor de la red ejecutando -erminal Services) 8sando esta herramienta, 8sted puede conectar y desconectar, cerrar sesi#n, resetear y controlar remotamente sesiones) -ambi+n puede utili*arla para conectarse con otros servidores en dominios con iados, manejar sesiones sobre un servidor remoto, enviar mensajes a los usuarios o cerrar sesiones y terminar procesos) 8er$inal Services Con(iguration 4sta utilidad, tscc)msc, se utili*a para cambiar la con i,uraci#n de la encripci#n por de ecto, y para con i,urar timeouts de reset y disconnect) 'ara con i,urar timeouts de reset y disconnect para cuentas individuales, se debe utili*ar la len,[eta de las sesiones en el cuadro "ccount 'roperties del usuario) =uchas de las con i,uraciones se pueden ijar tambi+n con -erminal Services Kroup 'olicy o Windows =ana,ement (nstrumentation) 4n ese caso, la con i,uraci#n de -erminal Services se sobrescribe) /vent -iewer 8se 4vent Eiewer, eventvwr)msc, para buscar los acontecimientos que pudieron haber ocurrido como dialo,os pop;up en la consola del servidor) Co$$and6line Utilities 7ommand1line utilities incluye lo siguiente% Cuery 9ser desconectados) 4sta es una utilidad de lnea de comando, quser, listas usuarios activos y
!isconnect 4sta utilidad de lnea de comando, tsdiscon, desconecta la sesi#n) 8n procedimiento anlo,o apa,a el monitor mientras que deja uncionando de la computadora) $esconectar, es tambi+n accesible con Start@Shutdown) 'ara volver a conectar a la sesi#n, inciela simplemente al servidor, otra ve* con el mismo usuario desde 0emote $es9top .onnection)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 150 of
por: Polchowski,
3!1! <ene(icios
-erminal Services en Windows Server 2003 proporciona tres importantes bene icios) <ene(icio (nstalaci#n rpida y centrali*ada de aplicaciones) "cceso a datos utili*ando cone3iones de bajo ancho de banda +escripcin -erminal Server es #ptimo para instalar rpidamente aplicaciones basadas en Windows a trav+s de la empresa, especialmente aplicaciones que se actuali*an con recuencia, que se utili*an con recuencia o de administraci#n di cil) -erminal Server reduce considerablemente el ancho de banda requerido en la red para tener acceso a datos remotamente) 8sando -erminal Server para ejecutar un aplicativo sobre cone3iones de bajo ancho de banda, por ejemplo dial;up o Lin9s W"1 compartidos, resulta muy e ica* para tener acceso remotamente y manipular ,randes cantidades de datos, dado que solamente se transmite la pantalla de datos, en lu,ar de los datos en s mismos) -erminal Server ayuda a que los usuarios sean ms productivos, permitiendo acceso a los pro,ramas actuales en cualquier dispositivo)
Windows dondequiera
3!2!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 151 of
por: Polchowski,
Captulo 4 | Pgina 17 |
-erminal Services =ana,er mejorado, habilita una administraci#n ms cil de ,randes arrays de servers, reduciendo la enumeraci#n automtica del servidor) 4sto da acceso directo a los servidores arbitrados por nombre, y provee una lista de servidores pre eridos) 8er$inal Server ;icense *anager 4l -erminal Server License =ana,er se ha mejorado dramticamente para hacer ms cil activar un -erminal Server License Server, y asi,narle las licencias) Single Session Polic% .on i,urando Sin,le Session 'olicy se permite al administrador limitar usuarios a una sola sesi#n, sin importar si est activo o no >lo mismo que a trav+s de una ,ranja de servidores?) Client /rror *essages =s de 20 nuevos mensajes de error de cliente hacen ms cil dia,nosticar problemas de la cone3i#n del cliente)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 152 of
por: Polchowski,
Captulo 4 | Pgina 19 |
http!@@www)microso t)com@windows3p@pro@techin o@administration@restrictionpolicies@de ault)asp 4sta caracterstica de Windows sustituye la herramienta "ppSec >"pplication Security?, utili*ada en versiones anteriores de -erminal Services)
'ara instalar aplicativos, si,a las instrucciones en el punto H)F del capitulo) 0ecuerde que puede instalar, por ejemplo, =icroso t / ice O' para instalar =icroso t / ice 2000, requiriendo el 0esource Dit de / ice)
3!4!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 153 of
por: Polchowski,
Captulo 7 | Pgina 1 |
!urante este captulo 9sted ir6 asimilando conocimientos acerca de los servicios (eb5 y al finali.ar mismo tendr6 la +abilidad de% (mplementar Servicios Web (nstalar ((SC "dministrar un entorno de servicios Web
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 154 of
por: Polchowski,
1!1! -entaCas
((S C)0 y Windows Server 2003 introducen muchas caractersticas nuevas para la administraci#n, disponibilidad, con iabilidad, se,uridad, rendimiento y escalabilidad de los servidores de aplicaciones Web) ((S C)0 tambi+n mejora el desarrollo de aplicaciones Web y la compatibilidad internacional) Juntos, ((S C)0 y Windows Server 2003, proporcionan la soluci#n para servidores Web ms con iable, productiva, conectada e inte,rada) -entaCa +escripcin ((S C)0 proporciona un entorno de servidor Web ms inteli,ente y con iable para lo,rar la con iabilidad #ptima) 4ste nuevo entorno incluye la supervisi#n del estado de las aplicaciones y el reciclaje automtico de las mismas) Las caractersticas de con iabilidad aumentan la disponibilidad y acaban con el tiempo que los administradores dedican a reiniciar los servicios de (nternet) ((S C)0 est ajustado para proporcionar posibilidades de consolidaci#n y ((S C)0 proporciona una se,uridad y capacidad de administraci#n si,ni icativamente mejoradas) Las mejoras de se,uridad incluyen cambios tecnol#,icos y de procesamiento de solicitudes) "dems, se ha mejorado la autenticaci#n y la autori*aci#n) La instalaci#n predeterminada de ((S C)0 est completamente bloqueada, lo cual si,ni ica que la con i,uraci#n se establece al m3imo de se,uridad de orma predeterminada) ((S C)0 tambi+n proporciona capacidades de administraci#n aumentadas, una administraci#n mejorada con la metabase O=L y nuevas herramientas de lnea de .on Windows Server 2003 e ((S C)0, los desarrolladores de aplicaciones se bene ician con un Lnico entorno de alojamiento de aplicaciones inte,rado, con una compatibilidad total con las caractersticas avan*adas y con la cach+ en modo de nLcleo) .reado en ((S C)0, Windows Server 2003 o rece a los desarrolladores unos elevados niveles de uncionalidad adicional, incluyendo un desarrollo de aplicaciones rpido y una amplia selecci#n de len,uajes) ((S C)0 tambi+n o rece compatibilidad internacional con los estndares Web ms recientes)
7onfiable y escalable
Seguro y administrable
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 155 of
por: Polchowski,
!eteccin de estado
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 156 of
por: Polchowski,
Servidor blo'ueado
Autori.acin
Metabase =M8
1!2!3!
Caracterstica
+escripcin Windows Server 2003 o rece una e3periencia mejorada para el desarrollador con la inte,raci#n de ((S y =icroso t "S')14-) .readas a partir de ((S C)0, las mejoras de Windows Server 2003 o recen a los desarrolladores unos elevados niveles de uncionalidad, como el desarrollo de aplicaciones rpido >0"$? y una amplia selecci#n de len,uajes) 4n Windows Server 2003, la e3periencia de utili*ar "S')14- y =icroso t )14- %ramewor9 se ha mejorado porque la arquitectura de procesamiento de solicitudes se inte,ra con ((S C)0) La in ormaci#n compartida a trav+s de los lmites ,eo,r icos, en una ,ran variedad de idiomas, est ,anado importancia en la economa ,lobal) 4n el pasado, la estructura no 8nicode del protocolo 7--' limitaba a los desarrolladores al sistema de las p,inas de c#di,os) "hora, con las direcciones 80L codi icadas en 8-%;F >%ormato de trans ormaci#n de 8nicode F?, el uso de 8nicode ya es posible) 4sta es una ventaja que proporciona la capacidad de admitir idiomas ms complejos, como el chino) ((S C)0 permite que los clientes obten,an acceso a las variables del servidor en 8nicode) -ambi+n a,re,a nuevas unciones de compatibilidad con el servidor que permiten a los desarrolladores obtener acceso a la representaci#n en 8nicode de una direcci#n 80L, y con ello mejorar la compatibilidad internacional)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 157 of
por: Polchowski,
4l Wi*ard .on i,ure Qour Server >.QS?, es un punto central para con i,urar roles en Windows Server 2003, y ahora incluye el rol de servidor de aplicaciones) 'ara tener acceso al Wi*ard .on i,ure Qour Server, ha,a clic9 en "dd o 0emove 0oles del Wi*ard =ana,e Qour Server) 4ste rol sustituye el rol e3istente del servidor Web) $espu+s de instalar este nuevo rol, la p,ina =ana,e Qour Server, tambi+n incluir una entrada para el nuevo rol)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 158 of
por: Polchowski,
Captulo 7 | Pgina 2 |
AddF*emove 7omponents Application
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 159 of
por: Polchowski,
Captulo 7 | Pgina 3 |
4l servidor de aplicaciones tambi+n se incluye en Windows Server 2003 "dd@0emove .omponents, como componente opcional top;level) "simismo las aplicaciones del servidor que pertenecen al servidor de aplicaciones >((S C)0, "S')14-, ./=], y =S=S?, pueden ser instaladas y con i,urar los componentes secundarios usando "dd@0emove .omponents) 8sando "dd@0emove .omponents para con i,urar el servidor de aplicaciones, se obtiene un control mayor sobre los componentes secundarios espec icos que sern instalados)
2!1!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 160 of
por: Polchowski,
Captulo 7 | Pgina . |
### Service Administration and Monitoring 7omponent 4l 8ser;=ode .on i,uration and 'rocess =ana,er maneja operaciones del servidor y supervisa la ejecuci#n del c#di,o del aplicativo) .omo 7--')sys, este componente no car,a ni procesa nin,Ln c#di,o de aplicativos) "ntes de discutir sobre estos componentes, es importante introducir dos nuevos conceptos de ((S C)0 "pplication 'ools y Wor9er 'rocesses) 8os Application pools se utili*an para administrar Web sites y aplicaciones) .ada "pplication 'ool corresponde a una cola de petici#n en 7--')sys y al o los procesos de Windows que procesen estas peticiones) ((S C)0 puede soportar hasta 2,000 "pplication 'ools por servidor, y pueden haber mLltiples "pplication 'ools uncionando al mismo tiempo) 'or ejemplo, un servidor departamental puede tener 70 en un "pplication 'ool y inance en otros "pplication 'ool) "simismo un (nternet Service 'rovider >(S'? puede tener Web sites y aplicaciones de un cliente en un "pplication 'ool, y Web sites de otro cliente en un "pplication 'ool di erente) "pplication 'ools se separan de otros por lmites de proceso en Windows Server 2003) 'or lo tanto, un aplicativo en un "pplication 'ool no se a ecta por aplicativos en otros "pplication 'ools, y una petici#n del aplicativo no se puede rutear a otro "pplication 'ool) "simismo los aplicativos se pueden asi,nar cilmente a otros "pplication 'ool mientras que el servidor est uncionando) 9n #or4er -rocess procesa pedidos de servicios de los sitios Web y aplicativos en un "pplication 'ool) -odo el proceso de aplicativos Web, incluyendo la car,a de (S"'( ilters y e3tensiones, as como la autenti icaci#n y la autori*aci#n, es hecho por un nuevo WWW service $LL, el cual se car,a en uno o ms Wor9er 'rocesses) 4l Wor9er 'rocess ejecutable se llama W3wp)e3e)
2!2! D88P!s%s
4n ((S C)0, 7--')sys escucha peticiones y las encola apropiadamente) .ada cola de petici#n corresponde a un "pplication 'ool) $ado que nin,Ln c#di,o de aplicativo unciona en 7--')sys, no puede ser a ectado por altas en c#di,o 8ser;=ode, a ectando normalmente el estado del Web Service) Si un aplicativo alla, 7--')sys continLa aceptando y haciendo cola de nuevas peticiones en la cola apropiada hasta que uno de los si,uientes eventos sucedan! el proceso se ha recomen*ado y comien*a a aceptar peticiones, no hay colas disponibles, no hay espacio en las colas o el servicio Web en s mismo ha sido cerrado por el administrador) 'uesto que 7--')sys es un componente Dernel;=ode, la operaci#n que hace es especialmente e iciente, permitiendo a la arquitectura de ((S C)0 combinar el aislamiento de proceso con alto rendimiento al solicitar procesos) 8na ve* que el servicio de WWW note el aplicativo allado, comien*a un nuevo Wor9er 'rocess, si es que aLn hay peticiones e3cepcionales que esperan para ser mantenidas en el Wor9er 'rocess de un "pplication 'ool)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 161 of
por: Polchowski,
Captulo 7 | Pgina 1 |
"s, mientras puede haber una interrupci#n temporal en el proceso de la petici#n del 8ser;=ode, un usuario no e3perimenta la alla porque las peticiones continLan siendo aceptadas y encoladas)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 162 of
por: Polchowski,
Captulo 7 | Pgina 1 |
3! *eCoras en la Seguridad
La se,uridad ha sido siempre un aspecto importante de (nternet (n ormation Services) Sin embar,o, en las versiones anteriores del producto >e),) ((S N)0 en Windows 2000 Server?, el servidor no ue enviado en estado Gloc9ed downG por de ecto) =uchos servicios innecesarios, por ejemplo (nternet printin,, estaban habilitados en la instalaci#n) 4ndurecer el sistema era un proceso manual y muchas or,ani*aciones simplemente dejaron sus ajustes del servidor sin cambios) 4sto condujo a una e3tensa vulnerabilidad al ataque, porque aunque cada servidor se podra hacer se,uro, muchos administradores no reali*aron lo que necesitaron o no tenan las herramientas para hacerlo) 4s por ello que =icroso t ha aumentado perceptiblemente su oco en se,uridad desde el desarrollo de versiones anteriores de ((S) 'or ejemplo, a principios de 2002 el trabajo de desarrollo de todos los in,enieros de Windows ; ms de F)N00 personas ; ue puesto en asimiento mientras que la compaMa condujo el entrenamiento intensivo de la se,uridad) 8na ve* que el entrenamiento uera terminado, los equipos de desarrollo anali*aban la base del c#di,o de Windows, incluyendo 7--')sys e ((S C)0, para poner el nuevo conocimiento en ejecuci#n) 4sto representa una inversi#n sustancial para mejorar la se,uridad de la plata orma de Windows) "dems, durante la ase de diseMo del producto, =icroso t condujo la amena*a e3tensa que modelaba para ase,urarse que los desarrolladores del so tware de la compaMa entendieran el tipo de ataques que el servidor pudo hacer rente en implementaciones del cliente)
3!1!
3!2!
+escripcin =ucha se,uridad est sobre la reducci#n de la super icie del ataque de su sistema) 'or lo tanto, ((S C)0 no es instalado por de ecto en Windows Server 2003) Los administradores deben seleccionar e instalar e3plcitamente ((S C)0) La instalaci#n por de ecto de ((S C)0 e3pone solamente uncionalidad mnima) \nicamente los archivos estticos consi,uen uncionalidad, mientras que otros >por ejemplo el "S' y "S')14-? tendrn que ser permitidas e3plcitamente por el administrador) 4n 8p,rades a Windows Server 2003 de servidores con ((S instalado, si el administrador no instal# y no corri# la herramienta Loc9down -ool o si con i,ur# la llave del re,istro *etain#3S&7Status en el servidor que es actuali*ado, entonces ((S C)0 ser instalado en estado deshabilitado) .on Windows Server 2003, los administradores del dominio pueden
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 163 of
por: Polchowski,
Captulo 7 | Pgina 2 |
Kroup 'olicy .uenta de bajo privile,io ((S C)0 "S' Se,uro -odas las unciones 43tensiones de archivo reconocidas 7erramientas .ommand;line no accesibles a los usuarios Web 'rotecci#n de escritura para el contenido prevenir a usuarios la instalaci#n de ((S C)0 en sus computadoras) Wor9er 'rocess corre en conte3to low;privile,ed user por de ecto) 4sto reduce drsticamente el e ecto de ataques potenciales) "S' built;in siempre corren con una cuenta low;privile,ed >anonymous user?) Sirve solamente peticiones a los archivos que han reconocido e3tensiones de archivo y recha*a pedidos de e3tensiones no reconocidas) Los atacantes se aprovechan a menudo de herramientas command;line ejecutables va Web server) 4n ((S C)0, las herramientas command;line no pueden ser ejecutadas por el servidor Web) 8na ve* que los atacantes consi,uen el acceso a un servidor, intentan des i,urar sitios Web) 'ara prevenir que usuarios an#nimos Web sobrescriban el contenido del Web, +stos ataques pueden ser atenuados)
3!3!
3!.!
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 164 of
por: Polchowski,
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 165 of
por: Polchowski,
Captulo 7 | Pgina . | .! Prctica 1' Instalando IIS 4!0 en Windows Server 2003
'ara poder reali*ar esta prctica 8sted necesitar tener instalado Windows Server 2003) -ara instalar ""S V 0 en #indo(s Server 20035 deber6% H) 2) 3) 2) N) C) P) F) $esde el control panel, hacer doble;clic9 en AddF*emove -rograms) 7acer clic9 en #indo(s 7omponents) Seleccionar Application Server, y hacer clic9 en !etails) Seleccionar el cuadro "nternet "nformation Services) (ntroducir el .$ de Windows Server 2003, una ve* que se le pida) 0eali*ar la comprobaci#n, una ve* inali*ado el proceso de instalaci#n) "brir el "nternet $>plorer, y escribir ttp'HHlocal ost) Eeri icar la aparici#n de la p,ina de inicio de ((S C)0)
'ara obtener ms in ormaci#n acerca de la instalaci#n! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F2 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT30UN0C
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 166 of
por: Polchowski,
Captulo 9 | Pgina 1 |
1! Introduccin
Las empresas han ampliado sus redes tradicionales de rea local >L"1? mediante la combinaci#n de sitios de (nternet, intranets y e3tranets) .omo resultado, una mayor se,uridad de los sistemas resulta ahora ms importante que nunca) 'ara proporcionar un entorno in ormtico se,uro, el sistema operativo Windows Server 2003 aporta muchas caractersticas nuevas e importantes de se,uridad sobre aquellas incluidas ori,inalmente en Windows 2000 Server)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 167 of
por: Polchowski,
1!3! -entaCas
Windows Server 2003 proporcionar una plata orma ms se,ura y econ#mica para la reali*aci#n de actividades empresariales) -entaCa !isminucin de costos "mplementacin de est6ndares abiertos +escripcin 4sto conlleva procesos de administraci#n de se,uridad simpli icados, como las listas de control de acceso y el "dministrador de credenciales) 4l protocolo (444 F02)HO acilita la se,uridad de las L"1 inalmbricas ante el peli,ro de espionaje dentro del entorno empresarial) Las caractersticas de se,uridad como el Sistema de archivos de ci rado >4%S?, los servicios de certi icado y la inscripci#n automtica de tarjetas inteli,entes, acilitan la se,uridad de una amplia ,ama de dispositivos) 4l 4%S es la tecnolo,a bsica para ci rar y desci rar archivos almacenados en volLmenes 1-%S) \nicamente el usuario que ci ra un archivo prote,ido puede abrirlo y trabajar con +l) Los servicios de certi icado son una parte del sistema operativo bsico que permite que una empresa actLe como si uera una entidad emisora de certi icados >."? y emita y administre certi icados di,itales) La inscripci#n automtica de tarjetas inteli,entes y las caractersticas de entidad de re,istro automtico proporcionan se,uridad a los usuarios empresariales, a,re,ando otro nivel de autenticaci#n) 4sto se reali*a de orma adicional a los procesos de se,uridad simpli icada, en or,ani*aciones
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 168 of
por: Polchowski,
Captulo 9 | Pgina 3 |
Windows Server 2003 proporciona muchas caractersticas nuevas y mejoradas que se combinan para crear una plata orma ms se,ura para llevar a cabo actividades empresariales) Caracterstica +escripcin Windows Server 2003 proporciona se,uridad de (nternet mediante el uso de un servidor de se,uridad basado en so tware, llamado Servidor de se,uridad de cone3i#n a (nternet >(.%?) 4l (.% proporciona protecci#n a los equipos conectados directamente a (nternet o a los equipos ubicados detrs de un equipo host de cone3i#n compartida a (nternet >(.S? y que 4l Servidor de autenticaci#n de (nternet >("S? es un Servidor de usuario de acceso tele #nico de autenticaci#n remota >0"$(8S? que administra la autori*aci#n y la autenticaci#n del usuario) -ambi+n administra cone3iones con la red mediante el uso de diversas tecnolo,as de conectividad, como el acceso tele #nico, las redes privadas virtuales >E'1? y los servidores de se,uridad) Windows Server 2003 permite la autenticaci#n y la autori*aci#n de usuarios y equipos que se conectan a redes L"1 4thernet e inalmbricas) 4sto es posible por la compatibilidad de Windows Server 2003 con los protocolos (444 F02)HO) >Los estndares (444 F02 de inen m+todos para obtener acceso Windows Server 2003 permitir que un administrador de sistemas utilice la e3i,encia de directivas o ejecuci#n para prevenir que se lleven a cabo en un equipo pro,ramas ejecutables) 'or ejemplo, aplicaciones espec icas de mbito corporativo pueden ver su ejecuci#n restrin,ida a menos que se ejecuten desde un directorio espec ico) Las directivas de restricci#n de so tware tambi+n pueden con i,urarse para prevenir la ejecuci#n de c#di,o mal intencionado o in ectado por virus) Windows Server 2003 proporciona se,uridad para redes L"1 4thernet e inalmbricas basadas en las especi icaciones (444 F02)HH y que sean compatibles con certi icados pLblicos implementados mediante la inscripci#n automtica o las tarjetas inteli,entes) 4stas mejoras en la se,uridad permiten el control de la obtenci#n de acceso a redes 4thernet en lu,ares pLblicos, como centros comerciales o aeropuertos) La autenticaci#n de equipos tambi+n se admite en un entorno operativo de protocolo de autenticaci#n e3tensible >4"'?) La se,uridad de la in ormaci#n es un problema de vital importancia para las or,ani*aciones de todo el mundo) 'ara aumentar la se,uridad de los servidores Web, los Servicios de (nternet (n ormation Server C)0 >((S C)0? se con i,uran para obtener la m3ima se,uridad) Su instalaci#n predeterminada es el estado GbloqueadoG) Las caractersticas de se,uridad avan*ada de ((S C)0 incluyen! servicios cripto,r icos que se pueden seleccionar, autenticaci#n de sntesis avan*ada y control con i,urable de la obtenci#n de acceso a los procesos) 4stas son s#lo al,unas de las tantas caractersticas de se,uridad que le permitirn reali*ar ne,ocios de orma se,ura en la Web) La opci#n para ci rar la base de datos de archivos sin cone3i#n, ahora se encuentra disponible) 4sto es una mejora sobre Windows 2000, donde los archivos de la cach+ no podan ci rarse) 4sta caracterstica es compatible con el ci rado y desci rado de toda la base de datos sin cone3i#n) Se requieren privile,ios administrativos para con i,urar la orma en que se ci rarn 4ste m#dulo cripto,r ico se ejecuta como un controlador en modo de nLcleo e implementa al,oritmos cripto,r icos aprobados por el 4stndar %ederal de 'rocesamiento de (n ormaci#n >%('S?) 4ntre estos al,oritmos cabe incluir! S7";H, $4S, 3$4S y un ,enerador de nLmero aleatorio aprobado) 4l m#dulo cripto,r ico, compatible con %('S de modo de nLcleo, permite que las or,ani*aciones ,ubernamentales implementen Se,uridad de
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 169 of
por: Polchowski,
Captulo 9 | Pgina . |
(nternet >('Sec? compatible con %('S H20;H) 'ara ello debern utili*ar! Servidor y cliente de E'1 L2-' >'rotocolo de tLnel de capa 2?@('Sec) -Lneles L2-'@('Sec para cone3iones E'1 entre puertas de enlace) -Lneles ('Sec para cone3iones E'1 entre puertas de enlace) -r ico de red de e3tremo a e3tremo, ci rado mediante ('Sec, entre cliente y servidor, y de servidor a servidor) 4l nuevo paquete de se,uridad de sntesis es compatible con el protocolo de autenticaci#n de sntesis, junto con 0%. 2CHP y 0%. 2222) 4stos protocolos son compatibles con =icroso t (nternet (n ormation Server >((S? y el servicio "ctive $irectoryI) =ejoras en la se,uridad de los sistemas Se han reali*ado importantes mejoras para ,aranti*ar una se,uridad ,eneral de los sistemas, incluyendo! 3uevo pa'uete de seguridad de sntesis =ejoras del rendimiento en un 3N por ciento, al utili*ar la capa de soc9ets se,ura >SSL?) ((S no se instala de orma predeterminada) 'ara implementar ((S, primero debe instalarsemediante la opci#n ",re,ar o quitar pro,ramas del 'anel de control) .apacidad de comprobaci#n del bL er de =icroso t Eisual StudioI) >Los piratas in ormticos utili*an habitualmente las saturaciones del bL er para e3plotar un sistema)? 4l administrador de credenciales de Windows Server 2003 proporcionar un almac+n se,uro para las credenciales del usuario, incluyendo contraseMas y certi icados O)N0U) 4stas credenciales proporcionan una e3periencia s#lida de inicios de sesi#n Lnicos para los usuarios, incluidos los usuarios m#viles) 8na "'( de Win32I se encuentra disponible para permitir que las aplicaciones basadas en cliente o en servidor obten,an credenciales del usuario) 4n Windows Server 2003, la cach+ de sesi#n SSL puede compartirse mediante mLltiples procesos) 4sto reduce el nLmero de veces que un usuario tiene que volver a autenticarse en las aplicaciones, y asimismo reduce
Administrador de credenciales
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 170 of
por: Polchowski,
Captulo 9 | Pgina 1 |
8a me/or plataforma para la infraestructura de claves pGblicas Windows Server 2003 acilitar la implementaci#n de una in raestructura de claves pLblicas, junto con tecnolo,as asociadas como las tarjetas inteli,entes) Caracterstica +escripcin 4stas nuevas caractersticas importantes reducen de orma drstica la cantidad de recursos necesarios para administrar certi icados O)N0U) Windows Server 2003 posibilita la inscripci#n e implementaci#n automtica de certi icados para los usuarios) "simismo cuando el certi icado caduque, podr renovarse en orma automtica) La renovaci#n automtica e inscripci#n automtica de certi icados acilita la implementaci#n ms rpida de tarjetas inteli,entes y mejora la se,uridad de las cone3iones inalmbricas >(444 La compatibilidad con la irma di,ital permite que los paquetes y contenedores e3ternos de Windows (nstaller se irmen di,italmente) 4sto proporciona a los administradores de tecnolo,as de la in ormaci#n, unos paquetes de Windows (nstaller ms se,uros, resultando de suma importancia si el paquete se enva a trav+s de (nternet) 4l servidor de certi icados incluido en Windows Server 2003 ahora es compatible con las .0L delta) 8na .0L hace que la publicaci#n de certi icados O)N0U revocados sea ms e ica*, y acilita que un usuario pueda recuperar un certi icado nuevo) Q como ahora se puede especi icar la ubicaci#n en la cual se encuentra almacenada la .0L, resulta ms cil moverla para alber,ar las necesidades de se,uridad y empresariales espec icas)
$>tensin segura de las actividades empresariales en "nternet 8na empresa necesita establecer una orma se,ura de comunicarse con sus empleados, clientes y asociados que no se encuentren dentro de su intranet) Windows Server 2003 acilitar este aspecto, ampliando de orma se,ura la obtenci#n de acceso a la red para personas y otras empresas que necesitan trabajar con datos o recursos del usuario) Caracterstica +escripcin 'uede asi,narse una identidad de 'assport a una identidad de "ctive $irectory en Windows Server 2003) 'or ejemplo, la asociaci#n de una identidad de 'assport con una identidad de "ctive $irectory permite que una empresa asociada pueda ser autori*ada para obtener acceso a los recursos a trav+s de ((S, en lu,ar de tener que iniciar sesi#n directamente en una red de Windows) La inte,raci#n con 'assport proporcionar una e3periencia de inicio de sesi#n Lnica, mediante el uso de Si trabaja con un asociado o una empresa que ha implementado un bosque de "ctive $irectory, puede utili*ar Windows Server 2003 para con i,urar una relaci#n de con ian*a entre los bosques del asociado o la empresa y sus propios bosques) 4sto le permite con iar de orma e3plcita en al,unos usuarios, en ,rupos o en todos, los que pertene*can a otro bosque) -ambi+n tiene la capacidad de establecer permisos en base a los usuarios o ,rupos que residen en el otro bosque) Las relaciones de con ian*a entre bosques acilitan la direcci#n de ne,ocios con otras empresas mediante "ctive $irectory)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 171 of
por: Polchowski,
Captulo 9 | Pgina 1 |
-ara comprobar la configuracin% $esde la computadora :, intentar una cone3i#n del tipo PPno$2redeserver Eeri icar si la cone3i#n pudo reali*arse)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 172 of
por: Polchowski,
8sted puede usar Security -emplates para crear y alterar Security 'olicies que cumplan con las necesidades de su compaMa) Security 'olicies se puede implementar de di erentes maneras) 4l m+todo que 8sted usar depender del tamaMo y las necesidades de se,uridad de la or,ani*aci#n) $e esta manera, llas or,ani*aciones pequeMas, que no poseen una implementaci#n de "ctive $irectory, tendrn que con i,urar la se,uridad manualmente, mientras que las or,ani*aciones ,randes requerirn niveles de se,uridad altos) 'ara ello 8sted puede considerar el uso de Kroup 'olicy /bjects >K'/S? para instalar polticas de se,uridad)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 173 of
por: Polchowski,
Captulo 9 | Pgina 2 |
!omain 7ontroller Security :!7 security inf; 4ste -emplate es creado cuando un Server es promovido a $omain .ontroller) .ontiene con i,uraciones de se,uridad necesarias sobre archivos, re,istry y servicios) 8sted puede aplicar este -emplate usando Security .on i,uration and "nalysis Snap;in o con la herramienta Secedit) 7ompatible :7ompat(s inf; 4ste -emplate aplica con i,uraciones de se,uridad necesarias para todas aquellas aplicaciones que no est+n certi icadas por el Windows Lo,o 'ro,ram) Secure :SecureW inf; 4ste -emplate aplica con i,uraciones de se,uridad con alto nivel, a ectando la compatibilidad de aplicaciones) 'or ejemplo, Stron,er 'assword, Loc9out, y con i,uraciones de auditoria) 2ig+ly Secure :2icecW inf; 4ste -emplate aplica las con i,uraciones de se,uridad ms elevadas posibles) 'ara ello impone restricciones sobre los niveles de encripci#n y el irmado de paquetes de datos sobre canales se,uros y entre clientes y servidores sobre los paquetes Server =essa,e :loc9 >S=:?) 'ara ms in ormaci#n acerca de secedit http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@ prodtechnol@windowsserver2003@proddocs@datacenter@seceditBcmds)asp6 rameAtrue
3!2! EJuF es la
La herramienta Security .on i,uration and "nalysis compara la con i,uraci#n de se,uridad entre la computadora local a una con i,uraci#n alterna que es importada del template >archivo )in ? y la almacenada en una base de datos separada >archivo )sdb?) .uando el anlisis se completa, 8sted puede anali*ar los ajustes de la se,uridad en rbol de la consola para ver los resultados) Las discrepancias estn marcadas con una bandera roja, las consistencias estn marcadas con una marca verde y los ajustes que no estn marcados con una bandera roja o una marca verde, no se con i,uran en la base de datos)
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 174 of
por: Polchowski,
Captulo 9 | Pgina 3 |
!espuKs de anali.ar los resultados usando la +erramienta Security 7onfiguration and Analysis5 9sted puede reali.ar varias tareas5 incluyendo% 4liminar las discrepancias con i,urando los ajustes en la base de datos a los ajustes actuales de la computadora) 'ara con i,urar ajustes de la base de datos, ha,a doble;clic9 en la con i,uraci#n del panel de detalles) (mportar otro template, combinando sus ajustes y sobrescribiendo ajustes donde hay un con licto) 'ara importar otro template, ha,a clic9 derecho en Security 7onfiguration and Analysis, y despu+s ha,a clic9 en "mport )emplate) 43portar los ajustes actuales de la base de datos a un template) 'ara e3portar otro template, ha,a clic9 derecho en Security 7onfiguration and Analysis, y despu+s ha,a clic9 en $>port )emplate) -ara mas informacin acerca de Security )ools% Security 7onfiguration Manager% http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@ technet@prodtechnol@windowsserver2003@proddocs@server@S4conceptsBS.=)asp <est Practices (or Securit% Con(iguration and #nal%sis! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@ technet@prodtechnol@windowsserver2003@proddocs@server@sa,BS.=bp)asp "nformacion adicional sobre seguridad% Introduccin 8Fcnica a seguridad! http!@@www)microso t)com@windowsserver2003@techin o@overview@security)msp3 Iua de seguridad en Windows Server 2003! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@ technet@security@prodtech@Windows@Win2003@W20037K@SK.700)asp IPsec en Windows Server 2003! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT323322 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222CU Pu2lic Qe% /ncr%ption http!@@support)microso t)com@de ault)asp36scidA9bTen;usT2FHNNP http!@@support)microso t)com@de ault)asp36scidA9bTen;usT2U0PC0
www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so 175 of