Escolar Documentos
Profissional Documentos
Cultura Documentos
Captulo 1 Introduccin
G. Hyper-V 34
1. Requisitos previos de hardware 34
2. Las mquinas virtuales en Hyper-V 34
3. La memoria dinmica con Hyper-V 35
4. El disco duro de las mquinas virtuales 37
5. Las instantneas en Hyper-V 39
6. Gestin de redes virtuales 39
A. El entorno de pruebas 42
1. Configuracin necesaria 42
2. Instalacin de Windows Server 2012 R2 42
A. Introduccin 64
D. Implementacin de un RODC 70
A. Introduccin 126
A. Introduccin 174
A. Introduccin 196
F. IPAM 216
A. Introduccin 254
A. Introduccin 274
A. Introduccin 312
A. Introduccin 372
A. Introduccin 392
A. Introduccin 448
A. Introduccin 474
ndice 555
El examen 70-411 "Administracin de Windows Server 2012 R2" es el segundo de los tres
exmenes obligatorios para obtener la certificacin MCSA Windows Server 2012. Valida sus
competencias y conocimientos en la administracin de Windows Server 2012 R2 en un entorno
empresarial.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde el punto de vista terico como desde un punto de vista prctico. Ha sido elaborado
por un formador profesional reconocido, tambin consultor, certificado tcnica y pedaggicamente
por Microsoft. De este modo, la experiencia pedaggica y tcnica del autor le imprime un enfoque
claro y visual, alcanzando un nivel tcnico muy elevado.
Captulo tras captulo, podr validar sus conocimientos tericos gracias a la gran cantidad
de preguntas y respuestas (171 en total) incluidas, poniendo de relieve tanto los elementos
fundamentales como las caractersticas especficas de los distintos conceptos abordados.
Cada captulo se completa con un trabajo prctico (49 en total) que le permitir medir su
autonoma. Estos ejercicios concretos, ms all incluso de los objetivos fijados por el examen, le
permitirn forjarse una experiencia relevante y adquirir verdaderas competencias tcnicas sobre
situaciones reales.
Nicolas BONNET
Nicolas BONNET es Consultor y Formador de sistemas operativos Microsoft
desde hace varios aos. Tiene la certificacin MCT (Microsoft Certified Trainer)
y es un reconocido Microsoft MVP (Most Valuable Professional) Windows
Expert-IT Pro que logra transmitir al lector, a travs de este libro, toda su
experiencia acerca de las tecnologas de servidor y su evolucin. Su capacidad
pedaggica hace que este libro sea realmente eficaz para la administracin
de Windows Server 2012 R2.
Introduccin
El examen 70-411 "Administracin de Windows Server 2012" es el segundo de los tres exmenes
obligatorios para obtener la certificacin MCSA Windows Server 2012. Valida sus competencias y
conocimientos en la administracin de una infraestructura Windows Server 2012 y 2012 R2, en el
marco de trabajo del entorno de una empresa existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos
oficiales(enumerados en un listado en el anexo) tanto desde el punto de vista terico como desde un
punto de vista prctico.
Una definicin de los objetivos a alcanzar: permite exponer, con precisin, las competencias
que se abordan en cada captulo una vez se haya validado.
Una seccin de formacin terica: permite definir los trminos y conceptos abordados y
esquematizar, mediante un hilo conductor, los distintos puntos a asimilar.
Trabajos prcticos (49 en total): permiten ilustrar, con precisin, ciertas partes del curso y le
darn tambin los medios necesarios para medir su autonoma. Estos ejercicios concretos, ms
all incluso de los objetivos fijados por el examen, le permitirn forjarse una experiencia
relevante y adquirir verdaderas competencias tcnicas sobre situaciones reales.
A este dominio del producto y de los conceptos se le suma la preparacin especfica a la certificacin:
en el sitio web www.edieni.com podr acceder gratuitamente a 1 examen en blanco en lnea,
destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web cada pregunta
que se plantea se inscribe en el espritu de la certificacin y, para cada una, las respuestas estn lo
suficientemente desarrolladas como para identificar y completar sus ltimas lagunas.
Organizacin de las certificaciones
Los anteriores cursos de certificacin permitan acceder a la certificacin MCITP (Microsoft Certified IT
Professional). Estos ltimos han pasado a llamarse MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Certificacin MCSA
Deben superarse dos exmenes para obtener esta certificacin. Adems de la certificacin MCSA es
necesario superar la certificacin 70-413 Diseo e implementacin de una infraestructura de servidor.
Por ltimo, debe superarse el examen 70-414 Implementacin de una infraestructura avanzada para
obtener la certificacin.
Esta certificacin se compone de dos exmenes. Es necesario obtener las certificaciones 70-415
Implementacin de una infraestructura de puesto de trabajo y 70-416 Implementacin del entorno de
aplicaciones de escritorio.
Para obtener la certificacin MCSE Private Cloud es necesario obtener las certificaciones 70-246
Supervisar y operar una nube privada con System Center 2012 y 70-247 Configuracin e
implementacin de una nube privada con System Center 2012.
Cmo se organiza este libro
Este libro le prepara para el examen 70-411 Administracin de Windows Server 2012. Este libro se
estructura en varios captulos que le aportarn los conocimientos tericos necesarios sobre cada rea
de conocimiento. A continuacin, se proponen al lector los trabajos prcticos, que le permitirn poner
en prctica los puntos abordados en la parte terica.
Es preferible, por tanto, seguir los captulos en orden. En efecto, stos conducen de manera
progresiva al lector por las competencias necesarias para superar el examen. Al finalizar cada
captulo, se proponen una serie de preguntas que le permitirn validar el nivel que debe alcanzarse.
Si lo supera, el lector puede pasar al siguiente captulo.
Se invita al lector a crear la maqueta, que sirve para la realizacin de los trabajos prcticos. Esta
maqueta se compone de servidores que ejecutan Windows Server 2012 R2 Standard y puestos
cliente Windows 8.1. La configuracin de los roles se realiza a medida que avanzan los captulos. El
captulo de gestin del directorio AD DS permite adquirir los conocimientos necesarios a nivel de AD.
Tras haber profundizado en los conceptos del directorio LDAP de Microsoft se aborda la virtualizacin
de los controladores de dominio. La parte terica se completa con la gestin de la base de datos
(copia de seguridad, restauracin, snapshot). La parte prctica invita al lector a crear, en primer
lugar, el bosque Active Directory llamado Formacion.local.
A continuacin, se aborda la gestin del entorno del usuario. La parte terica comprende los
conceptos relativos a los parmetros de seguridad, las directivas de contrasea muy especficas y la
configuracin de cuentas de servicio. La parte prctica invita al lector a importar cuentas AD mediante
cmdlets PowerShell, a crear directivas de contrasea muy especficas (PSO), cuentas de servicio y,
para terminar, y tras haber definido una directiva de grupo, crear un informe RSOP.
Las directivas de grupo se abordan en el siguiente captulo. En esta ocasin, el lector encontrar las
distintas funcionalidades de la directiva de grupo (despliegue de software, preferencias, redireccin
de carpetas). Esta parte terica se complementa con una parte prctica que refuerza los
conocimientos adquiridos gracias a la teora.
A continuacin, se estudian los servidores DNS y DHCP, mediante el anlisis de las distintas zonas y
registros, tambin se abordan las nociones de transferencia de zona y de borrado de los datos. La
parte DHCP supone un complemento, pues no es una parte obligatoria de la certificacin oficial. Se
invita al lector, tras hablar de DHCP, a implementar IPAM, funcionalidad aparecida con Windows Server
2012 y que permite administrar los planes de direccionamiento IP de la empresa.
El estudio prosigue con el rol Servicios de implementacin de Windows. Esta funcionalidad, presente
desde Windows Server 2003 SP2, ha sufrido numerosas mejoras. La versin actual, en Windows
Server 2012 R2, ofrece posibilidades interesantes que se presentan en las partes tericas y prcticas.
Los dos captulos siguientes abordan los servicios de red e invitan el lector a estudiar las distintas
soluciones de VPN (DirectAccess o VPN clsica) y a implementarlas a continuacin. La seccin dedicada
a la red est compuesta por un segundo captulo dedicado a NAP. Una vez ms, tras la parte terica
se ponen en prctica los conceptos abordados.
1. El examen de certificacin
El examen de certificacin se compone de varias preguntas. Para cada una de ellas se proponen
varias respuestas. Es necesario marcar una o varias de estas respuestas. Para superar el examen
es preciso obtener una puntuacin de 700.
El da D dispondr de varias horas para responder a las preguntas. No dude en tomarse el tiempo
necesario para leer bien la pregunta y todas las respuestas. Es posible marcar las preguntas para
realizar una relectura antes de finalizar el examen. El resultado se obtiene al finalizar el examen.
Las preguntas disponibles al finalizar cada mdulo le permiten validar sus conocimientos. No pase al
siguiente captulo sin haber comprendido bien el anterior, y vuelva a trabajarlo tantas veces como
sea necesario. Con el libro se ofrece un examen en blanco que le permitir poner a prueba sus
conocimientos antes de realizar el examen.
Las mquinas virtuales utilizadas
Para poder realizar los trabajos prcticos y para evitar multiplicar el nmero de mquinas se utiliza un
sistema de virtualizacin. El captulo presenta, por ello, la instalacin de una maqueta. Esta ltima
utiliza el hipervisor de Microsoft (Hyper-V). Tambin puede, si lo desea, utilizar su propio sistema de
virtualizacin.
A continuacin se instalan varias mquinas virtuales que ejecutan Windows Server 2012 R2 o
Windows 8.1.
Es posible descargar las versiones de evaluacin de estos productos en los siguientes enlaces:
Permite agregar/eliminar roles, y tambin la administracin de equipos remotos: es posible, con ayuda
de WinRM, instalar roles y caractersticas. Tambin es posible configurar un conjunto de servidores
para administrarlos mediante esta consola.
La gestin del servidor local se lleva a cabo, tambin, mediante esta consola. Es posible modificar
cierta informacin muy rpidamente, como por ejemplo el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece. La configuracin del escritorio remoto, o la gestin remota, tambin son
configurables.
La propiedad Configuracin de seguridad mejorada para Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Por defecto, esta opcin est activa.
El Panel permite, tambin, asegurar rpidamente que no existe ningn problema en el servidor.
De este modo, es posible ver en la captura de pantalla anterior que los roles Hyper-V y Servicios de
archivos y de almacenamiento funcionan correctamente.
Se auditan varios elementos: Eventos, Servicios, Rendimiento y Resultados de BPA. Servicios est
precedido por una cifra, lo que indica al administrador que algn servicio tiene un error, est
detenido
Haciendo clic en Servicios se abre una ventana que muestra los detalles del servicio afectado.
La detencin del servicio spooler provocar la creacin de un nuevo evento. El comando anterior
permite detener el servicio spooler.
Volviendo a la consola Administrador del servidor, se ejecuta un nuevo anlisis. Tambin es posible
actualizar la consola para ver el cambio.
Es posible iniciar el o los servicios deseados haciendo clic con el botn derecho en la fila
correspondiente al servicio que presenta el problema y, a continuacin, seleccionando la opcinIniciar
servicios. Actualizando la consola Administrador del servidor comprobar que el problema relativo al
spooler ha desaparecido.
El problema del servicio desaparece. Es posible realizar la misma operacin para los servicios remotos.
Es, no obstante, obligatorio crear un grupo que incluya estos servidores (este punto se aborda ms
adelante en este captulo).
Haciendo clic en Administrar aparece un men contextual que permite acceder a un conjunto de
opciones:
Es posible realizar la bsqueda del puesto con ayuda de Active Directory, seleccionando la ubicacin
(raz del dominio, unidad organizativa) y, a continuacin, seleccionando el nombre de la mquina.
Agregar/Quitar roles y caractersticas: las operaciones para agregar o quitar roles pueden
realizarse sobre el servidor local o sobre una mquina remota. Se utiliza el protocolo WinRM
para llevar a cabo esta accin.
Cuando se agrega un nuevo rol aparece un nodo en la columna izquierda. Haciendo clic sobre l, el
panel central da acceso a las propiedades y eventos del rol.
Esto se realiza desde la consola Administrador del servidor. El men Administrar permite llevar a
cabo esta operacin (seleccione la opcin Crear grupo de servidores). En la etapa de creacin es
necesario asignar un nombre al grupo mediante el campo Nombre de grupo de servidores.
A continuacin, basta con agregar los servidores con ayuda de las distintas pestaas. La
pestaaActive Directory da acceso a una lista desplegable Sistema operativo. Permite filtrar sobre
un tipo de sistema concreto (por ejemplo: Windows Server 2012 / Windows 8).
Basta, entonces, con hacer clic en el botn Buscar ahora, seleccionar los servidores deseados (AD1,
AD2) y, a continuacin, incluirlos en el grupo mediante el botn ubicado entre los campos de
seleccin y el campo Seleccionada.
El nuevo grupo est disponible en la consola Administrador del servidor.
En la ventana de seleccin del servidor de destino es posible seleccionar el servidor sobre el que se
quiere realizar la instalacin.
Haciendo clic con el botn derecho sobre el grupo afectado, aparece la opcin Eliminar grupo de
servidores disponible.
A pesar de eliminar el grupo, los puestos siguen estando presentes en la seccin Todos los
servidores.
Es preciso eliminarlos manualmente haciendo clic con el botn derecho sobre la fila del servidor
afectado.
Servidor en modo instalacin mnima
Cuando se instala un servidor en modo Instalacin mnima o modo Core, el
programa explorer.exeno se encuentra instalado. Slo est presente la ventana de comandos.
Para cambiar el nombre, es posible utilizar la herramienta sconfig (vase ms adelante en este mismo
captulo) o el comando netdom.
Es necesaria una validacin, para ello basta con presionar la tecla S y, a continuacin, la tecla [Enter].
Para hacer efectivo el nombre, el servidor debe reiniciarse. Para realizar esta operacin puede
ejecutar el comando shutdown -r -t 0.
Antes de configurar la tarjeta de red es preciso recuperar su nombre. Para realizar esta operacin
puede utilizar el comando netsh interface ipv4 show interfaces.
El nombre de la tarjeta de red es Ethernet, el comando que permite configurar la interfaz es,
entonces:
La ltima etapa consiste en reiniciar el servidor con el objetivo de aplicar la configuracin y unirlo al
dominio.
Ahora es posible administrar el rol desde un servidor que posea interfaz grfica. En el caso de que el
firewall est habilitado, piense en que debe autorizar la administracin remota.
Por ltimo, dismpuede, a su vez, eliminar una funcionalidad. Para realizar esta operacin debe
ejecutar el siguiente comando:
Para llevar a cabo esta operacin es preciso agregar o eliminar la funcionalidad Infraestructura e
interfaces de usuario. Es posible instalar o eliminar dos opciones:
La interfaz grfica est, ahora, presente. Basta con eliminar la funcionalidad recin instalada para
volver al servidor en modo instalacin mnima.
Para acceder a la interfaz basta con ejecutar el comando sconfigen una ventana de comandos
DOS.
Para seleccionar la zona horaria debe seleccionar la opcin nmero 9. Para ello, escriba 9 y, a
continuacin, presione la tecla [Enter]. Podr modificar la zona horaria as como la fecha y la hora del
servidor.
Una vez seleccionada la interfaz de red es preciso seleccionar el parmetro que desea modificar
(direccin de la tarjeta de red, servidor DNS).
Escriba e (para realizar una configuracin esttica) y, a continuacin, valide su eleccin presionando
la tecla [Enter]. Es necesario configurar, a continuacin, la direccin IP, la mscara de subred y la
puerta de enlace predeterminada.
La mquina o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second
LevelAddress Translation). La capacidad del procesador debe, tambin, responder a ciertas exigencias
de las mquinas virtuales. stas pueden soportar un mximo de 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la memoria configurada en las mquinas
virtuales. Durante la asignacin de memoria a las mquinas virtuales es preciso reservar una parte
para el funcionamiento de la mquina fsica. Si la mquina host posee 32 GB de memoria disponible,
se recomienda reservar 1 o 2 GB para el funcionamiento del servidor fsico (el tamao de la reserva
vara en funcin de los roles que estn instalados en la mquina fsica).
Memoria RAM: a la mquina virtual se le asigna una cantidad de la memoria disponible. Como
mximo, es posible asignar 1 TB de memoria. Desde Windows Server 2008 R2 SP1 es posible
asignar memoria dinmicamente (se ver ms adelante en este mismo captulo).
Procesador: como con la memoria, es posible asignar uno o varios procesadores (en funcin
del nmero de procesadores y del nmero de ncleos de la mquina fsica). Es posible
asignar, como mximo, 32 procesadores a una mquina virtual.
Controlador IDE: es posible configurar dos controladores IDE en la VM (Virtual Machine), cada
uno con dos discos como mximo.
Controlador SCSI: agrega un controlador SCSI a la mquina virtual. De este modo, es posible
agregar discos duros o lectores de DVD.
Tarjeta de red: por defecto, la tarjeta de red de la mquina virtual no se hereda, lo que
permite obtener una mejor tasa de transferencia, pero impide a la mquina realizar un
arranque PXE (arranque del servidor en la red y carga de una imagen). Para poder iniciar en
red es preciso agregar una tarjeta de red heredada.
Tarjeta de vdeo 3D RemoteFX: este tipo de tarjetas permiten una representacin grfica de
mejor calidad, aprovechando DirectX.
La memoria dinmica permite asignar una cantidad mnima de memoria. No obstante, si la mquina
virtual necesita ms memoria, est autorizada a solicitar una cantidad suplementaria (esta ltima no
puede exceder la cantidad mxima acordada). Esta funcionalidad se ha incluido en los sistemas
operativos de servidor desde Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, cualquier administrador puede modificar, en Windows
Server 2012 R2, los valores mnimo y mximo de la memoria dinmica que una mquina puede
consumir cuando sta se encuentra encendida.
La memoria buffer es una funcionalidad que permite a la mquina virtual aprovechar una cantidad de
RAM suplementaria si fuera necesario.
El peso de la memoria permite implementar prioridades acerca de la disponibilidad de la memoria.
Con la llegada de la nueva versin de Hyper-V, contenida en Windows Server 2012, es posible utilizar
un nuevo formato, el VHDX.
Este nuevo formato ofrece varias ventajas respecto a su predecesor, el formato VHD (Virtual Hard
Disk). De este modo, el tamao de los archivos no est limitado a 2 TB, cada disco duro virtual puede
tener un tamao mximo de 64 TB. El VHDX es menos sensible a la corrupcin de archivos tras un
corte inesperado (debido a un fallo de corriente, por ejemplo) del servidor. Es posible convertir los
archivos VHD existentes en VHDX (este punto se aborda ms adelante en este mismo captulo).
Windows Server 2012 R2 soporta el almacenamiento de los discos duros virtuales sobre particiones
de archivo SMB 3. Tras la creacin de una imagen virtual Hyper-V bajo Windows Server 2012 R2 es
posible especificar un recurso compartido de red.
Durante la creacin de un nuevo disco duro virtual, es posible crear distintos tipos de discos,
incluyendo discos de tamao fijo, dinmico o pass-through. Durante la creacin de un disco virtual de
tamao fijo se reserva en disco el tamao total correspondiente al archivo. De este modo, es posible
limitar la fragmentacin en el disco duro de la mquina host y mejorar el rendimiento. No obstante,
este tipo de discos ofrecen el inconveniente de que consumen el espacio de disco incluso si el archivo
VHD no contiene datos.
Durante la creacin de un disco de tamao dinmico se define un tamao mximo para los archivos. El
tamao del archivo aumenta en funcin del contenido hasta alcanzar el tamao mximo. Durante la
creacin de un archivo VHD de tipo dinmico, este ltimo tiene un tamao de 260 KB frente a los
4096 KB necesarios para un formato VHDX. Es posible crear un archivo VHD mediante el cmdlet de
PowerShell New-VHDy el parmetro -Dynamic.
El disco virtual de tipo pass-through permite a una mquina virtual acceder directamente al disco
fsico. El disco se considera como un disco interno para el sistema operativo de la mquina virtual.
Esto puede resultar muy til para conectar la mquina virtual a una LUN (Logical Unit Number) iSCSI.
No obstante, esta solucin requiere un acceso exclusivo de la mquina virtual al disco fsico
correspondiente. Este ltimo debe dejarse fuera de servicio mediante la consola Administrador de
discos.
Es posible realizar ciertas operaciones sobre los archivos VHD. Es posible, por ejemplo, comprimirlo
para reducir el volumen utilizado o convertir el formato VHD en VHDX. Durante la conversin del disco
virtual, el contenido se copia sobre un nuevo archivo (conversin de un archivo de tamao fijo en uno
de tamao dinmico, por ejemplo). Una vez copiados los datos e implementado el nuevo disco, el
anterior archivo se elimina.
Es posible realizar otras operaciones tales como la reduccin de un archivo dinmico. Esta opcin
permite reducir el tamao de un disco siempre que no utilice todo el espacio que se le ha asignado.
Para los discos de tamao fijo es necesario convertir antes el archivo VHD en un archivo de tipo
dinmico.
Estas acciones pueden llevarse a cabo mediante el Asistente para editar discos duros virtuales,
opcin Editar disco en el panel Acciones. La ventana nos da acceso a varias opciones.
Tambin es posible utilizar los cmdlets de PowerShell resize-partitiony resize-vhd para realizar la
compresin de un disco duro virtual dinmico.
El tamao necesario para almacenar las mquinas virtuales se ve, de este modo, reducido. Preste
atencin, la modificacin de un disco padre provoca errores en los vnculos con los discos de
diferenciacin. Es, por tanto, necesario volver a conectar los discos de diferenciacin utilizando la
opcin Inspeccionar disco... en el panel Acciones.
Preste atencin, el snapshot no remplaza, en ningn caso, a la copia de seguridad, pues los avhd o
avhdx se almacenan en el mismo volumen que la mquina virtual. En caso de degradacin en el disco,
se perderan todos los archivos.
Un conmutador virtual se corresponde con un conmutador fsico, que podemos encontrar en cualquier
red informtica. Tambin conocido como red virtual, con Windows Server 2008, hablamos ahora de
conmutador virtuales desde Windows Server 2012. Es posible gestionarlos utilizando la opcin
Administrador de conmutadores virtuales en el panel Acciones.
Externo: con este tipo de conmutador virtual es posible utilizar la tarjeta de red de la
mquina host en la mquina virtual. De este modo, este conmutador virtual tiene una
conexin sobre la red fsica que le permite acceder a los equipos o servidores de la red fsica.
Interno: permite crear una red entre la mquina fsica y las mquinas virtuales. Es imposible,
para las mquinas de la red fsica, comunicarse con las VM.
1. Requisitos previos
Poseer ciertas nociones sobre virtualizacin de servidores.
2. Objetivos
Configuracin del servidor Hyper-V.
La virtualizacin permite disminuir el nmero de mquinas fsicas necesarias. Todas las mquinas
virtuales funcionan sobre el mismo servidor fsico. Ser, no obstante, necesario disponer de una
cantidad de memoria y un espacio de disco suficientes.
1. Configuracin necesaria
Se requiere una mquina potente para soportar todas las mquinas virtuales; la maqueta descrita
ms adelante est equipada con un procesador Pentium Core i7 con 8 GB de RAM. El sistema
operativo instalado es Windows Server 2012 R2.
Memoria RAM: 512 MB como mnimo. No obstante, un servidor equipado con 1024 MB es, en
mi opinin, el mnimo aceptable.
Espacio de disco: una instalacin bsica, sin ningn rol, requiere un espacio de disco de 15
GB. Habr que prever un espacio ms o menos adecuado en funcin del rol del servidor.
Una instalacin completa: con una interfaz grfica que permite administrar el servidor de
manera visual o por lnea de comandos.
Una instalacin mnima: el sistema operativo se instala sin ninguna interfaz grfica. Slo se
muestra en pantalla una lnea de comandos: la instalacin de roles y caractersticas, o la
administracin cotidiana del servidor, se realizan por lnea de comandos. Es, no obstante,
posible administrar los distintos roles de forma remota instalando archivos RSAT en un puesto
remoto. Ciertos criterios, tales como las caractersticas tcnicas del servidor o la voluntad de
reducir la administracin, facilitan la eleccin entre ambos tipos de instalacin. Si el servidor
posee caractersticas limitadas o si desea reducir el nmero de actualizaciones que tendr
que instalar se recomienda realizar una instalacin mnima.
Una vez terminada la instalacin del servidor es necesario reconfigurar el nombre del servidor y
definir su configuracin IP.
Creacin de las mquinas virtuales
La siguiente etapa consiste en la instalacin del rol Hyper-V y la creacin, instalacin y configuracin
posterior de las distintas mquinas virtuales.
Dado que Hyper-V es un rol, deje marcada la opcin por defecto Instalacin basada en
caractersticas o en roles y, a continuacin, haga clic en Siguiente.
Verifique que el servidor de destino es el suyo y haga clic en Siguiente.
Es necesario crear un conmutador virtual: haga clic en la tarjeta de red para realizar un puente
entre la red fsica y la mquina virtual.
Haga clic en el botn Inicio y, a continuacin, acceda a las Herramientas administrativas y haga
clic en el Administrador de Hyper-V.
Ahora es preciso configurar la interfaz de red. Es posible utiliza la tarjeta fsica o crear una tarjeta
interna. Para esto ltimo, existen dos opciones:
Red interna: se crea una red virtual entre la mquina host y las mquinas virtuales. Es
imposible alcanzar una mquina en la red fsica (servidor, impresora de red).
Red privada: las mquinas virtuales estn aisladas de la mquina host, es imposible conectar
con la mquina fsica y las mquinas de la red fsica.
1. Esquema de la maqueta
Se van a crear siete mquinas virtuales, los sistemas operativos utilizados sern Windows Server
2012 R2 y Windows 8.1.
Durante la instalacin de las mquinas virtuales, stas sern miembro del grupo de trabajo
Workgroup. A continuacin, crearemos el dominio de Active Directory Formacion.local. Se utilizarn
dos redes, con dos rangos diferentes de direcciones IP, enlazadas mediante un servidor SRV-RT.
a. Creacin y configuracin de la VM
En la consola Hyper-V, haga clic en Nuevo dentro del panel Acciones y, a continuacin,
enMquina virtual.
El disco duro de la mquina se ha creado, pero est virgen. Es preciso particionarlo e instalar un
sistema operativo.
En la consola Hyper-V, haga doble clic en la mquina que acaba de crear y, a continuacin,
haga clic en el botn que permite iniciar la VM (icono verde).
Haga clic en Siguiente en la ventana que permite escoger el idioma (el idioma Espaol est
seleccionado por defecto).
Haga clic en Instalar ahora para iniciar la instalacin.
Se completa la instalacin
Termina la instalacin. La siguiente etapa consiste en la modificacin del nombre del equipo y la
configuracin IP de la mquina. Los roles se instalarn a lo largo de los siguientes captulos.
c. Configuracin post-instalacin
Realice un [Ctrl][Alt][Fin] en la mquina virtual recin instalada, o haga clic en el primer icono de la
barra de herramientas para escribir un nombre de usuario y una contrasea.
Abra una sesin como administrador, introduciendo la contrasea configurada en la seccin
anterior.
Haga clic en Nombre de equipo para abrir las propiedades del sistema.
Haga clic en Cambiar y, a continuacin, escriba AD1 en el campo Nombre de equipo.
Haga clic con el botn derecho en Centro de redes y recursos compartidos y, a continuacin,
haga clic en Abrir.
Las modificaciones que hay que llevar a cabo son el nombre del equipo y su configuracin IP.
La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola
particin.
Tarjeta de red 1:
Tarjeta de red 2:
La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola
particin.
9. Las instantneas
Las instantneas permiten salvaguardar el estado de la mquina virtual. Es, as, posible restablecer
la captura instantnea y volver con facilidad a un estado anterior.
Haga clic con el botn derecho sobre la VM elegida y, a continuacin, seleccione Instantnea.
Una vez realizada la misma operacin sobre el conjunto de mquinas virtuales, es posible restaurar
el estado de una o varias VM de la maqueta.
Requisitos previos y objetivos
1. Requisitos previos
Poseer competencias en Active Directory.
2. Objetivos
Presentacin del servicio AD DS (Active Directory Domain Services).
Esta base de datos se almacena y administra mediante un servidor llamado controlador de dominio.
ste se encarga de autenticar a los distintos usuarios y equipos del dominio. Esta autenticacin les
permite acceder a los recursos de la red.
Los controladores de dominio son un componente fsico, contienen una copia de la base de datos.
La carpeta SYSVOL es una carpeta compartida y se encuentra una rplica en cada servidor que
tenga el rol de controlador de dominio. Los servidores tienen un rol de catlogo global y poseen la
lista de objetos que se han creado en el bosque, as como parte de sus atributos (aquellos que se
replican en el catlogo global). De este modo, las bsquedas de un objeto presente en el bosque
son mucho ms rpidas. Por ltimo, el componente RODC (Read Only Domain Controller) aparece con
Windows Server 2008 y consiste en la instalacin de un controlador de dominio de solo lectura. A
diferencia de un controlador de dominio que posea permisos de escritura, es imposible realizar
modificaciones sobre un RODC.
Como complemento a los componentes fsicos, una solucin Active Directory posee, tambin,
componentes lgicos. Hemos visto, antes, que toda la informacin de un objeto se contiene en una
base de datos. sta se compone de varias particiones:
Dominio
Esquema
DNS
Configuracin
La particin de dominio contiene los distintos objetos que se han creado en el dominio. A diferencia
de esta ltima, la particin de esquema contiene todos los objetos que pueden crearse. Adems, las
dos particiones contienen, a su vez, distintos atributos de los objetos. La seccin Configuracin est
compuesta por la topologa del bosque, de modo que encontramos informacin relativa al dominio,
sitios y conexiones entre controladores de dominio. Por ltimo, la particin DNS contiene las distintas
zonas del servidor. Para ello, es preciso que el servidor DNS se instale sobre un controlador de
dominio. Es posible clasificar otros componentes dentro de la familia de componentes lgicos, la
arborescencia de dominio y el bosque forman parte de esta familia. El bosque Active Directory
consiste en una serie de dominios vinculados entre s por una relacin de confianza bidireccional
transitiva. Cuando varios nombres de dominio tienen una raz DNS comn
(Formacion.local, ES.Formacion.local, EU.Formacion.local), estos ltimos se presentan bajo la misma
arborescencia de dominio. Por ltimo, tambin es posible encontrar sitios AD as como unidades
organizativas. Los sitios Active Directory permiten dividir un dominio de cara a su replicacin. Esto
permite ahorrar en ancho de banda entre ambos sitios remotos, por ejemplo. La unidad organizativa
es un objeto de Active Directory sobre el que es posible posicionar directivas de grupo. Este objeto
puede, a su vez, servir para implementar delegaciones.
La implementacin de una relacin de confianza de este tipo permite a todos los usuarios del
bosque A acceder a todos los recursos del bosque B (en funcin de las ACL) y viceversa. Es, por
tanto, necesario limitar las personas que tendrn acceso a los recursos o pueden conectarse a un
equipo, conviene implementar la autenticacin selectiva. El administrador debe configurar las
autorizaciones para el usuario del segundo dominio sobre la cuenta de equipo del o de los
servidores deseados. Debe utilizarse, para ello, el permiso NTFS Permiso para autenticar.
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, as como sus
atributos. Cuando se ejecuta un proyecto de migracin o de instalacin de un servidor Exchange, es
preciso actualizar el esquema. Esta etapa se realiza automticamente tras una migracin de
Windows Server 2008 R2 a Windows Server 2012 o superior. En efecto, la etapa de promocin de
un controlador de dominio se ha visto simplificada para determinar si es necesario llevar a cabo la
etapa de actualizacin. Esta operacin debe realizarse sobre el servidor que posea el rol FSMO
Maestro de esquema, adems la cuenta que ejecuta la operacin debe ser miembro del grupo
Administradores de esquema. La consola Esquema de Active Directory no est accesible por defecto,
para habilitarla es preciso ejecutar el comando Regsvr32 Schmmgmt.dll.
La consola permite visualizar las distintas clases de objeto as como sus atributos.
Hemos visto que un bosque est compuesto de varios dominios y, estos ltimos, pueden contener
varios controladores de dominio, por lo que resulta necesario que la base de datos de Active
Directory (ntds.dit) se replique sobre varios servidores. Hablamos, en este caso, de replicacin
intersitio para una replicacin entre servidores de sitios diferentes (por ejemplo, un sitio creado en
Barcelona y otro en Madrid). La replicacin intrasitio se corresponde con una replicacin entre dos
controladores de dominio de un mismo sitio AD. Un usuario o equipo puede, por tanto, autenticarse
en todos los controladores de dominio que componen su dominio, los cuales le autorizan el acceso a
los distintos recursos.
Slo es posible realizar el inicio de sesin si la cuenta de usuario y la cuenta de equipo estn
autenticadas. Tras haber unido un equipo al dominio, se crea una cuenta para l. Como ocurre con
los usuarios, esta cuenta de equipo posee una contrasea que cambia cada 30 das, de modo que
se establece un canal seguro entre el controlador de dominio y la estacin. En el caso de la
restauracin de un equipo de trabajo o, incluso peor, de un controlador de dominio, tambin se
restaura la contrasea de una o varias mquinas. Desgraciadamente es diferente a la contrasea
almacenada en el servidor, o a la inversa. En este momento, se rompe el canal seguro y no es
posible realizar ningn inicio de sesin. Existen diversos comandos que permiten realizar el cambio
de contrasea en ambos lados. Es posible, a su vez, sacar y volver a meter el equipo de trabajo en
el dominio, con el objetivo de repararlo.
Tras la creacin del directorio Active Directory se crean varios objetos, adems de los distintos
usuarios, grupos o cuentas de equipos. Las carpetas de sistema Builtin y Users contienen los
distintos grupos y usuarios por defecto (Administrador, Administradores de dominio, Operador de
copia de seguridad). A nivel de unidades organizativas nicamente se crea por defecto la OU
(Organizational Unit) Domain Controllers. Es posible proceder a la creacin de varias unidades
organizativas y anidarlas si es necesario. Permiten asignar directivas de grupo al conjunto de
usuarios o equipos que la componen, adems de implementar delegaciones. Esta accin consiste en
otorgar a otro usuario permisos ms o menos limitados (restablecer la contrasea, agregar/eliminar
una cuenta).
Implementacin de controladores de dominio virtualizados
La virtualizacin es una solucin que se utiliza, a da de hoy, en la gran mayora de parques
informticos. Adems de permitir obtener una ganancia de sitio en las salas de servidores, permite
alcanzar un mejor uso de los recursos de los servidores. En efecto, trabajando con servidores fsicos,
los recursos de hardware no siempre se utilizaban en su totalidad. Entre los servidores virtualizados
es frecuente encontrar servidores con el rol de controlador de dominio. Microsoft recomienda tener,
como mnimo, un controlador de dominio instalado sobre un servidor fsico, puesto que este tipo de
servidores arrancan con mayor velocidad que un servidor virtual que necesita, previamente, el
arranque de la mquina host. Esta recomendacin es principalmente til en caso de producirse algn
corte de corriente y la detencin de todos los servidores.
La operacin de clonado requiere ciertas precauciones, es imposible tener, en el mismo bosque, dos
controladores de dominio con el mismo nombre, GUID (Globally Unique Identifier) o SID (Security
Identifier).
El servidor que posee el rol FSMO Emulador PDC debe, obligatoriamente, encontrarse sobre
un controlador de dominio que ejecute Windows Server 2012 o superior. El maestro Emulador
PDC procede a la creacin de los distintos identificadores necesarios para el nuevo
controlador de dominio clonado para ser considerado servidor rplica. Este servidor debe
estar disponible durante la etapa de clonado.
El hypervisor que gestiona las mquinas virtuales debe incluir la funcionalidad que permite
generar el ID. Hyper-V 3.0, presente desde Windows Server 2012, posee esta funcionalidad.
La etapa de clonado utiliza archivos XML para llevar a cabo las distintas etapas de la operacin. La
configuracin del nuevo controlador de dominio se encuentra en el archivo DcCloneConfig.xml. Este
archivo se genera mediante un cmdlet PowerShell si no existe ninguna aplicacin no autorizada
sobre el servidor. En efecto, algunos roles tales como DHCP, Entidad certificadora, etc., no son
compatibles con el clonado de DC, de modo que es necesario, previamente, desplazar estos roles a
algn otro servidor. Adems, es posible que algunas de sus aplicaciones estn consideradas como
excluidas (no autorizadas), en cuyo caso es primordial asegurarse en primer lugar con el fabricante
acerca de la compatibilidad del software con la funcionalidad de clonado. A continuacin, es
necesario crear una excepcin y autorizar as la aplicacin excluida anteriormente. Esta operacin se
realiza mediante cmdlets PowerShell. Una vez realizada la verificacin, y si no existe ninguna
aplicacin excluida presente en el servidor, se crea el archivo de clonado DcCloneConfig.xml en la
carpeta NTDS. A continuacin, es necesario exportar la mquina virtual e importarla. Al arrancar la
mquina clonada, se realizan las etapas de configuracin.
Es posible utilizar cmdlets PowerShell para realizar la gestin de los snapshots de Hyper-V.
Es frecuente ver zonas DNS integradas con Active Directory con el objetivo de facilitar la replicacin y
securizar las actualizaciones dinmicas. Sobre un RODC es posible instalar el rol DNS e integrar las
zonas con AD. No obstante, como con Active Directory, el servidor DNS es de solo lectura.
La instalacin del RODC supone el cumplimiento de ciertos requisitos previos. De este modo, es
necesario tener un nivel funcional Windows Server 2003 o superior a nivel del bosque. La
actualizacin del esquema se realiza mediante el comando adprep /RODCPrepantes de cualquier
intento de instalacin. Por ltimo, es preciso disponer de al menos un controlador de dominio con
Windows Server 2008 o superior.
Preste atencin, solo es posible tener un servidor con el rol RODC por sitio AD.
Una vez validados los requisitos previos, es posible pasar a la instalacin. Para ello, hay que crear
previamente la cuenta o realizar la promocin del servidor como controlador de dominio. La primera
solucin permite delegar a una tercera persona la etapa de promocin, mientras que la segunda
requiere permisos de administracin.
El primer grupo permite el alojamiento en cach de las contraseas, mientras que el segundo no
permite realizar esta operacin. Basta, por tanto, con agregar objetos a uno u otro grupo segn la
necesidad.
Una buena prctica consiste en crear grupos globales para cada RODC y no almacenar en cach ms
que las cuentas que posean permisos de administracin.
Es posible visualizar el comando PowerShell que se utiliza para realizar alguna accin desde
la consola. Esto facilita la creacin de scripts.
Este mdulo se instala automticamente tras la promocin del servidor como controlador de dominio
o tras instalar el rol ADLDS (Active Directory Lightweight Directory Services).
3. Gestin de los roles FSMO
Un bosque de Active Directory se compone de cinco roles FSMO (Flexible Single Master Operation)
distribuidos en uno o varios servidores.
Maestro de esquema
Se ubica, generalmente, en un controlador de dominio del dominio raz, dado que es el nico
servidor con permisos de escritura sobre el esquema de Active Directory (los dems tienen,
nicamente, permisos de lectura).
Como con el maestro de esquema, este rol se asigna, por lo general, a un controlador de dominio
del dominio raz del bosque. Este rol se utiliza tras agregar o eliminar un dominio o una particin de
aplicacin. Si el servidor que posee este rol no est accesible, no se puede realizar la operacin
deseada.
A diferencia de los dos roles anteriores, los tres siguientes roles se presentan en cada dominio que
compone el bosque.
Maestro RID
El maestro RID permite distribuir el pool de RID a los dems controladores de dominio de su dominio.
Estos RID se utilizan para generar los SID durante la creacin de un nuevo objeto. En efecto, un SID
est compuesto por el SID del dominio (comn a todos los objetos de este dominio) as como del RID
(nico). Si el maestro RID est fuera de servicio, los dems controladores de dominio tienen la
posibilidad de continuar con la creacin de objetos hasta que se agote el pool.
Maestro de infraestructura
Este rol es til en un bosque multidominio. Su responsabilidad es supervisar los objetos de los
dems dominios del bosque que son miembros de objetos de su dominio.
El maestro Emulador PDC (Primary Domain Controller) permite gestionar las actualizaciones de las
directivas de grupo en un dominio. Ofrece, a su vez, la funcionalidad de sincronizacin de los relojes
Una diferencia superior a 5 minutos entre un puesto y su controlador de dominio implica la
imposibilidad de iniciar sesin o acceder a un recurso. Tras haberse sincronizado a travs de
Internet, el servidor con el rol de Maestro Emulador PDC sincroniza con su hora al conjunto de
puestos y del dominio.
Los roles FSMO Maestro de esquema y Maestro de nomenclatura de dominios se instalan sobre un
controlador de dominio raz del bosque. En un bosque multidominio, el rol maestro de infraestructura
no debe estar presente sobre un servidor con la funcin de catlogo global. Si el bosque se
compone de un nico dominio, y solamente en este caso, el maestro de infraestructura puede
instalarse sobre el servidor catlogo global.
Para conocer los servidores que poseen los roles FSMO, hay que ejecutar el comando netdom
query fsmo.
Las necesidades descritas ms arriba suponen un fallo de seguridad que debera tenerse en cuenta.
En efecto, una persona malintencionada que conozca la contrasea podra utilizar los privilegios de
la cuenta para realizar operaciones malintencionadas.
Con el objetivo de resolver este problema, Microsoft pone a disposicin del administrador las
cuentas de servicio, que tienen en cuenta la gestin de las contraseas. Ahora es posible asociar
una poltica de seguridad a estas cuentas sin tener que reconfigurar el conjunto de servicios para
que conozcan la nueva contrasea.
Adems, para utilizar esta funcionalidad, es necesario respetar ciertos requisitos previos:
Para evitar esto, Microsoft ha implementado, desde hace varios aos, la proteccin de objetos
contra la eliminacin accidental o el Tombstoned. Esta ltima funcionalidad permite, durante un
periodo de 180 das, recuperar una cuenta. No obstante, ser necesario reconfigurar el conjunto de
propiedades del objeto (nmero de telfono, etc.).
Con la aparicin de Windows Server 2008 R2 se incluye la papelera de reciclaje AD. Es posible, en
adelante, restaurar una cuenta junto a todas sus propiedades. El nmero de das puede alcanzar,
tambin, hasta 180 das.
Esta funcionalidad requiere un nivel funcional igual a Windows Server 2008 R2 o superior. Adems,
la activacin es irreversible. Las distintas operaciones de activacin y de gestin se realizan, en
Windows Server 2008 R2, mediante PowerShell.
Tambin llamada restauracin normal, consiste en restaurar el sistema a una fecha precisa. Tras el
arranque del controlador de dominio, realiza una replicacin con sus socios para actualizar su base
de datos. Este tipo de replicacin debe utilizarse si slo el controlador de dominio restaurado ha
sufrido algn mal funcionamiento o la eliminacin de objetos. Los dems controladores de dominio
deben estar en lnea para permitir la replicacin del servidor restaurado.
Restauracin autoritativa
Esta operacin consiste en restaurar un controlador de dominio con la ltima versin correcta
(idntica a una restauracin normal) y, a continuacin, marcar los objetos eliminados
accidentalmente o daados (estos objetos tienen el mismo estado por replicacin sobre los dems
controladores de dominio). Marcando el objeto, el nmero de versin es ms alto. Tras el arranque
del servidor, provoca una replicacin notificando a sus socios del cambio y del nmero de versin.
Siendo mayor, el servidor restaurado impone su autoridad.
Gestin de la base de datos
La base de datos de Active Directory contiene informacin importante (cuentas de usuario, cuentas de
equipo) para el funcionamiento del usuario. Es, por tanto, preciso supervisar y mantener la base de
datos para evitar eventuales problemas.
La particin de dominio contiene los objetos creados en el dominio (usuario, GPC (Group Policy
Containers) ). La particin Configuracin contiene la estructura lgica del bosque. Encontramos, as,
informacin acerca de los dominios, los sitios AD, las subredes
A diferencia de la particin de dominio, que contiene nicamente los objetos creados, la particin
Esquema contiene el conjunto de objetos que pueden crearse y sus atributos. Es frecuente
almacenar la zona DNS en Active Directory para aprovechar las ventajas de esta integracin
(consulte el captulo dedicado a DNS). En este caso, la zona DNS se almacena en la particin
Aplicaciones de la base de datos de AD.
Ubicado en la carpeta NTDS, el archivo ntds.dit contiene todas las particiones vistas anteriormente.
No obstante, esta carpeta contiene tambin archivos de transaccin y registros de eventos.
Se utilizan archivos EDB*.log para las transacciones. En efecto, la escritura en la base de datos no
se realiza inmediatamente, y la escritura definitiva se registra nicamente si se valida la transaccin.
Tras la validacin de la transaccin, se escribe cierta informacin en el archivo Edb.chk.
Creacin de un snapshot
Por ltimo, el comando NTDSUtil permite reinicializar la contrasea utilizada tras el arranque del
servidor en modo restauracin de Active Directory (NTDSUtil set dsrm).
Es posible realizar otras operaciones, tales como el Metadata Cleanup, que consiste en eliminar la
informacin relativa al controlador de dominio cuya eliminacin se ha forzado (de un servidor aislado,
por ejemplo).
4. Creacin de un snapshot AD
Es posible crear snapshots de Active Directory mediante el comando NTDSUtil. Se realiza una copia
de seguridad del estado concreto del directorio. A continuacin, es posible acceder a este snapshot
desde la herramienta LDP. El comando LDIFDE permite, por su parte, exportar los objetos presentes
en el snapshot para importarlos en el directorio.
La papelera de reciclaje de AD requiere un nivel funcional Windows Server 2008 R2. Una vez
comprobado este requisito previo, es posible habilitarla, para lo que se nos ofrecen dos opciones:
Desde Windows Server 2012, la restauracin de objetos suprimidos se realiza desde una interfaz
grfica (la consola Centro de administracin de Active Directory). Recuerde que la gestin con
Windows Server 2008 R2 se realiza mediante PowerShell.
Trabajos prcticos: Administracin de Active Directory
Objetivo: los trabajos prcticos le permitirn implementar distintos controladores de dominio (de
lectura/escritura, de solo lectura) y, a continuacin, abordan distintas funcionalidades adicionales
(clonado, snapshot).
Se abre la consola Administrador del servidor, haga clic en Agregar roles y caractersticas.
Deje la opcin marcada por defecto en la ventana Seleccionar tipo de instalacin y haga clic
enSiguiente.
Valide todas las ventanas haciendo clic en Siguiente y, a continuacin, en Instalar para ejecutar
la promocin.
2. Implementacin de un RODC
Objetivo: tras haber creado el sitio AD, se instala un controlador de dominio de solo lectura. A
continuacin, se envan las contraseas de los usuarios a la cach.
Despliegue el nodo Sites y, a continuacin, haga clic con el botn derecho en Default-First-Site-
Name.
Haga clic con el botn derecho en Formacion.local y, a continuacin, en el men contextual haga
clic en Nuevo - Unidad organizativa.
Haga clic con el botn derecho sobre el nodo Formacion.local y a continuacin, en el men
contextual, haga clic en Nuevo - Unidad organizativa.
En la unidad organizativa Barcelona, haga clic sobre el icono que permite crear un grupo (botn
situado a la derecha del que le permite crear un usuario en la barra de herramientas).
Haga doble clic sobre el grupo Becarios y, a continuacin, seleccione la pestaa Miembros.
Haga clic en Agregar y escriba los nombres de inicio de sesin de los usuarios creados
anteriormente, separados por un punto y coma.
Marque la opcin Usar la instalacin en modo avanzado y, a continuacin, haga clic enSiguiente.
En la ventana Credenciales de red, deje la opcin por defecto y, a continuacin, haga clic
enSiguiente.
El servidor hace las veces de RODC, servidor DNS de solo lectura y catlogo global.
En AD2, inicie una sesin y, a continuacin, haga clic en Agregar roles y caractersticas en la
consola Administrador del servidor.
En la consola Administrador del servidor, haga clic sobre la bandera que contiene el signo de
exclamacin y, a continuacin, en Promover este servidor a controlador de dominio.
Se abre el asistente, haga clic en el botn Seleccionar.
Tras el reinicio de AD2, inicie una sesin como formacion\mvelasco (contrasea Pa$$w0rd).
El controlador de dominio es de solo lectura. Es imposible crear un usuario, un grupo Las opciones
aparecen, ahora, sombreadas y deshabilitadas.
Despliegue los nodos Sites, Barcelona y, a continuacin, Servers. Verifique la presencia del
servidor AD2.
En algunos casos, puede resultar til "forzar" la replicacin en cach sin tener que esperar a la
replicacin o a la conexin del usuario.
El controlador de dominio de solo lectura puede, en adelante, autentificar estas cuentas incluso si se
produce alguna ruptura en la conexin con el controlador de dominio de lectura/escritura.
En AD1, en la interfaz Windows, haga clic con el botn derecho en Windows PowerShell y, a
continuacin, haga clic en Ejecutar como administrador.
Para saber qu servidor tiene el rol FSMO Emulador PDC, escriba el comando:
Get-ADComputer (Get-ADDomainController -Discover -Service
"PrimaryDC").name -Property operatingsystemversion | fl
AD1 ejecuta Windows Server 2012 R2, de modo que se cumple el requisito previo (el servidor
Emulador PDC est instalado en un servidor que ejecuta Windows Server 2012 R2).
Sin renombrar el grupo o sin crear un nuevo grupo con este nombre la operacin de clonado falla
puesto que no se encuentra el grupo (aunque exista el mismo nombre en espaol).
Valide haciendo clic en el botn Aceptar.
Escriba el siguiente comando PowerShell para asegurar que no hay ninguna aplicacin excluida
en el servidor:
Get-ADDCCloningExcludedApplicationList
El comando devuelve las aplicaciones, servicios o roles que no son compatibles con la funcin de
clonado. Aqu, WLMS no est soportada por la operacin de clonado, por lo que resulta necesario
crear una excepcin. sta aparece en el archivo XML CustomDCCloneAllowList.xml.
Get-ADDCCloningExcludedApplicationList -GenerateXML
Es posible descargar el script desde la pgina Informacin.
Escriba el siguiente comando PowerShell para asegurar que no existe ninguna aplicacin excluida
en el servidor:
Get-ADDCCloningExcludedApplicationList
Este archivo contiene la configuracin IP y, tambin, el nombre del nuevo servidor. El servidor
DNS presente en la configuracin IP del equipo debe, en primer lugar, ser el del servidor actual,
pues en caso contrario la operacin fallar. A continuacin, es posible modificarlo.
Es posible importar la mquina virtual sobre el mismo servidor Hyper-V o sobre un servidor
diferente. La importacin sobre el mismo servidor funciona siempre y cuando la mquina original
est alojada en una ubicacin diferente a la nueva (nombre del archivo VHD idntico para la
mquina original y la VM clonada).
En la ventana Elegir tipo de importacin, seleccione la opcin Copiar la mquina virtual (crear
un identificador nico nuevo) y, a continuacin, haga clic en Siguiente.
Haga clic dos veces en Siguiente y, a continuacin, en Finalizar.
Renombre la mquina virtual que acaba de importar para que no tenga el mismo nombre que
AD1.
Arranque la mquina que acaba de importar.
El servidor AD3 es un servidor DNS, es posible configurar la direccin IP de AD3 como servidor
DNS preferido y AD1 como servidor DNS alternativo.
4. Creacin de un snapshot de AD
Objetivo: creacin y montaje de un snapshot de Active Directory.
Mquina virtual: AD1.
snapshot
activate instance ntds
create
quit
quit
snapshot
activate instance ntds
list all
mount guid
quit
quit
Guid es el identificador que se muestra en el comando introducido anteriormente.
Abra la consola Usuarios y equipos de Active Directory y, a continuacin, haga clic con el botn
derecho sobre el dominio Formacion.local.
El cambio se ha llevado a cabo tras realizar el snapshot. Este ltimo no contiene el cambio.
Haga clic con el botn derecho sobre la unidad organizativa Barcelona y haga clic
enPropiedades.
Es posible restaurar los objetos en un lugar diferente seleccionando la opcin Restaurar en.
Los objetos estn, de nuevo, presentes en la consola Usuarios y equipos de Active Directory.
Escriba los comandos ntdsutily activate instance ntds(pulse la tecla [Enter] tras
cada comando).
Abra la consola Usuarios y equipos de Active Directory para comprobar que no se ha producido
ningn problema derivado de la desfragmentacin.
Validacin de conocimientos adquiridos:
preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
3 Cules son los objetos y roles que contiene, nicamente, el dominio raz?
5 Qu es la autenticacin selectiva?
7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migracin a un
servidor Windows Server 2012, es preciso actualizar el esquema de manera manual?
11 Qu es un servidor RODC?
17 Cul es el nombre del archivo XML que contiene la configuracin del nuevo servidor?
18 Mi servidor tiene instalado el rol Servidor DHCP, es posible proceder con la operacin de
clonado?
22 Qu servicio es preciso detener para realizar operaciones sobre la base de datos de Active
Directory?
24 Cules son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
3. Respuestas
1 Cul es el rol de un controlador de dominio?
3 Cules son los objetos y roles que contiene, nicamente, el dominio raz?
A diferencia de otros sistemas, los controladores de dominio raz contienen los grupos
Administradores de empresa y Administradores de esquema. Algunos roles FSMO orientados al
bosque (Maestro de esquema, Maestro de nomenclatura de dominios) se contienen, generalmente,
en los controladores de dominio.
El usuario de bosque A no puede acceder a un recurso del bosque B, pues se trata de un extranjero
al bosque. Es, por tanto, necesario configurar una relacin de confianza entre bosques, de modo
que todos los dominios del bosque A confen en todos los dominios del bosque B y a la inversa. No
obstante, hay ciertos requisitos previos que hay que respetar: es necesario disponer de un nivel
funcional Windows Server 2003 en ambos bosques y, a continuacin, configurar los redirectores
condicionales hacia los servidores DNS de ambos bosques.
5 Qu es la autenticacin selectiva?
Cuando se produce una relacin de confianza entre bosques, todos los usuarios del bosque A
pueden acceder al bosque B y a la inversa (si la relacin es bidireccional, evidentemente). La
autenticacin selectiva puede implementarse para autorizar a los usuarios de un dominio con el
que se tiene confianza y permitir que se autentiquen en uno de nuestros servidores. Esta
funcionalidad limita los accesos a los recursos nicamente a aquellos usuarios que se desee.
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, as como sus
atributos.
7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migracin a un
servidor Windows Server 2012, es preciso actualizar el esquema de manera manual?
Como con las cuentas de usuario, las cuentas de equipo utilizan una contrasea para poder
autenticarse. Cada 30 das se realiza un cambio en esta contrasea. No obstante, si el canal
seguro se rompe, le ser imposible al controlador de dominio autenticar el puesto del usuario. No
ser posible iniciar sesin en el dominio, incluso aunque la autenticacin del usuario sea correcta.
Esta carpeta, muy importante, contiene parte de las directivas de grupo (GPT) y los distintos
scripts.
11 Qu es un servidor RODC?
Un servidor con el rol RODC (Read Only Domain Controller) es un controlador de dominio de solo
lectura. Ofrece la posibilidad de instalar un servidor sobre el que no es posible realizar ninguna
modificacin.
Es imposible realizar actualizaciones sobre un servidor con el rol RODC. Todas las acciones deben
realizarse desde un servidor que posea permisos de lectura/escritura. Las modificaciones se
transmiten al RODC por replicacin.
Solo es posible tener un nico servidor con el rol RODC por sitio AD.
Tras la operacin de clonado, se utiliza el servidor con el rol FSMO Emulador PDC. Es preciso, para
ello, que el servidor con este rol se ejecute bajo Windows Server 2012 R2.
No, dicha funcionalidad requiere Hyper-V 3.0, que se incluye desde Windows Server 2012. La
funcionalidad de generacin del ID est presente, nicamente, en la versin 3 de Hyper-V.
17 Cul es el nombre del archivo XML que contiene la configuracin del nuevo servidor?
El archivo DCCloneConfig.xml contiene la configuracin del nuevo DHCP. La creacin del archivo es
la ltima etapa antes del clonado.
18 Mi servidor tiene instalado el rol Servidor DHCP, es posible proceder con la operacin de
clonado?
Los roles FSMO orientados al bosque son el Maestro del esquema y el Maestro de nomenclatura de
dominios.
La base de datos est compuesta por varias particiones, entre las que figuran la particin
esquema, la particin de configuracin, la particin de dominio y la particin de aplicacin (DNS).
La instruccin ntdsutiles el comando que permite realizar operaciones sobre la base de datos,
entre ellas la desfragmentacin.
22 Qu servicio es preciso detener para realizar operaciones sobre la base de datos de Active
Directory?
Desde Windows Server 2008 ya no es preciso detener el servidor en modo restauracin de Active
Directory. Basta, simplemente, con detener el servicio Servicios de dominio de Active Directory.
Como ocurre con cualquier otro objeto, las cuentas de servicio son de una clase determinada. Para
este tipo de objeto, la clase asociada es msDS-ManagedServiceAccount.
24 Cules son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
Para utilizar una cuenta de servicio es necesario trabajar, al menos, con un sistema operativo
Windows Server 2008 R2 o Windows 7, as como un esquema en Windows Server 2008 R2.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los distintos tipos de objetos usuario.
Tener nociones acerca de la configuracin de directivas de grupo que permite implementar una
poltica de seguridad.
2. Objetivos
Automatizacin de la gestin de cuentas.
CSVDE (Comma-Separated Values Data Exchange) es una herramienta que permite exportar e importar
objetos desde un directorio de Active Directory. Se utilizan, para realizar las distintas operaciones,
archivos con formato CSV (Comma-Separated Value). Este tipo de archivos puede modificarse
mediante un bloc de notas (notepad), presente en todos los sistemas operativos Windows, o
mediante Microsoft Excel.
csvde -f NombreArchivo.csv
La opcin -fse utiliza para indicar que debe utilizarse un archivo. El comando permite, por defecto,
realizar una exportacin.
-i: informa al comando que es necesario realizar una importacin. Recuerde que la exportacin es la
opcin por defecto.
-k: la opcin -kpermite ignorar los errores de importacin. De este modo, la ejecucin del comando
se lleva a cabo incluso aunque se encuentre algn error del tipo no se est respetando alguna
restriccin o no se ha encontrado ningn objeto existente.
Es posible utilizar un segundo comando, ldifde. Esta instruccin DOS permite, como csvde, realizar
operaciones de importacin o exportacin, y permite tambin realizar modificaciones sobre un objeto
(a diferencia de csvde).
Para realizar estas operaciones se utilizan archivos con la extensin LDIF (LDAP Data Interchange
Format). Estos archivos contienen bloques de filas que constituyen, cada uno, una operacin. Es
evidente que un archivo puede contener varias acciones, en este caso el bloque se separa de los
dems mediante una fila en blanco.
Cada operacin necesita indicar el atributo DN (Distinguished Name), as como la operacin que se
quiere realizar (Add, Modify, Delete).
ldifde -f NombreArchivo.ldif
La opcin -fse utiliza para indicar el archivo que se quiere utilizar. El comando permite, por defecto,
realizar una exportacin.
Parmetros de bloqueo
Ambos pueden, evidentemente, configurarse para un equipo concreto (directiva de grupo local) o
para el conjunto de objetos de un dominio AD (configurado, generalmente, en la Default Domain
Policy).
Parmetros de seguridad
La vigencia mnima de la contrasea permite indicar el tiempo mnimo antes de que un usuario
pueda cambiar de nuevo su contrasea. La vigencia mxima de la contrasea le indica el tiempo
mximo, en das, en que ser vlida su contrasea. Una vez superado este tiempo el usuario tendr
que cambiar su contrasea para poder iniciar una sesin en el dominio. El histrico de contraseas
es, tambin, un parmetro que debe tenerse en cuenta, y que permite prohibir el uso de las x
contraseas anteriores. Preste atencin a no implementar un valor demasiado grande en este
parmetro, lo cual puede molestar a los usuarios.
Tras la creacin del dominio Active Directory se habilita la complejidad de las contraseas, parmetro
que indica la necesidad de respetar ciertos criterios a la hora de definir las contraseas. En efecto,
se considera que una contrasea tiene la complejidad suficiente cuando:
Maysculas
Minsculas
Caracteres alfanumricos
Caracteres especiales
Otro parmetro importante, en una poltica de contraseas, es la longitud mnima. En efecto, permite
indicar el nmero de caracteres que debe contener la contrasea.
Parmetros de bloqueo
La duracin del bloqueo es el periodo durante el cual no podr iniciarse una sesin con la cuenta de
usuario. Para un desbloqueo manual realizado por el administrador es necesario configurar el
parmetro a 0.
El nmero de intentos errneos limita la cantidad de pruebas antes de bloquear la cuenta. De este
modo, la cuenta afectada se bloquea una vez se alcanza el nmero de intentos errneos. El valor 0
implica intentos ilimitados, de modo que la cuenta jams se bloquear.
Es preciso poner a cero el contador del nmero de intentos errneos, sin lo cual la poltica de
bloqueo no tendr ningn sentido. De este modo, existe otro parmetro a tener en cuenta en la
poltica de bloqueos, se trata de la actualizacin del contador (del nmero de intentos errneos)
tras un cierto nmero de minutos.
Por ltimo, existe un tercer tipo de parmetros (poltica Kerberos) que pueden configurarse, y es
posible tener acceso a parmetros propios del protocolo Kerberos v5.
La configuracin puede, tal y como hemos visto antes en este captulo, parametrizarse desde una
directiva local o una directiva de dominio (consola Editor de administracin de directivas de grupo).
Cabe prestar atencin, no obstante, en caso de conflicto entre una directiva de grupo local y una
directiva de dominio, siendo la del dominio la que predomina.
Tomemos un ejemplo que nos permita ilustrar esto: una empresa funciona da y noche 7/7 y cada
equipo de la cadena de fabricacin utiliza la misma cuenta de Active Directory. La directiva de grupo
impone 8 caracteres con un cambio cada 42 das, y una complejidad alta. El bloqueo se produce tras
el tercer intento errneo al introducir la contrasea y se mantiene as hasta que un administrador la
desbloquee manualmente. Existe una gran probabilidad de que uno de los equipos se confunda al
escribir la contrasea, lo que, desgraciadamente, puede ocurrir durante la noche o durante el fin de
semana. Si el controlador de dominio funciona con Windows Server 2003, el administrador tiene dos
posibilidades:
Crear una unidad organizativa Produccin, desplazar las cuentas a este grupo, bloquear la
herencia sobre la OU y configurar, por ltimo, los parmetros de seguridad en una nueva
GPO.
Esta solucin puede resultar pesada pues supone implementar una mayor complejidad en la
administracin.
Implementar un sistema de autologon que evite, al usuario, tener que escribir la contrasea.
Desde Windows Server 2008 existe otra solucin adicional: la directiva de contrasea muy
especfica. Consiste en aplicar, a un usuario o grupo de usuarios, parmetros distintos a los que se
definen por defecto en la Default Domain Policy.
Password Settings Container: este objeto permite almacenar los Password Settings Objects
(PSO) que se crean.
Password Settings Objects: objeto creado por un administrador de dominio, contiene los
parmetros de seguridad que se aplican a los grupos o usuarios asociados.
Tras la creacin de este objeto deben configurarse numerosos parmetros: poltica de contrasea,
de bloqueo o la prioridad. Este ltimo parmetro permite determinar la prioridad de un PSO respecto
a otro. El valor, de tipo entero, debe ser el menor posible para ser el ms prioritario.
Configuracin de un PSO
La funcionalidad poltica de contrasea muy especfica exige un nivel funcional Windows Server
2008. Desde Windows Server 2012, la gestin se realiza desde la consola Centro de administracin
de Active Directory.
Creacin del objeto PSO, configuracin de los parmetros, as como la implementacin del
vnculo.
Visualizacin de los parmetros de contrasea resultantes, lo que permite conocer los
parmetros que se aplicarn al usuario.
Es, ahora, ms rpido conocer los parmetros que se aplicarn al usuario si se han creado varias
PSO.
De manera idntica a las cuentas utilizadas por los usuarios de dominio, este tipo de cuenta
complica la administracin cotidiana. El cambio de la contrasea requiere tener que volver a
configurar los servicios de la aplicacin. Esta cuenta no puede someterse a la poltica de bloqueo y
algunos de los parmetros (expiracin de la contrasea, por ejemplo) no pueden aplicarse.
Una cuenta de servicio administrada es un objeto AD DS. A diferencia de una cuenta de usuario
normal, dado que puede resultar difcil cambiar la contrasea de una cuenta que se encarga de
ejecutar y autenticar servicios, las cuentas de servicio gestionadas tienen una contrasea que se
cambia automticamente cada 30 das. La seguridad en el dominio se ve, as, mejorada, el
administrador ya no tiene que gestionar las credenciales de las cuentas utilizadas en las
aplicaciones. La clase de objeto cuenta de servicio administrada se presenta en el esquema Active
Directory con el nombre msDS-Managed-ServiceAccount.
Es preciso habilitar las Caractersticas avanzadas en el men Ver para mostrar el contenedor.
El servidor debe funcionar con el sistema operativo Windows Server 2008 R2, Windows Server 2012
o Windows Server 2012 R2 para poder instalar la funcionalidad. Adems, es preciso que el .NET
Framework 3.5.x y el mdulo Active Directory para PowerShell estn instalados en el servidor.
Por ltimo, el nivel funcional del dominio debe ser Windows Server 2008 R2 o superior.
Con Windows Server 2012 R2 es necesario crear una root key o, ms bien, key distribution services
root key antes de proceder a la creacin de cuentas de servicio administradas. Esta operacin se
realiza mediante el siguiente comando PowerShell:
1. Gestin de la configuracin
A diferencia de un usuario particular, que posee un nmero de equipos limitado, en muchos casos
uno solo, la red informtica de una empresa est compuesta de varias decenas o centenares de
puestos. En este caso, es inconcebible realizar la configuracin de forma manual. La directiva de
grupo tiene, en este caso, una importancia relevante en el ciclo de vida de un sistema de
informacin.
Adems de los parmetros, una directiva de grupo posee, a su vez, un mbito y una aplicacin. El
mbito se corresponde con los equipos o usuarios que se vern afectados por la directiva. Existen,
adems, distintas formas de limitar el mbito. Estos puntos se abordan en la seccin
Implementacin y administracin de las directivas de grupo. La aplicacin es un mecanismo que
permite implementar una directiva de grupo en un equipo. Dicha aplicacin se realiza en intervalos
definidos.
Existen dos tipos de directiva de grupo: la directiva local, que est presente en todos los puestos y
servidores (excepto los controladores de dominio), y las directivas de dominio, que se configuran
desde un controlador de dominio y que se aplican al conjunto de puestos, servidores y al conjunto
de usuarios.
Habilitado
Deshabilitado
Es importante, a su vez, asegurarse de la versin del sistema operativo con la que es compatible el
parmetro. En caso de no respetarse, el parmetro se recibir en el puesto pero no podr aplicarse.
Tomemos un ejemplo. Las preferencias de directivas de grupo han hecho su aparicin con Windows
Vista/Windows Server 2008. Los servidores Windows Server 2003 o los equipos con Windows XP no
conocen, por tanto, este tipo de parmetros. Sin instalar un cliente de preferencias en los puestos
que ejecutan una versin anterior a Windows Vista, el parmetro no se aplicar.
Es posible aplicar distintos tipos de parmetros. Adems de las preferencias de las directivas de
grupo, es posible implementar parmetros de seguridad, la ejecucin de un script, el despliegue de
aplicaciones
Preferencias
Script
Seguridad
Despliegue de aplicaciones
Estas directivas se aplican tras el reinicio del puesto y el inicio de sesin o a intervalos de tiempo
reculares de entre 90 a 120 minutos. No se produce ninguna modificacin si no se ha realizado
ninguna modificacin sobre el parmetro. Los parmetros de seguridad se aplican cada 16 horas,
incluso aunque no hayan sufrido modificaciones. Por ltimo, existe un caso adicional, el de los
controladores de dominio donde la directiva se aplica cada 5 minutos.
Ambos sistemas pueden, en ciertos casos, estar desincronizados. Con el objetivo de verificar la
correcta sincronizacin entre el GPC y la GPT, conviene utilizar la herramienta GPOTool. Esta
herramienta, por lnea de comandos, permite asegurar que no existen incoherencias entre ambos
controladores. Resulta muy prctica para preparar la migracin de un controlador de dominio.
6. GPO de inicio
Aparecidas con Windows Server 2008, las directivas de grupo de inicio permiten implementar
plantillas para otras directivas de grupo. No obstante, estas plantillas solo pueden contener
parmetros presentes en las plantillas administrativas. De este modo, todas las GPO del dominio
contienen cierto nmero de parmetros idnticos (a condicin, evidentemente, de que se utilice la
misma plantilla).
La copia de seguridad puede aplicarse a una directiva en particular o al conjunto de GPO. El destino
de la copia de seguridad es, sencillamente, una carpeta que contendr la informacin necesaria en
la etapa de restauracin (ID, parmetro). La restauracin ofrece, por su parte, ms posibilidades.
Como con cualquier operacin de restauracin, es posible restaurar una copia de seguridad que
previamente se ha guardado. Adems, es posible importar una GPO salvaguardada dentro de una
GPO existente. Esta accin no hace ms que importar los parmetros. No obstante, algunas
directivas pueden contener rutas UNC, de modo que es necesario, en la etapa de importacin,
realizar una verificacin de estos enlaces. Para ello se utiliza una tabla de migracin, que permite
validar y modificar, si fuera necesario, las distintas rutas UNC.
8. Delegacin de la administracin
Desde hace muchos aos existe la delegacin en los sistemas operativos de servidor, y permite la
distribucin de tareas a otras personas. De este modo, es posible asignar a otras personas
diferentes a los administradores las tareas de creacin de directivas de grupo, de creacin de
vnculos WMI
Los usuarios miembros del grupo CREATOR OWNER tienen acceso completo al sistema de directivas
de grupo.
Como todo objeto de Active Directory, una directiva de grupo posee una ACL, compuesta por los
grupos Administradores de dominio, Administradores de empresas, Creador propietario y Sistema
local. El conjunto de estos grupos posee un control total a nivel de la gestin de directivas de grupo,
un usuario miembro tendr asignado el permiso Aplicar directiva de grupos y lectura.
Para asignar el permiso de crear una GPO a un usuario se necesita agregar su cuenta de usuario al
grupo CREADOR PROPIETARIO o implementar, de manera explcita, la autorizacin desde la consola
GPMC. A diferencia de la delegacin de la creacin, que no limita la creacin, la correspondiente al
vnculo est limitada a un contenedor. Este tipo de directiva se configura desde la
pestaaDelegacin del contenedor en la consola GPMC o mediante el asistente Delegacin de
control en la consola Usuarios y equipos de Active Directory. Ocurre de forma similar con las
operaciones de creacin de filtros WMI, de modelado y resultado de directivas de grupos.
1. Vnculos GPO
Es posible crear una directiva de grupo de dos formas. Realizando la operacin desde el contenedor
Objetos de directiva de grupo, la directiva no queda vinculada con ningn contenedor. La segunda
forma de crear una directiva es realizando su creacin desde un contenedor. Esta segunda solucin
permite, no obstante, implementar el vnculo adems de la creacin.
Es preferible realizar el vnculo una vez se ha creado y probado la GPO. En efecto, si existe el vnculo
desde la creacin, los parmetros comienzan a aplicarse cuando la directiva de grupo todava no se
ha comprobado, o ni siquiera terminado de programar. Por ello, es preferible crear en primer lugar la
directiva de grupo y, a continuacin, realizar el vnculo en un paso posterior. ste debe
implementarse sobre una unidad organizativa de pruebas, con el objetivo de validar el correcto
funcionamiento de los distintos parmetros de la GPO.
El vnculo de una directiva de grupo permite definir el mbito. La aplicacin de la GPO se realiza
sobre el contenedor y sus hijos. Esto influye en los equipos cliente y servidores presentes en los
contenedores.
2. Orden de aplicacin
Las directivas de grupo se aplican en el puesto en funcin de un orden preciso bien definido. La
primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente).
A continuacin, se recuperan las GPO del dominio y se aplican, empezando por la GPO del sitio AD. A
continuacin, se recupera la Default Domain Policy y cualquier otra directiva que est definida en la
raz del dominio. Por ltimo, se aplican aquellas directivas definidas a nivel de OU o sub-OU.
Es posible realizar este vnculo sobre una entidad de seguridad (grupos o usuarios). Es necesario
enlazarla a algn contenedor (OU, dominio). La directiva que se aplica en ltimo lugar es aquella
definida a nivel de OU, en caso de conflicto con algn parmetro es la ltima GPO aplicada la que
tiene autoridad sobre las dems. Para modificar este orden de prioridad es posible bloquear la
herencia o aplicar la opcin Aplicar a una directiva. Esta ltima accin no se realiza sin
consecuencia, puesto que vuelve prioritaria cualquier GPO y permite saltarse cualquier bloqueo o
herencia.
La consola GPMC permite determinar el orden de aplicacin atribuyendo un nmero a cada directiva.
La que posea el nmero ms bajo ser la prioritaria. Esta funcionalidad est accesible seleccionando
el contenedor deseado y accediendo a la pestaa Herencia de directivas de grupo.
Es posible ver en la pantalla anterior que la directiva de grupo Default Domain Controllers Policy es
prioritaria respecto a la Default Domain Policy.
Esto se explica, simplemente, por el hecho de que la GPO Default Domain Controller Policy se
posiciona sobre la unidad organizativa Domain Controllers, se aplica en ltimo lugar.
Esto permite ver que una directiva de grupo aplicada sobre un contenedor se hereda en los
contenedores situados debajo de ella. Se habla as de GPO aplicada sobre el contenedor padre que
se hereda en los contenedores hijos. Esta herencia puede, evidentemente, bloquearse. Cuando se
habilita el bloqueo, se muestra un crculo azul que contiene un signo de exclamacin blanco.
Comprobamos, de este modo, que la GPO Default Domain Policy heredada anteriormente ya no est
presente. Es preferible no abusar de la opcin Bloqueo de herencia, que puede, a gran escala,
complicar la administracin. El filtrado por grupo de seguridad puede resultar una mejor alternativa
para limitar los objetos afectados por la directiva de grupo.
La opcin Exigido permite modificar la prioridad de una directiva. Cuando se habilita esta opcin, la
GPO afectada recupera el nivel de prioridad ms elevado. Adems, existe la posibilidad de superar el
bloqueo por herencia. Esta opcin puede habilitarse simplemente haciendo clic con el botn derecho
sobre la directiva de grupo y, a continuacin, seleccionando la opcin Exigido.
Esta opcin debe utilizarse con precaucin, pues en caso contrario la directiva resultante puede
convertirse en algo totalmente diferente a lo que se busca.
Adems de los grupos de seguridad es posible implementar filtros WMI. Se trata de una tecnologa
que permite controlar distintos objetos (sistema operativo). Es, por tanto, posible utilizar una
consulta WMI para filtrar en base a la memoria asignada, la velocidad del procesador, el disco duro,
la versin de sistema operativo
Este tipo de filtros resulta prctico cuando se desea desplegar aplicaciones mediante directivas de
grupo.
Las extensiones del lado cliente siguientes estn inactivas con enlaces lentos:
Instalacin de software
Redireccin de carpetas
Ejecucin de script
Directiva IPsec
Directiva inalmbrica
Para asegurar que la actualizacin de directivas de grupo se realiza una vez los servicios de red de
la mquina estn habilitados, se recomienda habilitar el parmetro Esperar siempre la deteccin de
red al inicio e inicio de sesin del equipo para todos los clientes Windows.
Desde Windows Server 2012 es posible forzar la aplicacin de una directiva de grupo. Esta operacin
se aplica nicamente sobre objetos de tipo equipo. En caso de actualizacin en una unidad
organizativa que contenga nicamente cuentas de usuario, aparece un mensaje.
Tras la aplicacin sobre una o varias cuentas de equipo, aparece un informe que permite conocer el
resultado de la actualizacin.
Para visualizar estos parmetros, es posible utilizar el comando RSOP. Este comando puede
utilizarse sobre un equipo/servidor local o sobre un equipo remoto. Es posible crear un informe,
aunque tambin es posible modelar los parmetros de las directivas de grupo. Existen varias
herramientas, provistas con el sistema operativo, que permiten realizar anlisis RSOP.
El comando gpresult.
2. Informe RSOP
Los informes RSOP facilitan el mantenimiento aportando la informacin necesaria acerca de la
directiva resultante. Es posible, para ello, utilizar el asistente Resultados de directivas de grupo,
que utiliza el proveedor WMI para recuperar la informacin en un equipo local o en un puesto
remoto:
No obstante, recuperar correctamente esta informacin requiere en primer lugar que el equipo est
conectado. La cuenta que se utiliza para consultar debe poseer permisos de administracin sobre el
equipo consultado. Es preciso autorizar el trfico entre ambos equipos si hubiera algn firewall
activado (uso de los puertos 135 y 445). Por ltimo, es necesario que el usuario haya iniciado sesin
al menos una vez, con el objetivo de que las directivas de grupo se hayan aplicado al menos una
vez sobre el equipo.
Una vez terminada la recogida de informacin, el asistente genera un informe en formato DHTML con
tres pestaas:
Resumen: esta pestaa permite obtener, muy rpidamente, informacin importante acerca
de las distintas directivas de grupo (GPO aplicada, GPO rechazada, pertenencia a grupos de
seguridad).
El comando gpresult puede utilizarse, a su vez, para recoger la misma informacin. Preste
atencin, no obstante, a que es preciso disponer como mnimo de equipos ejecutando Windows XP y
servidores con Windows Server 2003 para poder ejecutar este comando.
Como con el asistente Resultados de directivas de grupo, es posible consultar un equipo remoto.
Para llevar a cabo esta operacin es preciso utilizar la opcin /s. Las opciones /v y /z permiten
obtener un resumen ms o menos igual de detallado. Por ltimo, para crear un informe debe
utilizarse la opcin /h.
De este modo, el enlace WAN se utiliza a menudo. Si este enlace ofrece una tasa de transferencia
inferior a 500 Kbits/s, entonces el enlace se considera lento. Esto puede dar lugar a un incidente en
la aplicacin de alguna directiva de grupo.
En efecto, cuando un equipo recupera los parmetros de una directiva de grupo, utiliza ciertos
componentes del sistema operativo: las extensiones del lado cliente, cuyo rol es recuperar la
configuracin de una GPO y aplicarla en los equipos. Encontramos, de este modo, tantas
extensiones del lado cliente como tipos de parmetros (preferencias, scripts).
De este modo, si se trata de un enlace lento, algunos parmetros puede que no se apliquen.
Las siguientes extensiones se aplican incluso aunque se trabaje desde un enlace lento:
Directivas de seguridad.
Seguridad IP.
Despliegue de aplicaciones.
Scripts.
Redireccin de carpetas.
Cuotas de disco.
Para mejorar la experiencia en una red desde una conexin remota es posible utilizar el modo
sncrono. Permite utilizar la versin ms reciente de la cach en lugar de recuperar la configuracin
de la red. Esto permite realizar un arranque ms rpido en caso de trabajar desde una conexin
VPN (DirectAccess, por ejemplo).
Haga clic con el botn derecho en la raz del dominio y, a continuacin, haga clic en Nuevo -
Unidad organizativa.
La importacin resulta, de este modo, mucho ms sencilla, basta con modificar el archivo CSV.
En AD1, verifique el nivel funcional del dominio para comprobar que es, como mnimo, Windows
Server 2003.
Haga clic en la unidad organizativa que acaba de crear y, a continuacin, haga clic en el botn
que permite crear un nuevo usuario.
Repita las mismas etapas para la creacin del usuario Prueba PSO2.
En el panel izquierdo, haga doble clic en la raz del dominio Formacion (local).
En el panel de navegacin, haga doble clic en el contenedor System y, a continuacin,
enPassword Settings Container.
Haga clic en el botn Comprobar nombres, el campo tendr el mismo valor que en la siguiente
pantalla.
Haga clic en el botn Agregar y, a continuacin, escriba pso2 en el campo Escriba los nombres
de objeto que desea seleccionar en el cuadro de dilogo que se abre.
La consola permite, tambin, conocer los parmetros de contrasea resultantes para un usuario
determinado.
Haga clic en Prueba PSO1 y, a continuacin, en el panel Tareas, haga clic en Ver configuracin
de contrasea resultante.
Haga clic con el botn derecho en GPO y, a continuacin, seleccione Nuevo en el men
contextual.
Haga doble clic en la directiva de grupo recin creada y, a continuacin, seleccione Editar en el
men contextual.
En la consola Administracin de directivas de grupo, haga doble clic en GPO Configuracin DC.
Agregue, ahora, el grupo Controladores de dominio con ayuda del botn Agregar.
Esta operacin permite forzar la actualizacin de las directivas de grupo en las cuentas de
usuario presentes en la OU.
Aparece un mensaje advirtiendo de que ciertos parmetros se gestionan mediante una directiva de
grupo.
Escriba AD3 y, a continuacin, haga clic en Comprobar nombres, valide haciendo clic en el
botnAceptar.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
5 Cules son los criterios que deben respetarse para que una contrasea se considere
compleja?
7 Cules son los dos objetos presentes en AD DS y que utilizan las PSO?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 10 sobre 14.
3. Respuestas
1 Qu tipo de archivo se utiliza con el comando csvde?
El comando csvdeutiliza archivos con formato CSV.
2 Cul es la opcin que debe utilizarse para realizar una importacin con el comando csvde?
Por defecto, el comando csvderealiza una exportacin. Para realizar una importacin, es preciso
usar la opcin -i.
5 Cules son los criterios que deben respetarse para que una contrasea se considere
compleja?
Para que una contrasea se considere compleja es preciso que cumpla tres de los cuatro criterios
siguientes:
Una directiva de contrasea muy especfica puede aplicarse a un usuario o un grupo de seguridad
de tipo global.
7 Cules son los dos objetos presentes en AD DS y que utilizan las PSO?
Existen dos objetos en AD DS desde Windows Server 2008: el Password Settings Container,
que sirve como contenedor del Password Settings Object, que es el segundo tipo de objeto y
contiene los parmetros de seguridad que se aplican a los grupos o al usuario.
La extensin del lado cliente, o CSE, tiene como objetivo recuperar los parmetros recibidos y, a
continuacin, aplicarlos. Existen tantas CSE como tipos de parmetros.
Tras realizar esta accin, se atribuye al usuario un control total a nivel de directivas de grupo.
Si se aplica la opcin Aplicar a una directiva de grupo, sta se vuelve prioritaria, pudiendo incluso
saltar el mecanismo de bloqueo de herencia.
1. Requisitos previos
Tener nociones acerca de las directivas de grupo.
2. Objetivos
Administracin del sistema de directivas de grupo.
Con Windows Server 2008 y Windows Vista, las plantillas administrativas se almacenan en archivos
diferentes. Estos archivos tienen la extensin admx o adml. Se utiliza el lenguaje XML en su
definicin, lo que permite crear, de manera mucho ms sencilla, una nueva plantilla administrativa.
Se ubican, por defecto, en la carpeta PolicyDefinitions, y presentan la ventaja de ser independientes
del lenguaje del sistema operativo. El texto que se muestra est presente en el archivo ADLM. ste
se almacena en una subcarpeta dentro de PolicyDefinitions (ES-es para el espaol).
Existe una herramienta que permite migrar archivos ADM al formato ADMX / ADML, disponible para su
descarga en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkID=270013).
Su creacin consiste en copiar en la carpeta SYSVOL los archivos ADMX y ADML. La replicacin de
archivos (FRS o DFS-R) asegura, a continuacin, la replicacin sobre los distintos controladores de
dominio. Es, as, posible copiar las plantillas administrativas para Office.
Para acceder a la ventana que se muestra a continuacin, y por tanto a las opciones de filtro, es
preciso hacer clic con el botn derecho en Plantillas administrativas y, a continuacin, seleccionar la
opcin Opciones de filtro en el men contextual.
Es posible utilizar varios criterios. En primer lugar, es posible seleccionar los parmetros que estn o
que no estn gestionados, configurados o comentados. A menudo resulta til utilizar el filtro por
palabras clave que permiten visualizar nicamente aquellos parmetros que contienen la palabra
indicada (por ejemplo: Internet, ejecutar). Por ltimo, la seleccin de los parmetros deseados
puede acotarse a un nico sistema operativo (mostrar los parmetros para Internet Explorer 10...).
Configuracin de la redireccin de carpetas y de scripts
La copia de seguridad de los datos de usuario es un punto importante, aunque por desgracia no es
extrao ver muchos datos que se encuentran en las propias estaciones de trabajo. Con el objetivo de
limitar la prdida de datos, en caso de robo o de rotura de algn equipo, es posible implementar la
redireccin de carpetas.
Tenga en cuenta, a su vez, que de este modo el usuario puede acceder a sus datos sea cual sea el
puesto de trabajo sobre el que se conecte.
2. Configuracin de la redireccin
Tras la configuracin de las directivas de grupo, existen varios parmetros disponibles.
Bsica: las carpetas del usuario se redirigen a un lugar comn. Cada uno de ellos dispone de
una carpeta privada en esta ubicacin.
Resulta, por tanto, necesario configurar los scripts en la configuracin del equipo, lo que permite
autorizar su ejecucin con el contexto de seguridad del Sistema local. Los que se aplican a la
configuracin del usuario se ejecutan con permisos del usuario.
Preste atencin, no obstante, a asegurar que el puesto o el usuario tienen acceso a la(s) carpeta(s)
compartida(s) que contiene(n) el(los) script(s). Conviene utilizar la carpeta SYSVOL.
Desde Windows Server 2008 es posible remplazar la mayora de scripts utilizando las directivas de
grupo.
Configuracin de las preferencias de las directivas de
grupo
Las preferencias aparecieron con Windows Server 2008, y han permitido la implementacin de
parmetros (conexin de lector de red, configuracin de Internet Explorer) que antes se realizaba
mediante script.
Es posible aplicar propiedades generales a los distintos parmetros. Consiste en definir la accin y
las distintas propiedades que se quieren definir (ruta UNC). Tambin es posible aplicar otras
propiedades.
Eliminar el elemento cuando no va a aplicarse ms: se elimina una vez se confirma que la
directiva no se va a aplicar ms al puesto. Con este parmetro, la eliminacin se realiza de la
misma forma que los parmetros de la directiva de grupo.
Aplicar una vez y no volver a aplicar: esta propiedad permite solicitar al sistema que
aplique nicamente una vez el parmetro. En caso contrario, se realiza una actualizacin al
mismo tiempo que las directivas de grupo.
Rango de direcciones IP
Sistema operativo
Grupo de seguridad
Idioma
Rango horario
Espacio en disco
En una red informtica, una aplicacin est compuesta de cuatro fases, tres de ellas que pueden
gestionarse mediante una directiva de grupo. La primera fase, la preparacin, consiste en copiar el
archivo MSI en una carpeta compartida y asignar a esta ltima los permisos adecuados. A
continuacin, la fase de despliegue permite instalar la aplicacin en aquellos equipos deseados. La
directiva de grupo puede aplicarse a un usuario o un equipo, puede alojarse en un sitio, un dominio o
una unidad organizativa. La tercera fase no es obligatoria, y consiste simplemente en una fase de
mantenimiento. Si se pone a disposicin alguna nueva versin de la aplicacin, es posible desplegar
esta "actualizacin" mediante la GPO. Como con la fase anterior, la de eliminacin no se aplica
obligatoriamente, y consiste, simplemente, en eliminar la aplicacin instalada anteriormente. De este
modo, es posible eliminarla sobre todas las estaciones o prohibir cualquier nueva instalacin
conservando las que se han hecho con anterioridad.
Como acabamos de ver, la opcin Asignada puede utilizarse para usuarios o equipos. En el caso de
un usuario, la instalacin arranca, nicamente, cuando se hace doble clic en el icono de la aplicacin o
sobre un archivo asociado a dicha aplicacin (archivo XLS, por ejemplo). Adems, la instalacin afecta
nicamente al usuario, no se comparte con los dems usuarios y, por tanto, no estar disponible para
ellos a no ser que la instalen tambin.
La asignacin a un equipo se instala cuando ste reinicia, y todos los usuarios que se conectan a este
equipo tienen acceso a la aplicacin. La publicacin consiste, por su parte, en agregar la opcin de
instalacin en el applet Programas del Panel de control. Solo aquellos usuarios que tengan la
autorizacin adecuada podrn realizar la instalacin.
Trabajos prcticos: Gestin de los puestos de usuario
Estos trabajos prcticos permiten configurar la interfaz de usuario basndose en directivas de grupo.
Abra una sesin en AD1 y, a continuacin, abra la consola Usuarios y equipos de Active
Directory.
En la unidad organizativa Madrid, cree tres nuevas unidades organizativas
llamadas Equipos,Usuarios y Grupos.
Mueva la cuenta del equipo CL8-01 a la unidad organizativa Equipos creada anteriormente.
Se atribuyen permisos de Control total a los Administradores de dominio y Modificar a los Usuarios
autenticados. Las pestaas de comparticin y de seguridad se configuran de la misma forma.
Haga clic en la lista desplegable Accin y, a continuacin, haga clic en la opcin Crear.
Compruebe que aparece la opcin Windows 8.1 en Producto y haga clic dos veces en Aceptar.
Despliegue el nodo Configuracin del panel de control y, a continuacin, haga clic con el botn
derecho en Configuracin de Internet. En el men contextual, seleccione Nuevo - Internet
Explorer 10.
El campo est, ahora, subrayado en verde, lo que significa que la modificacin se ha tenido en
cuenta. En caso contrario, el parmetro no se estara teniendo en cuenta.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho sobre la
unidad organizativa Madrid y, a continuacin, seleccione la opcin Vincular un GPO existente.
Puede comprobar que el lector de red V: apunta a la carpeta compartida Contabilidad, y las
preferencias de Internet Explorer estn presentes. Para forzar la actualizacin de las directivas de
grupo, utilice el comando gpupdate /force.
Cree una carpeta compartida llamada RedirDocs (nombre del recurso compartido RedirDocs$)
enAD1.
Es posible alojar la carpeta en la segunda particin, las autorizaciones que hay que configurar en las
pestaas Autorizaciones y Seguridad son las siguientes:
Haga clic con el botn derecho en la directiva de grupo y, a continuacin, haga clic en Editar.
Despliegue los nodos Configuracin del usuario - Directivas - Configuracin de Windows y, a
continuacin, Redireccin de carpetas.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la unidad
organizativa Madrid y, a continuacin, seleccione la opcin Vincular un GPO existente.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando gpupdate /force.
Aparece un mensaje invitando a cerrar la sesin, presione la tecla S y, a continuacin, [Enter].
En el campo Nombre, escriba Script Conexin lector de red y, a continuacin, haga clic
enAceptar.
Valide haciendo clic dos veces en Aceptar y, a continuacin, cierre la consola Editor de
administracin de directivas de grupo.
El script se ejecuta tras el inicio de sesin de todos los usuarios presentes en la unidad organizativa.
Para llevar a cabo este trabajo prctico, vamos a utilizar el archivo MSI de la aplicacin Foxit Reader,
aunque evidentemente puede utilizar cualquier otra aplicacin si as lo desea.
Pestaa Recurso compartido: Administrador con Control total, Usuarios autenticados con permisos
para Modificar.
Pestaa Seguridad: Administrador con Control total, G_Foxit con permisos para Modificar.
Haga clic con el botn derecho en la directiva de grupo y, a continuacin, haga clic en Editar.
Haga clic con el botn derecho en Instalacin de software y, a continuacin, seleccione Nuevo -
Paquete.
La seleccin debe realizarse mediante la ruta de red y no mediante el nombre de ruta local.
Haga clic en Aceptar y, a continuacin, vincule la directiva de grupo con la unidad organizativa
deMadrid.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando gpupdate /force.
Acepte el reinicio del equipo.
Se realiza la instalacin
Validacin de conocimientos adquiridos:
preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
10 Cules son las acciones que pueden configurarse con los parmetros de directivas de grupo?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 8 sobre 11.
3. Respuestas
1 Qu utilidad tienen las plantillas administrativas?
La plantilla administrativa est compuesta por dos archivos. El archivo ADMX contiene los distintos
parmetros que pueden configurarse as como la ruta donde debe crearse el valor DWORD.
Tambin se utiliza un archivo ADML, que contiene los textos que se muestran al usuario.
5 Qu permite realizar el almacn central?
El almacn central sirve para almacenar los archivos ADMX y ADML directamente en la plantilla
administrativa. De este modo, dejan de utilizarse los archivos locales presentes en todos los
servidores y puestos de trabajo, y solo se aplican los archivos presentes en la plantilla
administrativa.
Los filtros presentes en las plantillas administrativas permiten encontrar, con facilidad, un
parmetro. Existen varios miles de parmetros en las plantillas administrativas, de modo que
puede resultar algo complicado encontrar el parmetro deseado. El filtro puede basarse en un
parmetro configurado, administrado, comentado o, simplemente, que contiene alguna palabra
clave.
El modo bsico permite realizar una redireccin para todos los usuarios en la misma carpeta
compartida. El modo avanzado permite, por su parte, realizar una redireccin en un destino que es
diferente en funcin de la pertenencia del usuario a un grupo de seguridad.
10 Cules son las acciones que pueden configurarse con los parmetros de directivas de grupo?
Es posible configurar varias acciones mediante las directivas. Crear permite implementar un
parmetro mientras que Elim inar se utiliza para su supresin. Rem plazar permite eliminar un
parmetro y, a continuacin, volver a crearlo. Por ltimo, Actualizar permite realizar nicamente
una actualizacin del parmetro existente.
Los destinatarios a nivel de elemento permiten limitar el nmero de usuarios o equipos que reciben
la configuracin.
Requisitos previos y objetivos
1. Requisitos previos
Tener nociones acerca del direccionamiento IP.
2. Objetivos
Definicin del rol DHCP.
El tamao de las redes actuales obliga, cada vez ms, a eliminar el direccionamiento esttico
coordinado por un administrador sobre cada mquina por un direccionamiento dinmico realizado
mediante un servidor DHCP. ste presenta la ventaja de que ofrece una configuracin completa a
cada mquina que realice la peticin pero tambin es imposible encontrar dos configuraciones
idnticas (dos direcciones IP idnticas distribuidas). El conflicto de IP se evita, de este modo, y la
administracin se ve ampliamente simplificada.
La mquina enva, por multidifusin (envo de un broadcast), una trama (DHCP Discover) sobre el
puerto 67.
Todos los servidores que reciben la trama envan una oferta DHCP al cliente (DHCP Offer), el cual
puede, evidentemente, recibir varias ofertas. El puerto utilizado para recibir la oferta es el 68.
El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). sta
compone la direccin IP del servidor y la que se le acaba de proponer al cliente, con el objetivo de
aceptar el contrato enviado por el servidor seleccionado y, tambin, para informar al resto de
servidores DHCP de que sus contratos no han sido seleccionados.
El servidor enva una trama de acuse de recibo (DHCP ACK, Acknowledgement) que asigna al cliente
la direccin IP y su mscara de subred as como la duracin del contrato y, eventualmente, otros
parmetros.
La lista de opciones que el servidor DHCP puede aceptar est definida en la RFC 2134.
Un contrato DHCP (configuracin asignada a un puesto) tiene una duracin de validez, variable de
tiempo que define el administrador. Alcanzado el 50% de la duracin del contrato, el cliente solicita
una renovacin del contrato que se le ofreci. Esta solicitud se realiza nicamente al servidor que
envi el contrato. Si ste no renueva el contrato, la prxima solicitud se realizar alcanzado el
87,5% de la duracin del contrato. Una vez finalizado el mismo, si el cliente no consigue obtener una
renovacin o una nueva concesin, su direccin se deshabilita y pierde la capacidad de utilizar la red
TCP/IP.
La retransmisin DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP
realizadas sobre la subred IP. Transfiere, a continuacin, las distintas solicitudes que recibe al
servidor DHCP presente en la red B.
Conviene, no obstante, asegurar que la tasa de transferencia de la lnea y el tiempo de respuesta
son aceptables.
Instalacin y configuracin del rol DHCP
Como con los dems servicios que pueden agregarse al servidor, DHCP es un rol. Su instalacin se
realiza mediante la consola Administrador del servidor marcando el rol en la ventana de seleccin de
rol.
Es posible tener dos servidores DHCP activos en la red, dividiendo el pool de direcciones en dos. La
regla del 80/20 permite, en un primer momento, equilibrar el uso de los servidores DHCP, aunque,
tambin, poder tener dos servidores sin riesgo de conflicto de IP. El servidor 1 distribuye el 80% del
pool de direcciones mientras que el servidor 2 est configurado para distribuir las direcciones
restantes (20%).
Desarrollando AD1.Formacion.local y, a continuacin, IPv4 podemos ver que no existe ningn mbito.
Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.
De este modo, haciendo clic con el botn derecho sobre IPv4, es posible crear un nuevo mbito.
ste tendr un nombre que debemos indicar en el asistente de creacin.
A continuacin es preciso definir el rango de direcciones disponibles (de 192.168.1.100 a
192.168.1.150).
Es posible tener, en este rango, ciertas direcciones que es preciso excluir, pues estn asignadas a
impresoras Es posible configurar la lista de exclusin, que contiene una direccin o un rango de
direcciones que no pueden configurarse en el rango direccionable.
Un contrato contiene, tambin, una duracin cuyo valor por defecto es de 8 das. Evidentemente, es
posible aumentar o disminuir este valor. A continuacin, es posible indicar la direccin de la o las
puertas de enlace que deben utilizarse. Tambin puede indicarse el o los servidores DNS que se
desean configurar. Estas opciones (DNS, puerta de enlace predeterminada) se distribuyen, a
continuacin, al cliente que realiza la peticin de contrato de modo que es preferible asegurarse de
toda la informacin indicada.
En un dominio Active Directory es necesario proceder a autorizar el servidor DHCP. Los servidores
DHCP Microsoft no autorizados vern cmo Active Directory detiene su servicio.
Opciones de servidor: se aplican a todos los mbitos del servidor as como a las reservas. Si
la misma opcin se configura en las opciones del mbito, es sta ltima la que se aplica,
mientras que la opcin del servidor se ignora.
Haciendo clic con el botn derecho en Opciones de servidor y seleccionando la opcin Configurar
opciones en el men contextual se muestra una ventana que permite configurar la opcin deseada.
De este modo, la opcin 015 Nombre de dominio DNS permite configurar el nombre del dominio
DNS; en nuestro caso Formacion.local.
Las opciones tambin aparecen en opciones de mbito y en las opciones de reservas.
Opciones de mbito: se aplican nicamente al mbito. Cada uno posee sus opciones, las
cuales pueden ser diferentes de un mbito a otro.
No obstante, si se configura una misma opcin en las opciones de servidor y de mbito, la opcin de
mbito resulta prioritaria sobre la del servidor.
Opciones de reservas: se aplican nicamente a las reservas, cada reserva puede tener
opciones diferentes.
3. Reserva de contrato DHCP
Las reservas DHCP permiten asegurar que un cliente configurado para recibir un contrato tendr,
sistemticamente, la misma configuracin. Esto resulta muy til para las impresoras de red que se
quieren mantener con un direccionamiento dinmico. Esto permite asegurar que tendrn siempre la
misma direccin IP. En caso de que existan varios servidores DHCP en una misma red, la reserva
debe crearse de forma duplicada en los dems servidores.
El nombre de la reserva: este campo contiene, por lo general, el nombre del puesto o de la
impresora afectada por esta reserva.
La direccin MAC: debe indicarse la direccin MAC de la interfaz de red que hace la peticin.
4. Implementacin de filtros
Los filtros permiten crear listas verdes y listas de exclusin. La lista verde permite, a todas las
interfaces de red cuyas direcciones MAC pertenecen a ella, obtener un contrato DHCP. Est
representada por la carpeta Permitir en el nodo Filtros. La lista de exclusin, a diferencia de la lista
verde, prohbe el acceso al servicio a todas las direcciones MAC referenciadas. Est representada
por la carpeta Denegar.
Esta funcionalidad vuelve ms pesada las tareas de administracin, puesto que es necesario
introducir a mano la direccin MAC de una nueva mquina para que pueda recibir un contrato.
Se recomienda crear filtros antes de habilitar la funcionalidad, pues en caso contrario, ninguna
mquina de su red podr solicitar un contrato DHCP.
Por defecto, ambas listas ests deshabilitadas.
Para habilitar una de las listas, haga clic con el botn derecho sobre la lista Permitir y, a
continuacin, seleccione Activar. Realice la misma operacin para la lista Denegar.
En la carpeta Permitir, haga clic con el botn derecho en el filtro que acaba de crear y, a
continuacin, seleccione Mover a denegados.
Es posible realizar la misma operacin para desplazar un filtro desde la lista de exclusin a la
lista verde.
La mquina no puede obtener un contrato nuevo.
Dhcp.mdb: base de datos del servicio DHCP. Posee un motor de tipo Exchange Server JET.
Con cada operacin (nueva peticin, renovacin o liberacin de contrato), la base de datos se
actualiza y se crea una entrada en la base de datos de registro.
Tras la operacin de copia de seguridad (sncrona o asncrona), todos los elementos vinculados con
el servidor estn incluidos en la copia de seguridad. Encontramos los siguientes elementos:
Tras la ejecucin de la operacin de restauracin (clic con el botn derecho sobre el servidor y, a
continuacin, Restaurar en el men contextual), debe seleccionarse la carpeta que contiene la copia
de seguridad.
A continuacin, se detienen los servicios DHCP y se restablece la base de datos. Como con la copia
de seguridad, la operacin debe realizarse con permisos de administrador.
Cuando se realiza una operacin de reconciliacin, las entradas contenidas en la base de datos y en
la base de datos de registro se comparan. Esto permite buscar eventuales incoherencias (entradas
en la base de datos que no estn presentes en la base de datos de registro y viceversa).
Ejemplo
Seleccionando la opcin Reconciliar en el men contextual del mbito (clic con el botn derecho
sobre el mbito deseado), se muestra una ventana. Basta con hacer clic en el
botn Comprobarpara ejecutar la verificacin.
Es posible ejecutar esta operacin sobre todos los mbitos seleccionando la opcin Reconciliar
todos los mbitos en el men contextual del nodo IPv4.
Hemos visto antes que el desplazamiento de la base de datos a otro volumen permite realizar una
reinstalacin del servidor sin prdida de datos. En caso de migracin del servidor DHCP, es posible
utilizar ambas soluciones.
Para desplazar esta base de datos es preciso acceder a las propiedades del servidor (clic con el
botn derecho sobre el servidor y, a continuacin, seleccionar Propiedades en el men contextual).
El botn Examinar... permite seleccionar otra carpeta.
Si tras el reinicio del servicio no aparece el mbito, copie todos los archivos alojados en la
carpeta Windows\System32\Dhcp en la nueva carpeta. El servicio debera detenerse y
reiniciarse a continuacin una vez finalizada la copia.
Segunda solucin: no se realiza ninguna reserva en el servidor, o se crea un nmero muy reducido.
La creacin de un nuevo mbito puede resultar abordable. No obstante, esta solucin, si se
implementa incorrectamente, puede causar grandes inconvenientes en el funcionamiento del
sistema de informacin. En efecto, el nuevo servidor no tiene ninguna informacin acerca de los
rangos DHCP que han sido distribuidos antes de la creacin, y existe el riesgo de distribuir
direcciones ya atribuidas a un puesto cliente. En este caso es necesario solicitar al servidor DHCP
que realice una comprobacin antes de atribuir una direccin.
En las propiedades del nodo IPv4 (clic con el botn derecho sobre IPv4 y, a
continuacin,Propiedades), existe una pestaa llamada Opciones avanzadas. Basta con configurar
el nmero de intentos de deteccin de conflicto que debe realizar el servidor para evitar los
inconvenientes ligados a los conflictos de IP.
Se distribuyen nuevos rangos sin riesgo de conflicto IP.
Alta disponibilidad del servicio DHCP
El servicio DHCP es un servicio importante en una red informtica. En caso de que se detenga, no se
asignan ms contratos DHCP y las mquinas van perdiendo, progresivamente, acceso a la red. Para
evitar esta situacin es posible instalar un segundo servidor DHCP y compartir el rango de direcciones
IP distribuidas (generalmente el 80% en el primer servidor y el 20% en el segundo). La segunda
solucin consiste en instalar un clster DHCP, solucin eficaz pero que exige ciertas competencias.
Desde la aparicin de Windows Server 2012 es posible trabajar con dos servidores DHCP sin tener
que montar un clster. De este modo, existe un servicio DHCP disponible ininterrumpidamente sobre
la red. Si alguno de los servidores no se encuentra en lnea, las mquinas cliente pueden contactar
con el otro servidor.
Ambos servidores replican la informacin de los contratos IP entre ellos, con el objetivo de permitir al
otro servidor retomar la responsabilidad de la gestin de las solicitudes de los clientes. En caso de
que se configure en modo equilibrio de carga, las solicitudes de los clientes se dirigen a ambos
servidores.
La conmutacin por error DHCP puede contener dos servidores como mximo y ofrece el servicio solo
para extensiones IPv4.
Auditora de las modificaciones de configuracin del servidor y seguimiento del uso de las
direcciones IP: muestra los eventos operacionales del servidor IPAM y DHCP administrado.
Tambin se realiza un seguimiento de las direcciones IP, ID de cliente, nombre de host o
nombre de usuario. Los eventos del contrato DHCO y los eventos de inicio de sesin de usuario
se recogen en los servidores NPS (Network Policy Server), sobre los controladores de dominio y
sobre los servidores DHCP.
IPAM realiza tentativas peridicas de localizacin de los controladores de dominio, de los servidores
DNS y DHCP. Esta operacin de localizacin afecta, evidentemente, a los servidores que se
encuentran en el mbito de las directivas de grupo. Para poder ser gestionadas por IPAM y autorizar
el acceso a este ltimo debe realizarse la configuracin de los parmetros de seguridad y de los
puertos del servidor.
La comunicacin entre el servidor IPAM y los servidores administrados se realiza mediante WMI o RPC.
1. Especificaciones de IPAM
El alcance de los servidores IPAM est limitado nicamente a un nico bosque Active Directory. Los
servidores que se tienen en cuenta (NPS, DNS y DHCP) deben ejecutar Windows Server 2008 (o
superior) y pertenecer al dominio. Algunos elementos de red (WINS - Windows Internet Naming
Service, proxy) no se tienen en cuenta en el servidor IPAM. Desde Windows Server 2012 R2 es
posible utilizar una base de datos SQL.
Un servidor IPAM puede tener en cuenta 150 servidores DHCP y 500 servidores DNS (6.000 mbitos
y 150 zonas DNS).
Base de datos interna Windows: base de datos interna que puede instalarse mediante los
roles y caractersticas internas.
Administracin de las directivas de grupo: instala la consola MMC que permite administrar
las directivas de grupo.
.NET Framework: instalacin de la funcionalidad .NET Framework 4.5.
2. Caractersticas de IPAM
Una vez instalada la funcionalidad, se crean los siguientes grupos locales:
Usuarios IPAM: los miembros tienen la posibilidad de mostrar toda la informacin del
descubrimiento del servidor, as como aquella informacin asociada al espacio de
direccionamiento IP y la administracin del servidor. El acceso a la informacin de
seguimiento de las direcciones IP le est prohibido.
Administrador de Auditora IPAM IP: los miembros de este grupo pueden realizar tareas de
administracin propias de IPAM as como mostrar la informacin de seguimiento de la
direccin IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden, a su vez, realizar todas las tareas IPAM.
Las tareas IPAM se ejecutan, de forma habitual, en funcin de una periodicidad. Estn presentes en
el planificador de tareas (Microsoft / Windows / IPAM).
En AD1, abra la consola Administrador del servidor y, a continuacin, haga clic en Agregar roles
y caractersticas.
Deje marcada la opcin Instalacin basada caractersticas o en roles y, a continuacin, haga clic
en Siguiente.
En Seleccionar servidor de destino, deje AD1 marcado y, a continuacin, haga clic en Siguiente.
En la consola Administrador del servidor, haga clic en el icono que representa una bandera.
Haga clic con el botn derecho en IPv4 y, a continuacin, en el men contextual, haga clic
enNuevo mbito.
Verifique en el equipo CL8-01 el direccionamiento de la tarjeta de red para que est configurado
para Obtener una direccin IP automticamente.
Marque esta opcin si no estuviera marcada.
Si la direccin configurada es una direccin APIPA (196.254.x.x), realice una nueva peticin de
contrato mediante el comando ipconfig /renew.
Haga clic en Conjunto de direcciones y, a continuacin, haga clic con el botn derecho en el
correspondiente a CL8-01. En el men contextual, seleccione Agregar un filtro y, a
continuacin,Denegar.
2. Implementacin de IPAM
Objetivo: implementar y configurar la funcionalidad IPAM.
En SV1, abra la consola Administrador del servidor y, a continuacin, haga clic en Agregar roles
y caractersticas.
IPAM no debe instalarse en un controlador de dominio, SV1 se utiliza para alojar la funcionalidad.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y, a continuacin, haga
clic en Siguiente.
Una vez instalada la funcionalidad, acceda al Administrador del servidor y, a continuacin, haga
clic en IPAM para mostrar la pgina de presentacin.
La eleccin de la base de datos se va a realizar sobre una base de datos interna. No obstante, en un
entorno de produccin (y en funcin el nmero de equipos), es preferible almacenar la informacin en
una base de datos SQL.
En el campo Prefijo del nombre del GPO, escriba SRVIPAM y, a continuacin, valide haciendo clic
en Siguiente.
Confirme la configuracin haciendo clic en Aplicar.
Configure los roles que quiere descubrir desmarcando aquellos que no desee.
Haga clic en Aceptar.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea.
Es, ahora, necesario otorgar a SV1 los permisos para poder administrar los distintos servidores. Los
objetos de directiva de grupo se utilizan para autorizar el acceso a los servidores DHCP y DNS.
Las directivas estn vinculadas, por defecto, a la raz del dominio. Es posible moverlas si fuera
necesario.
En la consola de configuracin de IPAM, haga clic con el botn derecho en la fila AD1 y, a
continuacin, seleccione Editar servidor.
Asegrese de que la opcin DHCP est marcada y, a continuacin, en la lista desplegable Estado
de capacidad de administracin, seleccione Administrado.
Actualice la consola IPAM, el campo Estado de acceso IPAM est, ahora, Desbloqueado.
Si no fuera el caso, haga clic con el botn derecho en AD1 y seleccione Actualizar.
Haga clic con el botn derecho sobre el rango de direcciones IP y, a continuacin, en el men
contextual, haga clic en Buscar y asignar direccin IP disponible.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y, a continuacin, haga
clic en Siguiente.
Haga clic con el botn derecho en IPv4 y, a continuacin, haga clic en Configurar
conmutacinpor error.
Verifique que las etapas muestran el estado Correcto y, a continuacin, haga clic en Cerrar.
Haga clic en Editar para visualizar las propiedades que se pueden modificar.
En AD1, haga clic con el botn derecho en IPv4 y, a continuacin, seleccione Propiedades.
Haga clic en AD1.formacion.local, seleccione Todas las tareas y, a continuacin, haga clic
enDetener.
En CL8-01, escriba ipconfig /releasey presione la tecla [Enter] del teclado. Escriba, a
continuacin, ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter].
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
9 Cules son los tres tipos de opciones que pueden configurarse mediante la consola DHCP?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 11 sobre 15.
3. Respuestas
1 Cul es el objetivo del protocolo DHCP?
El objetivo del protocolo DHCP es la distribucin de configuraciones IP. Permite, de este modo,
evitar conflictos de direccionamiento IP.
El cliente enva una trama DHCP Discover con el objetivo de encontrar un servidor DHCP. Esta
trama es de tipo broadcast.
El contrato DHCP se asigna al equipo por una duracin de x das. Se realizan varios intentos de
renovacin del contrato. El primero tiene lugar cuando se alcanza el 50% de la duracin del
contrato. El siguiente, alcanzado el 87,5%, y el ltimo alcanzado el 100%. Una vez expira el
contrato, el puesto no puede acceder a la red puesto que no posee configuracin IP.
Un equipo que se encuentre fuera de la red local no puede recibir el contrato DHCP. El DHCP
Discover se basa en una trama de tipo broadcast, lo que impide que se intercambie esta
informacin a travs de un router. Es, por tanto, necesario instalar un servidor DHCP en cada red
local. No obstante, tambin es posible implementar una retransmisin DHCP que sirve como enlace
entre las dos redes locales separadas por un router.
Un mbito DHCP contiene un pool de direcciones distribuibles pero, tambin, las reservas y
exclusiones configuradas.
Tras la configuracin del DHCP, se crea un rango de direcciones IP distribuibles. Es posible excluir
aquellas direcciones correspondientes a impresoras De este modo, estas direcciones no se
distribuirn.
9 Cules son los tres tipos de opciones que pueden configurarse mediante la consola DHCP?
Existen tres tipos de opciones presentes en el DHCP, las opciones de servidor, de mbito o de
reserva. De ello se deduce que un mbito puede poseer opciones diferentes a las del servidor.
La informacin se escribe en la base de datos del servidor DHCP y tambin en la base de datos de
registro. En caso de restauracin de la base de datos, conviene realizar una reconciliacin.
La conmutacin por error permite asegurar una alta disponibilidad en caso de que falle algn
servidor. Existen dos modos de trabajo:
El modo de equilibrio de carga, que permite repartir la carga de trabajo sobre los dos
servidores.
El modo de espera activa, que permite tener un servidor activo y otro en espera. ste se
activa en caso de que falle su servidor asociado.
1. Requisitos previos
Poseer nociones acerca del funcionamiento del protocolo DNS.
2. Objetivos
Configuracin del rol DNS.
DNS (Domain Name System) es un sistema basado en una base de datos distribuida y jerrquica.
Esta ltima est separada de manera lgica. De este modo, los nombres pblicos (jlopez.es) son
accesibles por cualquiera, sea cual sea su localizacin geogrfica.
Es, naturalmente, ms fcil recordar un nombre de dominio o un nombre de equipo que una direccin
IP, adems IPv6 favorece todava ms el uso de un nombre en lugar de una direccin IP.
En un segundo nivel se encuentran los nombres de dominio que estn reservados para empresas o
particulares (jlopez, ediciones-eni). Estos nombres de se reservan en un proveedor de acceso que
puede, a su vez, albergar su servidor web o, simplemente, proveerle un nombre de dominio.
En cada nivel se encuentran servidores DNS distintos, cada uno con autoridad en su zona. Los
servidores raz contienen, nicamente, la direccin y el nombre de los servidores de primer nivel.
Ocurre igual con todos los servidores de cada nivel.
Es posible, para una empresa o un particular, agregar, al nombre de dominio que ha reservado,
registros o subdominios (por ejemplo mail.jlopez.es, que permite transferir todo el trfico de correo
electrnico a un router, en particular el correspondiente a la IP pblica).
Cada servidor DNS puede resolver nicamente aquellos registros de su zona. El servidor de la zona
ES puede resolver el registro jlopez, pero no sabe resolver el nombre de dominio shop.jlopez.es.
3. Despliegue de DNS
Tras la implementacin de una solucin DNS es importante tener en cuenta ciertos parmetros. Es
necesario, en primer lugar, conocer el nmero de zonas DNS configuradas en un servidor as como el
nmero aproximado de registros (con el objetivo de fraccionar, si fuera necesario, los registros en
varias zonas). A continuacin es, tambin, necesario conocer el nmero de servidores que se quiere
instalar y configurar, en funcin, evidentemente, del nmero de clientes que se comunicarn con los
servidores. Puede resultar til instalar un servidor suplementario en el caso de que el nmero de
puestos cliente sea importante, con el objetivo de poder evitar la sobrecarga de los servidores.
Adems, agregar un servidor extra permite, tambin, asegurar la continuidad del servicio si el primer
servidor sufriera cualquier fallo en su funcionamiento. Es necesario conocer la ubicacin de los
servidores, es frecuente encontrar, como mnimo, un servidor DNS por localizacin (si la red de la
empresa se extendiera en cuatro agencias, es decir cuatro redes locales vinculadas mediante
enlaces WAN, sera prudente tener, al menos, cuatro servidores DNS). Esto est, evidentemente,
sujeto al tamao del sitio.
Por ltimo, pueden presentarse otras incgnitas, tales como la integracin o no con Active Directory.
Tras la creacin de una zona, el almacenamiento de sta puede realizarse de dos maneras:
Active Directory: los registros DNS estn contenidos en la base de datos de Active Directory.
Para realizar una modificacin es necesario acceder a la consola DNS. No obstante la
integracin de la zona en Active Directory requiere que el rol DNS est instalado sobre el
controlador de dominio, sin lo cual es imposible realizar la operacin. Esta ltima opcin
ofrece un importante beneficio a los administradores. En efecto, adems de asegurar las
actualizaciones dinmicas, la replicacin se realiza al mismo tiempo que la de Active Directory.
Los administradores no tienen, por tanto, que administrar nada ms.
Configuracin del rol
Una vez instalado, es necesario realizar a la configuracin del rol. En el caso de una instalacin a
partir de la promocin del servidor como controlador de dominio, la creacin de la zona se realiza
automticamente.
Con las consultas iterativas, el puesto cliente enva a su servidor DNS una consulta para resolver el
nombre www.jlopez.es, por ejemplo. El servidor consulta al servidor raz. ste la redirige al servidor
con autoridad en la zona ES. Puede, a su vez, conocer la direccin IP del servidor DNS con autoridad
en la zona jlopez. La consulta de esta ltima permite resolver el nombre www.jlopez.es. El servidor
DNS interno responde a la consulta que ha recibido anteriormente de su cliente.
Con las consultas recursivas, el equipo cliente desea resolver el nombre www.jlopez.es, y enva la
peticin a su servidor DNS. Al no tener autoridad en la zona jlopez.es, el servidor necesita un
servidor externo para realizar la resolucin. La solicitud se reenva, entonces, al reenviador
configurado por el administrador (el servidor DNS de FAI que posee una cach ms amplia, por
ejemplo). Si no tiene la respuesta en cach, el servidor DNS de FAI realiza una consulta iterativa y, a
continuacin, transmite la respuesta al servidor que le ha realizado la peticin. Este ltimo puede,
ahora, responder a su cliente.
CNAME (Canonical Nam e): se crea un alias hacia el nombre de otro puesto. El puesto
afectado est accesible mediante su nombre o mediante su alias.
SRV: permite definir un servidor especfico para una aplicacin, en particular para el reparto
de carga.
PTR (Pointer Record): asociando una direccin IP a un registro de nombre de dominio se
realiza la operacin opuesta a un registro de tipo A. Se crea este registro en la zona de
bsqueda inversa.
SOA (Start Of Authority): el registro ofrece informacin general sobre la zona (servidor
principal, e-mail de contacto, perodo de expiracin).
Un servidor de cach no contiene ningn dato, este tipo de servidor puede servir de reenviador. Un
cliente alberga, a su vez, datos en cach. Para administrar esta informacin pueden utilizarse dos
comandos: ipconfig /displaydnspermite visualizar la cach, ipconfig /flushdnselimina
la informacin contenida en la cach.
Configuracin de las zonas DNS
Las zonas DNS son puntos esenciales en una arquitectura DNS. Estas ltimas contienen todos los
registros necesarios para el correcto funcionamiento del dominio AD.
La zona primaria posee permisos de lectura y de escritura sobre el conjunto de los registros que
contiene. Este tipo de zona puede integrarse en Active Directory o, simplemente, estar contenida en
un archivo de texto. En el caso de que la zona no est integrada con Active Directory es necesario
configurar la transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir sobre este tipo
de zona, al ser de solo lectura. Es imposible integrarla en Active Directory es obligatorio realizar una
transferencia de zona.
Una zona de stub es una copia de una zona, no obstante esta ltima contiene nicamente registros
necesarios para la identificacin del servidor DNS que tiene autoridad sobre la zona que acaba de
agregarse.
Veamos un ejemplo: el servidor AD1 tiene autoridad sobre la zona Formacion.local. El servidor SV1
tiene autoridad sobre la zona Formacion.local y Jlopez.local.
Se crea una zona de stub para poder conocer el o los servidores que contienen los registros del
dominio Jlopez.local.
Una vez el servidor AD1 recibe una peticin de resolucin para el dominio Jlopez.local, la solicitud se
redirige hacia el o los servidores DNS configurados en la zona de stub. De este modo puede llevarse
a cabo la resolucin.
La integracin de la zona en Active Directory requiere la instalacin del rol DNS sobre un controlador
de dominio. Este tipo de zona aporta ciertos beneficios en la gestin del rol DNS.
Actualizacin con varios maestros: a diferencia de los servidores que alojan zonas primarias y
secundarias, las zonas integradas en Active Directory pueden ser modificadas por el conjunto de
servidores. En el caso de un sitio remoto, los registros pueden actualizarse sin tener que conectarse
con el servidor remoto.
Replicacin de zona DNS: la replicacin de zona integrada en Active Directory afecta, nicamente, al
atributo modificado. Tambin existe una diferencia en el proceso de replicacin. Se realiza una
transferencia de zona entre las zonas estndar, mientras que las zonas integradas en Active
Directory se replican mediante el controlador de dominio.
Actualizacin dinmica: la integracin en Active Directory asegura una mejor seguridad impidiendo
cualquier modificacin fraudulenta de los registros.
Cuando la zona est integrada en Active Directory, sta se replica al mismo tiempo que el directorio
Active Directory. Se habla, en este caso, de replicacin con varios maestros, todos los servidores
DNS pueden realizar modificaciones.
Para asegurar una proteccin tras una transferencia de zona a travs de la red es posible utilizar
protocolos de tipo IPsec (Internet Protocol Security). La proteccin de datos a travs de la red
requiere intercambiar datos confidenciales a travs del DNS; en caso contrario, bastara con
proteger nicamente la transferencia de zona.
Administracin y resolucin de errores del servidor DNS
El servicio DNS debe supervisarse para asegurar el correcto funcionamiento de dicho rol. Cualquier
error en el mismo podra provocar una incidencia en el funcionamiento de las aplicaciones y dems
roles.
Si no se realiza ninguna limpieza en un servidor DNS, ste terminar, rpidamente, lleno de registros
obsoletos, lo cual puede provocar resoluciones incorrectas y, por tanto, algn problema derivado.
Para evitarlo es posible utilizar varios componentes. El tiempo de vida (TTL, Time To Live), el borrado y
la caducidad forman parte de estos componentes. El TTL indica un valor durante el que el registro DNS
ser vlido, siendo imposible borrarlo. La caducidad es el mecanismo que permite mantener la
coherencia de datos en el servidor DNS. Los datos que hayan alcanzado su fecha de caducidad se
eliminarn. Por ltimo, el borrado es la operacin que consiste en eliminar estos registros que han
alcanzado su fecha de caducidad.
Tras agregar un registro en una zona principal, se le agrega un timestamp para el proceso de
bloqueo. Cuando un administrador agrega un registro, este timestamp es igual a 0. De este modo, es
imposible aplicar una caducidad a un registro esttico.
Abra una sesin en AD1 como administrador y, a continuacin, abra la consola Administrador de
DNS.
Haga clic con el botn derecho en Formacion.local y, a continuacin, en Nuevo host (A o AAAA).
Haga clic con el botn derecho en Formacion.local y, a continuacin, haga clic en Nuevo
intercambio de correo (MX).
Escriba 192.168.1 en el campo Id. de red y, por ltimo, haca clic en Siguiente.
Solo estn autorizadas las actualizaciones dinmicas seguras, deje la opcin por defecto y, a
continuacin, haga clic en Siguiente.
Marque la opcin Borrar registros de los recursos obsoletos y, a continuacin, haga clic
enAceptar.
Se abre una ventana, marque Aplicar esta configuracin a las zonas integradas en Active
Directory existentes.
Haga clic con el botn derecho en AD1 y, a continuacin, seleccione Propiedades en el men
contextual.
Haga clic con el botn derecho sobre la tarjeta de red y, a continuacin, seleccione la
opcinPropiedades en el men contextual.
Abra la consola Administrador del servidor y, a continuacin, haga clic en el enlace Agregar
roles y caractersticas.
En las ventanas Seleccionar tipo de instalacin y Seleccionar servidor de destino, haga clic
enSiguiente dejando el valor por defecto.
Marque el rol Servidor DNS y, a continuacin, haga clic en Agregar caractersticas.
Abra la consola DNS desde las Herramientas administrativas y, a continuacin, despliegue SV1.
Haga clic con el botn derecho en las Zonas de bsqueda directa y, a continuacin,
seleccioneNueva zona.
Compruebe que est marcada la Zona principal y, a continuacin, haga clic en Siguiente.
Despliegue la zona Formatica.msft y, a continuacin, haga clic con el botn derecho sobre la
zona.
En AD1, abra la consola Administrador de DNS y, a continuacin, haga clic con el botn derecho
en Reenviadores condicionales.
Marque la opcin Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue. Deje el valor por defecto en la lista desplegable y, a continuacin, haga clic en Aceptar.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
5 Cules son los requisitos previos para unir una zona a AD?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 8 sobre 10.
3. Respuestas
1 Cul es el rol del protocolo DNS?
DNS se compone de varios niveles, y cada uno de ellos se encarga de realizar la resolucin. Es
posible encontrar, por ejemplo, la raz que posee en su base de datos la direccin IP de los
servidores de primer nivel (es, com). Cada nivel posee, por tanto, una parte del nombre DNS.
No, un servidor DNS privado contiene los registros que permiten resolver nombres de recursos
locales al dominio mientras que el DNS pblico contiene, por su lado, registros de recursos que
estn accesibles desde el exterior.
5 Cules son los requisitos previos para unir una zona a AD?
El registro de una zona en Active Directory requiere que la zona sea de tipo primario. Es necesario,
a su vez, que el servidor est instalado sobre un controlador de dominio.
Es posible crear varios registros. Los hosts (A o AAAA) permiten resolver un nombre en una
direccin IP. Los punteros (PTR) permiten resolver una direccin IP en un nombre. Los registros de
tipo CNAME ofrecen la posibilidad de implementar alias hacia un equipo o servidor. Por ltimo, los
registros de tipo NS permiten definir los distintos servidores DNS.
Las zonas principales permiten al servidor tener permisos de lectura y de escritura en la zona. Este
tipo de zona puede integrarse en Active Directory. Una zona secundaria no puede modificarse, los
registros son de solo lectura y es necesario realizar una transferencia de zona para proceder a la
actualizacin de los registros. Este tipo de zona no puede integrarse en Active Directory. La zona de
stub no contiene ms que ciertos registros (A, NS y SOA) de una zona, lo que evita un
acoplamiento completo de la zona.
Para realizar el borrado, un servidor DNS utiliza el timestamp con el objetivo de saber si el registro
est obsoleto.
Requisitos previos y objetivos
1. Requisitos previos
Tener ciertas nociones acerca del despliegue de sistemas operativos.
2. Objetivos
Presentacin de las funciones de los servicios de implementacin de Windows.
Adems, esta solucin puede automatizarse parcial o totalmente con el objetivo de asegurar una
correcta configuracin de los equipos. Se utilizan, para ello, varias tecnologas:
Archivo WIM: con Windows Vista ha hecho aparicin un nuevo formato llamado archivo WIM.
Ofrece una multitud de ventajas, entre ellas la independencia respecto al hardware (una
imagen puede, por tanto, aplicarse a varias configuraciones). Un archivo WIM puede contener,
a su vez, varios archivos WIM, cada uno de ellos con un ID nico (el primer archivo posee el ID
1, el segundo el ID 2). Con el objetivo de reducir el tamao de estos archivos de imagen es
posible aplicar una compresin ms o menos potente. Adems, es posible operar una
modificacin sin conexin (agregar un dispositivo, un paquete). Por ltimo, algo muy
importante, la aplicacin de una imagen (despliegue del archivo WIM) no destruye eventuales
datos que pudiera haber presentes en la particin.
PXE: hace ya varios aos que se utiliza la tecnologa PXE, la cual consiste en arrancar un
equipo en la red. Esta solucin se utiliza tras el despliegue de estaciones de trabajo o en el
caso de clientes ligeros.
Este componente provee las funcionalidades necesarias para el arranque PXE de las estaciones de
trabajo. Recibe las consultas PXE entrantes y responde a las distintas mquinas.
Componentes de servidor
El servidor comprende, a su vez, un servidor TFTP (Trivial File Transfer Protocol). ste permite a los
distintos clientes realizar la carga en memoria de la imagen tras el arranque del equipo. Es posible
encontrar, en estos componentes, la carpeta compartida utilizada por WDS. Esta carpeta contiene
las distintas imgenes de arranque e instalacin, controladores, archivos de configuracin
Motor de multidifusin
Autocast: la transmisin arranca una vez el primer cliente realiza la peticin. El servidor
reenva la misma imagen cuando se conecta un cliente, de modo que si se suma un segundo
equipo a la transmisin en curso, la parte faltante se recupera tras el reinicio de la
transmisin (al final de la primera transmisin).
Scheduled-cast: con este tipo de despliegue es posible utilizar dos tipos de criterios. El
primero, en base al nmero de clientes conectados, consiste en iniciar la transmisin una vez
el nmero de clientes conectados alcanza cierto umbral definido por el administrador (por
ejemplo: inicio de la transmisin una vez se conectan 10 puestos cliente). El segundo
consiste en configurar en el servidor una hora de inicio para la transmisin de la imagen en
modo multicast. A continuacin, es necesario conectar los equipos cliente al grupo de
transmisin y esperar la hora de inicio de la distribucin. La transmisin arranca
automticamente en la fecha y hora deseadas.
El rol WDS exige varios requisitos previos, entre ellos un dominio de Active Directory y un servidor
DNS. Tras el inicio de los equipos en modo PXE, se les atribuye una direccin IP. Para ello debe
instalarse y configurarse un servidor DHCP. Preste atencin, no obstante, a que los roles WDS y DHCP
utilizan ambos el puerto UDP 67. En el caso de que se instalen ambos roles en el mismo servidor es
necesario realizar cierta configuracin en el servidor de implementacin.
Una vez aclaradas estas cuestiones y validados los requisitos previos, es posible realizar la
instalacin de WDS.
El servidor de despliegue
El servidor de transporte
Una vez terminada la instalacin, es posible realizar la configuracin, la cual se opera directamente
desde la consola Servicios de implementacin de Windows.
Se abre un asistente de gua al administrador que inicia la etapa de configuracin. De este modo, es
necesario seleccionar la ubicacin de la carpeta compartida. Si los servicios DHCP y WDS estn
presentes en el mismo servidor, es necesario marcar las opciones que permiten modificar el puerto
de escucha (UDP 67) y agregar la opcin 60.
A continuacin, es posible configurar el tipo de respuesta. Existen tres opciones posibles:
Responder solo a los equipos cliente conocidos. El servidor responde nicamente a los
clientes conocidos, lo cual requiere una accin manual por parte del administrador (este
punto se aborda ms adelante en este captulo).
Para los puestos que no tienen en cuenta el boot PXE, es posible crear desde la consola una imagen
de descubrimiento. Adems, WDS ofrece la posibilidad de capturar una particin. A diferencia de la
herramienta ImageX, que permite capturar datos de cualquier particin, la imagen de captura
permite realizar nicamente la captura de la particin de sistema donde se ha ejecutado un sysprep.
La gestin del despliegue engloba, a su vez, otros dos puntos. La transmisin de datos y de
controladores. Por defecto, la transmisin de datos se realiza en modo unicast, es preferible, en el
caso del despliegue de muchos puestos, implementar la transmisin por multidifusin (multicast). La
administracin de controladores consiste en importar paquetes de controladores que pueden
ponerse a disposicin de los equipos durante el despliegue. La importacin puede realizarse si y
solamente si los controladores tienen el formato inf. Es posible utilizar filtros para limitar la cantidad
de controladores ofrecidos a una categora de puesto.
Un ejemplo de filtro: Modelo, Versin del sistema operativo
Administracin del servicio WDS
Como acabamos de ver, la consola Servicios de implementacin de Windows permite realizar la
mayor parte de acciones, no obstante es posible interactuar con el servidor por lnea de comandos.
Para ello, se utiliza la instruccin WDSUTIL.
La gestin del men de seleccin de imgenes es un aspecto importante. Este men puede contener
un mximo de 13 imgenes (es frecuente ver un men con un total de 4 o 5 imgenes). Es posible
configurar tres tipos de respuesta en el servidor, de entre las que seleccionamos la de responder a
los clientes conocidos. Para ello, el administrador debe agregar el dispositivo en la base de datos del
servidor WDS.
Si bien resulta mucho ms segura, esta opcin puede resultar algo molesta si existen muchos puestos
que deben desplegarse. La transmisin por multidifusin puede, a su vez, configurarse por lnea de
comandos. Para configurar una transmisin de tipo Autocast, se utiliza el siguiente comando:
La etapa Arranque PXE es la primera de las cuatro. Esta etapa permite configurar varios parmetros,
entre ellos la respuesta que se enva a los clientes o el comportamiento de la tecla [F12] (continuar
siempre con el arranque PXE).
El despliegue de un sistema operativo requiere una autenticacin, que puede automatizarse para
evitar tener que introducir las credenciales con cada despliegue.
Por ltimo, es posible automatizar las ltimas etapas del despliegue (nombre del equipo, clave de
licencia, creacin de usuarios). A diferencia de las etapas anteriores, esta informacin est
contenida en un archivo de respuestas diferente. Puede crearse con ayuda de Windows ADK y es
idntico al que se utiliza para automatizar la instalacin con DVD.
Trabajos prcticos: Despliegue con WDS
Estos trabajos prcticos permiten configurar la interfaz de usuario basndose en directivas de grupo.
En AD1, inicie una sesin como administrador y, a continuacin, abra la consola Administrador
del servidor.
La instalacin se basa en un rol, deje la opcin por defecto en la ventana Seleccionar tipo de
instalacin y, a continuacin, haga clic dos veces en Siguiente.
Haga clic en Cerrar una vez terminada la instalacin y, a continuacin, en las Herramientas
administrativas, haga clic en Servicios de implementacin de Windows.
Despliegue el nodo Servidores y, a continuacin, haga clic con el botn derecho
enAD1.Formacion.local.
Es preferible ubicar la carpeta de instalacin en una segunda particin, con el objetivo de evitar la
prdida de toda la configuracin tras la reinstalacin del servidor.
Haga clic con el botn derecho en la carpeta Imgenes de arranque y, a continuacin, haga clic
en Agregar imagen de arranque.
En la consola Servicios de despliegue de Windows, haga clic con el botn derecho en el nombre
del servidor (AD1.Formacion.local) y, a continuacin, en el men contextual, haga clic
enPropiedades.
Despliegue los nodos Formacin y Madrid, haga clic en Equipos y, a continuacin, en Aceptar.
Haga clic con el botn derecho en Controladores y, a continuacin, seleccione Agregar grupo de
controladores.
Operador: Igual a
Valor: DELL
Haga clic dos veces en Siguiente y, a continuacin, deje la opcin por defecto en Paquetes que
se van a instalar.
Hace falta importar los controladores en formato INF. Para realizar el resto del trabajo prctico, es
necesario realizar la exportacin de los controladores presentes en su equipo. Tiene la posibilidad de
importar los controladores que desee.
Haga clic en Siguiente hasta llegar a la ventana Grupos de controladores. En ella, seleccione la
opcin Seleccionar un grupo de controladores existente y seleccione Dell Latitude E5640 en la
lista desplegable.
Haga clic en Siguiente y, a continuacin, valide las dems ventanas sin realizar ninguna
modificacin.
Asigne 1024 MB de memoria RAM para el equipo escribiendo 1024 en el campo Memoria de
inicio.
Se recomienda asignar, como mnimo, 1024 MB de RAM, siendo 2048 el valor ideal.
En la ventana Configurar funciones de red, seleccione el mismo conmutador virtual que en las
dems mquinas virtuales y, a continuacin, haga clic en Siguiente.
En la ventana Conectar disco duro virtual, escriba el tamao deseado para el disco duro y, a
continuacin, haga clic en Siguiente.
Esta opcin permite agregar una tarjeta de red heredada, capaz de realizar un boot PXE.
Haga clic con el botn derecho en la fila correspondiente a la solicitud del cliente y a continuacin,
en el men contextual, haga clic en Aprobar.
Espere a que termine de cargar la imagen y, a continuacin, haga clic en Siguiente en la ventana
de seleccin de idioma.
En las ventanas de seleccin de imagen y de particin del equipo, haga clic en Siguiente.
Una vez terminada la instalacin, haga clic en Siguiente en la ventana Regin e idioma y, a
continuacin, en el botn Acepto los trminos de licencia para el uso de Windows.
Contrasea: Pa$$w0rd
Indicio de contrasea: P
En CL8-03, abra la consola Administracin de equipos (haga clic con el botn derecho
enEquipos y, a continuacin, Administrar).
Despliegue el nodo Usuarios y grupos locales y, a continuacin, haga doble clic en Usuarios.
Haga clic con el botn derecho en Administrador y, a continuacin, seleccione la opcin Definir
contrasea.
Haga clic con el botn derecho en la imagen que acaba de importar y, a continuacin, seleccione
la opcin Crear imagen de captura en el men contextual.
En el asistente que se abre, haga clic tres veces en Siguiente y, a continuacin, en Finalizar.
En el campo Nombre del servidor, escriba AD1 y, a continuacin, haga clic en Conectar.
Uno de los dos archivos de respuestas se crea mediante la herramienta WSIM (Windows System
Image Manager). Esta herramienta se encuentra en el Windows ADK, en la siguiente
pgina:http://www.microsoft.com/es-es/download/details.aspx?id=39982
Haga clic en Siguiente y, a continuacin, en Aceptar en las ventanas siguientes. Por ltimo, en la
ventana Seleccione las caractersticas que desea incluir en la instalacin, desmarque todo a
excepcin de la opcin Herramientas de implementacin.
Haga clic en Instalacin para ejecutar la instalacin.
Copie el archivo install.wim, presente en la carpeta de fuentes del DVD, en la particin del
sistema.
En Imagen Windows (abajo a la izquierda), haga clic con el botn derecho en Seleccionar una
imagen Windows.
Haga clic en S en la ventana que solicita la creacin del archivo de catlogo (clg).
En el panel central del Archivo de respuesta, haga clic con el botn derecho en Crear o abrir un
archivo de respuesta y, a continuacin, seleccione Nuevo archivo de respuesta.
Haga clic con el botn derecho en amd64_Microsoft-Windows-International-Core_neutral y, a
continuacin, haga clic en Agregar a la fase 7 oobe.
InputLocale: es-ES
SystemLocale: es-ES
UILanguage: es-ES
UILanguageFallback: es-ES
UserLocale: es-ES
HideEULAPage: True
HideLocalAccountScreen: True
HideOnlineAccountScreens: True
NetworkLocation: Work
ProtectYourPC: 1
Haga clic con el botn derecho en LocalAccounts y seleccione la opcin Insertar nuevo
"LocalAccount" en el men contextual.
Configure los parmetros tal y como se indica a continuacin:
DisplayName: Mantenimiento
Group: Administradores
Name: Mantenimiento
Haga clic en el botn Seleccionar situado a la derecha del campo Imagen de arranque.
Esta imagen es el archivo boot.wim que se ha importado del primer trabajo prctico.
Seleccione la pestaa Instalacin desatendida de cliente y, a continuacin, haga clic en Crear
nuevo archivo.
CL8-03 ya ejecuta un sistema operativo, est compuesto por dos particiones (la particin de sistema
y la particin de 350 MB reservada al sistema).
Haga clic en Aceptar para validar todas las modificaciones realizadas en la ventana Propiedades
del dispositivo.
Haga clic en el botn Seleccionar archivo y, a continuacin, con ayuda del botn Examinar,
seleccione el archivo de respuestas oobe.xml creado anteriormente.
Haga clic dos veces en Aceptar.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
7 Qu accin debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? Por
qu?
8 Explique los tres tipos de respuestas que puede realizar el servidor WDS.
9 Qu ejecutable permite realizar una gestin del rol por lnea de comandos?
10 Cules son las tareas que es posible automatizar mediante Dispositivos preconfigurados de
Active Directory?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 8 sobre 10.
3. Respuestas
1 Con qu sistema operativo apareci WDS?
WDS permite realizar el despliegue de archivos WIM personalizados o presentes en los DVD
proporcionados por Microsoft a travs de la red.
WinPE es un sistema que permite a los equipos acceder al servidor WDS. Este sistema est
compuesto por un archivo WIM que se carga en los equipos tras su arranque a travs de la red.
Todas las imgenes, archivos de respuestas, etc. se almacenan en una carpeta compartida llamada
RemoteInstall. Se recomienda ubicarla en una particin diferente a la del sistema.
El Autocast consiste en iniciar la transmisin multicast desde que el primer cliente realiza la
peticin. Las eventuales deltas faltantes se recuperan, en los dems clientes, una vez finalice la
transmisin.
7 Qu accin debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? Por
qu?
Los servicios DHCP y WDS utilizan, ambos, el puerto UDP 67, por lo que resulta necesario en este
caso solicitar a WDS que cambie el puerto de escucha (no escuchar en el puerto 67) y agregar en
DHCP la opcin 60 pxe client.
8 Explique los tres tipos de respuestas que puede realizar el servidor WDS.
9 Qu ejecutable permite realizar una gestin del rol por lnea de comandos?
El ejecutable WDSUTIL permite configurar y administrar el servidor WDS por lnea de comandos.
10 Cules son las tareas que es posible automatizar mediante Dispositivos preconfigurados de
Active Directory?
1. Requisitos previos
Poseer conocimientos acerca del protocolo VPN.
2. Objetivos
Configuracin de una infraestructura de red.
Es posible proteger esta conexin entrante asegurando el estado de salud de los equipos (antivirus
habilitado y actualizado, firewall habilitado). Para ello, debe instalarse un servidor NAP.
Es conveniente comprobar que se soporta esta norma antes de comprar cualquier material
hardware.
El acceso remoto se gestiona mediante el rol Acceso remoto. ste permite establecer la conexin
utilizando una de las dos tecnologas siguientes:
Acceso VPN: este tipo de conexin se establece a travs de una red pblica (Internet). Se
crea un tnel entre los dos puntos asegurando una conexin segura entre ambos. Es posible,
a su vez, utilizar este tipo de conexin para enlazar las distintas sedes de la empresa. Cada
una permite, de este modo, acceder a los recursos de red de la otra.
DirectAccess: a diferencia del acceso VPN, que requiere que el usuario establezca
manualmente la conexin, DirectAccess realiza la conexin a la red de la empresa sin
intervencin alguna por parte del usuario. Adems de la consulta de pginas de Internet, el
ancho de banda utilizado no es el de la empresa sino el del usuario. Esto permite ahorrar en
ancho de banda de Internet de la empresa.
Un router lgico puede, a su vez, configurarse para vincular dos redes diferentes. Esto tiene la
misma funcin que un router hardware. Es, por tanto, posible implementar la traduccin NAT
(Network Address Translation) que permite compartir la conexin a Internet en el interior de la red
utilizando un direccionamiento privado (RFC 1918).
PAP: el protocolo PAP (Password Authentication Protocol) es uno de los protocolos menos
seguros, puesto que utiliza contraseas sin cifrar. Este ltimo se utiliza si no se puede
negociar ningn mtodo seguro. Ofrece, no obstante, la ventaja de que tiene en cuenta
sistemas operativos de cliente antiguos que no permiten utilizar un mtodo ms seguro.
Una entidad emisora de certificados permite emitir y administrar un certificado digital. ste puede
asignarse a un usuario, a un equipo o a un servicio. Un certificado digital permite, como un
pasaporte o un carnet de identidad, justificar la identidad de un objeto (usuario, etc.). Contiene
claves necesarias para realizar la autenticacin. Los modelos de certificado permiten emitir un
certificado copiando las distintas propiedades del modelo. Emitido con una duracin previa definida,
puede resultar necesario revocar el certificado antes de su fecha de expiracin. La lista de
revocacin permite enumerar los certificados revocados y prohibir su uso. Desde Windows Server
2008, el servicio de rol OCSP (Online Certificate Status Protocol) permite verificar la revocacin de un
certificado sin que el usuario tenga que descargar una lista completa de revocaciones.
El servidor de acceso remoto realiza una peticin de diez direcciones cuya atribucin realiza un
servidor DHCP. La primera direccin la utiliza el propio servidor para su interfaz mientras que las
nueve restantes sirven para los clientes que se conectan.
Tras la desconexin de la sesin remota, el contrato se libera. No obstante, si se utilizan las diez
direcciones, se provee otro lote de diez direcciones. Es posible asignar las opciones nicamente a
los equipos que se conectan de manera remota utilizando la clase de enrutamiento y de acceso
remoto (es preciso crear una directiva en el DHCP).
Configuracin del acceso VPN
Una solucin VPN est compuesta por un servidor y, tambin, por un cliente VPN. Ambos se comunican
mediante un protocolo de tunneling.
L2TP es una combinacin de dos protocolos (PPTP y L2F). No obstante, a diferencia de PPTP, no se
utiliza el cifrado MPPE, pues se reemplaza por IPsec en modo transporte. Se habla, as, de
L2TP/IPsec. No obstante, es necesario que tanto el servidor como el cliente interpreten ambos
protocolos. Los clientes deben ejecutar, como mnimo, Windows XP y los servidores Windows Server
2003. La encapsulacin se realiza en dos capas:
Encapsulacin L2TP
Encapsulacin IPsec
Los algoritmos AES (Advanced Encryption Standard) o 3DES (Triple Data Encryption Standard) se
utilizan para cifrar los mensajes L2TP. La clave de cifrado se genera mediante IKE.
SSTP es el protocolo de tunneling que aparece con Windows Server 2008. Este ltimo presenta la
ventaja de utilizar el protocolo HTTPS (puerto 443). Este puerto est, a menudo, abierto en los
firewall, lo que permite al cliente poder conectarse en la mayora de casos. Las tramas PPP se
encapsulan en tramas IP. El cifrado se realiza mediante el protocolo SSL.
La autenticacin de las peticiones de conexin de los clientes VPN puede llevarse a cabo mediante
un servidor RADIUS o por el servidor de acceso remoto. Esta eleccin se realiza en la configuracin
del servidor VPN.
Es posible realizar otras operaciones tales como la configuracin de la funcionalidad VPN Reconnect
o la definicin del nmero de puertos VPN.
La funcionalidad no est incluida por defecto, y es necesario instalarla antes de poder crear los
perfiles.
Visin general de las polticas de seguridad
El servidor de acceso remoto determina si la conexin est autorizada o no en funcin de las
directivas de red. Es, as, posible agregar en estas reglas restricciones de da y hora, de desconexin
en caso de inactividad
Las directivas de red son reglas que contienen un conjunto de condiciones y de parmetros que
indican las personas autorizadas a conectarse. En caso de implementar la funcionalidad NAP, se
agrega el control de integridad. De este modo, el servidor autoriza o no la conexin en funcin del
estado de salud del equipo que se conecta.
Como con un firewall, las reglas son analizadas. Cuando alguna regla se corresponde con la solicitud
de conexin, se aplican los parmetros definidos. La verificacin de las reglas se realiza en orden, por
lo que es importante verificar la concordancia de las distintas reglas (si la regla 1 aplica, las siguientes
reglas no se tendrn en cuenta).
Condiciones: esta categora permite definir la condicin que debe respetarse para que se est
en conformidad con la directiva de red.
Restricciones: las restricciones permiten agregar criterios que las solicitudes de conexin deben
respetar obligatoriamente. En caso contrario, la consulta se rechaza. No obstante, si las
condiciones no se respetan, la solicitud de conexin se rechaza sin evaluar las directivas
suplementarias.
til para las aplicaciones web, puede utilizarse con AD FS. Este ltimo caso aporta una seguridad
suplementaria. En efecto, el riesgo de exposicin en Internet de la o las aplicaciones se gestiona
configurando ciertas funcionalidades de AD FS (Workplace Join, autenticacin fuerte).
Gracias a ello, aseguramos que nicamente aquellas personas autorizadas acceden a las
aplicaciones.
Desde hace varios aos es posible utilizar NPS como servidor RADIUS. Es posible, tambin, utilizarlo
como proxy RADIUS para asegurar que se enrutan los mensajes RADIUS entre los distintos clientes
RADIUS que tienen el rol de servidor de acceso y los servidores RADIUS que tienen el rol de autenticar
a los usuarios.
Por ello, NPS se convierte en el punto central cuando se intenta realizar una conexin y posee el rol
de proxy RADIUS.
Desea proveer a sus clientes servicios de acceso remoto externalizados (VPN, por ejemplo).
Los servidores de directorio los gestionan los clientes. En funcin del nombre de dominio y del
nombre de usuario informado el servidor proxy redirigir la peticin de conexin al servidor
RADIUS del cliente correspondiente.
Es preciso procesar muchas conexiones. Para evitar una sobrecarga en alguno de los
servidores, conviene repartir a los usuarios sobre el conjunto de servidores. Para ello, conviene
enviar las tramas al proxy RADIUS, que repartir la carga entre los distintos servidores RADIUS.
Soporte del enrutamiento y acceso remoto
El soporte de la parte de enrutamiento es un elemento importante. En efecto, el fallo de un router o
de un servidor con el rol puede provocar errores en las aplicaciones o en el trabajo del usuario. Es,
por tanto, necesario asegurar el correcto funcionamiento de este rol.
Slo registrar errores: solamente se utiliza el log del sistema, y los errores encontrados se
anotan.
Registrar errores y advertencias: se utiliza el log del sistema pero, a diferencia del nivel
anterior, se anotan los errores y advertencias.
Registrar todos los eventos: este nivel permite recuperar el mximo de informacin.
Es, por tanto, necesario, en primer lugar, asegurar que el servidor responde, utilizando los
comandos ping o tracert. A continuacin, puede ser necesario asegurar la validez de la informacin
indicada (que la cuenta de usuario est habilitada, que la cuenta no est bloqueada, que no exista
restriccin horaria).
El problema puede, no obstante, provenir del servidor VPN, en cuyo caso el administrador debera
verificar el estado del servicio de enrutamiento y la presencia de eventos relacionados en el registro.
Configuracin de DirectAccess
Implementando DirectAccess, el administrador se asla de problemas vinculados con una incorrecta
manipulacin del usuario o configuracin del cliente. En efecto, ste se conecta de manera automtica
al servidor.
1. Presentacin de DirectAccess
DirectAccess permite, a diferencia de otros tipos de servidor, evitar al usuario tener que establecer
la conexin con el servidor. En efecto, sta se establece automticamente. Se utilizan varios
protocolos, entre ellos HTTPS e IPv6. El uso del protocolo HTTPS permite atravesar con mayor
facilidad los firewalls.
Implementando este tipo de servidor VPN el administrador se asegura de que los equipos remotos
estn actualizados, en efecto esta funcionalidad permite administrar los equipos remotos como un
equipo local. Es posible configurar un acceso bidireccional que permita al equipo remoto acceder a la
red local, y viceversa. Adems, implementando DirectAccess, el cliente separa el trfico de intranet
hacia la empresa del trfico de Internet. El ancho de banda de Internet de la empresa no se utiliza
en los clientes conectados remotamente.
2. Componentes de DirectAccess
Una solucin DirectAccess est compuesta por varios componentes, entre ellos un rol DirectAccess.
Este rol puede instalarse en cualquier servidor del dominio, y tiene como objetivo proveer servicios
de autenticacin y funcionar como extremo del tnel IPsec.
El cliente DirectAccess es una estacin de trabajo que ejecuta Windows 8 (versin Enterprise) o
Windows 7 (Enterprise o Ultimate). Es preciso que la mquina sea miembro del dominio. La conexin
al servidor se realiza utilizando los protocolos IPv6 e IPsec. Es posible utilizar los protocolos de
transicin IPv6/IPv4, si se implementan las soluciones 6to4 o Teredo. No obstante, si los protocolos
de transicin estuvieran bloqueados, la conexin podra establecerse utilizando los protocolos IP y
HTTPS.
Se requiere un servidor de ubicacin de red. ste lo utiliza el cliente DirectAccess. En efecto, si existe
la posibilidad de establecer una conexin HTTPS, el equipo est en la red local y el cliente
DirectAccess se deshabilita. En caso contrario, el equipo est fuera de la red local. Este servidor se
instala con el rol Servidor Web.
Debe instalarse un dominio Active Directory, cuyo nivel funcional debe ser, como mnimo, Windows
Server 2003. Se utilizan directivas de grupo para desplegar las opciones de DirectAccess.
Windows Server 2012 aporta una novedad a nivel del sistema de PKI. En efecto, ya no es
obligatorio, lo que simplifica la implementacin y la administracin de la funcionalidad. No obstante,
es imposible utilizar ciertas funcionalidades tales como la proteccin de acceso mediante un servidor
NAP (Network Access Protection), la autenticacin de dos factores o el tunneling forzado.
Como hemos visto antes, el cliente DirectAccess intenta conectarse con el servidor NLS para saber si
est conectado en la intranet o desde Internet. El servidor NLS se ubica en un servidor web (o en el
servidor DirectAccess), y puede accederse utilizando el protocolo HTTPS. Este servidor debe estar
accesible desde cualquier sitio de la empresa, pues de lo contrario el cliente DirectAccess puede
presentar un comportamiento anormal (conexin del equipo mientras est ubicado en la red
intranet, por ejemplo).
En caso de que el equipo se conecte a la red desde Internet, el cliente DirectAccess no recibe
ninguna respuesta del servidor NLS. Utiliza, entonces, la tabla NRPT para redirigir las consultas hacia
el servidor DNS adecuado.
Como el servidor, el cliente debe ser miembro del dominio. Es preciso asegurar, antes de
implementar DirectAccess, que se tiene instalada la versin adecuada de Windows 7/8/8.1
(Windows 7 Enterprise o Ultimate, Windows 8 u 8.1 Enterprise).
Por ltimo, es necesario disponer de un controlador de dominio Active Directory, un servidor DNS y,
para un uso completo, una infraestructura de PKI. Puede resultar necesario implementar los
protocolos de transicin IPv4/IPv6 adecuados.
Presentacin del rol Network Policy Server
NPS permite a los administradores implementar las directivas de acceso de red (autenticacin y
autorizacin de las solicitudes de conexin). Es posible, a su vez, configurar un proxy RADIUS que
asegure la transmisin de las peticiones hacia otros servidores RADIUS.
Es posible utilizar un servidor NPS como servidor RADIUS, para ello es preciso configurar los clientes
RADIUS (punto de acceso Wi-Fi, switch, servidor VPN). A continuacin, es necesario implementar las
distintas directivas de red tiles para realizar la autorizacin de las peticiones de conexin. Si el
servidor es miembro del dominio, puede utilizarse AD DS para proveer la base de las cuentas de
usuario. De este modo, el usuario puede utilizar su nombre de usuario y su contrasea para acceder
a la red. NPS puede, a su vez, servir como servidor de directivas NAP. El servidor recupera la
informacin de conformidad enviada por los clientes y autoriza, o no, el acceso a la red. Este acceso
se autoriza si el estado de conformidad respeta las restricciones de seguridad definidas por el
administrador (antivirus actualizado, etc.). El cliente NAP est integrado en los sistemas operativos
desde Windows XP SP3.
Una vez realizada la instalacin del rol es posible proceder a su configuracin mediante la consola que
se agrega durante la instalacin o mediante el comando netsh. Es, tambin, posible utilizar cmdlets
de PowerShell.
Configuracin del servidor RADIUS
RADIUS es un protocolo que permite realizar la autenticacin y la autorizacin con el objetivo de
autorizar o no un acceso a la red.
Las RFC 2865 y 2866 normalizan los puertos 1812 y 1813 para realizar la autenticacin (el primero)
y la gestin de cuentas (el segundo).
Mtodo de autenticacin NPS
Antes de autorizar o rechazar el acceso, el servidor NPS autentica y autoriza la solicitud de conexin.
La autenticacin permite asegurar la identificacin de un usuario o un equipo que intenta conectarse
a la red. Esta identificacin se aprueba mediante la informacin de identificacin proporcionada
(contrasea, certificado digital).
La gestin de estas plantillas se realiza mediante la consola NPS. Es posible agregar, eliminar,
modificar o duplicar las distintas plantillas. El objetivo de esta funcionalidad es crear plantillas que
permitan reducir el tiempo de administracin de los distintos servidores NPS de una empresa.
Claves compartidas: permite especificar una clave compartida que se reutilizar en uno o
varios servidores RADIUS.
Cliente RADIUS: define la configuracin del cliente RADIUS que debe utilizarse.
2. Autenticacin
La autenticacin basada en una contrasea no se considera como la ms segura. Es preferible
implementar una autenticacin basada en certificados digitales. El servidor NPS acepta varios
mtodos de autenticacin. Es posible utilizar, de este modo, varios protocolos.
MS-CHAP Versin 2
El protocolo MS-CHAP Versin 2 consiste en una autenticacin mutua cifrada mediante una
contrasea cifrada de sentido nico. Est compuesta por un servidor responsable de realizar la
autenticacin as como un cliente. La versin 1 o MS-CHAP utiliza, por su parte, contraseas
irreversibles y cifradas. Es preferible utilizar MS-CHAPv2.
CHAP
PAP
Este protocolo se considera como el menos seguro puesto que utiliza contraseas sin cifrar. Se
utiliza, por lo general, si el cliente y el servidor no pueden comunicarse por ningn otro mtodo de
autenticacin ms seguro. No se recomienda utilizar este protocolo pues un anlisis de las tramas
intercambiadas permite obtener la contrasea.
Un certificado digital es como un "carnet de identidad" virtual, que entrega la entidad emisora de
certificados y permite asegurar la autenticacin. Implementndolo con el servidor NPS, es posible
autenticar una cuenta de usuario o un equipo y, por tanto, evitar el uso de contraseas. Se utilizan,
para ello, los protocolos PEAP y EAP-TLS para permitir a NPS realizar una autenticacin basada en un
servidor. El uso del protocolo EAP-TLS permite al cliente y al servidor autenticarse mutuamente,
hablamos por tanto de autenticacin mutua.
Supervisin y mantenimiento del rol NPS
En ciertos casos puede resultar til analizar el servidor NPS. Para ello es necesario configurar el
registro de eventos. La informacin que ofrecen estos registros de eventos puede resultar til para
analizar un problema de conexin, o para realizar una auditora de seguridad.
El anlisis puede realizarse de dos formas, utilizando el registro de eventos o registrando las
peticiones de autenticacin y las cuentas utilizadas. Con el primer mtodo, los registros se almacenan
en los registros de sistema y de seguridad. Permite realizar una auditora de las conexiones y, por
tanto, resolver problemas ms fcilmente.
El segundo mtodo consiste, por su parte, en registrar las solicitudes de autenticacin en archivos de
texto o en una base de datos. Este mtodo permite realizar un anlisis de las conexiones y su
facturacin. La base de datos puede, evidentemente, alojarse en un servidor remoto o de manera
local.
Trabajos prcticos: Configuracin del acceso remoto
Estos trabajos prcticos permiten configurar un acceso VPN y, a continuacin, implementar la
funcionalidad DirectAccess.
En la ventana Seleccionar tipo de instalacin, deje la opcin por defecto y, a continuacin, haga
clic dos veces en Siguiente.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Servicios de rol, marque la
opcin Inscripcin web de entidad de certificacin.
Valide la seleccin haciendo clic tres veces en Siguiente, y, a continuacin, ejecute la instalacin
mediante el botn Instalar.
Haga clic en Cerrar y, a continuacin, en la consola Administrador del servidor, haga clic
enNotificaciones y, a continuacin, en Configurar Servicios de certificados de Active Directory.
Haga clic en Siguiente en la ventana Credenciales y, a continuacin, marque los dos servicios de
rol.
En las ventanas Tipo de instalacin y Tipo de CA, deje la opcin por defecto (CA empresarial,CA
raz) y, a continuacin, haga clic en Siguiente.
Marque la opcin Crear una clave privada nueva y, a continuacin, haga clic en Siguiente.
Deje las opciones por defecto en la ventana Criptografa para la CA.
Marque la opcin Permitir para el permiso Inscribirse y, a continuacin, haga clic en Aceptar.
Cierre la ventana Consola de plantillas de certificado y, a continuacin, haga clic con el botn
derecho en Formacion-AD1-CA, seleccione Todas las tareas y, a continuacin, Detener servicio.
Haga clic con el botn derecho en Objetos de directiva de grupo y, a continuacin, seleccione la
opcin Nuevo en el men contextual.
Site el ratn en la zona inferior izquierda para mostrar la interfaz Windows, haga clic con el
botn derecho y, a continuacin, seleccione, en el men contextual, la opcin Ejecutar.
Despliegue el nodo Certificados y, a continuacin, haga clic con el botn derecho en Personal.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando gpupdate /force.
Cierre la ventana de comandos y, a continuacin, abra una consola MMC.
Deje la opcin por defecto en la ventana Seleccionar equipo y, a continuacin, haga clic
enFinalizar.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y, a continuacin, haga
clic dos veces en Siguiente.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Seleccionar servicios de rol,
compruebe que est marcada la opcin Servidor de directivas de redes.
Una vez terminada la instalacin, abra la consola Servidor de directivas de redes desde las
Herramientas administrativas.
Haga clic con el botn derecho en NPS (Local) y, a continuacin, seleccione Registrar servidor
en Active Directory en el men contextual.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y, a continuacin, haga
clic dos veces en Siguiente.
En la ventana Seleccionar roles de servidor, marque Acceso remoto y, a continuacin, haga clic
en el botn Agregar caractersticas.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Seleccionar servicios de rol,
marque Enrutador y, a continuacin, haga clic en Siguiente.
Haga clic dos veces en Siguiente (los Servicios de rol IIS deben dejarse por defecto) y, a
continuacin, haga clic en Instalar.
Una vez terminada la instalacin, abra la consola Enrutamiento y acceso remoto desde las
Herramientas administrativas.
Haga clic con el botn derecho en SRV-RT y, a continuacin, en el men contextual, haga clic
enConfigurar y habilitar Enrutamiento y acceso remoto.
Haga clic con el botn derecho en SRV-RT (local) y, a continuacin, en el men contextual,
seleccione Propiedades.
Ahora es preciso crear una directiva de red para los clientes que se conectan mediante VPN.
Haga clic con el botn derecho en la primera directiva de red y, a continuacin, seleccione la
opcin Deshabilitar en el men contextual.
Haga clic en Siguiente hasta la ltima ventana y, a continuacin, en el botn Finalizar para
cerrar el asistente.
Site el ratn en la zona inferior izquierda para mostrar la interfaz del men inicio. Haga clic con
el botn derecho en la interfaz y, a continuacin, en el men contextual, seleccione Panel de
control.
Deje la opcin Windows Vista o posterior marcada y, a continuacin, haga clic en Siguiente.
En la ventana Crear o modificar un perfil de Connection Manager, deje la opcin Perfil
nuevomarcada y, a continuacin, haga clic en Siguiente.
Haga clic en Editar en la pantalla Crear o modificar una entrada VPN y, a continuacin,
seleccione la pestaa Seguridad.
En la lista desplegable Estrategia de VPN, seleccione Utilizar solo protocolo de tnel de capa
dos L2TP (Protocole Layer two Tunneling Protocol).
Valide la informacin indicada haciendo clic en Aceptar.
Cierre todas las ventanas y, a continuacin, inicie una sesin como emartinez.
En la ventana Conexiones de red, haga doble clic en el icono Conexin VPN Formacion.local y, a
continuacin, en el panel Red, haga clic en Conexin VPN Formacion.local y, a continuacin,
enConectar.
Escriba formacion\emartinez en el campo Nombre de usuario y, a
continuacin, Pa$$w0rd enContrasea.
3. Configuracin de DirectAccess
Objetivo: configurar la funcionalidad DirectAccess
Si ha seguido los dos trabajos prcticos anteriores, realice las siguientes tres manipulaciones. En caso
contrario, puede ignorarlas.
En SRV-RT, abra la consola Enrutamiento y acceso remoto y, a continuacin, haga clic con el
botn derecho en SRV-RT (local). Seleccione la opcin Deshabilitar Enrutamiento y acceso
remoto para detener el servicio.
Modifique el conmutador virtual de la estacin CL8-02 para que utilice el configurado en AD1.
Modifique la configuracin de red de manera tal que la obtenga mediante DHCP. Si no ha
realizado el trabajo prctico anterior, es necesario crear una unidad organizativa llamada VPN en
la raz del dominio Formacion.local. Puede crearse mediante la consola Usuarios y equipos de
Active Directory. A continuacin, cree un grupo global de seguridad llamado G_Acceso_VPN (el
cual estar presente en la unidad organizativa que acaba de crear).
Haga doble clic en el grupo G_Acceso_VPN, seleccione la cuenta de usuario que ha agregado en
el trabajo prctico anterior y haga clic en Eliminar. Agregue la cuenta de equipo CL8-02 al
grupo.
Abra la consola Administracin de directivas de grupo, haga clic con el botn derecho en la
directiva de grupo Default Domain Policy y, a continuacin, seleccione la opcin Editar.
Haga clic con el botn derecho en Reglas de entrada y, a continuacin, haga clic en Nueva regla.
En la pantalla Tipo de regla, seleccione Personalizada y, a continuacin, haga clic dos veces
enSiguiente.
Haga clic con el botn derecho en Reglas de salida y, a continuacin, haga clic en Nueva regla.
En la pantalla Tipo de regla, seleccione Personalizada y, a continuacin, haga clic dos veces en
el botn Siguiente.
Seleccione la opcin Permitir la conexin y, a continuacin, haga clic dos veces en Siguiente.
Abra la consola Administrador del servidor, haga clic en Herramientas y, a continuacin, DNS.
Haga clic con el botn derecho en Formacion.local y, a continuacin, seleccione Host nuevo (A o
AAAA).
Este comando permite eliminar el nombre ISATAP de la lista roja de consultas globales DNS
Haga clic en Cambiar configuracin del adaptador y, a continuacin, acceda a las propiedades
de la tarjeta Ethernet que est conectada a la red local 192.168.1.0.
Haga clic en Aceptar y, a continuacin, marque las opciones Incluir en las CRL.Usada para
encontrar la ubicacin de diferencias CRL. e Incluir en la extensin CDP de los certificados
emitidos.
Haga clic en Aplicar y, a continuacin, en No en la ventana emergente que propone reiniciar los
servicios de certificados de Active Directory.
Escriba .crl al final del campo Ubicacin y, a continuacin, haga clic en Aceptar.
Marque las opciones Publicar las listas de revocacin de certificados (CRL) en esta
ubicaciny Publicar diferencias CRL en esta ubicacin y, a continuacin, haga clic en Aceptar.
Haga clic con el botn derecho en Servidor web y, a continuacin, haga clic en Plantilla
duplicada.
Haga clic con el botn derecho en Default Domain Policy y, a continuacin, haga clic en Editar.
Haga clic dos veces en Siguiente. En la pantalla Solicitar certificados haga clic en Certificado
SRV Web Formacin.
En el rbol que muestra la consola, despliegue los nodos Certificados (equipo local), Personaly,
por ltimo, Certificados.
Haga clic con el botn derecho en Certificados y, a continuacin, seleccione Todas las tareas -
Solicitar un nuevo certificado.
Haga clic dos veces en Siguiente, marque Certificado SRV Web Formacin y, a continuacin,
haga clic en Se necesita ms informacin para inscribir este certificado.
Haga clic con el botn derecho en el certificado que acaba de crear y, a continuacin, en el men
contextual, seleccione Propiedades.
Despliegue el nodo Sitios y, a continuacin, haga clic con el botn derecho en Default Web Site.
En el men contextual, haga clic en Agregar directorio virtual.
En la ventana Agregar directorio virtual, escriba CRLD en el campo Alias y, a continuacin, haga
Haga doble clic en Disco local (C:) y, a continuacin, haga clic en el botn Crear nueva carpeta.
Seleccione la carpeta CRLD y, a continuacin, en el panel central de la consola, haga doble clic en
el icono Editor de configuracin.
Abra un explorador de Windows y, a continuacin, haga doble clic en Disco local (C:).
Haga clic con el botn derecho en la carpeta CRLDist y, a continuacin, haga clic en Propiedades.
Haga clic en Aceptar y, a continuacin, escriba AD1 en el campo Escriba los nombres de objeto
que desea seleccionar.
Haga clic en Aceptar y, a continuacin, escriba AD1 en el campo Escriba los nombres de objeto
que desea seleccionar.
Configure la segunda tarjeta de red en el servidor SRV-RT (con direccin IP 172.16.1.254) para
que tenga la direccin IP 131.0.0.1 y la mscara de subred 255.255.0.0.
La tarjeta de red debe estar conectada a un conmutador diferente al utilizado por la primera
tarjeta de red (un conmutador de tipo privado, por ejemplo).
Compruebe que SRV-RT est deshabilitado, en caso contrario haga clic con el botn derecho
enSRV-RT (local) y seleccione Deshabilitar enrutamiento y acceso remoto.
Abra la Consola de administracin de acceso remoto y, a continuacin, haga clic
enConfiguracin en el panel izquierdo. A continuacin, haga clic en Ejecutar el asistente para
introduccin en el panel central.
Verifique que est marcada la opcin Tras un dispositivo perimetral (con dos tarjetas de red)y,
a continuacin, escriba 131.0.0.1 en el campo de texto.
Haga clic en Siguiente y, a continuacin, compruebe que se est utilizando la tarjeta Ethernet
correcta.
Aplique los cambios haciendo clic en Finalizar en la consola Administracin de acceso remoto y,
a continuacin, en Aplicar en la ventana emergente.
Verifique que el conjunto de puntos enumerados en el listado Estado de las operaciones son
correctos.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando gpupdate /force.
Compruebe que CL8-02 est configurado con direccionamiento dinmico y ubicado sobre el
mismo conmutador virtual que AD1.
Compruebe que se est aplicando la directiva de grupo Configuracin del cliente DirectAccess.
Compruebe que existe un certificado con el nombre CL8-02.Formacion.local con el rol Asegura
la identidad de un equipo remoto.
El certificado es necesario para identificar la mquina instalada.
Esta operacin permite comprobar la conectividad con el servidor de la empresa. La estacin CL8-
02debe utilizar el mismo conmutador que SRV-RT para estar conectada a la red 131.0.0.0. Para ello,
configure el mismo conmutador virtual que para SRV-RT.
Edite la configuracin de la tarjeta de red de CL8-02 para que est configurada tal y como se
indica ms abajo. A continuacin, cambie el conmutador virtual.
Esto permite asegurar que el acceso funciona y que la pgina no se muestra porque est
alojada en la cach local del equipo.
La pgina se muestra.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando: ping SRV-
RT.formacion.local
RT.formacion.local
Se devuelve una respuesta.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 Cules son las dos tecnologas que es posible implementar con el rol Acceso remoto?
16 NPS realiza autenticacin, dnde se almacenan las cuentas (equipo, usuario) que permiten
realizar la autenticacin?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 13 sobre 19.
3. Respuestas
1 Cul es el rol de un servidor VPN?
El rol del servidor VPN es crear un tnel seguro entre un equipo y el servidor en el interior de una
red pblica (Internet).
Este rol permite tener los componentes necesarios para asegurar el correcto funcionamiento de la
conectividad de red.
3 Cul es la misin de un servidor RADIUS?
Un servidor RADIUS permite dotar de seguridad una red Wi-Fi o una VPN realizando una
autenticacin basada en un certificado o contrasea.
4 Cules son las dos tecnologas que es posible implementar con el rol Acceso remoto?
El rol Acceso remoto ofrece la posibilidad de implementar un acceso VPN tradicional o un servidor
DirectAccess.
La autenticacin es una operacin que consiste en verificar las credenciales utilizadas mientras que
una autorizacin permite, por su parte, comprobar si la cuenta est autorizada o no para acceder a
un determinado recurso.
Una PKI o Public Key Infrastructure consiste en implementar un servidor que permite distribuir y
gestionar certificados digitales. Esta solucin permite asegurar los datos.
Cuando se implementa una conexin VPN es necesario distribuir una configuracin IP a los
equipos. Para ello, puede utilizarse un servidor DHCP. La segunda manera consiste en configurar,
en el servidor VPN, un pool de direcciones remotas.
El protocolo SSTP es, como L2TP o PPTP, un protocolo que permite implementar un tnel VPN. Este
protocolo tiene una ventaja importante: utiliza HTTPS y, por tanto, el puerto 443. De este modo
resulta ms fcil atravesar los cortafuegos.
VPN Reconnect es una funcionalidad que consiste en restablecer la conexin VPN en caso de corte.
De este modo, el usuario no tiene que volver a conectar manualmente.
Un kit CMAK contiene la configuracin esencial para realizar una conexin VPN, de modo que el
usuario no tenga ms que informar las credenciales.
Es posible citar varias ventajas, tales como la conexin sin intervencin por parte del usuario, la
integracin en el sistema operativo o, simplemente, la separacin de los trficos de Internet e
intranet.
No, desde Windows Server 2012 ya no es necesario instalar una PKI o disponer de dos direcciones
IPv4 consecutivas.
Un servidor VPN, un conmutador o un punto de acceso Wi-Fi son equipos que pueden configurarse
como cliente RADIUS.
NAP permite asegurar que el estado de salud de los equipos se corresponde con las exigencias del
administrador.
16 NPS realiza autenticacin, dnde se almacenan las cuentas (equipo, usuario) que permiten
realizar la autenticacin?
Estas cuentas pueden provenir de una base de datos local o, con mayor frecuencia, de un directorio
Active Diretory.
Una solicitud de conexin contiene condiciones pero, tambin, parmetros (informacin de servidor
RADIUS, etc.).
Un proxy RADIUS se utiliza con varios roles (AD FS, etc.) y permite asegurar que solo las personas
autorizadas pueden acceder a la aplicacin.
Requisitos previos y objetivos
1. Requisitos previos
Tener nociones acerca de la administracin de una red informtica.
2. Objetivos
Implementacin de NAP.
NAP (Network Access Protection) permite implementar directivas que deben respetar los distintos
equipos para poder acceder a la red de la empresa.
Visin general de la solucin NAP
NAP est integrado en los sistemas operativos desde Windows XP SP3. Permite implementar
protecciones a nivel de los recursos de red. Comprueba el estado de salud de los equipos que desean
acceder a la red y ofrece, tambin, la posibilidad de actualizarse con el objetivo de respetar las
condiciones definidas por el administrador. Si un equipo respeta las condiciones de seguridad
impuestas, tendr un acceso completo a la red. Esta solucin no se hace para protegerse de los
piratas informticos u otros problemas similares sino para comprobar el estado de salud de los
equipos.
En caso de querer utilizar NAP con un servidor DHCP el usuario puede, si pasa a un direccionamiento
esttico, cortocircuitar NAP. ste deja de utilizarse en tal caso.
Ordenador porttil
Equipo de sobremesa
El ordenador porttil presenta un riesgo mucho ms importante, pues se conecta a redes externas.
Si se conecta espordicamente a la red de la empresa, puede que no alcance a recuperar los
parches y actualizaciones emitidos por el servidor WSUS. Es muy importante asegurar el estado de
salud de este tipo de equipos.
Mucho menos problemticos son los equipos de sobremesa que, a su vez, pueden no respetar las
condiciones de seguridad (equipos que se encienden tras varios meses de inactividad, imagen
restaurada en un equipo). Es, por tanto, posible implementar NAP para este tipo de equipos.
Por ltimo, los equipos no administrados en la empresa suponen problemas. Es frecuente recibir
consultores o personas externas a la organizacin. Estas personas pueden necesitar conectarse a
Internet, y el acceso se ofrece, a menudo, a travs de redes Wi-Fi. Esto supone que el equipo (y
todo lo que pueda contener) tendra acceso a la red de produccin. La implementacin del servidor
NAP permite limitar el acceso de estos equipos a la red de Internet nicamente. Los equipos
internos a la empresa y que respeten las condiciones de seguridad tendrn, por su parte, un acceso
completo.
Cumplimiento NAP para 802.1x para conexiones con cable o inalmbricas: solo aquellos
equipos que cumplan con las condiciones tendrn un acceso limitado al cliente RADIUS
(switch, punto de acceso Wi-Fi).
Cumplimiento NAP para VPN para los accesos VPN: el equipo debe cumplir para poder
obtener un acceso limitado mediante una conexin VPN.
Cumplimiento NAP para DHCP para la configuracin de direcciones: solo aquellos equipos
que cumplan las condiciones recibirn un contrato DHCP que les permitir tener un acceso
completo a la red de la empresa.
2. Arquitectura de la plataforma NAP
Una arquitectura NAP contiene varios componentes. El cliente NAP est presente en cada puesto o
servidor, y permite la comunicacin con el servidor NAP para validar el acceso a la red en funcin del
cumplimiento de cada puesto. Encontramos, a su vez, algunas restricciones a este examen de
conformidad, se trata de servidores que requieren una validacin antes de poder tener o no acceso.
Entre estos servidores podemos encontrar DHCP, VPN, DirectAccess No es obligatorio contar con
un controlador de dominio Active Directory en la etapa de validacin de la conformidad, aunque es
indispensable para conexiones de tipo VPN o 802.1x.
Por ltimo, la arquitectura NAP est compuesta por una red restringida (o red de cuarentena). Esta
red puede ser de tipo lgico o fsico. Contiene servidores de actualizacin que permiten a los
equipos declarados como no conformes corregir el problema (antivirus no actualizado, por ejemplo).
Proceso de aplicacin de NAP
Una restriccin de conformidad puede considerarse como un paso por aduana: si los papeles no estn
en regla, es imposible entrar en un pas extranjero. Ocurre de forma similar con las directivas de
mantenimiento: para poder acceder a la red, el equipo debe mostrar su conformidad e integridad para
probar que cumple con la directiva de mantenimiento. El acceso puede denegarse o autorizarse
parcialmente hasta que se comprueba la conformidad del equipo.
La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el equipo se considera
conforme. Si el equipo no cumple, se rechazan sus intentos de comunicacin. Este mtodo es, no
obstante, algo ms complejo puesto que invoca a una autoridad HRA y a una entidad emisora de
certificados. Se aplican a las comunicaciones IPv4 e IPv6, por lo que es difcil esquivarlas.
Configurando esta restriccin de cumplimiento para los switches y puntos de acceso Wi-Fi, el
conjunto de equipos, fijos y porttiles, se ven afectados.
Una directiva de mantenimiento est compuesta por uno o varios validadores de mantenimiento del
sistema. Esto permite definir los criterios necesarios para que un equipo se considere como conforme.
Si el equipo no responde a los criterios definidos en la directiva, el servidor puede decidir realizar
distintas operaciones. Puede rechazar la solicitud de conexin, ubicar al equipo en una red restringida
o autorizar al equipo a pesar de su estado de incumplimiento.
Si se ubica en una red restringida, el equipo podr acceder a un grupo de servidores. Se trata de un
listado de servidores presentes en la red restringida. Estos servidores permiten realizar la
actualizacin de los equipos que no cumplen con las condiciones. De este modo, estos servidores
contienen los recursos que necesita el agente NAP para realizar las actualizaciones adecuadas
(definicin del antivirus, por ejemplo).
Supervisin y mantenimiento del servidor NAP
La supervisin y el mantenimiento son aspectos muy importantes en la implementacin de una
solucin NAP. Estas operaciones permiten asegurar el correcto funcionamiento de la funcionalidad.
El seguimiento NAP se habilita mediante la consola Configuracin del cliente de NAP. Esta operacin
consiste en registrar los eventos NAP en un archivo de log. Es posible configurar tres
niveles:Bsico, Avanzado o Depuracin.
IASNAP.log: este registro permite obtener informacin detallada acerca de los procesos de
proteccin de acceso a la red, la autenticacin o la autorizacin NPS.
Mantenimiento de NAP
El mantenimiento puede, a su vez, realizarse mediante archivos de log de Windows. Existen distintos
ID que pueden resultar tiles para analizar el comportamiento de la funcionalidad NAP:
En AD1, abra la consola Administrador del servidor y, a continuacin, haga clic en Agregar roles
y caractersticas.
Una vez terminada la instalacin, es preciso configurar el servicio para asegurar que solamente
aquellos equipos que respetan la poltica de seguridad (antivirus actualizado) obtienen un contrato
DHCP.
Haga clic en Configuracin en el panel central y, a continuacin, haga doble clic en Configuracin
por defecto.
En Windows 8/Windows 7/Windows Vista, desmarque todas las opciones excepto las
correspondientes al antivirus.
Los servidores de actualizaciones permiten a los clientes no conformes actualizarse para poder
obtener la conformidad.
El nombre y la direccin IP del servidor se utilizan como ejemplo, no existe ningn servidor con
este nombre en la maqueta que hemos montado.
Vamos, ahora, a crear dos directivas. Estas ltimas permitirn al servidor saber qu requisitos previos
tienen que cumplirse para aplicar esta directiva. En nuestro ejemplo, la directiva conforme va a
aplicarse a aquellos puestos que respeten la poltica de seguridad (antivirus al da). La directiva no
conforme est destinada a aquellos equipos en los que haya fallado algn punto de control SHV
(puntos de seguridad), por ejemplo antivirus no presente o no actualizado.
Despliegue el nodo Directivas, haga clic con el botn derecho en Directivas de mantenimiento,
y, a continuacin, haga clic en Nueva.
Comprobaciones de SHV para clientes: El cliente supera todas las comprobaciones de SHV.
Haga clic en Directivas de red y seleccione una de las dos directivas presentes. Haga clic con el
botn derecho en la seleccin y marque la opcin Desactivar. Repita la operacin con la otra
directiva.
Haga clic con el botn derecho en Directivas de red y, a continuacin, seleccione Nueva.
En la ventana Especificar condiciones, haga clic en Agregar y, a continuacin, haga doble clic
enDirectivas de mantenimiento.
Verifique que est marcada la opcin Acceso concedido y, a continuacin, haga clic en Siguiente.
En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Verifique que est marcada
la opcin Permitir acceso completo a la red.
Haga clic con el botn derecho en mbito y, a continuacin, haga clic en Propiedades.
En la pestaa Proteccin de acceso a redes, seleccione la opcin Habilitar para este mbito y
compruebe que est marcada la opcin Usar perfil predeterminado de Proteccin de acceso a
redes.
Haga clic con el botn derecho en Directivas y, a continuacin, haga clic en Nueva directiva.
Operador: Es igual a.
Este comando permite mostrar la consola de configuracin del cliente NAP para habilitar, en el equipo,
el cliente de aplicacin de cuarentena DHCP.
Modifique el tipo de arranque del servicio para que sea Automtico e incielo.
Haga doble clic en Activar el Centro de seguridad (solo equipos de dominio), seleccione la
opcin Activo y, a continuacin, haga clic en Aceptar.
La tarjeta de red debe configurarse para recibir una direccin IP de un servidor DHCP. Si no fuera
el caso, modifique la configuracin del adaptador. El equipo est, de momento, en la red de
produccin.
Tal y como muestra la siguiente captura de pantalla, el servidor DHCP le ha concedido un acceso
completo.
En el men de la interfaz Windows, escriba Windows Defender y, a continuacin, ejectelo.
Esto va a permitir simular una no-conformidad con la poltica de seguridad. Es posible, a su vez,
incluir en las directivas de cumplimiento del servidor NPS la obligacin de poseer un firewall
activo. Bastar con deshabilitar el firewall en el puesto de trabajo.
Espere algunos segundos o libere el contrato DHCP mediante el comando DOS: ipconfig
/release
Solicite un nuevo contrato ejecutando el comando ipconfig /renew en una ventana de
comandos DOS.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 Qu sistema operativo, como mnimo, es necesario tener instalado en los equipos clientes
para utilizar NAP?
8 Cules son los componentes que se encargan de validar el estado de conformidad de los
equipos?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 8 sobre 10.
3. Respuestas
1 Qu permite hacer NAP?
NAP permite implementar directivas que deben respetar los equipos cliente si quieren poder
acceder a la red, en caso contrario accedern a una red de cuarentena o se les denegar el acceso.
2 Qu sistema operativo, como mnimo, es necesario tener instalado en los equipos clientes
para utilizar NAP?
NAP permite comprobar el estado de salud de los equipos que se conectan a la red. Si no respeta
los criterios de seguridad impuestos por el administrador, el equipo se sita en una red de
cuarentena, o se rechaza completamente su acceso. En caso de que se site en una red de
cuarentena existe un grupo de servidores a su disposicin que le permiten actualizarse.
Existen varios clientes de cumplimiento NAP que pueden configurarse en el sistema operativo.
DHCP, VPN, IPsec o RADIUS son algunos de ellos.
La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con IPsec.
No, NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6, solamente
aquellos servidores que trabajen con direcciones IPv4 son compatibles.
8 Cules son los componentes que se encargan de validar el estado de conformidad de los
equipos?
Los agentes de mantenimiento del sistema (SHA) y los validadores de mantenimiento del sistema
(SHV) aseguran el cumplimiento.
1. Requisitos previos
Poseer nociones acerca del uso de cuotas en la administracin del sistema.
2. Objetivos
Implementar el rol FSRM que permite gestionar cuotas.
FSRM es un servicio de rol, Servicios de archivo, en Windows Server 2012 R2. Como todo rol o servicio
de rol, su instalacin se realiza mediante el Administrador del servidor. La gestin del rol se realiza
mediante la consola instalada en el servidor, aunque tambin es posible realizar su configuracin
mediante PowerShell (mdulo FileServerResourceManager para Windows PowerShell, instalado al
mismo tiempo que FSRM). Los applets de comando PowerShell deben utilizarse en lugar de los
comandos dirquota o filescrn. stos, utilizados en versiones anteriores, estn todava
presentes en Windows Server 2012 R2 aunque se recomienda, no obstante, no utilizarlos.
La consola FSRM permite, a su vez, gestionar de manera remota otro servidor que albergue este rol.
Esta accin requiere respetar ciertos requisitos previos:
Ambos servidores deben ejecutar, como mnimo, Windows Server 2008 R2.
Debe estar autorizado el trfico de llamada a procedimiento remoto (RPC) entre ambos
servidores.
Administracin del servidor de archivos mediante FSRM
Esta seccin detalla las distintas herramientas contenidas en FSRM.
Las cuotas contienen varias propiedades, entre ellas la ruta del recurso sobre el que se aplica. Es
posible definir, a su vez, el espacio mximo autorizado sobre este recurso. Es posible utilizar dos
tipos de cuotas, mxima o de advertencia. Una cuota de advertencia no bloquea al usuario cuando
se alcanza el tamao mximo, aunque es posible enviarle distintas notificaciones. Por el contrario,
las cuotas mximas no permiten utilizar ms espacio del que se ha autorizado, aunque tambin es
posible implementar distintas notificaciones que avisen al usuario. La ejecucin de dichas
notificaciones se realiza cuando se alcanza cierto umbral en el uso del espacio de disco autorizado.
Este valor es un porcentaje y es posible configurar varias notificaciones para una cuota.
Generacin de un informe.
Las plantillas de cuotas permiten predefinir las distintas notificaciones, el lmite de espacio as como
el tipo (mxima o de advertencia). Es, de este modo, mucho ms sencillo crear nuevas cuotas o
modificar ciertas propiedades. En caso de modificacin de alguna plantilla, se modifica el conjunto de
cuotas derivadas de dicha plantilla. La administracin de esta funcionalidad se ve, de este modo,
mejorada.
Tras la instalacin del rol se crea un conjunto de cuotas por defecto.
Los filtros activos, que bloquean el registro de un archivo con una extensin prohibida y
generan notificaciones.
Los filtros pasivos, que no bloquean a los usuarios sino que utilizan notificaciones.
Como con toda regla, es posible implementar un filtrado sobre un grupo de archivos (por ejemplo,
archivos de vdeo, etc.). Es posible implementar excepciones para autorizar un tipo predefinido (por
ejemplo, bloquear todas las extensiones del grupo de archivos de vdeo salvo extensiones AVI).
Es posible utilizar el comando PowerShell New-FSRMFileScreen.
Un grupo de archivos est compuesto por archivos a incluir (extensin que se bloquear) y archivos
a excluir (extensin que formar parte de las excepciones, a las que no se aplicar la regla).
Los grupos predefinidos son completamente modificables. Adems, es posible crear nuevos grupos
para dar respuesta a una necesidad concreta. Se recomienda crear plantillas de filtros de archivos
con el objetivo de facilitar la administracin posterior.
El tipo de filtro.
Los informes pueden generarse bajo demanda o bien de manera planificada (una vez al mes, por
ejemplo). Preste atencin, algunos informes requieren cierta configuracin (seleccionar el volumen,
etc.). A continuacin, es necesario seleccionar el formato de salida deseado (XML, HTML, etc.).
Los distintos informes se almacenan, cada uno, en una carpeta propia. Por defecto, la carpeta padre
se configura como StorageReports, presente en la particin de sistema. Es posible, no obstante,
modificar la ubicacin por defecto mediante las opciones del Administrador de recursos del
servidor de archivos (pestaa Ubicaciones de informes).
Si se configura un servidor SMTP es posible solicitar al servidor que enve los distintos informes por
correo electrnico.
Implementar la clasificacin de archivos
Esta funcionalidad, aparecida con Windows Server 2008 R2, consiste en realizar la gestin de archivos
por grupos. Las agrupaciones se realizan mediante atributos. De este modo, algunas etapas de
limpieza o de proteccin pueden automatizarse mediante tareas de gestin.
Tras la creacin de una regla, es necesario configurar ciertas propiedades. El mbito de la regla,
configurable desde la pestaa Configuracin, permite indicar el o las carpetas afectadas. Tras su
ejecucin, los objetos se sitan, automticamente, en esta ubicacin (por ejemplo, mover a la
carpeta Direccin un archivo que contiene la palabra "confidencial"). Es, a su vez, preciso configurar
el mecanismo de clasificacin de la regla (pestaa Clasificacin). Existen dos mtodos de
clasificacin que pueden utilizarse:
Por ltimo, las reglas de clasificacin pueden ejecutarse de dos maneras, al inicio o a intervalos
regulares. La segunda solucin ofrece la ventaja de garantizar tener los archivos clasificados
regularmente.
Cuando dos reglas de clasificacin entran en conflicto, se adoptan ciertos comportamientos por
defecto con el fin de regular la situacin:
Algunos archivos de tipo ZIP o VHD no se tienen en cuenta, adems la funcionalidad no tiene la
posibilidad de procesar archivos cifrados.
Ubicacin
La tarea de expiracin del archivo permite automatizar el "archivado". En efecto, los distintos
archivos que respondan a ciertos criterios se desplazarn automticamente a una carpeta (carpeta
de expiracin) definida por el administrador. Tras la ejecucin de la tarea, se crea una carpeta en la
carpeta de expiracin, y los archivos se desplazan manteniendo la arquitectura inicial: si el archivo
est presente en la carpeta Docs, entonces se mantiene dicha estructura en la carpeta de
expiracin. Tambin es posible ejecutar comandos cuando se produce la expiracin. La ejecucin
puede realizarse mediante archivos ejecutables, de tipo script El objetivo de esta accin es
automatizar alguna operacin sobre uno o varios archivos.
El sistema DFS
DFS es un sistema que facilita la administracin de un sistema de archivos. Ofrece, a la empresa, una
tolerancia a fallos redirigiendo a los usuarios a otro servidor en caso de producirse algn error. El
acceso a un recurso compartido se realiza, obligatoriamente, mediante una ruta UNC
(\\NombreDeServidor\NombreDeRecursoCompartido). En caso de remplazar un servidor de archivos es
necesario proceder a la actualizacin de todos los nombres. Esta etapa puede resultar, en ciertos
casos, muy costosa. Un espacio de nombres DFS permite, en tal caso, facilitar la tarea del
administrador, pues la ruta UNC no contiene el nombre del servidor afectado. La replicacin DFS
complementa a la solucin replicando los datos en otros servidores. De este modo, se asegura la
tolerancia a fallos.
Tras la instalacin del rol DFS es posible seleccionar dos servicios de rol.
Espacio de nombres o DFS-N: permite instalar la consola y las herramientas necesarias para
la administracin del espacio de nombres.
Replicacin DFS o DFS-R: instala un motor de replicacin multimaestro que permite replicar las
distintas carpetas contenidas en el espacio de nombres. La replicacin puede planificarse con
un uso del ancho de banda distinto en funcin de la hora. Adems, es posible implementar la
compresin diferencial remota para replicar nicamente la parte de un archivo que se haya
modificado desde la ltima replicacin. La replicacin no est, obligatoriamente, vinculada con
el espacio de nombres, por lo que puede funcionar de manera autnoma sin problema alguno.
Existen dos modelos disponibles: Windows 2000 o Windows Server 2008, este ltimo ofrece la
posibilidad de utilizar ABE (Access Based Enumeration, enumeracin basada en el acceso) as como
de aumentar el nmero de destinos de la carpeta (posibilidad de tener hasta 50.000 destinos de
carpeta). ABE ofrece la ventana de mostrar nicamente las carpetas a las que el usuario tiene
acceso.
No obstante, la seleccin del modo Windows Server 2008 supone respetar los siguientes requisitos
previos:
Todos los servidores de espacios de nombres deben ejecutar Windows Server 2008.
Este tipo de espacio de nombres se utiliza, por lo general, cuando la empresa no posee un dominio
Active Directory. La alta disponibilidad se asegura mediante un clster de conmutacin por error.
2. La replicacin DFS
La replicacin DFS es un mecanismo que permite replicar las distintas carpetas sobre uno o varios
servidores. Este tipo de replicacin ofrece la ventaja de utilizar la compresin diferencial remota, que
es un protocolo de tipo cliente-servidor que permite la deteccin de las modificaciones
(agregar/quitar/modificar) operadas sobre un archivo con el objetivo de replicar nicamente este
bloque de datos modificados. Este protocolo se utiliza en archivos con un tamao mnimo de 64 KB.
Tras la replicacin, se crea una carpeta intermedia, con una copia comprimida del archivo, y a
continuacin se enva el archivo. El servidor que recibe los datos almacena, a su vez, el archivo en
una carpeta intermedia. Cuando se termina la descarga el archivo se descomprime y, a continuacin,
se ubica en la carpeta adecuada. Estas carpetas temporales estn presentes, por lo general, en
DFSrPrivate\Staging.
El equipo cliente del usuario contacta al servidor del espacio de nombres (1) que le enva una lista
ordenada (en funcin de los criterios configurados por los administradores) de los servidores que
contienen carpetas compartidas (destinos de carpeta) a los que el usuario puede acceder. El equipo
cliente intenta acceder al primer servidor (2) de la lista (los dems se contactan nicamente si el
primer servidor est en fuera de servicio).
En la etapa 2, el usuario tiene la posibilidad de acceder a los dems servidores puesto que se ha
implementado la replicacin entre los dos servidores.
4. La desduplicacin de datos
Windows Server 2012 R2 ofrece la posibilidad de habilitar la desduplicacin de datos. Esta
funcionalidad no puede utilizarse en una particin de sistema. El objetivo de esta funcionalidad es
optimizar el espacio de disco. De este modo, un bloque idntico en varios archivos se almacena una
nica vez.
La desduplicacin de datos ofrece varias ventajas, entre ellas la optimizacin del espacio en disco,
cuyo consumo se ve reducido.
En esta consola, haga clic en el enlace Agregar roles y caractersticas y, a continuacin, seleccione
el servicio de rol Desduplicacin.
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
Seleccione Volmenes y, a continuacin, haga clic con el botn derecho en el volumen deseado
(todos, salvo el volumen del sistema).
Haga clic en Configurar desduplicacin de datos.
Enable-DedupVolume D:
5. Escenarios DFS
El sistema DFS permite trabajar con varios escenarios.
Los archivos se intercambian entre dos o ms sitios de la empresa. Esta solucin permite realizar
una replicacin bidireccional que asegura tener todos los servidores actualizados. Adems, las
personas en itinerancia de un sitio tienen un acceso a los distintos archivos de forma ms sencilla.
Observe que las modificaciones se replican nicamente cuando se cierra un archivo.
Este escenario no se recomienda para archivos de tipo base de datos o archivos abiertos durante
un gran periodo de tiempo (por ejemplo, un archivo Excel de seguimiento en produccin que est
abierto durante todo el da por parte del equipo de servicio en produccin).
Recopilacin de datos
El escenario de recopilacin de datos consiste en recuperar los datos de un sitio para replicarlos en
otro sitio. La replicacin es de tipo unidireccional. Puede consistir en replicar los datos en un sitio
concentrador con el objetivo de poder realizar una copia de seguridad.
De este modo, los datos estn presentes en ambos sitios, lo que permite una tolerancia a fallos en
caso de ocurrir cualquier problema en el primer servidor, con un coste hardware menor en los sitios
remotos (ya no es necesario realizar una copia de seguridad de los archivos en cada sede puesto
que se consolidan en el sitio central).
Publicacin de datos
Esta solucin consiste en replicar los documentos en varios servidores (por ejemplo, un archivo de
catlogo que se replica desde la sede matriz hacia el conjunto de agencias regionales).
De este modo, cada departamento comercial puede acceder a los archivos de catlogo en su
servidor local.
Configuracin del espacio de nombres
La configuracin de un espacio de nombres es un conjunto de etapas que consiste en crear el espacio
de nombres, crear las carpetas en el espacio de nombres y, por ltimo, los destinos de estas
carpetas. stas pueden apuntar sobre una carpeta compartida que ya exista o sobre una carpeta
creada y compartida a tal efecto. A continuacin es posible realizar otras operaciones de tipo ABE,
tales como la configuracin del orden de referencias.
A continuacin, es necesario indicar las carpetas, ligadas ellas mismas a uno o varios destinos de
carpeta. Si los usuarios deben acceder por defecto a su servidor local, es necesario tener un destino
por cada sitio.
Hemos visto ms arriba que el servidor provee al cliente una lista ordenada, el administrador tiene
la posibilidad de indicar el orden deseado (servidor del sitio en primer lugar, orden aleatorio, excluir
destinos que estn fuera del sitio del cliente, etc.). Esta etapa se puede configurar en las
propiedades del espacio de nombres.
Con el uso de un espacio de nombres basado en Active Directory, los servidores de dicho espacio de
nombres consultan a Active Directory para obtener los datos ms recientes relativos al espacio de
nombres. Es posible utilizar dos modos:
Optimizar para coherencia: se trata del modo por defecto, consiste en preguntar al
controlador de dominio que posee el rol de Maestro emulador de PDC cuando se realiza
cualquier modificacin del espacio de nombres.
Optimizar para escalabilidad: todos los servidores del espacio de nombres consultan a su
controlador de dominio a intervalos peridicos.
Configuracin y mantenimiento de DFS-R
Una mala replicacin puede generar enormes problemas, por lo que se recomienda asegurar un
correcto funcionamiento de esta funcionalidad.
1. Funcionamiento de la replicacin
Un grupo de replicacin consiste en agrupar un conjunto de servidores que participan en la
replicacin de una o varias carpetas. Tras la creacin del grupo es necesario realizar una eleccin
entre un grupo de replicacin multiuso, que permite realizar una replicacin entre dos servidores
como mnimo (este tipo de grupo puede utilizarse en la mayora de escenarios DFS), y el grupo de
replicacin para la recopilacin de datos, que permite realizar una replicacin de tipo bidireccional
entre dos servidores (por ejemplo, un servidor en la sede matriz y otro en alguna sede
deslocalizada).
Concentrador y radio: esta topologa requiere, como mnimo, tres servidores en el mismo
grupo de replicacin. Esta topologa se utiliza en el escenario de publicacin (envo de un
archivo de un sitio principal hacia sedes regionales).
Malla completa: los miembros realizan replicaciones entre ellos en funcin de las
modificaciones aportadas.
Es, tambin, posible utilizar el comando dfsrdiag, esta herramienta permite obtener informacin a
nivel del servicio Replicacin DFS.
El uso del algoritmo de compresin (compresin remota (RDC)) permite optimizar la replicacin. En
efecto, este algoritmo permite detectar los cambios y realiza nicamente la replicacin de los
bloques modificados.
La tasa de transferencia necesaria en la lnea WAN se ve, por tanto, reducida. Con Windows Server
2012 R2 es posible, en lo sucesivo, realizar la exportacin de una base de datos de replicacin DFS
para poder importarla en otros servidores.
De este modo, se reduce el tiempo de instalacin inicial, mejorando el tiempo de la replicacin inicial.
Windows Server 2012 R2 ofrece, tambin, una nueva funcionalidad en la gestin de esta base de
datos. En efecto, en lo sucesivo es posible recuperar una base de datos corrupta.
Tras la replicacin inicial, el sistema de replicacin detecta si la base de datos est corrupta. Si fuera
el caso, la base de datos se reconstruye con ayuda de la informacin del registro USN y de los
archivos locales. A continuacin, se asigna a cada archivo un estado replicado igual a normal. El
sistema de replicacin DFS contacta con sus servidores asociados para fusionar las modificaciones.
De este modo, en combinacin con la replicacin, se recuperan las modificaciones ms recientes.
En los sistemas operativos precedentes, una base de datos corrupta desencadenaba una
replicacin DFS para eliminar la base de datos e iniciar una replicacin inicial. De este modo, todos
los archivos en conflicto eran remplazados (copia a la carpeta ConflictAndDeleted o PreExisting).
Esto poda causar prdida de informacin.
Trabajos prcticos: Gestin del servidor de archivos
Estos trabajos prcticos muestran cmo instalar y configurar las funcionalidades que permiten
administrar un sistema de archivos.
Arranque la mquina virtual AD1 y, a continuacin, inicie una sesin como administrador de
dominio.
En la ventana de seleccin de servidor de destino, deje la opcin por defecto y haga clic
enSiguiente.
En las Herramientas administrativas, haga doble clic en Administrador de recursos del servidor
de archivos.
Haga clic con el botn derecho en Plantillas de cuota y, a continuacin, haga clic en Crear
plantilla de cuota.
Al final del campo Entrada de registro, escriba El tamao total de la cuota es de: MB.
Agregue, antes de MB, la variable [Quota Limit MB] seleccionndola de la lista desplegable y, a
continuacin, haga clic en Insertar variable.
Haga clic en Aceptar y, a continuacin, repita la operacin para un umbral de notificacin del
95%.
Valide haciendo clic en Aceptar.
Ahora es posible agregar cuotas basadas en esta plantilla. Antes de realizar esta operacin, deben
crearse carpetas de usuario.
En la particin D:, cree una carpeta llamada Usuarios.
Haga clic en Cuotas y, a continuacin, en el panel Acciones, haga clic en Crear cuota.
Haga clic en el botn Examinar para seleccionar la carpeta Usuarios en la particin D:.
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuacin, haga clic en el
registro Aplicacin.
Seleccione Filtrado activo en el tipo de filtrado y, a continuacin, Archivos de imagen entre los
grupos de archivos.
Haga clic con el botn derecho en Filtrado de archivos y, a continuacin, seleccione Crear filtro
de archivos.
El evento con el ID 8215 registra el intento de crear un archivo cuya extensin est prohibida.
Ejecute el siguiente comando en una ventana de comandos DOS:
Es, no obstante, posible autorizar la creacin de archivos de tipo imagen en la subcarpeta jlopez.
Para ello es preciso crear una excepcin al filtro de archivos.
Haga clic con el botn derecho en Filtrado de archivos y, a continuacin, haga clic en Crear
excepcin al filtro de archivos.
Es posible crear el archivo. Cualquier usuario podra, no obstante, esquivar el filtro modificando la
extensin del archivo.
En la consola Administracin de recursos del servidor de archivos, haga clic con el botn
derecho en Administracin de informes de almacenamiento y, a continuacin, haga clic
enGenerar informes ahora.
Marque la opcin para esperar a la generacin de todos los informes y, a continuacin, haga clic
en Aceptar.
4. Configuracin de la clasificacin
Objetivo: implementar y configurar la clasificacin.
Propiedad: Confidencial
Operador: Existe
Comprobar que los archivos se han movido, correctamente, a la carpeta Confidencial. Es posible
observar cmo se ha respetado la estructura de su anterior ubicacin.
Planificando esta accin de manera regular, garantizaremos una clasificacin correcta de los archivos.
Marque Espacios de nombres DFS y Replicacin DFS y, a continuacin, haga clic en Agregar
funcionalidades en la ventana emergente.
Haga clic en Cerrar al finalizar la instalacin y, a continuacin, repita la misma operacin con el
servidor SV1.
Haga clic en Nuevo espacio de nombres (panel Acciones) en la consola que acaba de abrir.
Este men permite configurar la ruta de acceso local a la carpeta compartida y, tambin, sus
permisos.
En la zona Permisos de la carpeta compartida, haga clic en el botn de radio que autoriza a los
administradores con permisos de control total y, a los dems usuarios, con permisos de
lectura/escritura.
En Permisos de carpeta compartida, haga clic en la opcin que autoriza a los administradores
con permisos de control total y a los dems usuario con permisos de lectura/escritura y, a
continuacin, haga clic dos veces en Aceptar.
Haga clic en Aceptar y, a continuacin, marque la opcin Los administradores tienen acceso
total; otros usuarios tienen permisos de lectura/escritura.
Haga clic en Aceptar para validar todas las ventanas.
Escriba SV1 y valide la seleccin haciendo clic en Comprobar nombres, a continuacin haga clic
en Aceptar.
6. Configuracin de la replicacin
Objetivo: implementar la replicacin DFS entre dos servidores.
En Nombre del grupo de replicacin, escriba Grupo RRHH y, a continuacin, valide haciendo clic
en Siguiente.
Debe agregar los servidores AD1 y SV1. Para realizar esta operacin, haga clic en el
botnAgregar.
Es posible planificar o limitar el ancho de banda para evitar crear un cuello de botella.
Deje la opcin por defecto en la ventana Programacin del grupo de replicacin y ancho de
banda y, a continuacin, haga clic en Siguiente.
Cree una nueva carpeta llamada DocsRRHH en la particin C: del servidor SV1.
Repita la misma operacin con la carpeta Secretara. El miembro principal es SV1, y el grupo de
replicacin se denominar Grupo Secretara.
Verifique la presencia de ambos archivos en las carpetas Carpeta RRHH y Secretara de ambos
servidores.
Uso de informes
Haga clic en el grupo de replicacin Grupo RRHH y, a continuacin, en el panel Acciones haga clic
en Crear informe de diagnstico.
Haga clic en el grupo de replicacin Grupo RRHH y, a continuacin, en el panel Acciones haga clic
en Crear informe de diagnstico.
La ventana Ruta de acceso de informe permite seleccionar la carpeta que va a contener el informe.
Haga clic en Crear para iniciar la operacin de creacin. El informe se ejecuta al finalizar el
asistente.
Los informes permiten no slo asegurar el buen funcionamiento del espacio de nombres DFS sino
tambin la replicacin. Puede resultar til planificar la creacin de estos informes.
Validacin de conocimientos adquiridos:
preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 Para qu puede servir un informe que indique los archivos abiertos con menor frecuencia?
4 Qu es una cuota?
14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. Cul es la utilidad de los
archivos a excluir?
20 Cules son los dos tipos de espacios de nombres que es posible configurar?
22 Qu es ABE?
23 Qu niveles funcionales son necesarios para implementar el modo Windows Server 2008?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Por cada respuesta correcta, cuente un punto.
Para superar este captulo, su puntuacin mnima debera ser de 23 sobre 29.
3. Respuestas
1 Qu permite realizar FSRM?
2 Para qu puede servir un informe que indique los archivos abiertos con menor frecuencia?
El informe que indica los archivos abiertos con menor frecuencia puede resultar muy til para
implementar una estrategia de archivado. Este informe permite archivas aquellas carpetas menos
abiertas.
4 Qu es una cuota?
Una cuota es un elemento que permite limitar el espacio asignado para cada usuario.
Es posible aplicar una cuota a un volumen o, simplemente, a una carpeta. Adems, es posible
aplicar automticamente la cuota a las subcarpetas.
Una cuota de advertencia permite al usuario superar el lmite impuesto, aunque se realizan las
distintas notificaciones implementadas. Una cuota mxima, por el contrario, impide al usuario
superar el lmite impuesto.
Una vez implementada una cuota es posible configurar varios tipos de notificaciones. Es posible
enviar un correo, ejecutar un comando, agregar un evento en el visor de eventos o, simplemente,
generar un informe.
Una plantilla de cuota facilita el hecho de aportar posibles actualizaciones a las cuotas. Realizando
una modificacin sobre la plantilla, el conjunto de cuotas generadas a partir de la misma reciben, a
su vez, la actualizacin.
Para obtener informacin acerca de las cuotas es preciso utilizar el applet PowerShell Get-FSRM.
El filtrado de archivos tiene como objetivo impedir la ejecucin de archivos con determinadas
extensiones.
Es posible implementar filtros activos que impiden la ejecucin del archivo cuya extensin est
prohibida, o filtros pasivos que simplemente realizan notificaciones, dejando que se ejecute el
archivo.
13 Qu applet PowerShell permite implementar un filtrado de archivos?
14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. Cul es la utilidad de los
archivos a excluir?
Los archivos a excluir permiten determinar las extensiones de archivos que no se bloquearn.
Existen varios formatos que es posible configurar tras la generacin de un informe. Entre otros,
encontramos los formatos DHTML, HTML, XML, CSV, Texto.
La replicacin DFS tiene como objetivo replicar los datos de un servidor a otro.
S, es posible utilizar la replicacin DFS sin tener que configurar un espacio de nombres DFS.
20 Cules son los dos tipos de espacios de nombres que es posible configurar?
Tras la configuracin del espacio de nombres, es preciso seleccionar los tipos de espacio de
nombres deseados. Existen dos opciones posibles, los espacios de nombres basados en un dominio
y los que son autnomos.
El modo Windows Server 2008 aporta nuevas funcionalidades tales como ABE, aunque tambin
tienen la posibilidad de tener varios destinos de carpeta.
22 Qu es ABE?
ABE, o Access Based Enumeration, permite mostrar nicamente aquellas carpetas sobre las que el
usuario tiene acceso.
23 Qu niveles funcionales son necesarios para implementar el modo Windows Server 2008?
El modo Windows Server 2008 requiere, como mnimo, un nivel funcional Windows Server 2003 a
nivel del bosque y un nivel Windows Server 2008 a nivel del dominio.
Esta carpeta contiene los archivos que presentaron algn conflicto y lo "perdieron", tras la
resolucin del mismo.
El objetivo de esta funcionalidad es optimizar el espacio en disco. De este modo, un bloque idntico
contenido en varios archivos se almacena una nica vez.
No, es imposible utilizar la desduplicacin en una particin de sistema, solo puede aplicarse en una
particin de datos.
28 Cmo se realizan las operaciones de exportacin y de importacin de la base de datos?
1. Requisitos previos
Poseer nociones acerca de los certificados digitales.
2. Objetivos
Descripcin del sistema EFS.
Junto a estos mecanismos, es posible implementar un sistema de auditora que permita disuadir las
tentativas de realizar una intrusin y auditar las modificaciones realizadas sobre un directorio Active
Directory
Presentacin de EFS
La funcionalidad EFS est presente en los sistemas operativos de cliente y de servidor desde hace
varios aos. No obstante, es necesario comprender su mecanismo de funcionamiento antes de
proceder a su implementacin para que sea correcto.
1. Funcionamiento de EFS
EFS (Encryption File System) permite cifrar los archivos para dotar de seguridad a sus accesos. Es, no
obstante, necesario almacenar estos archivos en una particin de tipo NTFS. No es preciso poseer
permisos de administracin para realizar el cifrado, cualquier usuario puede cifrar los archivos locales
o los que se encuentran en una carpeta compartida de red sin accin por parte de un administrador.
Para realizar este cifrado es preciso acceder a las propiedades de la carpeta o del archivo deseado.
En la pestaa General de las propiedades de la carpeta o del archivo, haga clic en Opciones
avanzadas y, a continuacin, marque la opcin Cifrar contenido para proteger datos.
Implementando EFS, un usuario puede poseer autorizaciones NTFS sobre el archivo pero recibir un
mensaje de Acceso denegado. En efecto, es necesario autorizar al usuario a descifrar el archivo y,
adems, otorgarle autorizacin NTFS.
Por defecto, se asigna un certificado autofirmado al usuario que inicia el cifrado. Un par de claves
permiten realizar el cifrado y el descifrado se le provee sin que el usuario tenga que intervenir. Para
facilitar la gestin de los certificados, es posible utilizar certificados emitidos por una entidad de
certificacin. Preste atencin, esto requiere una administracin algo ms pesada puesto que es
necesario administrar la entidad y gestionar la copia de seguridad / restauracin de dicho servidor.
EFS utiliza un sistema de cifrado simtrico y asimtrico. Se utiliza una clave simtrica para realizar el
cifrado de los archivos y, por tanto, protegerlos contra cualquier ataque, la clave pblica (cifrado
asimtrico) permite cifrar la clave simtrica necesaria para el descifrado de los archivos. Es, por
tanto, imposible acceder a los archivos sin poseer la clave privada del usuario.
El cifrado asimtrico utiliza dos claves: una clave pblica y una clave privada. La clave pblica
permite cifrar los archivos mientras que la clave privada permite descifrarlos. El cifrado simtrico
utiliza, por su parte, la misma clave para cifrar y descifrar la informacin, resultando mucho ms
rpido que el cifrado asimtrico. El inconveniente principal es relativo a la seguridad, cualquier pirata
que consiga interceptar la clave simtrica puede descifrar el archivo. De este modo, con el sistema
EFS, el usuario recibe un certificado con las claves privada y pblica, slo los usuarios que poseen el
certificado tendrn la posibilidad de acceder al archivo.
2. Recuperacin de un archivo cifrado
La prdida de la clave privada puede resultar problemtica, en efecto es imposible, para un usuario,
descifrar su propio archivo. Resulta, por tanto, necesario implementar los procedimientos adecuados
para responder a este tipo de problemticas propias del cifrado.
Existen varias soluciones que permiten evitar la prdida del conjunto de datos cifrados:
Realizar una copia de seguridad del certificado digital. En caso de prdida del certificado,
tras la reinstalacin de un equipo, por ejemplo, o tras producirse un error en el sistema de
informacin es posible restablecer el certificado. Es, a su vez, posible restablecer el
certificado en el perfil del administrador, el cual podr descifrar los archivos. Si muchos
usuarios utilizan esta solucin puede resultar bastante complejo gestionarla.
Para realizar una copia de seguridad del certificado, es necesario exportarlo con la clave
privada.
El rol Agente de recuperacin puede asignarse a un usuario mediante una directiva de grupo, para
ello es preciso acceder a la ruta Configuracin del equipo\Directivas\Configuracin de
Windows\Configuracin de seguridad\Directivas de clave pblica\Sistema de archivos EFS
(Encrypting File System).
Las directivas de auditora se configuran mediante las directivas de grupo en Configuracin del
equipo, despliegue los nodos Directivas\Configuracin de Windows\Configuracin de
seguridad\Directivas locales y, a continuacin, Directivas de auditora.
Auditar sucesos de inicio de sesin en cuenta: se genera un evento cada vez que un
usuario o un equipo intenta realizar una autenticacin mediante una cuenta de Active
Directory (inicio de sesin del usuario en el dominio, por ejemplo). Por defecto, solo se
auditan las conexiones con xito.
Es habitual encontrar la auditora de los intentos correctos, para los intentos errneos es preciso
configurar el parmetro adecuado. Es vital prestar atencin al nmero de eventos auditados, en
efecto, un nmero importante de auditoras implica un nmero importante de entradas en el registro
de eventos.
Configurar la lista SACL: una vez realizada la configuracin es preciso configurar la lista
SACL del objeto a auditar (archivo, cuenta AD).
Seleccione la accin que desea auditar (lectura, escritura) marcando la autorizacin adecuada.
Tras la implementacin de este parmetro es preciso que el usuario, el equipo o el grupo accedan al
recurso para que se cree un evento. Los eventos de auditora de intentos fallidos son ms
importantes que los eventos de auditora correspondientes a intentos con xito, pues permiten
observar intentos de piratera.
Vaya a las propiedades del objeto que debe auditarse y, a continuacin, seleccione la
pestaaSeguridad.
Seleccione la accin que desea auditar (lectura, escritura) marcando la autorizacin adecuada.
Es preciso aplicar esta configuracin al servidor que contiene el objeto auditado, de modo que la
configuracin que permite auditar las cuentas de Active Directory se aplica sobre un controlador de
dominio mientras que la auditora de modificaciones de archivo se aplica sobre un servidor de
archivos.
Es posible habilitar la auditora desde una directiva local o de dominio, la implementacin se realiza
de la misma forma sea cual sea el parmetro.
Recuerde que las auditoras de eventos correctos tienen el inconveniente de crear bastantes
ms eventos.
Acceso DS: se auditan los accesos a los servicios de directorio, este grupo puede, a su vez,
auditar las modificaciones y la replicacin del directorio.
Inicio y cierre de sesin: este grupo permite auditar todos los eventos de inicio o cierre de
sesin.
Acceso a objetos: este grupo contiene los parmetros necesarios para implementar
auditoras relativas al acceso a los registros, a una aplicacin o, simplemente, a un archivo.
Trabajos prcticos: Configuracin de la auditora
Estos trabajos prcticos permiten implementar una poltica de auditora.
Haga clic en Acceso a objetos y, a continuacin, haga doble clic en Auditar recurso compartido
de archivos detallado.
Abra una ventana de comandos DOS y, a continuacin, escriba el comando gpupdate /force.
En CL8-01, inicie una sesin como emartinez (contrasea: Pa$$w0rd).
Haga clic con el botn derecho en el grupo Controladores de dominio y, a continuacin, haga clic
en Propiedades.
Esta entrada va a permitir realizar la auditora de los intentos correctos de modificacin de las
propiedades de grupo, tales como la modificacin del propietario.
Haga clic en Control total y, a continuacin, tres veces en Aceptar para validar todas las
ventanas.
Haga clic con el botn derecho en Default Domain Controllers Policy y, a continuacin,
seleccione Editar.
En AD1, abra una ventana de comandos DOS y escriba el comando gpupdate /force.
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuacin, haga clic en el
registro Seguridad.
En la lista desplegable Tipo, seleccione Error y, a continuacin, haga clic en el permiso Control
total.
Haga clic dos veces en Aceptar y, a continuacin, en Cerrar.
En AD1, abra la consola Administracin de directivas de grupo y, a continuacin, haga clic con el
botn derecho en Objetos de directiva de grupo.
Haga clic con el botn derecho en la directiva y, a continuacin, seleccione la opcin Editar.
Haga doble clic en Auditar el acceso a objetos, marque la opcin Definir esta configuracin de
directiva y seleccione la opcin Error.
Haga clic en Aplicar y, a continuacin, en Aceptar.
Abra una ventana de comandos DOS y ejecute el comando gpupdate /forceen SV1.
Inicie una sesin como emartinez (contrasea Pa$$w0rd) en CL8-01.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS estn bien
configuradas?
11 Una directiva de auditora se configura mediante una GPO. Para poder definir la configuracin
de la directiva de auditora, es preciso configurar la parte de usuario o bien la parte de
equipo?
13 Qu es la SACL?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Para superar este captulo, su puntuacin mnima debera ser de 10 sobre 14.
3. Respuestas
1 Qu permite hacer EFS?
EFS (Encryption File System) permite implementar un sistema de seguridad sobre el contenido de
los archivos. Los archivos o protocolos se firman mediante un certificado digital. Solo ste tiene la
posibilidad de descifrar el archivo.
No, basta con tener permisos de usuario para realizar el cifrado de los datos.
El sistema EFS puede utilizar dos tipos de certificado: un certificado emitido por una entidad
emisora de certificados o un certificado autofirmado entregado cuando el usuario no tiene un
certificado emitido por una entidad de certificacin.
6 Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS estn bien
configuradas?
S, es posible, puesto que el usuario puede tener el permiso NTFS para acceder a los archivos pero
no la posibilidad de descifrarlos si no posee el certificado.
EFS utiliza dos tipos de cifrado, un cifrado simtrico para el cifrado del archivo y un cifrado
asimtrico para el cifrado de la clave que ha permitido realizar el cifrado.
Para recuperar un archivo cifrado es necesario realizar una copia de seguridad del certificado digital
para poder restablecerlo en caso de prdida o de corrupcin. Si una gran cantidad de usuarios
utilizan EFS, se recomienda utilizar la solucin Agente de recuperacin. Por defecto, la cuenta de
administrador de dominio es un agente de recuperacin, de modo que tiene la posibilidad de abrir
cualquier archivo.
11 Una directiva de auditora se configura mediante una GPO. Para definir la configuracin de la
directiva de auditora, es preciso configurar la parte de usuario o bien la parte de equipo?
13 Qu es la SACL?
La SACL es la lista de los controles de acceso para los que se ha configurado alguna auditora.
1. Requisitos previos
Conocer el funcionamiento de Windows Update.
2. Objetivos
Instalar y configurar un servidor WSUS.
La infraestructura WSUS puede contener uno o varios servidores, hablaremos, por tanto, de servidor
que precede en la cadena y servidor que sigue en la cadena. La solucin que contiene varios
servidores se utiliza, a menudo, en empresas que poseen una red informtica extensa distribuida en
varios sitios geogrficos.
Para asegurarse de la correcta instalacin de las distintas actualizaciones, es posible generar varios
informes. Es, por tanto, mucho ms fcil para un administrador conocer los equipos que no han
recibido la actualizacin o aquellos en los que la instalacin de la actualizacin no se ha realizado
correctamente.
La implementacin de WSUS est compuesta por varias etapas, que se recomienda respetar.
Esta fase tiene como objetivo identificar las nuevas actualizaciones disponibles. Tras la configuracin
del servidor es necesario configurar la lista de productos que deben actualizarse. Los nuevos
correctivos se publican (salvo excepciones) una vez al mes.
Fase de despliegue
Una vez validados los distintos correctivos, es posible realizar la instalacin en los equipos de
produccin que requieren esta actualizacin. Para ello, conviene aprobarlos para el grupo o los
grupos deseados.
Requisitos previos necesarios para el rol
Como muchos roles en Windows Server 2012 R2, WSUS exige respetar ciertos requisitos previos. El
servidor sobre el que se ejecuta el rol debe ejecutar, como mnimo, Windows Server 2003 SP1.
Tambin se requiere un servidor Web IIS 6.0 o superior.
Es preciso instalar en el servidor el framework Microsoft .NET 2.0 o superior y Microsoft Report Viewer
Redistributable 2008 o superior. Por ltimo, se requiere una base de datos, para ello es posible
indicar a WSUS que utilice la base de datos interna de Windows o instalar un servidor SQL (SQL
Server 2005 SP2, SQL Server 2008 o SQL Server 2012).
El espacio en disco es el aspecto ms importante en los requisitos previos de hardware (40 GB como
mnimo), los dems componentes son los mismos que los necesarios para el sistema operativo del
host WSUS.
Despliegue de actualizaciones con WSUS
El despliegue de WSUS requiere haber pensado acerca de la infraestructura deseada (uno o varios
servidores) as como las actualizaciones que se quiere descargar.
Realizando la operacin mediante una directiva de grupo es posible especificar otros parmetros:
Grupo por defecto: es posible configurar un grupo mediante este parmetro. El equipo se
incluye, directamente, en el grupo adecuado.
2. Administracin de WSUS
La administracin del servidor WSUS se realiza mediante una consola MMC. sta ofrece la posibilidad
de buscar actualizaciones, aprobarlas y, tambin, proceder a su descarga.
Si no se han configurado grupos mediante la directiva de grupo es posible realizar una organizacin
de los grupos desde esta consola. Por ltimo, es posible generar y visualizar informes que permiten
obtener informacin til para la administracin cotidiana.
Como hemos visto antes, la bsqueda de actualizaciones se realiza en base a una planificacin. No
obstante, puede ser necesario, en ciertos casos, detectar si existen nuevas actualizaciones en el
servidor sin esperar a la siguiente deteccin planificada.
Un equipo cliente que contacta con el servidor pertenece al grupo de Equipos sin asignar si no se ha
definido ningn otro grupo en la directiva de grupo. Se recomienda crear y configurar diferentes
grupos (por ejemplo: Prueba, Servidores 2k8, Servidores 2k12, Equipo 7 y Equipo 8). Siguiendo este
ejemplo, las actualizaciones se aprueban nicamente para el sistema operativo afectado por dichos
correctivos. Adems, el grupo Prueba permite asegurar que no se produce ningn problema (de
aplicacin o de sistema) tras la instalacin de un correctivo. Este grupo contendr los equipos
menos sensibles.
Si alguna actualizacin no debe instalarse, conviene rechazarla. Esta accin tiene como resultado
eliminar el correctivo de la lista del servidor WSUS. La aprobacin puede realizarse para la
instalacin o para la eliminacin. El primer tipo de aprobacin permite instalar el correctivo en el
grupo seleccionado mientras que el segundo tipo permite eliminar una actualizacin instalada. Para
realizar la eliminacin, la actualizacin debe ser compatible con esta operacin.
Trabajos prcticos: Implementacin del servidor WSUS
Estos trabajos prcticos permiten implementar un servidor WSUS.
Para realizar este trabajo prctico y los siguientes trabajos prcticos es necesario modificar la tarjeta
de red utilizada. El conmutador utilizado debe ser de tipo externo para poder tener acceso a Internet
desde el servidor.
Marque el rol Windows Server Update Services y, a continuacin, haga clic en el botn Agregar
caractersticas.
Deje los servicios de rol marcados por defecto y haga clic en Siguiente.
El servicio de rol Base de datos permite utilizar un servidor SQL mientras que WID Database utiliza la
base de datos interna de Windows. En produccin se recomienda utilizar SQL Server.
Cree una carpeta llamada WSUS en la segunda particin. Contendr las actualizaciones que se
descarguen de Microsoft Update.
En el campo correspondiente, escriba D:\WSUS (reemplace la letra de la unidad por la que haya
atribuido a la particin).
Haga clic dos veces en Siguiente y, a continuacin, en Instalar.
Una vez instalado, hay que comprobar que el firewall de la empresa (servidor ISA) contiene la regla
que autoriza a WSUS a conectarse con el servidor Microsoft Update. La siguiente lista enumera las
URL sobre las que puede necesitar conectarse WSUS:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Desde las Herramientas administrativas, abra la consola Windows Server Update Services.
Dado que nuestro servidor es el primero en la cadena, haga clic en Siguiente en la ventanaElegir
servidor que precede en la cadena.
Es posible configurar el servidor como servidor que sigue en la cadena, para ello indquele el
servidor que precede en la cadena.
Dado que no se utiliza ningn proxy para conectar a Internet, deje la opcin por defecto en la
ventana Especificar servidor proxy.
Haga clic en Iniciar conexin para conectar con el servidor de Microsoft Update y recuperar:
La sincronizacin del servidor WSUS con el servidor Microsoft Update puede programarse o ejecutarse
manualmente.
La aprobacin puede realizarse automticamente creando una regla de aprobacin automtica desde
las opciones.
Despliegue el nodo Equipos y haga clic con el botn derecho en Todos los equipos y, a
continuacin, seleccione la opcin Agregar grupo de equipos.
La directiva que se aplicar a los equipos permitir configurar la direccin IP del servidor a contactar.
Haga clic con el botn derecho en Configuracin WSUS Puesto Cliente y, a continuacin, en el
men contextual, seleccione Editar.
Autorizar al administrador local a configurar los parmetros. Esta opcin deja la posibilidad
a un usuario que pertenezca al grupo de Administradores de modificar las opciones
configuradas en las actualizaciones automticas desde el panel de control.
Haga doble clic en Especificar la ubicacin del servicio Windows Update en la intranet.
En la consola WSUS, haga clic en Opciones y, a continuacin, en Equipos. Marque la opcin que
permite utilizar la configuracin de la directiva de grupo.
Abra una ventana de comandos DOS en CL8-01 y ejecute el comando gpupdate /force.
La configuracin en Windows Update aparece sombreada, puesto que se ha tenido en cuenta la
configuracin de la directiva de grupo.
El equipo cliente se muestra ahora en el grupo Puesto Cliente de la consola WSUS.
Se muestra una sntesis de las actualizaciones. Aparece un grfico para las categoras Todas las
actualizaciones, Actualizaciones crticas, Actualizaciones de seguridad y Actualizaciones de
WSUS.
En la seccin Todas las actualizaciones, haga clic en Actualizaciones que los equipos necesitan.
Haga clic con el botn derecho en la seleccin y, a continuacin, haga clic en Aprobar.
Haga clic en grupo Puesto Cliente y seleccione Aprobar para instalar en la lista desplegable.
En el men contextual utilizado para aprobar un correctivo existen otras opciones disponibles:
Fecha lmite: la fecha lmite permite determinar la fecha y hora mxima para la instalacin de la
actualizacin. Para acelerar el procesamiento de la actualizacin incluya una fecha pasada (el 1
de septiembre, por ejemplo, si la aprobacin se efecta el 2 de septiembre).
La instalacin en el equipo cliente se fuerza para evitar tener que esperar a la siguiente
instalacin planificada.
En la consola, haga clic en Buscar actualizaciones para mostrar las actualizaciones aprobadas
anteriormente.
3. Creacin de informes
Objetivo: generar informes con el objetivo de facilitar la administracin del servidor WSUS.
El nodo Informes permite crear y mostrar informes que permiten administrar el servidor. Es posible
analizar, con ayuda de informes, informacin acerca de las actualizaciones, los equipos y las
sincronizaciones realizadas.
No obstante, para poder aprovechar esta funcionalidad, el equipo debe tener instalado el
componente Report Viewer.
Report Viewer necesita el framework .NET, instale por tanto la caracterstica .NET Framework
3.5.
Conecte la ISO o el DVD de Windows Server 2012 R2 a AD1 y, a continuacin, escriba el siguiente
comando: dism /online /enable-feature /featurename:NetFX3 /all
/Source:e:\sources\sxs /LimitAccess
Es posible crear varios tipos de informe acerca de las actualizaciones, los equipos o las
sincronizaciones.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
5 Qu son los destinatarios del lado del cliente y los destinatarios del lado del servidor?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Nmero de puntos: /8
3. Respuestas
1 Cul es la funcin de WSUS?
S, es posible instalar varios servidores WSUS. Es necesario en este caso configurar un servidor
que precede en la cadena y, a continuacin, otros que siguen en la cadena. stos dependen del
servidor que precede en la cadena.
En el caso de un servidor que sigue en la cadena, la aprobacin se realiza a nivel del servidor que
precede en la cadena. El servidor que sigue en la cadena simplemente recupera las actualizaciones
aprobadas.
5 Qu son los destinatarios del lado del cliente y los destinatarios del lado del servidor?
Los destinatarios del lado del cliente consisten en configurar una directiva de grupo que indique al
equipo cliente el grupo al que debe unirse. Los destinatarios del lado del servidor permiten unir la
mquina al grupo desde el propio servidor.
WSUS exige respetar ciertos requisitos previos. Es necesario que el servidor ejecute, como mnimo,
Windows Server 2003 SP1; adems, debe tener instalado el rol IIS 6.0 o superior. Tambin se
utiliza una base de datos, para ello es posible utilizar un servidor SQL Server (2005 SP2 como
mnimo) o la base de datos interna de Windows. El espacio en disco es, a su vez, un requisito
previo, pues se necesitan como mnimo 40 GB de espacio disponible.
Es posible ofrecer una aprobacin para la instalacin. Este tipo de aprobacin permite instalar el
correctivo en los puestos de trabajo. Es posible, a su vez, ofrecer una aprobacin para la
eliminacin, que consiste en desinstalar el correctivo del equipo cliente o servidor. No obstante, las
actualizaciones deben ser compatibles con esta opcin de aprobacin para eliminacin.
Requisitos previos y objetivos
1. Requisitos previos
Disponer de ciertos conocimientos en microinformtica.
2. Objetivos
Uso del Administrador de tareas y del Monitor de recursos.
Implementar suscripciones.
El Administrador de tareas
Desde Windows Server 2012 existe una nueva consola Administrador de tareas. Ofrece al usuario
ms funcionalidades (operaciones sobre un servicio, cerrar una aplicacin). Se han realizado
optimizaciones y mejoras para responder mejor a las necesidades de los administradores. Es posible
realizar varias operaciones:
El ejecutable puede estar almacenado en cualquier carpeta de su sistema de archivos. Para poder
acceder a l sin tener que realizar una bsqueda por carpetas, seleccione la opcin Abrir ubicacin
del archivo. A continuacin, se abre la carpeta que contiene el archivo.
En algunos casos es necesario obtener ms informacin acerca de un proceso. Para ello, haga clic
enIr a detalles. Aparece la pestaa Detalles con el proceso en cuestin preseleccionado.
Esta vista da acceso al nombre del archivo ejecutable y a su ID de proceso (PID), as como a su
Estado. Se muestra, tambin, el nombre de la cuenta que ha ejecutado el proceso as como el uso de
procesador y de memoria que est realizando el proceso.
CPU: acompaados por la curva, se muestran varios campos con informacin relacionada con el
porcentaje de uso, el nmero de procesos
Memoria: como con el procesador, se muestra informacin relacionada con el uso de memoria y
se actualiza automticamente. Es, por tanto, muy prctico ver la cantidad de memoria utilizada
y la cantidad de memoria libre.
Ethernet (red): adems del grfico que muestra la actividad, la informacin aportada
en Envoy Recepcin permite conocer muy fcilmente la tasa de envo y de recepcin.
Haciendo clic con el botn derecho sobre la consola accedemos a un men contextual con tres
opciones.
Vista de resumen, que permite reducir la ventana mostrando nicamente los valores de los
tres grficos. Desmarque esta opcin para volver al formato inicial.
Mostrar grficos remplaza los botones de colores por los grficos en curso. Seleccione Ocultar
grficos en el men contextual para cancelar esta vista.
La pestaa Usuarios provee informacin sobre los usuarios conectados. Sigue siendo posible
desconectar la sesin de un usuario, aunque ahora resulta mucho ms sencillo. En efecto,
desplegando la fila correspondiente a la persona afectada, podemos ver muy fcilmente los procesos
que le pertenecen. Ahora, adems, podemos conocer el uso de procesador y de memoria de cada uno
de estos procesos.
Por ltimo, la pestaa Servicios permite acceder a la administracin de los servicios. Es posible
conocer su estado as como sus parmetros (PID, etc.). Es posible acceder a la
consola Services.mschaciendo clic con el botn derecho y, a continuacin, seleccionando la
opcin Abrir servicios en el men contextual.
El Monitor de recursos
El monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite, por tanto, supervisar el procesador, los procesos, la memoria disponible, as
como la actividad de los discos y de la red.
La consola est compuesta por varias pestaas. La primera, Informacin general, ofrece una visin
general del conjunto de componentes, con la finalidad de evitar cuellos de botella. Adems, se
muestran componentes como la Memoria, la Red, la CPU y el Disco, cuya informacin se actualiza en
tiempo real.
La pestaa CPU incluye informacin sobre cada proceso. Seleccionando un proceso se muestran los
distintos servicios y sus descripciones asociadas. Es posible, tambin, ver un grfico que representa la
actividad en cada procesador o cada ncleo presente en un procesador.
Es posible ver el reparto en el uso de memoria del servidor mediante la pestaa Memoria. Aparecen
tres grficos que presentan la memoria fsica usada, la carga de asignacin y los errores de pgina.
La pestaa Disco presenta los procesos que realizan operaciones sobre el disco. Es posible, aqu
tambin, filtrar por proceso con el objetivo de aislar sus datos. Los grficos muestran curvas que
representan la actividad de disco.
Por ltimo, la pestaa Red presenta los distintos procesos con actividad de red. Esta herramienta
resulta, tambin, til para ver las conexiones TCP y los puertos en los que escuchan. La herramienta
nos va a permitir analizar los distintos componentes para poder dar una explicacin a un mal
rendimiento del equipo.
Los grficos permiten obtener informacin acerca de los distintos componentes del servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad de un puesto de trabajo. La operacin
puede realizarse mediante grficos o mediante informes. Es posible realizar el anlisis en tiempo real,
lo que obliga al administrador a estar delante del equipo. Adems, la lectura de datos no es ptima.
La segunda posibilidad consiste en ejecutar un recopilador de datos, que permite registrar la
informacin recuperada por los distintos contadores.
Es posible incluir varios contadores para obtener un estudio ms fino y un resultado ptimo.
CPU
El objeto de rendimiento CPU permite obtener informacin acerca de la actividad del procesador. ste
supone una de las piezas claves de un servidor. Si existen varios procesadores, es posible analizarlos
todos en conjunto o estudiar uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios as como los que requieren los programas
para su ejecucin y funcionamiento. En caso de que funcione incorrectamente algn disco, el tiempo
de lectura y de escritura puede verse afectado gravemente.
Puede ser necesario, por tanto, auditar el rendimiento de los discos para poder detectar cualquier
cuello de botella.
Como con el procesador, hay varios contadores disponibles. Cada uno ofrece una informacin precisa.
Memoria RAM
Los contadores de rendimiento de Memoria permiten obtener informacin relativa a la memoria fsica
y virtual del equipo. La memoria fsica se refiere al total de memoria RAM configurada en el servidor,
mientras que la memoria virtual hace referencia al espacio en memoria fsica ms el espacio reservado
en disco.
Red
Para evitar tener que estar presente delante de la pantalla durante horas es posible lanzar un
registro automtico. Se crea un archivo que contiene todos los valores y se almacena en la carpeta
perflogs, presente en la particin del sistema.
No obstante, el tamao del archivo puede crecer de forma rpida, lo cual puede impactar sobre el
servidor y los roles instalados en el mismo debido a la falta de espacio.
En ciertos casos, puede resultar til planificar la ejecucin del Monitor de rendimiento. La planificacin
puede configurarse tras la creacin de un recopilador definido por el usuario. Para ello, es necesario
seleccionar en el asistente la opcin Abrir propiedades para este conjunto de recopiladores de
datos.
Las propiedades dan acceso a la pestaa Programacin, que permite configurar una ejecucin en la
fecha y hora deseadas.
Informacin
Advertencia
Error
Crtico
Adems, un evento posee informacin adicional muy importante, como Evento (ID del
evento), Origeny el propio mensaje del evento. Las propiedades del registro de eventos permiten
visualizar sus distintas propiedades (nombre, ruta del registro) pero, tambin, configurar su tamao
actual y mximo. El botn Vaciar registro permite vaciar el registro de todos los eventos. Esta
ventana est accesible haciendo clic con el botn derecho sobre el registro deseado y, a continuacin,
seleccionando la opcin Propiedades en el men contextual.
Tambin es posible configurar qu accin debe realizarse cuando se alcanza el tamao mximo del
registro. Existen tres acciones posibles:
La creacin y uso de filtros se realiza con ayuda del nodo Vistas personalizadas. Existe una carpeta
llamada Roles de servidor, que contiene los filtros creados tras la instalacin de un rol.
Es posible crear un filtro nuevo haciendo clic con el botn derecho en Vistas personalizadas y
seleccionando la opcin Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo a tener
en cuenta de cara al filtrado.
La lista desplegable Registros de eventos permite seleccionar los registros sobre los que se
aplica el filtro.
Es, tambin, posible filtrar por origen marcando la opcin Por origen y seleccionando, en la lista
desplegable, uno o varios orgenes. Tambin es posible filtrar en funcin de un nombre de equipo,
de usuario o por palabras claves, como por ejemplo un ID concreto.
El filtro devuelve nicamente aquellos eventos que se corresponden.
2. Suscripciones
Para facilitar la supervisin de los servidores en una red informtica es posible implementar
suscripciones. stas permiten recuperar eventos de los servidores indicados. Los eventos
recuperados deben corresponderse con los criterios definidos por el administrador mediante una
vista personalizada. Se utilizan dos servicios para esta funcionalidad:
Los dos servicios funcionan, respectivamente, sobre la mquina origen para WinRM y la mquina que
recoge los datos para Wecsvc.
Trabajos prcticos: Implementacin de las herramientas
de anlisis
Se proponen varios trabajos prcticos que utilizan las herramientas que permiten analizar y realizar el
mantenimiento del servidor.
Haga clic en el botn Editar tipo de grfico y, a continuacin, seleccione en el men contextual la
opcin Barra de histograma.
Se crean recopiladores de datos en funcin de los roles presentes en la mquina analizada. Estamos
trabajando sobre un controlador de dominio, de modo que aparece el recopilador de datos para el
diagnstico de Active Directory dentro de Sistema. Los recopiladores definidos por el usuario permiten
crear nuevos recopiladores de datos.
Haga clic con el botn derecho en Definido por el usuario y, a continuacin, en el men
contextual, seleccione Nuevo y Conjunto de recopiladores de datos.
Deje el recopilador en estado Iniciado algunos segundos para que recoja un mnimo de
informacin.
Haga clic con el botn derecho en Recopilador Procesos y, a continuacin, seleccione Detener.
Tras el arranque del recopilador se crea un informe que presenta los datos recuperados.
Haga clic con el botn derecho en Vistas personalizadas y, a continuacin, seleccione Crear
vista personalizada.
Marque la opcin Error, Advertencia y Crtico para limitar los eventos filtrados a estos niveles.
Haga clic en Siguiente en la ventana Crear una tarea bsica dejando los parmetros por
defecto.
Los campos Registro, Origen e Id. del evento aparecen sombreados. Haga clic en Siguientepara
validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice una tarea frente a mostrar un mensaje que
probablemente no vea el administrador.
Haga clic en Comprobar nombres y, a continuacin, haga clic dos veces en Aceptar.
Esta operacin permite autorizar que el puesto SV1 lea los registros de eventos.
En el puesto SV1, abra una ventana de comandos DOS y, a continuacin, escriba wecutil qc.
Pulse la tecla S y, a continuacin, presione [Enter].
En SV1, haga clic con el botn derecho en la carpeta Suscripciones y, a continuacin, haga clic
en Crear suscripcin.
No es necesario recoger todos los eventos, es posible aplicar un filtro. Los equipos de la maqueta,
instalados recientemente, nos obligan a utilizar un filtro muy poco restrictivo si queremos obtener
algn evento.
Tras un tiempo ms o menos largo los eventos llegan al registro Eventos reenviados.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
3 Cules son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas
e inconvenientes.
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Nmero de puntos: /7
3. Respuestas
1 Cul es la utilidad de la consola Monitor de recursos?
El uso de los principales componentes de un equipo (CPU, memoria, tarjeta de red) est presente
en la consola Monitor de recursos. sta permite controlar el uso y detectar un posible problema
sobre alguno de estos recursos.
Existen varias decenas de objetos en el Monitor de rendimiento. Encontramos la CPU, los procesos,
la memoria, IPv4, ICMP
3 Cules son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas
e inconvenientes.
La suscripcin utiliza dos servicios: Winrm (Windows Remote Management) en la fuente y Wecsvc
(Windows Event Collector Service) en el destino.
Tabla de objetivos
Administer AD DS Gestin de un
directorio AD
DS
Managing User and Service Accounts Gestin del Gestin del entorno
entorno