Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Captulo 1 Introduccin
A. Introduccin 12
B. Implementacin de Hyper-V 17
E. El Sandbox 27
1. Configuracin necesaria 27
2. La instalacin de Windows Server 2012 R2 27
F. Talleres 28
1. Mtodos de instalacin 56
2. Requisitos previos de hardware para Windows Server 2012 R2 57
E. Introduccin a PowerShell 66
1. Presentacin de PowerShell 66
2. Sintaxis de los cmdlets PowerShell 66
3. Presentacin de la consola PowerShell ISE 67
4. Instalar y configurar la caracterstica DSC (Desired State Configuration) 68
F. Talleres 68
A. Introduccin 98
G. Talleres 109
1. Promover un servidor utilizando IFM 109
2. Utilizacin de la interfaz de la papelera de reciclaje AD 116
3. Implantacin de una directiva de contrasea muy especfica 120
A. Introduccin 132
F. Talleres 144
A. Introduccin 160
D. Taller 172
1. Modificacin de varios usuarios en PowerShell 172
A. Introduccin 176
G. Talleres 189
A. Introduccin 200
F. IPAM 216
G. Talleres 218
A. Introduccin 250
F. Talleres 261
1. Configuracin de un redirector condicional 261
2. Creacin de una zona GlobalNames 268
A. Introduccin 276
E. Talleres 284
1. Implementar un sistema GPT 284
2. Reduccin de una particin 292
3. Despliegue de diferentes volmenes 294
4. Implementar un espacio de almacenamiento redundante 303
A. Introduccin 316
F. Talleres 331
A. Introduccin 376
E. Talleres 395
A. Introduccin 420
E. Talleres 433
E. Talleres 507
ndice 533
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista terico como prctico. Ha sido redactado por un formador
profesional reconocido, tambin consultor, certificado tcnica y pedaggicamente por Microsoft. De
esta forma, su saber hacer pedaggico y tcnico conducen a un enfoque claro y visual, de un alto
nivel tcnico.
Captulo tras captulo, podr validar sus conocimientos tericos, empleando un gran nmero
de preguntas-respuestas (154 en total) haciendo hincapi tanto en los fundamentos como las
caractersticas especficas de los conceptos abordados..
Cada captulo est terminado por los talleres (46 en total) tendr los medios para medir su
autonoma. Estas operaciones concretas, llegando ms all de los objetivos fijados para el
examen, le permitirn forjar una primera experiencia significativa y adquirir verdaderas
competencias tcnicas en situaciones reales. Los scritps incluidos en el libro pueden descargarse
en est pgina.
A este dominio del producto y sus conceptos, se aade la preparacin especfica para la
certificacin: en el sitio www.edieni.com podr acceder de forma gratuita a 1 examen en lnea,
destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio, cada pregunta
est planteada dentro del espritu de la certificacin y, para cada una, se encuentran respuestas
suficientemente comentadas para cubrir o identificar sus lagunas.
Nicolas BONNET
Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace aos.
Est certificado MCT (Microsoft Certified Trainer) y transmite al lector, a travs de este libro, toda
su experiencia en las tecnologas servidor y su evolucin. Sus cualidades pedaggicas conducen a
un libro verdaderamente eficaz para la preparacin a este examen acerca de Windows Server
2012.R2.
Introduccin
El examen 70-410 "Instalacin y configuracin de Windows Server 2012 R2" es el primero de los tres
exmenes obligatorios para obtener la certificacin MCSA Windows Server 2012 certification. Este
examen valida sus competencias y conocimientos acerca de la puesta en marcha de una
infraestructura Windows Server 2012 R2 bsica en un entorno empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales (se
proporciona la lista en el anexo) tanto desde un punto de vista terico como prctico.
Una definicin de los objetivos a alcanzar: permite definir de forma precisa las competencias
proporcionadas por el captulo una vez validado.
Una parte terica: permite definir los trminos y conceptos abordados y esquematizar en
forma de hilo conductor los diferentes puntos a asimilar.
Los talleres (46 en total): permiten ilustrar con precisin ciertas partes del curso y le aportan
los medios para evaluar su autonoma. Estas operaciones, en particular, le permitirn forjar
una primera experiencia significativa y adquirir verdaderas competencias tcnicas sobre todo
un conjunto de situaciones reales, ms all de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos se aade la preparacin especfica para la certificacin:
en el sitio www.edieni.com podr acceder de forma gratuita a un examen en lnea, destinado a
entrenarle en condiciones similares a las de la prueba. En este sitio, cada pregunta est planteada
dentro del espritu de la certificacin y, para cada una, se encuentran respuestas suficientemente
comentadas que le permitirn cubrir o identificar sus lagunas.
Introduccin
El antiguo plan de certificacin permita obtener la certificacin MCITP (Microsoft Certified IT
Professional). stas han sido rebautizadas MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Organizacin de las certificaciones
El plan de estudios MCSA est compuesto por tres exmenes. El examen 70-410, que trata sobre
lainstalacin y la configuracin de Windows Server 2012. Se requiere aprobar, a continuacin, el
segundo examen cuyo nmero es el 70-411. ste trata sobre la administracin de Windows Server
2012. Finalmente, para aprobar el plan de estudios, es necesario aprobar el examen 70-412. ste
tiene por objeto la administracin avanzada de Windows Server 2012.
A partir de ahora, existen varios planes de estudio MCSE (Microsoft Certified Solutions Expert).
Se deben aprobar dos exmenes para obtener esta certificacin. Adems del plan de estudios MCSA,
es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el examen 70-414,
Implementacin de una infraestructura de servidor avanzada para validar el plan de estudios.
Este plan de estudios se compone de tres exmenes. Se deben aprobar los exmenes 70-415,
Implementacin de una infraestructura de puestos de trabajo y el 70-416, Implementacin de entorno
de aplicacin ofimtica.
Para obtener la certificacin MCSE Private Cloud, se requiere aprobar los exmenes 70-246
Monitorizacin y uso de un cloud privado con System Center 2012 y 70-247 Configuracin y
despliegue de un cloud privado con System Center 2012.
Cmo est organizado este libro?
Este libro le prepara para el examen 70-410 Instalacin y configuracin de Windows Server 2012.
Este libro est dividido en captulos que le proporcionan el conocimiento terico en el momento
preciso. Los talleres se presentan a los lectores permitindoles una puesta en prctica de los puntos
tratados en las partes tericas.
Es preferible seguir los captulos en su orden. En efecto, estos confieren las competencias necesarias
para aprobar el examen de forma progresiva al lector. Al final de cada captulo, una serie de
preguntas validarn el nivel que debe ser alcanzado. Si se supera, el lector podr pasar al siguiente
captulo.
El primer captulo introduce el libro y permite una mejor comprensin de la forma en la que el libro
est construido.
Los tres captulos siguientes tratan sobre Active Directory. Los primeros puntos permiten obtener o
revisar los conceptos bsicos necesarios para Active Directory. Despus de haber visto las diferentes
maneras de promover un servidor a controlador de dominio (promover con IFM), se abordan las
diferentes caractersticas (papelera de reciclaje, directiva de contraseas muy especfica). Se abordan,
a su vez, los objetos Active Directory (usuario, equipo...) que es posible crear. Los talleres permiten
implementar delegaciones, la gestin de cuentas de usuario o el restablecimiento de un canal seguro.
La parte Active Directory termina con el captulo de automatizacin de la administracin. Los puntos
tratados son la administracin por lnea de comandos y mediante PowerShell.
La seccin acerca de las redes se aborda posteriormente a estos captulos. Se estudian los protocolos
IPv4 e IPv6. Se abordan la conversin binario/decimal, las direcciones privadas/pblicas y el
direccionamiento IPv4. Esta seccin se complementa con la implantacin de subredes y los diferentes
comandos (ping, tracert e ipconfig). Finalmente, la seccin sobre IPv6 (informacin general del
protocolo y las diferentes direcciones) completa y cierra el captulo.
El servicio DHCP tambin se aborda en este libro, despus de haber estudiado el funcionamiento de la
asignacin de una direccin IP, as como el uso de DHCP. Las caractersticas y la gestin de la base de
datos se estudian a continuacin. IPAM complementa y cierra el captulo sobre DHCP.
Los dos captulos siguientes tratan sobre la administracin del espacio de almacenamiento y el
servidor de archivos. En el primer captulo, se proporciona una definicin de DAS (Direct Attached
Storage), NAS (Network Attached Storage) y SAN (Storage Area Network) para seguidamente estudiar la
gestin de discos y volmenes (MBR, GPT, FAT, NTFS y ReFS) y el despliegue de un espacio de
almacenamiento. El captulo siguiente permite comprender la gestin de los diferentes controladores,
las instantneas y ABE (Access Based Enumeration).
Los siguientes dos captulos tratan sobre el despliegue de directivas de grupo y la securizacin de
servidores empleando GPO. Los diferentes componentes y el almacenamiento de una directiva de
grupo, las preferencias, as como las GPO de inicio dan comienzo al captulo de Implementacin de
directivas de grupo. ste se completa con el tema de su tratamiento (gestin de vnculos, orden de
aplicacin y filtros de seguridad) as como la funcin del directorio central. El captulo Securizacin del
servidor empleando GPO presenta las funcionalidades de seguridad mediante la configuracin de los
parmetros, el despliegue de AppLocker y el firewall de Windows.
El captulo decimocuarto y ltimo del libro trata sobre las herramientas de anlisis incluidas en
Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
Competencias evaluadas en el examen 70-410
Puede encontrar la tabla con las competencias evaluadas al final del libro.
1. El examen de certificacin
El examen de certificacin est compuesto de varias preguntas. Para cada una, se ofrecen varias
respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener una nota
de 700 para aprobar el examen.
El da indicado, contar con varias horas para responder al examen. No dude en tomarse todo el
tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es posible marcar
las preguntas para una relectura antes de terminar el examen. El resultado se emite al finalizar el
examen.
Las preguntas al final de cada mdulo le permiten validar sus conocimientos. No se salte ningn
captulo y reptalo tantas veces como sea necesario. Se ofrece un examen de prueba con este libro
que le permite evaluar sus conocimientos antes de presentarse al examen.
Mquinas virtuales utilizadas
Para realizar los talleres y evitar multiplicar el nmero de mquinas, se instala un sistema de
virtualizacin. El captulo permite la instalacin del Sandbox o maqueta. ste emplea el hipervisor de
Microsoft Hyper-V. Puede utilizar, si lo desea, su propio sistema de virtualizacin.
A continuacin, se instalan varias mquinas virtuales que ejecutan Windows Server 2012 o Windows
8.
http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
Requisitos previos y objetivos
1. Requisitos previos
Contar con nociones sobre los sistemas de virtualizacin.
2. Objetivos
Presentacin de la situacin de virtualizacin Hyper-V.
Existen varios sistemas de virtualizacin, cada uno utiliza un disco virtual (un archivo en formato vhd,
vhdx) as como una red virtual (interna al equipo o empleando la red fsica).
Este puede igualmente tomar la forma de una virtualizacin completa del puesto de trabajo, esta
tecnologa llamada VDI (Virtual Desktop Initiative) permite la virtualizacin del sistema operativo pero
tambin de las aplicaciones. El puesto puede, entonces, ser de tipo cliente ligero o de tipo PC.
2. Virtualizacin de aplicaciones
La virtualizacin de aplicaciones engloba varios tipos de virtualizacin. Es posible realizar la
virtualizacin de aplicaciones centralizadas. El usuario ejecuta una aplicacin en un puesto de
trabajo, sin embargo sta realmente ejecutndose en un servidor remoto (solo se ejecuta el
sistema operativo en el puesto de trabajo).
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). La capacidad del procesador debe responder a las necesidades de las
mquinas virtuales. Estas ltimas pueden soportar como mximo 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la asignada a las mquinas virtuales.
Durante la asignacin de la memoria a las mquinas virtuales, es necesario reservar una parte para
el funcionamiento de la mquina fsica. Si el equipo consta de 32 GB de RAM, es aconsejable reservar
de 1 a 2 GB para el funcionamiento del servidor fsico (el tamao de la reserva vara en funcin de
los roles instalados en la mquina fsica).
Memoria RAM: se asigna una cantidad de memoria RAM a la mquina virtual. Se puede asignar
un mximo de 1 TB. A partir de Windows Server 2008 R2 SP1, es posible asignar la memoria
dinmicamente (tratado en profundidad en este captulo).
Procesador: al igual que la memoria, es posible asignar uno o ms procesadores (en funcin
del nmero de procesadores y ncleos de la mquina fsica). Se puede asignar un mximo de
32 procesadores a una mquina.
Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Mquina Virtual).
Cada una posee dos discos como mximo.
Controladora SCSI: aade una controladora SCSI a la mquina virtual. De esta forma es
posible aadir discos duros o lectores DVD.
Adaptador de red: por defecto no se hereda el adaptador de red de la mquina virtual, lo que
permite un mejor trfico pero impide que la mquina realice un arranque PXE (arranque a
travs de la red cargando una imagen). Para poder arrancar desde la red, es necesario
agregar un adaptador de red heredado.
Tarjeta de vdeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento grfico
haciendo uso de DirectX.
Seleccionando una mquina virtual y despus haciendo clic en Configuracin, en el men Acciones,
aparecer la ventana de configuracin.
Configuracin de una mquina virtual de generacin 2
Todos los componentes descritos arriba pueden configurarse durante la creacin de la mquina
virtual (adaptador de red, disco duro, unidad DVD) o accediendo a la configuracin del equipo virtual.
La memoria dinmica permite asignar una cantidad mnima de memoria. Sin embargo, si la mquina
virtual tiene necesidad de ms memoria, est autorizada a solicitar una cantidad suplementaria
(esta ltima no puede exceder la cantidad mxima asignada). Esta caracterstica se introdujo en los
sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores
mnimos y mximo de la memoria durante el arranque.
La memoria bffer es una caracterstica que permite a la mquina virtual contar con una cantidad
adicional de memoria RAM en caso de necesidad.
La ponderacin de memoria permite establecer prioridades para la memoria disponible.
VM de generacin 1
Este tipo de mquina virtual proporciona las mismas ventajas que las versiones anteriores de
Hyper-V.
VM de generacin 2
Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible
arrancar la mquina virtual desde una unidad conectada a un controlador SCSI.
Boot PXE con una tarjeta de red estndar: con las mquinas virtuales de 1 generacin es
necesario tener una tarjeta de red heredada para poder efectuar un arranque PXE. Microsoft
permite ahora realizar la misma operacin con una tarjeta de red estndar (los rendimientos
se ven mejorados). Preste atencin, sin embargo, solo las mquinas virtuales de 2
generacin son compatibles con esta mejora.
Las mquinas virtuales de esta generacin no permiten utilizar tarjetas de red heredadas o
unidades conectadas a un controlador IDE. Adicionalmente, solo estn soportados los siguientes
sistemas operativos:
En las versiones anteriores de Hyper-V solo la pantalla, el ratn y el teclado estaban redirigidos. Era
entonces necesario establecer una conexin con el escritorio remoto para redirigir la impresora u
otros dispositivos. Windows Server 2012 R2 contiene ahora una herramienta de sesin mejorada, a
travs del men Ver, que permite llevar a cabo esta redireccin mediante el bus (VMBus) de la
mquina virtual. Ya no es necesario establecer la conexin a travs de la red para efectuar esta
operacin.
Configuracin de vista
Dispositivos de audio
Impresoras
Portapapeles
Tarjetas inteligentes
Dispositivos USB
Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.
El usuario que va a efectuar la redireccin debe ser miembro del grupo de usuarios del
escritorio remoto o del grupo de administradores locales en el sistema invitado.
Durante la conexin a una mquina virtual que soporte esta funcionalidad, se abre un cuadro de
dilogo que permite configurar la visualizacin.
Tambin es posible configurar la redireccin de recursos locales.
Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
El disco duro de las mquinas virtuales
Un disco duro virtual es un archivo utilizado por Hyper-V para representar los discos duros fsicos. De
esta forma, es posible almacenar en archivos el sistema operativo o los datos. Se puede crear un
disco duro empleando:
Con la llegada de la nueva versin de Hyper-V, incluida en Windows Server 2012, se emplea un nuevo
formato VHDX.
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD (Virtual
Hard Disk). Con este formato, el tamao de los archivos ya no est limitado a 2 TB, cada disco duro
virtual puede tener un tamao mximo de 64 TB. El formato VHDX es menos sensible a la corrupcin
de archivos por un cierre inesperado (por un corte de luz por ejemplo) del servidor. Es posible
convertir los archivos VHD existentes en VHDX (este punto se aborda en profundidad en este
captulo).
A partir de Windows Server 2012, el almacenamiento de discos duros virtuales puede realizarse en
particiones de archivos SMB 3. Del mismo modo, es posible especificar un recurso compartido local
durante la creacin de una mquina virtual Hyper-V.
Durante la creacin de un nuevo disco duro virtual es posible crear diferentes tipos de discos,
incluyendo discos de tamao fijo, dinmico y de acceso directo pass-through. Al crear un disco
virtual de tamao fijo se reserva el tamao total del archivo en el disco. De esta forma, se puede
limitar la fragmentacin del disco duro de la mquina host y mejorar su rendimiento. Sin embargo,
este tipo de disco presenta el inconveniente de consumir espacio en disco incluso si el archivo VHD
no contiene datos.
Un disco de tamao dinmico, posee un tamao mximo de archivo, sin embargo el tamao de
archivo aumenta en funcin del contenido hasta alcanzar su tamao mximo. Al crear un archivo VHD
dinmico, ste tendr un tamao de 260 KB, en comparacin con los 4096 KB para un formato VHDX.
Es posible crear un archivo VHD empleando el cmdlet PowerShell New-VHD con el parmetro -
Dynamic.
El disco virtual de acceso directo (pass-through) permite a una mquina virtual acceder
directamente a un disco fsico. El sistema operativo de la mquina virtual considera el disco como
interno. Esto puede ser til para conectar la mquina virtual a una LUN (Logical Unit Number) iSCSI.
Sin embargo, esta solucin requiere un acceso exclusivo de la mquina virtual al disco fsico
empleado. El disco deber quedar operativo mediante la consola de Administracin de discos en el
equipo host.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales,
opcin Editar disco en el panel Acciones. La ventana proporciona acceso a varias opciones.
Tambin es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar la
compresin de un disco duro virtual dinmico.
Cada mquina puede tener varios puntos de control. Si el punto de control se crea cuando la
mquina est arran-cada, contendr el contenido de la memoria RAM. Si se usa un punto de control
para revertir a un estado anterior es posible que la mquina virtual no pueda conectarse al dominio.
En efecto, se realiza un intercambio entre un controlador de dominio y una mquina unida al
dominio. Al restaurar una mquina, este intercambio (contrasea) tambin se restaura. Sin
embargo, la contrasea restaurada no sigue siendo vlida, rompiendo el canal seguro. Es posible
reinicializarlo efectuando nuevamente la operacin de unirse al dominio o utilizando el comando
netdom resetpwd.
Tenga cuidado, esta funcionalidad no reemplaza en ningn caso a las copias de seguridad, ya que
los archivos avhd o avhdx se almacenan en el mismo volumen que la mquina virtual. En caso de
fallo del disco, todos los archivos se perdern y ser imposible restaurarlos.
Al utilizar discos de diferenciacin, cada uno contiene los datos agregados desde el ltimo punto de
control efectuado.
Gestin de redes virtuales
Se puede crear y utilizar varios tipos de redes en una mquina virtual. Esto con el fin de permitir a las
diferentes mquinas comunicarse entre ellas o con equipos externos a la mquina host (router,
servidores).
Las mquinas estn conectadas a sus redes mediante conmutadores virtuales (vswitch). Un
conmutador virtual se corresponde con un conmutador fsico como el que podemos encontrar en
cualquier red informtica. Conocido como red virtual en Windows Server 2008, ahora en Windows
Server 2012 R2 hablamos de conmutador virtual. Es posible gestionar estos ltimos empleando la
opcin Administrador de conmutadores virtuales en el panel Acciones.
Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la
mquina host desde la mquina virtual. De esta forma, la ltima tiene una conexin a la red
fsica, permitindole acceder a los equipos o servidores de la red fsica.
Interno: permite la creacin de una red entre la mquina fsica y las mquinas virtuales. Es
imposible para las mquinas de la red fsica comunicar con las mquinas virtuales.
Una vez creado, es conveniente vincular el adaptador de red de la mquina virtual con el conmutador
deseado.
El Sandbox
El Sandbox consiste en la creacin de un entorno virtual o fsico de pruebas que permita realizar las
pruebas sin perturbar las mquinas o servidores de produccin.
La virtualizacin permite disminuir el nmero de mquinas fsicas necesarias. Todas las mquinas
virtuales funcionan en una misma mquina fsica. Sin embargo, ser necesario contar con una
cantidad de memoria y espacio en disco suficientes.
1. Configuracin necesaria
Ser necesario contar con una mquina robusta para hacer funcionar las mquinas virtuales, como
por ejemplo una mquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El sistema
operativo ser Windows Server 2012 R2.
Si su configuracin es inferior a sta, bastar con arrancar solamente las mquinas necesarias. Es
aconsejable reservar un mnimo de 1 GB para la mquina host, dejando 5 GB para el conjunto de las
mquinas virtuales.
Memoria RAM: 512 MB como mnimo, sin embargo un servidor equipado con 1024 MB parece
el mnimo indispensable.
Espacio en disco: una instalacin base sin ningn rol necesita un espacio en disco de 15 GB.
Ser necesario prever un espacio mayor o menor en funcin de los roles del servidor.
Una instalacin completa: se instala una interfaz grfica que permite administrar el servidor
de forma grfica o por lnea de comandos.
Una instalacin mnima: se instala el sistema operativo, sin embargo no est presente
ninguna interfaz grfica. Solo se cuenta con un smbolo de sistema, la instalacin de roles,
caractersticas o la administracin diaria se realizan por lnea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server
Administration Tools) en un puesto remoto.
Una vez terminada la instalacin del servidor, se requiere configurar el nombre del servidor y su
configuracin IP.
Talleres
Esta seccin sigue con la implementacin de la maqueta con el objetivo de familiarizarle con Hyper-V.
De esta forma podr crear las mquinas virtuales para proceder a su instalacin y configuracin.
Ahora podemos utilizar el conmutador virtual para las mquinas alojadas en este servidor.
Creacin de las mquinas virtuales
Una vez instalado el sistema operativo en la mquina fsica, la etapa siguiente consiste en la
instalacin del rol Hyper-V y luego la creacin, instalacin y configuracin de las diferentes mquinas
virtuales.
Al ser Hyper-V un rol, marque la opcin por defecto Instalacin basada en caractersticas o en
roles y luego haga clic en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en Siguiente.
Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
caractersticas.
Es necesario crear un conmutador virtual. Haga clic en el adaptador de red para establecer un
puente entre la red fsica y la mquina virtual.
Si no desea utilizar el adaptador de red fsico, ser necesario crear un conmutador virtual antes
de volver a arrancar el servidor.
Haga clic tres veces en Siguiente y, a continuacin, en Instalar.
Es posible descargar el archivo ISO de la versin de evaluacin de Windows Server 2012 R2 del sitio
web siguiente: http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
a. Creacin y configuracin de la VM
En la consola Hyper-V, haga clic en Nuevo en el men Acciones y luego en Mquina virtual.
En la ventana Antes de comenzar, haga clic en Siguiente.
Conecte la mquina virtual al archivo ISO o al DVD de Windows Server 2012 R2.
En la ventana resumen, haga clic en Finalizar.
El disco duro de la mquina se crea, pero en blanco, es necesario particionarlo e instalar el sistema
operativo.
Haga doble clic en la mquina virtual en la consola Hyper-V y luego haga clic en el
botnIniciar (botn verde).
La mquina arranca y se inicia la instalacin de Windows Server 2012 R2.
Haga clic en Siguiente en la ventana de seleccin de idiomas (se selecciona Espaol por
defecto).
c. Configuracin post-instalacin
Para poder realizar un [Ctrl][Alt][Supr] en la mquina virtual recin instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Haga un clic con el botn derecho del ratn en Centro de redes y recursos compartidos y
luego haga clic en Abrir.
El procedimiento a seguir ser el mismo, siguiendo los parmetros detallados para las mquinas
virtuales siguientes.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.
Haga un clic con el botn derecho en la mquina virtual y luego seleccione Punto de control.
Muy til para las cloud pblicas, la caracterstica permite garantizar que la mquina virtual de un
cliente no impacta en el rendimiento de lectura/escritura de otro cliente.
Cada disco duro virtual puede tener un valor mximo IOPS (Input/output Operations Per Second -
operaciones de escritura por segundo).
Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS mximo
definido para los discos duros virtuales.
La QoS a nivel de almacenamiento requiere el rol Hyper-V. Durante la instalacin del rol, la caracte-
rstica se habilita automticamente. Sin embargo no es posible emplearla con discos duros virtuales
compartidos.
En el Administrador de Hyper-V, haga clic con el botn derecho en la mquina virtual deseada y
luego seleccione Configuracin.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
3 Qu es la memoria dinmica?
4 Cul es el formato para el archivo del disco virtual de una mquina? Cules son sus
ventajas?
8 Cules son las mejoras aportadas por las mquinas virtuales de generacin 2?
9 Cules son los sistemas operativos compatibles con las mquinas virtuales de generacin 2?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 8 puntos para
aprobar el captulo.
3. Respuestas
1 En qu consiste la virtualizacin de aplicaciones?
La virtualizacin de aplicaciones consiste en ejecutar, por parte del usuario, aplicaciones que no se
encuentran en el puesto de trabajo sino en un servidor. Esto permite facilitar la administracin de
las aplicaciones, las cuales estarn agrupadas en un nico equipo.
La mquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). Tambin es necesario que la cantidad de memoria sea superior a la asignada a las
mquinas virtuales.
3 Qu es la memoria dinmica?
La memoria dinmica es una caracterstica aparecida con el SP1 de Windows Server 2008 R2. sta
permite asignar una cantidad mnima de memoria a una mquina virtual. sta puede, en caso
necesario, solicitar ms memoria adicional, sin embargo no puede exceder la cantidad mxima.
4 Cul es el formato para el archivo del disco virtual de una mquina? Cules son sus
ventajas?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco duro. El
formato VHDX proporciona ciertas ventajas. El tamao del archivo puede, ahora, tener un tamao
mximo de 64 TB y resuelve el problema de la corrupcin de archivos tras un error no esperado.
Los discos de tamao fijo: el tamao total del archivo se reserva en el disco, este tipo de
disco permite limitar la fragmentacin del archivo. Tiene sin embargo el inconveniente de
consumir el espacio en disco incluso si el archivo est vaco.
Un punto de control permite capturar el estado de una mquina virtual en un momento dado, con
el fin de poder restaurar el estado de la instantnea.
Externo: se crea un puente entre la interfaz de red de la mquina fsica y la interfaz de red
virtual. De esta forma la VM tiene la posibilidad de acceder a la red fsica.
Interno: este tipo de conmutador permite a las mquinas virtuales comunicarse con la
mquina host. Por el contrario, les es imposible acceder a la red fsica.
8 Cules son las mejoras aportadas por las mquinas virtuales de generacin 2?
Las mquinas virtuales de generacin 2 aportan la posibilidad de arrancar desde una unidad SCSI y
tambin de realizar un arranque PXE desde una tarjeta de red estndar.
9 Cules son los sistemas operativos compatibles con las mquinas virtuales de generacin 2?
Solo los sistemas operativos Windows Server 2012, Windows Server 2012 R2, Windows 8 y
Windows 8.1 son compatibles con las mquinas virtuales de generacin 2. Los sistemas operativos
anteriores debern instalarse en una mquina virtual de generacin 1.
Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una
conexin de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la mquina
virtual. Este modo de sesin mejorada permite, en lo sucesivo, redirigir los perifricos sin tener que
pasar por la red y el cliente de escritorio remoto.
La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos
duros virtuales de las VM. Se configura un umbral mnimo y mximo de operaciones por segundo
para garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Presentacin de Windows Server 2012 R2.
Edicin Standard: esta edicin incluye todos los roles y caractersticas. Soporta hasta 4 TB de
memoria RAM e incluye dos licencias para dos mquinas virtuales.
Edicin Datacenter: esta edicin incluye todos los roles y caractersticas. Permite instalar un
nmero ilimitado de mquinas virtuales y soporta un procesador con hasta 640 ncleos y 4 TB
de memoria RAM.
Edicin Foundation: utilizada en las pequeas empresas con menos de 15 usuarios, incluye
un nmero limitado de roles y no puede unirse a un dominio. Soporta un procesador con un
solo ncleo y hasta 32 GB de memoria RAM.
Edicin Essentials: esta edicin reemplaza a las versiones Small Business Server. Puede
actuar como servidor raz en un dominio pero no puede poseer los roles Hyper-V, clster de
conmutacin o servidor Core. Esta edicin limita el nmero de usuarios a 25, la cantidad de
memoria RAM no puede exceder 64 GB.
El servidor Core es uno de los mtodos de instalacin disponibles a partir de Windows Server 2008.
Solo se puede administrar un servidor instalado en modo Core empleando comandos PowerShell o
comandos DOS. De hecho este tipo de instalacin est desprovisto de interfaz grfica, reduciendo
de esta forma el nmero de actualizaciones requeridas y los recursos hardware necesarios. La
cantidad de memoria RAM o el espacio en disco son menores comparados con una instalacin
completa. A partir de Windows Server 2012 es posible pasar de un modo de instalacin al otro
eliminando o agregando la caracterstica que proporciona la interfaz grfica (esta operacin era
imposible de realizar en los sistemas operativos precedentes).
PowerShell: ejecuta una sesin PowerShell con el fin de poder ejecutar los comandos.
Sconfig.cmd: men por lnea de comandos que permite efectuar las tareas de administracin
en el servidor.
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una empresa.
El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory, que
tiene por objetivo la autenticacin de las cuentas de usuario y de equipo en un dominio Active
Directory.
AD CS (Active Directory Certificate Services) permite instalar una entidad de certificacin, que
tiene por objetivo entregar y administrar certificados digitales.
Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un
acceso autenticado a un recurso web.
Proxy FSP: permite recopilar informacin de autenticacin del usuario desde un navegador
o una aplicacin web.
Otro rol llamado AD RMS permite la gestin del acceso a un recurso. Se despliega un
mecanismo de proteccin contra usos no autorizados. Los usuarios se identifican y se les
asigna una licencia para la informacin protegida. De este modo resulta ms sencillo prohibir
a un usuario realizar una copia de un documento en una llave USB o imprimir un archivo
confidencial. Durante la instalacin del rol es posible instalar dos servicios de rol:
Acceso a red COM+: utilizacin del protocolo COM+ para comunicacin remota.
Uso compartido de puertos TCP: permite a varias aplicaciones gestionar el mismo puerto.
Puesta en marcha del servidor Web (IIS): instala el servicio Web (IIS).
Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System)
que permiten, respectivamente, la distribucin de configuraciones de red a los equipos cliente
y la resolucin de nombres en direcciones IP (o viceversa).
Existen otros roles disponibles en Windows Server 2012 R2, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
3. Presentacin de las principales caractersticas
Una caracterstica aporta herramientas adicionales al sistema operativo. Al igual que para un rol,
una caracterstica puede instalarse de forma manual o automtica.
El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en
caso de prdida o robo del equipo. Se requiere la presencia de una tarjeta TPM en la mquina
para una verificacin del sistema de propagacin.
El clster de conmutacin por error permite a los servidores funcionar conjuntamente, para
proporcionar alta disponibilidad. En caso de fallo de uno de los servidores, los otros
garantizan la continuidad del servicio.
El equilibrio de carga de red realiza una distribucin del trfico para evitar la saturacin de
uno de los servidores.
Al igual que los roles, las caractersticas pueden instalarse con la consola Administrador del servidor
o mediante PowerShell.
Informacin general de la administracin de Windows
Server 2012 R2
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de
administracin. Es posible arrancarlas desde la consola Administrador del servidor.
La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde
Windows Server 2008 y Windows Server 2008 R2, ha sufrido un enorme cambio en Windows Server
2012.
Permite aadir o eliminar roles e igualmente la gestin de PC remotos. Se pueden instalar roles y
caractersticas empleando el protocolo WinRM. Se puede configurar igualmente un grupo de
servidores por medio de esta consola, para poder administrar varios servidores desde una misma
consola.
La gestin del servidor local se hace tambin mediante esta consola. Se puede modificar cierta
informacin muy rpidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece la mquina. Tambin se puede gestionar la configuracin del escritorio
remoto o la administracin remota.
La caracterstica Configuracin de seguridad mejorada de Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Esta opcin se encuentra habilitada por
defecto.
De igual forma, el panel permite verificar rpidamente que no existe ningn problema en el servidor.
As, podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de
almacenamientofuncionan correctamente. Servidor local y Todos los servidores (que por el
momento solo incluye al Servidor local) estn igualmente presentes.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las
categoras est precedida por una cifra el administrador sabe que existen eventos pendientes de
visualizar.
Haciendo clic en la categora se muestra una ventana que contiene los detalles del evento.
As, es posible intervenir en un problema (reiniciar un servicio...) muy rpidamente. Adicionalmente, el
aspecto visual proporciona una vista inmediata del estado de salud del servidor o servidores.
Instalacin de Windows Server 2012 R2
Antes de realizar la instalacin de Windows Server 2012 R2 conviene verificar que el hardware
respeta los requisitos previos exigidos por el fabricante. Adicionalmente, se debe hacer una eleccin:
la instalacin completa que incluye la interfaz grfica o una instalacin mnima sin interfaz grfica.
1. Mtodos de instalacin
Para instalar Windows Server 2012 R2, pueden usarse varios mtodos:
El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de
instalacin es mucho ms larga que el uso de un medio USB y presenta el inconveniente de
no poder modificar la imagen (sin cambiar el medio).
El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo
software o un controlador) sin tener que volver a crear el medio. Se puede usar un archivo de
respuestas para automatizar las etapas de la instalacin. Esto requiere sin embargo
permisos de administracin para algunas etapas.
Una nueva instalacin consiste en instalar el sistema operativo en un disco o volumen nuevo.
Una actualizacin permite conservar los archivos y aplicaciones. Esta operacin se puede
realizar desde Windows Server 2008 R2 SP1 o Windows Server 2012. Sin embargo se debe
tener cuidado, la edicin debe ser equivalente o superior.
La migracin, que es til al pasar de Windows Server 2003 o Windows Server 2003 R2 a
Windows Server 2012 R2.
Es necesario garantizar antes de la instalacin que se tiene, como mnimo, un procesador con una
arquitectura de 64 bits, el cual debe tener una velocidad mnima de 1,4 GHz. El servidor debe tener
512 MB de memoria RAM y 32 GB de espacio en disco.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Configuracin del sistema operativo despus de su
instalacin
A partir de Windows Server 2008, se ha reducido el nmero de parmetros a configurar durante la
instalacin. Ya no es posible configurar la red, el nombre del equipo o la adhesin a un dominio
durante la instalacin. Es posible automatizar la configuracin de estos parmetros utilizando un
archivo de respuestas). El nico parmetro a introducir es la contrasea de la cuenta del
administrador local del servidor.
Estas operaciones deben realizarse despus de la instalacin. Para ello hay que usar el
nodoServidor local de la consola Administrador del servidor.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automtica. Estas
concesiones DHCP tienen una duracin limitada en el tiempo y contienen toda la configuracin IP
(direccin IP, mscara de subred, etc.) necesaria para que la mquina se comunique en la red.
Tambin es posible asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la
consola Administrador del servidor (nodo Servidor local).
Tambin es posible realizar la configuracin por lnea de comando DOS. El comando netsh permite
realizar esta operacin.
La formacin de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta
caracterstica permite utilizar una direccin IP en varios adaptadores de red, la conexin se
mantiene de esta forma incluso si una de las tarjetas de red sufre algn problema. No es necesario,
en ningn caso, contar con adaptadores de red idnticos para instalar la formacin de equipos de
NIC.
Una vez abierta la conexin a la mquina virtual, haga clic en Archivo y luego
enConfiguracin...
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic en el enlace Deshabilitado al lado de Formacin de equipos de NIC.
Haga clic con el botn derecho y luego, en el men contextual, seleccione Agregar a nuevo
equipo.
En el campo Nombre del equipo, introduzca Equipo 1.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz contina con la
comunicacin. Adicionalmente, el conjunto de adaptadores comparten la misma configuracin de red.
2. Unirse a un dominio sin conexin
La unin a un dominio sin conexin permite a un equipo unirse a un dominio. Incluso sin que se
encuentre conectado. Para realizar esta operacin es preciso utilizar el comando djoin.exe. En
primer lugar ser necesario ejecutar, en el controlador de dominio, el comando djoin con la
opcin/provision.
El archivo Union.txt contiene toda la informacin necesaria para unirse al dominio. Puede copiarlo al
equipo. Utilice, una vez ms, el comando djoin y el parmetro /requestODJ.
Por ltimo, reinicie el equipo para terminar la operacin de unin al dominio (en un entorno de
produccin, la ltima operacin se validar durante la prxima conexin del equipo a la red
empresarial).
Uno de los talleres presentes en este captulo trata sobre la configuracin de un servidor Core.
Introduccin a PowerShell
PowerShell es una plataforma de lnea de comandos que permite automatizar ciertas tareas de
administracin.
1. Presentacin de PowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administracin de
servidores y redes informticas. Estos scripts permiten automatizar las tareas (creacin de usuarios,
etc.). El lenguaje est compuesto por cmdlets que se ejecutan desde un smbolo del sistema
PowerShell. Muchos productos de Microsoft utilizan scripts de PowerShell mediante interfaces
grficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los asistentes en MDT 2010 y MDT 2012
muestran el script PowerShell empleado. Ciertos roles como Hyper-V pueden gestionarse empleando
comandos PowerShell.
Las funciones bsicas pueden extenderse agregando mdulos (mdulo Active-Directory, etc.), lo que
permite la administracin del rol en lnea de comandos.
Import-Module NombreModulo
Get
New
Set
Restart
Resume
Remove
Add
Show
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2.
Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Para facilitar su mantenimiento,
se emplea un cdigo de colores al igual que en una herramienta de depuracin.
Finalmente, se pueden visualizar los diferentes cmdlets por mdulo, esto permite saber que mdulo
cargar.
DSC proporciona a PowerShell nuevos cmdlets as como recursos que permiten realizar la definicin
de un entorno deseado. Adicionalmente, es posible efectuar la gestin y el mantenimiento de las
configuraciones existentes.
Se ha incluido una nueva palabra clave Configuration en PowerShell. Se utiliza para definir un
bloque dentro de un script. Estar seguida por un identificador y corchetes, que permiten delimitar el
bloque. ste contendr la configuracin deseada.
Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].
Despus de algunas bsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre
es FORMACION.
Haga clic en Siguiente despus de haber verificado los parmetros en la ventana Revisar
opciones.
Haga clic en Instalar para iniciar la instalacin de Active Directory y promover el servidor. Al
terminar la instalacin, el servidor reinicia.
Despus del reinicio, abra una sesin como administrador y verifique el nombre usando el
comando hostname.
Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora.
Introduzca el ndice del adaptador de red deseado y luego pulse la tecla [Intro].
Haga clic en Aceptar en la ventana Configuracin de red y luego pulse [Intro] sin introducir
ningn valor para volver al men.
Seleccione la opcin 4) Regresar al men principal.
Salga del men sconfig seleccionando la opcin 15) Salir a la lnea de comandos.
3. Administracin de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalar un rol en uno de los
servidores del grupo.
Abra una sesin en AD1 y luego ejecute la consola Administrador del servidor.
Seleccione SVCore como servidor de destino de la instalacin del rol y luego haga clic
enSiguiente.
Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion.
Haga clic con el botn derecho del ratn en SVCore y luego seleccione Windows PowerShell.
Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones IPv4 e
IPv6 del servidor consultado.
De esta forma es muy sencillo instalar un rol o una caracterstica, y tambin realizar la administracin
de un servidor local o remoto.
Site el ratn en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz
Windows. Haga clic con el botn derecho en la miniatura y seleccione Ejecutar.
Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.
Active los adaptadores de red y luego abra una sesin como administrador del dominio.
SV1 ser miembro del dominio, la unin al dominio sin conexin ha funcionado.
Abra un smbolo del sistema DOS y, a continuacin, introduzca el comando dism /get-imageinfo
/imagefile:c:\imagewim\install.wim
Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim.
Para ello, se recupera la imagen de la edicin Datacenter con interfaz grfica. El siguiente comando
indica que la imagen deseada tiene asignado el nmero 4. El archivo install.wim contiene cuatro
archivos install.wim (uno por edicin).
No acceda a la carpeta Montar porque esto causar que la imagen no pueda ser desmontada
(recomprimida en el archivo wim).
El servidor Core no tiene los recursos necesarios para la instalacin de la interfaz grfica, nos basa-
remos en primera instancia en el archivo install.wim presente en el DVD.
Abra una sesin en SVCore como administrador y luego conecte la imagen ISO de Windows
Server 2012 R2.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1 Cul es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
3 Cules son los tipos de instalacin que podemos encontrar en Windows Server 2012 R2?
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexin.
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.
3. Respuestas
1 Cul es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y caracterstica
de forma remota.
Empleando un cdigo de color (rojo, blanco) es, en adelante, muy fcil distinguir si existe un
problema en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar resolver el
problema (por ejemplo: iniciar o detener el servicio que est detenido).
3 Cules son los tipos de instalacin que podemos encontrar en Windows Server 2012 R2?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar Windows
Server 2012 R2 en modo completo (interfaz grfica presente en el servidor) o en modo instalacin
mnima (sin interfaz grfica).
Con este tipo de instalacin, es posible utilizar un hardware ms antiguo. Adicionalmente, menos
servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un
hacker, e igualmente el nmero de actualizaciones a instalar. A partir de Windows Server 2012, es
posible pasar de un tipo de instalacin al otro.
5 Nombre algunos roles y caractersticas presentes en Windows Server 2012 R2.
Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al
servidor. Podemos encontrar los siguientes roles Servidor de aplicaciones, DNS (Domain Name
System), DHCP (Dynamic Host Configuration Protocol), AD DS (Active Directory Domain Services),
AD CS (Active Directory Certificate Services), AD FS (Active Directory Federation Service), AD RMS
(Active Directory Rights Management Services)
El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que
tiene como funcin la gestin de certificados digitales.
Una formacin de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como
mnimo) con la misma configuracin IP. Esto permite, de forma muy simple, contar con una mayor
redundancia en caso de fallo de uno de los adaptadores.
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexin.
El ejecutable djoin permite a una mquina sin conexin unirse a un dominio. Debe ejecutarse con
permisos de administrador en el controlador de dominio, con el objetivo de poder crear el archivo
necesario para la operacin. A continuacin, se utilizar el ejecutable en el equipo que se unir al
dominio.
El archivo utilizado por el comando djoin es de tipo txt, contiene la informacin necesaria para
unirse al dominio AD.
Un servidor en modo instalacin Core puede administrarse por lnea de comandos. Ciertos
elementos (IP, etc.) pueden configurarse mediante una interfaz de configuracin. Es posible
mostrarla utilizando el comando sconfig.
Esta consola facilita la creacin de scripts o el uso de PowerShell. Permite igualmente visualizar los
diferentes mdulos y sus cmdlets.
1. Requisitos previos
Poseer conocimientos de Active Directory.
2. Objetivos
Definicin del directorio Active Directory.
Los componentes fsicos van a englobar varios elementos clave en un dominio Active Directory. Estos
ltimos pueden ser hardware o software:
El controlador de dominio, que contiene una copia de la base de datos Active Directory.
El servidor de directorio global, que contiene una copia parcial de los atributos (nombre,
nombre de pila, direccin del usuario) y objetos del bosque. Permite realizar bsquedas
rpidas sobre los atributos de algn objeto de un dominio diferente al del bosque.
Todos los componentes funcionan con componentes lgicos, los cuales permiten la puesta en marcha
de la estructura de Active Directory deseada.
Las particiones, que son selecciones de la base de datos de Active Directory. As, podremos
encontrar la particin de configuracin, la particin de dominio, la particin DNS
El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden
ser creados en Active Directory.
El dominio, que permite poner en marcha un lmite administrativo para los objetos usuarios y
equipos.
El sitio de Active Directory, que permite dividir un dominio en varias partes, para as limitar y
controlar la replicacin entre dos sitios remotos.
La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar
una delegacin.
La cuenta de usuario, que permite efectuar una autenticacin y autorizar los accesos a los
diferentes recursos compartidos. Corresponde a una persona fsica o una aplicacin.
La cuenta de equipo, que permite autenticar la mquina en la que el usuario inicia una
sesin.
Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo
de autorizar el acceso a un recurso, implementar una delegacin
De esta forma las OU representan una jerarqua lgica en el dominio Active Directory (se las puede
anidar, entonces hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad
organizativa por ciudad (Alicante, Madrid...) o por tipo de objeto (usuario, equipo...). Durante la
creacin del dominio se encuentran presentes las carpetas de sistema y unidades organizativas
predeterminadas:
Un bosque Active Directory est compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos ltimos comparten un espacio de nombres contiguo. La relacin
entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un
espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un lmite de seguridad porque el objeto usuario que permite la
autenticacin de una entidad (persona fsica de la empresa...) se define por cada dominio. Este
ltimo contiene al menos un controlador de dominio, siendo dos lo recomendable en trminos de
alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios
y equipos en un dominio AD.
Particin de dominio: contiene la informacin de los diferentes objetos que se han creado en
el dominio (atributos de cuentas usuario y equipo).
Particin de configuracin: en esta particin est descrita la topologa del directorio (lista
completa de dominios, arborescencias).
Particin de esquema: contiene todos los atributos y clases de todos los objetos que es
posible crear.
Rol maestro de esquema: se atribuye este rol a un nico servidor del bosque. Este ltimo es el
nico que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar esta
operacin, es necesario que la cuenta empleada sea miembro del grupo Administradores de
esquema. Los otros servidores solo tienen un acceso de lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se
encuentra nicamente en un nico controlador de dominio del bosque. El Maestro de nomenclatura
de dominios es necesario al aadir o eliminar un dominio del bosque. Se contacta este servidor para
garantizar la coherencia de los nombres de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC estn
presentes en cada dominio del bosque.
Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador nico est asociado al SID del dominio
para crear el SID (identificador de seguridad) del objeto. Es mediante este identificador como se
reconoce un objeto.
Los sitios Active Directory permiten definir fronteras de replicacin, lo cual permite ahorrar ancho de
banda en la lnea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesin, se utilizan los controladores de dominio Active
Directory a los que est conectado. Sin embargo, si la autenticacin no puede realizarse en stos, la
operacin se ejecuta en otro sitio.
La replicacin inter-sitio permite garantizar la transmisin de una modificacin a uno o varios sitios.
Para ello, conviene utilizar un objeto de conexin de tipo unidireccional (solo de entrada). Mediante
estas rutas de replicacin, la topologa se crear automticamente. Esta ltima garantiza la
verificacin de la coherencia de los datos (KCC - Knowledge Consistency Checker). De esta forma
garantizamos la continuidad de servicio a nivel de replicacin en caso de una avera en uno de los
controladores de dominio. Sin embargo, es imposible realizar ms de tres saltos entre dos
controladores de dominio.
Informacin general de un controlador de dominio
El controlador de dominio es uno de los servidores ms sensibles en un dominio Active Directory.
Conviene tomar precauciones adecuadas al instalar el servidor.
La carpeta Sysvol contiene los scripts utilizados y los parmetros para las directivas de grupo. A
diferencia de la base de datos, la replicacin de la carpeta sysvol se efecta utilizando el servicio de
replicacin de archivos (FRS) o ms recientemente mediante el sistema DFS (Distributed File System).
En un dominio es necesario contar con al menos un servidor que tenga el rol de catlogo global as
como dos controladores de dominio por dominio. Los sitios remotos que cuenten con un nmero muy
restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller - Controlador
de dominio de solo lectura).
El catlogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos
que son susceptibles de ser utilizados por las bsquedas inter-dominio (nombre, apellidos...). En un
bosque compuesto de varios dominios, los servidores con el rol de Maestro de infraestructura no
deben ser tambin catlogo global.
Como hemos visto en el taller del captulo precedente, es necesario instalar el rol Servicios de
dominio de Active Directory.
El comando dcpromo solo puede utilizarse por lnea de comandos. Despus de haber instalado el rol
en un servidor con interfaz grfica, es necesario iniciar el asistente para promover el servidor. Este
ltimo ofrece la posibilidad de crear un nuevo bosque, de agregar un nuevo dominio o de agregar un
controlador de dominio suplementario.
Para obtener ms informacin sobre las diferentes opciones, puede consultar la pgina
Technet que se encuentra en: http://technet.microsoft.com/es-
es/library/cc732887(v=ws.10).aspx
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
A partir de Windows Server 2008 R2 es posible utilizar una nueva caracterstica llamada papelera de
reciclaje de Active Directory. Esta ltima permite efectuar la restauracin de un objeto eliminado del
directorio al igual que sus atributos.
Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y
activar la funcionalidad desde el Centro de administracin de Active Directory. Todas las operaciones
se realizarn, en adelante, empleando una interfaz grfica en lugar de PowerShell.
La directiva de contrasea muy especficas
Un dominio incluye una directiva de seguridad (contraseas y bloqueos). Puede ser necesario
implantar una directiva de contrasea diferente, ms o menos estricta en funcin de las cuentas
afectadas (cuenta de servicio, cuenta de administrador...). Para esto, antes de Windows Server 2008,
era necesario implantar varias directivas de grupo.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creacin de
directivas de contrasea muy especficas. Esto permite a una empresa definir varias directivas de
contrasea o de bloqueo. stas se atribuyen, a continuacin, a un usuario o a un grupo de seguridad
global. El sistema operativo utilizado en el controlador de dominio deber ser por lo menos Windows
Server 2008. El nivel funcional deber estar, a su vez, configurado a nivel Windows Server 2008. La
operacin debe realizarla un administrador de dominio, sin embargo es posible implementar una
delegacin para un usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema:
El objeto PSO (Password Settings Object): ubicado en el contenedor PSC, posee los
atributos de todos los parmetros de una directiva de dominio predeterminada (sin parmetros
Kerberos).
Histrico de contraseas.
Vnculo PSO: este atributo permite indicar a qu objetos (usuario y equipo) se encuentra
vinculada esta directiva.
Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicacin de
varias PSO a un objeto.
Un objeto PSO posee el atributo msDS-PSOAppliesTo. ste permite implementar un vnculo entre los
objetos de usuario o grupo y el objeto PSO. De esta forma el objeto que la recibe ve configurado su
atributo msDS-PSOAppliced, que permite el vnculo de retorno a la directiva.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una novedad
con la gestin y la creacin de las directivas de contrasea muy especficas.
En efecto se incluye una interfaz de usuario para facilitar la creacin de las nuevas directivas pero,
sobre todo, para visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de
administracin de Active Directory. Esta consola permite en adelante la visualizacin de la directiva
resultante de un usuario.
Talleres
Los talleres siguientes le permitirn promover un controlador de dominio utilizando el mtodo IFM. Se
tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contrasea
muy especficas.
En AD1, inicie un smbolo del sistema DOS y luego introduzca el comando ntdsutil.
Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creacin del
archivo de medios.
Haga clic con el botn derecho en el botn Inicio y, a continuacin, en el men contextual,
seleccione la opcin Ejecutar.
Introduzca en el men Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor AD1.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en Agregar
roles y caractersticas.
Se inicia el asistente; haga clic en Siguiente.
En la ventana Seleccionar tipo de instalacin, deje la opcin predeterminada y luego haga clic
en Siguiente.
Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del
bosque.
Inicie la consola Centro de administracin de Active Directory desde las Herramientas
administrativas ubicadas en la pantalla Inicio.
Cree la unidad organizativa Form, los grupos Formadores y Alumnos y los usuarios de
prueba (Nicolas BONNET, Alumno 1, Alumno 2 y Alumno 3).
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno
son miembros del grupo Alumnos.
Elimine los grupos y cuentas de usuario para enviarlas a la papelera de reciclaje.
En la consola Centro de administracin de Active Directory, haga doble clic en Deleted Objects.
En el panel de la derecha, haga doble clic en la raz del dominio Formacion (local).
Modifique el valor de la vigencia mxima de contraseas para que sea igual a 90 das.
Haga doble clic en la raz del dominio Formacion (local) y luego en la unidad organizativa Form.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuracin de contrasea
resultante.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional est
configurado como Windows Server 2008 R2 (para el dominio y el bosque). Es necesario
actualizar el esquema para la migracin a Windows Server 2012 R2?
8 Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catlogo global?
13 Por qu promover un servidor utilizando IFM? Proporcione una breve descripcin de esta
solucin.
16 Cmo creamos las dos directivas de seguridad (contrasea y bloqueo) en un dominio AD?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 13 puntos para
aprobar el captulo.
3. Respuestas
1 Enumere los componentes fsicos y lgicos de un dominio Active Directory.
Un dominio Active Directory es una agrupacin de objetos (usuarios, equipos o grupos...). Al ser
creados, todos estos objetos se almacenan en una base de datos. Permiten la autenticacin
(objetos usuario y equipo) o simplemente la agrupacin de un conjunto de objetos (grupo). Los
grupos se utilizan para proporcionar autorizacin a un recurso.
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender el
esquema), es necesario ejecutar el comando Adprep. ste se ejecuta al migrar un servidor o al
instalar el primer servidor Exchange
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional est
configurado como Windows Server 2008 R2 (para el dominio y el bosque). Es necesario
actualizar el esquema para la migracin a Windows Server 2012 R2?
No, a partir de Windows Server 2012 ya no es necesario efectuar esta operacin. La etapa de
actualizacin se realiza automticamente (si es necesaria) al promover el nuevo controlador de
dominio.
La base de datos Active Directory se compone de varias particiones. Podemos encontrar la particin
de dominio, que contiene el conjunto de objetos creados en el dominio, la particin de
configuracin, que contiene la topologa del directorio (lista completa de los dominios,
arborescencias y bosque). Encontramos de igual manera la particin del esquema, que contiene
todos los atributos y clases de un objeto. Finalmente la particin DNS, que contiene el conjunto de
zonas DNS integradas en Active Directory.
Un servidor con el rol catlogo global posee una base de datos de todos los objetos presentes en el
bosque as como algunos de sus atributos. Este tipo de servidor facilita la bsqueda de objetos.
8 Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catlogo global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el dominio
solo cuenta con un controlador de dominio, es posible (solo en este caso) albergar el Maestro de
infraestructura en el servidor con el catlogo global.
Existen dos posibilidades: la instalacin y configuracin del rol de forma remota empleando la
consola Administrador del servidor o el empleo del comando dcpromo en local en el servidor. El
comando necesita que se informen las distintas opciones. Se puede utilizar un archivo de
respuestas para automatizar la operacin.
Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el nico poseedor de estos permisos.
Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador nico est asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.
Los sitios Active Directory permiten definir fronteras de replicacin con el objetivo de ahorrar ancho
de banda de la lnea que conecta dos sitios remotos.
No, a partir de Windows Server 2012 este comando solo puede utilizarse por lnea de comandos.
Para promover un controlador de dominio, es necesario instalar el rol Servicios de directorio Active
Directory.
13 Por qu promover un servidor utilizando IFM? Proporcione una breve descripcin de esta
solucin.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. El
archivo de medios contiene todos los datos (objetos, carpeta SYSVOL...) necesarios para promover
un nuevo servidor, de esta forma este ltimo no tiene ms que replicar los cambios de los objetos
creados despus de la creacin del archivo de medios. Esto permite evitar sobrecargar la lnea de
comunicacin durante la primera replicacin.
A diferencia de Windows Server 2008 R2, que utilizaba PowerShell y la consola de modificacin
ADSI para gestionar la papelera de reciclaje y la directiva de contrasea muy especfica, a partir de
Windows Server 2012 es posible utilizar la consola Centro de administracin de Active Directory. La
administracin de estas dos caractersticas se realiza en adelante de forma grfica.
16 Cmo creamos las dos directivas de seguridad (contrasea y bloqueo) en un dominio AD?
Para esto es necesario utilizar la directiva de contrasea muy especfica que permite crear y asignar
varias directivas de seguridad.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de la creacin y administracin de cuentas de equipo.
2. Objetivos
Informacin general de las consolas Active Directory.
Sitios y servicios de Active Directory permite gestionar la replicacin entre dos sitios as como la
topologa de red. La gestin de las relaciones de confianza y del nivel funcional del bosque se realiza
mediante la consola Dominios y confianzas de Active Directory. Por ltimo, la consola Esquema de
Active Directory permite administrar el esquema de Active Directory. Esta consola solo est
disponible si se ha ejecutado el comando regsvr32 schmmgmt.dll al menos una vez, y permite definir
la librera en el registro de Windows.
Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1)
despus de descargar e instalar el archivo RSAT (Remote Server Administration Tools).
La consola Centro de administracin de Active Directory proporciona otras opciones para la gestin
de los objetos. Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar
la creacin de objetos (usuarios...), crear y administrar una unidad organizativa. Un administrador
puede conectarse a otro dominio y administrarlo desde la consola.
Es, tambin, posible realizar la administracin de este servicio mediante comandos PowerShell.
Importando el mdulo Active Directory es tambin posible realizar las mismas operaciones que las
realizadas con las diferentes consolas. Para llevar a cabo estas acciones, tambin se pueden usar los
comandos DOS:
Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesin y los
apellidos o el nombre de pila. Despus de introducir la informacin obligatoria, se activa el
botnSiguiente.
A diferencia del SAMAccountName (nombre de inicio de sesin anterior a Windows 2000) que estaba
construido segn la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN
(User Principal Name - campo nombre de inicio de sesin de usuario) se construye segn la forma
NombreInicioDeSesin@dominio (nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanumricos para generar nombres de usuario nicos (ejemplo:
n.bonnet, n-bonnet...). Observe que esto puede causar problemas con ciertas aplicaciones.
Existen otras opciones disponibles, que permiten prohibir el cambio de contrasea o configurar una
contrasea que no expira nunca (muy til para las cuentas de sistema).
Miembro de los grupos: este atributo encontrado en la pestaa Miembro de permite aadir
o eliminar al usuario de un grupo de seguridad o de distribucin.
Se puede cambiar el atributo desde la pestaa especfica o desde la pestaa Editor de atributos.
El atributo givenName tiene como valor inicial Alumno 4. Si modificamos el nombre de pila en la
pestaa General...
... podemos ver que el atributo se actualiza correctamente:
3. Creacin de un perfil de usuario mvil
Un perfil de usuario puede ser local o mvil. En el caso de un perfil local, se crea un directorio en la
carpeta Usuarios de cada mquina en la que el usuario abre una sesin.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es necesario
emplear un perfil mvil. ste se encuentra en una carpeta compartida en el servidor.
Al iniciar sesin, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente,
durante el cierre de sesin, se realiza la copia en sentido inverso. Para instalar esta solucin es
necesario configurar el atributo Ruta de acceso al perfil en la pestaa Perfil.
La variable %username% se reemplaza por el nombre de inicio de sesin del usuario despus de
hacer clic en Aplicar.
Es, tambin, posible configurar un script (en formato vbs o bat), este ltimo se ejecuta cuando el
usuario abre una sesin. Si este se almacena en la carpeta SYSVOL, solo ser necesario introducir el
nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello ser
necesario especificar la letra de la unidad.
Administracin de grupos
Los grupos en Active Directory permiten facilitar la administracin. Es ms fcil agregar el grupo a la
ACL (Access Control List - lista que permite proporcionar permisos) de un recurso compartido en lugar
de aadir a todos los usuarios. Una vez ubicado el grupo, el administrador solo tendr que agregar o
eliminar los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administracin no se efecta ms a nivel de la ACL, sino al nivel de Active Directory (consola Usuarios
y equipos de Active Directory, Centro de administracin de Active Directory o directamente en
PowerShell). Adicionalmente, un grupo se puede colocar en una lista de control de acceso de varios
recursos. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del
departamento de contabilidad, RRHH...) o por recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo ms descriptivo posible. Sugerimos nombrar
los grupos de esta forma:
El permiso NTFS que se atribuye al grupo (w para escritura, m para modificacin, r para
lectura...).
De esta forma, si un grupo se llama G_Conta_w, podr deducir con seguridad que es un grupo global
ubicado en la carpeta compartida Conta y que proporciona derechos de escritura a sus miembros.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo para
asignar permisos a sus usuarios o para crear listas de distribucin de correo.
2. El mbito de un grupo
El mbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo as como
los objetos que pueden ser miembros.
Local: presente solamente en un servidor miembro o puesto de trabajo, un grupo con este
mbito no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las
cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los usuarios
locales o del bosque Active Directory.
Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y
usuarios del dominio son respectivamente miembros de los grupos locales Administradores y
usuarios del equipo.
Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos del
dominio, un grupo de este mbito puede tener como miembros a los usuarios, equipos o
grupos globales y universales del bosque. Los grupos locales de miembros del dominio de
este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse nicamente
a los recursos de su dominio.
Global: a diferencia del mbito del Dominio local, un grupo global puede contener solamente
a los usuarios, equipos y otros grupos globales del mismo dominio. Se puede asignar a
cualquier recurso del bosque.
Universal: un grupo de este mbito puede contener usuarios, equipos y grupos globales y
universales de un dominio del bosque, puede ser miembro de un grupo de tipo universal o
dominio local. El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga
cuidado de no abusar de este tipo de grupo porque se replica en el catlogo global. Un gran
nmero de grupos universales sobrecargan la replicacin del catlogo global.
Microsoft ha definido una estrategia de administracin de grupos (IGDLA). sta consiste en agregar
las Identidades (usuarios y equipos) en un grupo Global. ste es miembro de un
grupo DominioLocal (permite proporcionar el acceso al recurso). El grupo Dominio local se incluye en
una ACL.
As, si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado
informtica, no ser necesario acceder a la ACL. Agregndolo al grupo DL_TEC_W (el cual est, por
supuesto asignado al recurso) se proporciona el acceso deseado.
Administracin de las cuentas de equipo
Al unir el equipo al dominio se crea una cuenta de equipo. sta permite autenticar la mquina al iniciar
sesin, y tambin asignar directivas de grupo.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las cuentas
de equipo de las mquinas unidas al dominio. No es una unidad organizativa, no es posible aadir
una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar los objetos equipo a la
OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU
Puestos, OU Porttiles); para poder vincular las diferentes directivas de grupo o simplemente para
delegar en otras personas diferentes la gestin de los diversos objetos.
La gestin de los contenedores es propia de cada empresa y debe responder a sus necesidades y
limitaciones.
Para efectuar una unin al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El usuario que
efecte la unin debe ser necesariamente miembro del grupo de administradores locales del equipo.
Tambin es posible modificar el contenedor predeterminado. Esta operacin permite crear la cuenta
de equipo en la unidad organizativa deseada. Para ello, se deber utilizar el comando DOS redircmp.
La sintaxis del comando es la siguiente:
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administracin) tiene, por defecto, la posibilidad de unir 10
equipos al dominio. Al solicitar autenticacin, deber introducir su nombre de usuario y su
contrasea. A partir de Windows 2000 Server es posible modificar el nmero de equipos sobre los
cuales un usuario tiene permisos modificando el atributo LDAP.
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya
existe en el dominio.
Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesin. Se incluye un evento a
su vez en el registro. Tendr como fuente a NETLOGON y un ID 3210.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podr unir el
equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a
unirse al dominio, se genera un nuevo SID, la lista de grupos de los que era miembro el equipo
antes del problema del canal seguro se crean nuevamente de forma idntica. Para reiniciar el canal
seguro es, tambin, posible efectuar otras operaciones:
Comando DOS: tambin es posible utilizar comandos DOS para restablecer la contrasea en
el controlador de dominio y el puesto cliente. Es posible utilizar los comandos dsmod, netdom
o nltest.
1. Implementar la delegacin
Objetivo: implementar una delegacin para que un usuario pueda administrar la unidad organizativa
sobre la que se ha establecido la delegacin.
Haga clic con el botn derecho en la OU Form y luego en el men contextual seleccione Delegar
control....
Introduzca Formadores y luego haga clic en el botn Comprobar nombres en la nueva ventana
que se muestra.
Haga clic en Aceptar para validar el campo y luego en Siguiente.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de
usuario y Crear, eliminar y administrar grupos.
En la barra de mens de la consola Usuarios y equipos de Active Directory, haga clic en Ver y
luego en Caractersticas avanzadas.
Haga clic con el botn derecho en la unidad organizativa Form y luego en Propiedades.
Para permitir al usuario administrar la unidad organizativa, es posible instalar en su equipo los
archivos RSAT (Remote Server Administration Tool). De esta forma contar con acceso a la consola con
los permisos adecuados. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de
seguridad para poder abrir una sesin en el controlador de dominio. El usuario utilizado debe ser
miembro del grupo Formadores.
En CL8-01, abra una sesin y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuracin del adaptador y, a continuacin, haga doble clic en el
adaptador de red y luego en el botn Propiedades.
En AD1, abra una sesin como administrador y luego inicie la consola Usuarios y equipos de
Active Directory.
Ciudad: Velaux
Estado o provincia: 13
En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y luego Mendez en
el campo Apellidos. Por ltimo, introduzca pmendez en el campo Nombre de inicio de sesin de
usuario.
Haga clic en Siguiente e introduzca una contrasea.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creacin de un nuevo objeto
se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la pestaa Miembro
de) se replican.
En las propiedades de la carpeta creada, seleccione la pestaa Compartir y luego haga clic
enUso compartido avanzado....
Marque la opcin Compartir esta carpeta y luego haga clic en Permisos.
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuacin:
Formadores: Cambiar
Valide los cambios haciendo clic dos veces en Aceptar.
Haga clic en el botn Agregar y luego en el enlace Seleccionar una entidad de seguridad en la
ventana Entrada de permiso para Perfiles.
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la informacin haciendo clic
en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creacin.
4 Qu podemos ver en la pestaa Editor de atributos? Es posible modificar los valores que
contiene?
9 Qu es un canal seguro?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 6 puntos para
aprobar el captulo.
3. Respuestas
1 En qu lenguaje se basa la consola Centro de administracin de Active Directory?
Cuando el administrador ejecuta una accin, la consola llama a comandos PowerShell. Esta consola
permite realizar operaciones tales como la activacin o la administracin de la papelera de reciclaje
Active Directory, y puede tambin realizar operaciones ms elementales como la creacin de un
objeto.
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creacin.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios un
apellido o nombre de pila, un nombre de usuario y una contrasea.
4 Qu podemos ver en la pestaa Editor de atributos? Es posible modificar los valores que
contiene?
La pestaa Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario
seleccionado. Estos valores estn, tambin, presentes en las diferentes pestaas (apellido, nombre
de pila, nombre de inicio de sesin). Es perfectamente posible modificar el valor de un atributo.
Global
Dominio local
Universal
La diferencia estriba a nivel del SID, el grupo de seguridad posee este identificador nico. Puede
entonces utilizarse en una ACL o tener la funcin de lista de distribucin de correo. Al contrario que
este ltimo, un grupo de distribucin no cuenta con este identificador y solo puede utilizarse como
lista de distribucin.
Al realizar la unin al dominio de un equipo que no posee una cuenta, sta se crea
automticamente en la carpeta de sistema Computers. El comando redircmp permite alojar la
cuenta creada automticamente en otro contenedor (por ejemplo, en una unidad organizativa).
9 Qu es un canal seguro?
1. Requisitos previos
Conocer la lnea de comandos DOS.
2. Objetivos
Utilizacin de los comandos csvde y ldifde.
-p scope: permite especificar el mbito de la bsqueda. Cada opcin cuenta con diferentes
posibilidades: Base permite indicar nicamente una bsqueda del objeto, onelevel para la
bsqueda de un objeto solamente en el contenedor indicado y subtree para lanzar una
bsqueda en el contenedor y subcontenedores.
-r filter: permite incluir un filtro. Esta ltima utiliza una solicitud en formato LDAP.
-l ListOfAttributes: especifica los atributos que deben exportarse. Cada atributo debe
seleccionarse mediante su nombre LDAP y separarse por una coma.
Csvde -f ArchivoCsv
-k: se ignoran los errores, lo que permite que el comando se ejecute sin interrupcin.
El archivo LDAP utilizado posee una lnea de cabecera, compuesta por el nombre de los atributos
LDAP (nombre...). Este comando no se puede utilizar para importar las contraseas porque stas
aparecen sin cifrar. Por lo tanto, la cuenta no posee contrasea y se deshabilita.
Este tipo de archivo de texto contiene bloques de lneas, cada una permite efectuar una operacin.
Cada lnea del bloque contiene informacin sobre la operacin a realizar, as como el atributo
afectado.
Cada operacin a realizar se separa por una lnea vaca. El atributo changetype permite definir la
accin a realizar. Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Es necesario utilizar al menos la opcin -f para la exportacin, que indica el archivo a utilizar.
Ldifde -f ArchivoLDIF
La importacin utilizar al menos dos opciones adicionales: -i para indicar que el comando va a
realizar una importacin y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Las operaciones realizadas de manera grfica pueden llevarse a cabo empleando instrucciones
PowerShell.
Se pueden usar diferentes cmdlets, cada uno con una funcin bien definida:
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede tambin incluirse la contrasea en este comando.
HomeDrive: define la letra que debe utilizar, as como la ruta a la carpeta particular del
usuario.
Nombre: BAK
Contrasea: Pa$$w0rd
La contrasea deber cambiarse tras el primer inicio de sesin y la cuenta estar activa.
El comando PowerShell que debe utilizar para realizar esta operacin es el siguiente:
El nombre de inicio de sesin del usuario es, efectivamente, jbak, para el UPN (User Principal Name)
o el SamAccountName (nombre de inicio de sesin anterior a Windows 2000).
La opcin que indica el cambio durante el inicio de sesin tambin est habilitada.
Los campos Apellidos y Nombre de pila tambin estn correctamente configurados.
Se han tenido en cuenta todos los parmetros del script.
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Podemos efectuar la administracin de los miembros de un grupo empleando el cmdlet Add-
ADGroupMember. Si queremos agregar Jean BAK al grupo Formadores, debemos seguir la siguiente
sintaxis:
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creacin del grupo. Para ello, debemos utilizar el cmdlet New-
ADGroup. Lo componen varios parmetros que permiten configurar los diferentes atributos de un
grupo.
GroupScope: define el mbito del grupo (Dominio Local, Global o Universal). Este parmetro
es obligatorio.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un mbito global), debemos
utilizar el comando siguiente:
Get-ADGroup Alumnos
Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes
cmdlets.
La primera operacin a realizar es reiniciar la cuenta de equipo CL8-01. El canal seguro se encuentra
roto.
Es necesario conectarse como administrador local para poder resolver el problema.
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro est roto.
Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando nos
devolver un error por permisos insuficientes.
Para realizar la creacin de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. ste
tiene tres argumentos:
A partir de Windows Server 2008 es posible activar la proteccin contra la eliminacin accidental.
sta se encuentra activa de forma predeterminada durante la creacin de cualquier objeto.
Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Ahora podemos pasar a la etapa de creacin de una unidad organizativa. Como hemos visto
anteriormente, el cmdlet a utilizar para esta operacin es New-ADOrganizationalUnit. ste tiene
varios parmetros:
Todos los usuarios de la OU Formacion debern cambiar la contrasea tras el prximo inicio de sesin.
La opcin PasswordNeverExpires permite desactivar la opcin La contrasea nunca expira.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 Cul es el comando PowerShell que hay que ejecutar para importar el mdulo Active
Directory?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 6 puntos para
aprobar el captulo.
3. Respuestas
1 Qu tipo de archivo explota el comando csvde?
Para realizar una exportacin debemos utilizar el comando csv de - f Nom breDeArchiv o. La
opcin - f permite indicar el archivo a utilizar. La importacin necesitar ms parmetros, la
instruccin a ejecutar es de la forma csv de - i - f Archiv oCSV - k. La opcin - i indica que vamos a
realizar una importacin, - k permite continuar la ejecucin aunque se produzca algn error.
No es posible efectuar modificaciones o eliminaciones con el comando csv de. En este caso
tendremos que utilizar el comando ldifde.
Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New- ADUser.
6 Cul es el comando PowerShell que hay que ejecutar para importar el mdulo Active
Directory?
El comando im port- m odule Activ eDirectory importa el mdulo que permite la administracin de
los objetos Active Directory.
Si el canal seguro se rompe es imposible autenticar el equipo. Ser entonces necesario emplear el
comando Reset- Com puterMachinePassword.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Anlisis del protocolo TCP/IP.
Establecimiento de subredes.
Aplicacin
Transporte
Internet
Interfaz de red
La capa de Aplicacin
Esta capa permite a una aplicacin acceder a los recursos de red. Contiene diferentes protocolos de
aplicacin. Corresponde a las capas de aplicacin, sesin y presentacin del modelo OSI (Open System
Interconnection).
La capa de Transporte
El protocolo TCP permite establecer una conexin fiable entre dos entidades (equipos, etc.). Garanti-
za, antes de iniciar los intercambios de datos, que el receptor est listo para recibir las diferentes
tramas. Cada intercambio est seguido de un acuse de recibo, que garantiza la correcta recepcin de
cada paquete. El protocolo UDP proporciona una transmisin de datos sin conexin, el emisor y el
receptor intercambian tramas de sincronizacin y, a continuacin, comienzan la transferencia. La
entrega de paquetes se considera poco fiable, sin embargo se estima ms rpida (al no enviar acuse
de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:
ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access
Control) del destinatario. Las tramas utilizadas son de tipo broadcast. stas no pueden
franquear los routers.
ICMP (Internet Control Message Protocol): permiten transportar mensajes de control de errores
(mquina no accesible, por ejemplo).
Corresponden a las capas 1 (nivel fsico) y 2 (nivel de datos) del modelo OSI. Permite el envo en la
red fsica de las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efecta
tambin la transformacin de la seal de digital a analgica.
Para establecer una conexin con una aplicacin o un equipo remoto, es necesario establecer un
socket TCP o UDP. Este ltimo cuenta con tres parmetros:
El nmero de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se
encuentran reservados para aplicaciones especficas. La reserva de estos puertos permite a las
aplicaciones cliente una comunicacin ms fcil con el servidor.
1. El direccionamiento IPv4
Una direccin IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte est separado
por puntos y escrito en forma decimal (de 0 a 255).
Una direccin IP es un identificador nico que permite reconocer el equipo en la red (igual que un
nmero de seguridad social identifica a un hombre o una mujer). Esta direccin puede configurarse
de forma manual o automtica. Se le atribuye a cualquier interfaz de red que la solicite.
Una direccin posee un ID de red que identifica la red a la que est conectado el equipo. Luego un
ID de host que permite una identificacin univoca del equipo en la red. En funcin de la direccin
utilizada (consulte la seccin Las diferentes clases de direcciones ms adelante en este captulo), se
atribuyen uno o varios bytes a los diferentes ID. Antes del envo de una trama, es necesario que el
equipo emisor sepa si el destinatario est en una red diferente de la suya.
Para efectuar esta verificacin, el equipo utiliza la mscara de subred y efecta un Y lgico (para
tener un resultado 1 los dos valores debern ser iguales a 1).
Tomemos el ejemplo de un equipo con direccin IP 10.0.0.2 y una mscara de subred 255.0.0.0.
En primer lugar, es necesario convertir de decimal a binario (este punto ser tratado en profundidad
posteriormente en este captulo).
Ahora efectuamos un Y lgico entre los dos valores (El resultado es igual a 1 si los dos valores son
iguales a 1).
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo destino
tiene un ID de red diferente, estar necesariamente en una red diferente. En ese caso, el equipo
emisor de la trama debe enviarla a la puerta de enlace especificada en su configuracin IP.
Las direcciones privadas y pblicas tienen cada una diferentes cometidos en un sistema de
informacin.
Las direcciones IP pblicas se encuentran en la red Internet. Dicha direccin IP es nica en el mundo
y la distribuyen organismos especiales. Los equipos que poseen este tipo de direccin IP son
accesibles en Internet. Toda empresa o particular utiliza un router o modem-router (livebox...) para
acceder a Internet. Este equipo posee una direccin IP que le ha sido asignada por el proveedor de
acceso.
Los equipos en una red local utilizan por su parte una direccin privada. Esta ltima no es accesible
desde Internet (ningn equipo en una red pblica posee este tipo de direccin). Solo es nica en
una red de rea local. Dos empresas diferentes que no estn conectadas entre s pueden tener las
mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP pblicas para las direcciones de
equipos en una red local. De esta forma cada clase posee su propio conjunto de direcciones
reservadas.
Si descomponemos un byte, nos daremos cuenta de que ste posee 8 bits y cada uno tiene un
rango. El de menor valor, el de la derecha, tiene un rango 0 (ver ms abajo). El de mayor valor,
situado ms a la izquierda, tiene un rango 8. Para obtener el valor decimal de cada rango, hace falta
elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 2 0 =1, el del rango 1 tiene el valor
de 2 por 2 1 =2
Para efectuar la conversin de binario a decimal debemos aadir los valores decimales de los bits
con valor 1.
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 73:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 73.
Para efectuar la conversin, debemos comenzar por el bit de mayor valor, es decir, con rango 7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del rango 7
es entonces igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el nmero 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango 5 es
entonces igual a 1. Falta convertir el nmero 6 (38-32).
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango 4 es
entonces igual a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3 es
entonces igual a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2 es
entonces igual a 1. Falta convertir el nmero 2 (6-4).
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es
entonces igual a 1.
De esta forma hemos terminado de convertir el nmero 102. El valor binario del rango 0 es 0.
La clase A
Las direcciones contenidas en esta clase permiten direccionar 22 4 equipos. En efecto, se reservan
tres bytes para la direccin del ID del equipo y uno solo para el ID de la red.
El primer bit de todas las direcciones comienza por 0. El resto vara desde todos los bits en 0 para la
direccin inicial hasta todos los bits en 1 para la direccin final. O sea:
Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0. Los valores 0 y 127 estn
reservados, y el mbito va desde 1.0.0.0 hasta 126.0.0.0.
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La mscara utilizada es 255.255.0.0. El
rango de direcciones va desde 128.0.0.0 a 192.255.0.0.
La clase C
Esta es la clase que proporciona menor nmero de direcciones para los equipos. Tiene un nico byte
disponible para los equipos. Su mscara es igual a 255.255.255.0. Posee un rango de direcciones
entre 192.0.0.0 y 223.255.255.0.
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la direccin es de clase A. Si el
valor se encuentra entre 128 y 191 la direccin es de clase B. Por ltimo, si el valor se encuentra
entre 192 y 223 la direccin es de clase C.
5. El CIDR
La notacin CIDR (Classless Inter-Domain Routing) permite escribir de forma sinttica la mscara de
subred. Si tomamos la mscara de clase A (255.0.0.0), sta puede escribirse /8. La cifra proviene del
nmero de bits en 1.
La mscara de la clase B puede escribirse en la forma /16, mientras que la de la clase C se escribe
/24.
Establecimiento de subredes
Una subred consiste en dividir una red informtica en varias subredes. La mscara de subred se
utiliza para identificar la red en la que est conectado el equipo. Al igual que una direccin IP, est
compuesto de 4 bytes donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del
host (valor decimal 0).
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El primer
byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce el numero de
hosts direccionables.
Es posible utilizar subredes en los sitios remotos, cada sitio puede tambin tener su propia direccin
manteniendo el mismo ID de red. La divisin lgica permite reducir el trfico de red y las tramas de
tipo broadcast que un router debe transferir entre las distintas redes.
Tambin es posible prohibir el acceso a una red de un tercero (por ejemplo la red de produccin no
puede acceder a la red de administracin). De esta forma garantizamos la seguridad de los datos.
Sin embargo esta operacin necesita un cortafuegos.
La primera operacin es calcular el nmero de bits que necesitamos reservar para identificar la
subred. Si se quieren crear tres subredes entonces el nmero de bits a reservar es de 2, pues 2 2 =4
> 3.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.
Para comprobar que el clculo es correcto, debemos verificar el paso de una subred a la otra. De
esta forma podemos confirmar que es igual a 64. De hecho, si sumamos 64 a la direccin de la
subred 1, entonces el resultado es la direccin de la subred 2 (192.168.1.64 + 64 = 192.168.1.128).
Esta comprobacin debe ser cierta para el conjunto de subredes.
Clculo de la mscara de subred
A continuacin debemos calcular la mscara de subred a utilizar. Esta debe configurarse en todas
las mquinas para que pertenezcan a la subred correcta.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo nmero para
la mscara de subred. A diferencia de las direcciones, estos bits no variarn y tendrn el valor 1. La
direccin empleada es una direccin de clase C. La mscara ser 255.255.255.0.
Una vez ms, el primer paso a realizar es la descomposicin del primer byte del ID del host, los bits
de subred debern valer 1:
Para conocer el rango de direcciones que es posible distribuir a los equipos, debemos hacer variar el
ID de host, (de todos los bits a 0 a todos los bits a 1, es decir:
Subred 1:
192.168.1.0 a 192.168.1.63
Subred 2:
192.168.1.64 a 192.168.1.127
Subred 3:
192.168.1.128 a 192.168.1.191
Los comandos DOS pueden ser utilizados para la administracin y mantenimiento diario de una red.
Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente
diagnosticar un problema de red.
1. El comando ipconfig
El comando ipconfig permite mostrar la configuracin IP de los adaptadores de red.
Utilizando las distintas opciones, es posible realizar operaciones u obtener diferentes datos.
2. El comando ping
Este comando permite comprobar la comunicacin entre dos equipos. De esta forma se pueden
reparar rpidamente problemas de comunicacin en un equipo o servidor. El comando cuenta con
opciones y luego el nombre o direccin IP del equipo a verificar.
Ejecutado sin opciones, solo se envan cuatro tramas de tipo echo. Si el puesto est encendido y
conectado a la red se recibe una respuesta. En caso contrario, se emite una respuesta negativa.
-t: a diferencia de -n, se efecta el envo de tramas hasta que se solicita la interrupcin.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host
remoto. Sin embargo, este tipo de solicitudes pueden estar bloqueadas por un cortafuegos.
3. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un
destino. La trama es de tipo ICMP. Es intil utilizar este comando si el destino se encuentra en la
misma red de rea local. De hecho, el comando reenva el nombre o la direccin IP del router que
devuelve la trama echo.
Este comando es muy til para conocer qu router tiene un problema.
Es posible usar otros comandos, como nslookup. Este ltimo permite verificar la resolucin DNS.
Implementacin del protocolo IPv6
Desde hace muchos aos, se contina con la implementacin de IPv6. Los sistemas operativos cliente
o servidor tienen la posibilidad de ser accedidos va IPv6.
Adicionalmente, al contrario que una direccin IPv4, es posible realizar un configuracin automtica
sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la
red proporciona al cliente la informacin sobre la subred y el prefijo. Esto permite a los clientes
configurarse automticamente. Hablamos entonces de configuracin automtica de direcciones sin
estado (RFC 2462). La configuracin de direcciones sin estado necesita la presencia de un servidor
DHCPv6 (Windows Server 2008 como mnimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensin del protocolo anterior. Los perifricos de red cuentan con la posibilidad de determinar el
ancho de banda deseado para la gestin del paquete. Es posible igualmente administrar la prioridad
del trfico. Ciertos paquetes (difusin de vdeo continuo...) son prioritarios. Los perifricos de la red
se percatan de esto mediante el empleo del campo QoS.
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
IPv4 IPv6
Los formatos de las direcciones son, a su vez, diferentes. La versin anterior utiliza un formato
decimal (192.168.1.2) mientras que las direcciones se escriben en formato hexadecimal con la
versin 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se recomienda el uso de nombres de host en lugar
de direcciones IPv6.
El direccionamiento IPv6
Cada direccin est compuesta por 128 bits. Se utiliza un prefijo para indicar el nmero de bits
utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un
prefijo de 64 bits se asigna a la direccin, que es la mitad de los bits para identificar la red, los
restantes 64 permiten una identificacin nica del host (identificador de interfaz). ste puede ser
generado de manera aleatoria y asignado por DHCP o basado en el control de acceso o soporte
(MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
Las direcciones locales nicas corresponden a las direcciones privadas en IPv4 (RFC 1918). Este
tipo de direccin puede encaminarse solamente hacia el interior de una empresa. Para evitar los
problemas de duplicacin que podan ocurrir en IPv4 al interconectar varias redes, la direccin est
compuesta por un prefijo de 40 bits.
sta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequea de tener
dos prefijos idnticos.
Los siete primeros bits poseen un valor fijo igual a 1111110. El prefijo de la direccin es
igual a fc00::/7.
Este tipo corresponde a las direcciones IPv4 pblicas. Permiten designar un equipo en la red
Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques estn
reservados para implementar tneles 6to4 (por ejemplo el bloque 2002::/16).
Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits) permiten
formar un primer bloque de 48 bits. ste lo asigna el proveedor de acceso.
Se asigna una direccin de enlace local a un adaptador de red para permitirle comunicar con la red
local. Este tipo de direccin se genera automticamente y no se puede encaminar. Son homlogos
a las direcciones IPv4 correspondientes a las direcciones APIPA (169.254.x.x).
El prefijo utilizado por este tipo de direccin es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
1111 1110 Continuacin de ceros (54 bits) Identificador de interfaz
10
Los 10 primeros bits (111 1110 10) al igual que los siguientes ceros forman el prefijo de 64
bits (FE80::).
192
224
1110 0111
192.168.1.102
0011 1100
1001 1100
Solucin:
192
El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el nmero 64 (192-128).
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
224
El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el nmero 96 (224-128).
El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el nmero 32 (96-64).
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 7 +2 6 +2 5 +2 2 +2 1 +2 0 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
192.168.1.102
1: 0000 0001
0011 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 5 +2 4 +2 3 +2 2 = 32+16+8+4
Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.
1001 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 7 +2 4 +2 3 +2 2 = 128+16+8+4
Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.
Debemos dividir la red con la direccin 172.16.0.0 en 8 subredes. Proporcione, para cada una, la
direccin de subred, la direccin de la mscara de subred y los rangos de direccin que pueden ser
distribuidos.
Solucin:
Mscara de subred:
Subred 1:
172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0
hasta 172.16.31.255. En este rango, debemos incluir la direccin de red 172.16.0.0 y la direccin de
broadcast 172.16.31.255. Tenemos pues un rango efectivo desde 172.16.0.1 hasta 172.16.31.254.
Direccin de subred 2:
172.16. 001 0 0000.0 a 172.16.001 1 1111.255 o sea un rango de direcciones desde 172.16.32.0
hasta 172.16.63.255. Tenemos pues un rango efectivo desde 172.16.32.1 hasta 172.16.63.254.
Direccin de subred 3:
172.16. 010 0 0000.0 a 172.16.010 1 1111.255 o sea un rango de direcciones desde 172.16.64.0
hasta 172.16.95.255. Tenemos pues un rango efectivo desde 172.16.64.1 hasta 172.16.95.254.
Direccin de subred 4:
172.16. 011 0 0000.0 a 172.16.011 1 1111.255 o sea un rango de direcciones desde 172.16.96.0
hasta 172.16.127.255. Tendremos un rango efectivo desde 172.16.96.1 hasta 172.16.127.254.
Direccin de subred 5:
172.16. 100 0 0000.0 a 172.16.100 1 1111.255 o sea un rango de direcciones desde 172.16.128.0
hasta 172.16.159.255. Tenemos pues un rango efectivo desde 172.16.128.1 hasta 172.16.159.254.
Direccin de subred 6:
172.16. 101 0 0000.0 a 172.16.101 1 1111.255 o sea un rango de direcciones desde 172.16.160.0
hasta 172.16.191.255. Tenemos pues un rango efectivo desde 172.16.160.1 hasta 172.16.191.254.
Direccin de subred 7:
172.16. 110 0 0000.0 a 172.16.110 1 1111.255 o sea un rango de direcciones desde 172.16.192.0
hasta 172.16.223.255. Tenemos pues un rango efectivo desde 172.16.192.1 hasta 172.16.223.254.
Direccin de subred 8:
172.16. 111 0 0000.0 a 172.16.111 1 1111.255 o sea un rango de direcciones desde 172.16.224.0
hasta 172.16.255.255. Tenemos pues un rango efectivo desde 172.16.224.1 hasta 172.16.255.254.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la direccin IP (campo Ethernet) para abrir la ventana Conexiones de red.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecucin del comando.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecucin del comando.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
8 Cules son los comandos y opciones necesarios para ver la cach DNS?
9 Cules son los comandos y opciones para enviar un nmero definido de tramas echo?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 5 puntos para
aprobar el captulo.
3. Respuestas
1 Cules son las capas presentes en el protocolo TCP/IP?
Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicacin. Cada una
tiene su propia funcin. Los diferentes protocolos que comprenden la suite TCP/IP estn
organizados en las diferentes capas.
La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con direcciones
desde 128 hasta 191. Finalmente, la clase C cuenta con direcciones desde 192 hasta 223. El valor
del primer byte permite determinar a qu clase pertenece la direccin.
En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango
10.0.0.0 a 10.255.255.255 est reservado a la clase A. Con la clase B es posible utilizar las
direcciones entre 172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre 192.168.0.0 y
192.168.255.255 estn reservadas para la clase C.
Permite efectuar una divisin de la red fsica de forma lgica. Es tambin ms fcil limitar el
nmero de equipos en la red o garantizar la seguridad de los datos.
Para efectuar esta operacin debemos usar el comando DOS ipconfig /registerdns.
8 Cules son los comandos y opciones necesarios para ver la cach DNS?
Para ver la cach DNS de un equipo se debe emplear el comando ipconfig /displaydns.
9 Cules son los comandos y opciones para enviar un nmero definido de tramas echo?
El comando ping enva por defecto cuatro tramas echo. Para enviar un nmero mayor de tramas,
debemos usar la opcin -n seguida del nmero deseado.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Definicin del rol DHCP.
Una configuracin IP incluye una direccin IP, una mscara de subred y una puerta de enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuracin adecuada
para cada equipo. Muy til para los usuarios itinerantes, a stos se les asigna una configuracin sin
intervencin del administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP
y NAP (Network Address Protection) para distribuir las concesiones DHCP en funcin del estado de
salud del equipo (antivirus actualizado, cortafuegos activado). Este rol puede instalarse en un
servidor en modo Core para limitar la superficie de ataque.
Para obtener una asignacin DHCP, el cliente y el servidor realizan un intercambio de tramas:
Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. Mediante
esta trama, se ofrece una configuracin IP. De este modo, el cliente puede recibir una trama
del mismo tipo de varios servidores. El cliente selecciona el servidor que haya sido ms
rpido.
El cliente enva una trama de tipo DHCPREQUEST al servidor que ha seleccionado. Permite
informar al servidor que ha aceptado la oferta.
La renovacin se efecta enviando una trama broadcast DHCPREQUEST; el servidor responde con
un mensaje de tipo DHCPACK.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en
la subred IP. Transfiere a continuacin las diferentes solicitudes que recibe al servidor DHCP
presente en la red B.
Debemos sin embargo verificar el ancho de banda de la lnea y los tiempos de respuesta.
Funcionalidad del servidor DHCP
Despus de instalar el servidor, es necesario configurar el mbito.
Tomemos por ejemplo un servidor DHCP que posee un mbito con un conjunto de direcciones entre
172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignacin
DHCP recibe una direccin del mbito configurado para la red 172.16.0.0. El resultado es idntico si
el servidor posee mbitos para redes diferentes.
Mscara de subred: mscara de red que deben utilizar todos los clientes que reciben una
concesin DHCP.
Exclusiones: define las direcciones IP que deben excluirse del intervalo de direcciones que se
pueden distribuir.
Retraso: permite definir el tiempo transcurrido antes de proponer una concesin DHCP al
cliente (DHCPOFFER).
A partir de Windows Server 2008, es posible aadir un mbito para el protocolo IPv6. Al igual que
para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una reserva
en DHCP. sta permite garantizar la recepcin de la misma configuracin IP para cada cliente.
La direccin IP: direccin IP que se asignar al puesto cliente cada vez que lo solicite.
La direccin MAC: direccin fsica del adaptador de red a la que se asigna la concesin.
Despus de su creacin, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente
efecta una nueva solicitud (renovacin o nueva concesin).
La direccin MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all, y
aparece tambin en el nodo Concesiones de direcciones (campo ID exclusivo).
Los cdigos (003, etc.) estn normalizados, es posible encontrar la lista completa en la
documentacin de la RFC.
Opciones de servidor: se aplican al conjunto de clientes que efectan una solicitud de una
concesin al servidor DHCP. Si la misma opcin se encuentra configurada en el nodoOpciones
de mbito, se conserva esta ltima.
La opcin 003 Enrutador se encuentra configurada en las opciones de servidor, la
direccin IP introducida es 192.168.1.1.
Opciones de mbito: incluidas en cada mbito, se aplican a sus clientes. Cada mbito puede
tener opciones diferentes o las mismas con otros valores.
Opciones de reserva: al implantar una reserva, se aplican las opciones del mbito.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botn derecho en
la reserva deseada, el men contextual nos proporciona un acceso a la ventana que permite
efectuar la seleccin de la configuracin y sus opciones.
Las opciones de reserva reemplazan a las opciones configuradas a nivel de mbito.
El icono es diferente, lo que permite de forma sencilla saber a qu nivel se aplica la opcin.
4. Implementacin de filtros
La implementacin de filtros permite crear listas verdes y listas de exclusin. Cada una tiene un uso
bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesin DHCP.
De esta forma, todos los adaptadores de red cuya direccin MAC se encuentre en la lista verde
tienen la posibilidad de recibir una concesin. Est representada en la consola por el nodo Permitir.
La lista de exclusin permite anotar los adaptadores de red que no recibirn respuesta del servidor.
La lista de exclusin se puede configurar por medio del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso
contrario el servidor no responder a las solicitudes del cliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusin y viceversa. Esta caracterstica
permite garantizar que solo los puestos autorizados recibirn una configuracin IP. Sin embargo, al
aadir un nuevo equipo, es necesario crear un nuevo filtro. Esta operacin puede ser muy sencilla
de realizar pero se vuelve muy restrictiva en caso de contar con un nmero muy elevado de equipos.
Base de datos DHCP
La base de datos de DCHP permite registrar de informacin (direcciones MAC...) al distribuir una nueva
concesin.
dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange Server
JET.
Para cada operacin (nueva solicitud, renovacin o liberacin de la concesin), se actualiza la base
de datos y se crea una entrada en los registros.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Durante la operacin de copia de seguridad (sincrnica o asncrona) todos los elementos vinculados
al servidor se incluyen en la copia. Encontraremos los siguientes elementos:
Al realizar una operacin de reconciliacin, las entradas contenidas en la base de datos y el registro
se comparan. Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que
no estn presentes en el registro y viceversa).
Ejemplo
Seleccionando Reconciliar... en el men contextual del mbito (clic derecho en el mbito deseado),
se muestra una ventana. Bastar con hacer clic en el botn Comprobar para iniciar la verificacin.
Seguidamente, una ventana muestra el resultado de la operacin.
Es posible iniciar esta operacin en todos los mbitos seleccionando Reconciliar todos los
mbitos... en el men contextual del nodo IPv4.
Como hemos visto anteriormente, el desplazamiento de la base de datos a otro volumen permite
una reinstalacin del servidor sin perder la base de datos. En caso de migracin del servidor DHCP,
es posible utilizar dos soluciones.
Primera solucin: se ha creado una cantidad de reservas han sido creadas y se han implementado,
a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo mbito en el nuevo
servidor DHCP y luego efectuar la etapa de creacin de las reservas y exclusiones. Es tedioso y
puede causar errores ms o menos perjudiciales para el sistema de informacin. Es entonces
necesario hacer copia de seguridad del antiguo servidor y luego restaurarlo en el nuevo o desplazar
la base de datos a otro volumen.
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho en el
servidor y luego Propiedades en el men contextual).
Empleando el botn Examinar asociado al campo Ruta de acceso de la base de datos,
seleccione otra carpeta.
Si, durante el reinicio del servicio, el mbito no est presente, copie todos los archivos
contenidos en Windows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuacin, en
la pestaa Avanzadas, bastar con configurar el nmero de intentos de deteccin de conflictos que
el servidor debe efectuar.
Las nuevas concesiones se distribuirn sin riesgo de conflicto IP.
Securizacin y mantenimiento de DHCP
El protocolo DHCP no permite implementar una solucin de autenticacin, por lo tanto cualquier
equipo puede recibir una concesin DHCP. La solicitud resultar en una asignacin aunque el equipo
no est autorizado para recibirla.
Esta ltima puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In
User Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su
vez, compatible con la norma 802.1x.
En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access-
Enterprise) y WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticacin RADIUS. Por
ltimo, es posible implantar un servidor NAP (Network Access Protection). Este ltimo autoriza el
acceso al servidor DHCP para los clientes que cumplan con la poltica de seguridad (antivirus
actualizado, cortafuegos activado).
Es posible definir los intervalos de actualizacin modificando el parmetro en las propiedades del
campo IPv4 (pestaa General). Esta opcin est deshabilitada por defecto.
A diferencia de las estadsticas del servidor, que proporcionan informacin sobre su estado, las
estadsticas del mbito proporcionan solamente el nmero de direcciones presentes en el rango
permitido y el nmero de direcciones utilizadas y disponibles.
Como complemento a las estadsticas, es posible utilizar el registro de auditora, que permite el
seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y tambin a
aquellas que han sido rechazadas.
Ver, crear informes personalizados y administracin del espacio de direcciones IP: muestra
los datos detallados de seguimiento y uso de las direcciones IP. Los espacios de direcciones
IPv4 e IPv6 se organizan en bloques de direcciones IP, en rangos de direcciones IP y en
direcciones IP individuales.
Auditar los cambios de configuracin del servidor y seguimiento del uso de las direcciones
IP: permite ver los eventos operativos relacionados con los servidores IPAM y DHCP
administrados. A su vez, se realiza un seguimiento de las direcciones IP, ID de cliente, nombre
de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los
eventos de inicio de sesin de usuario en los servidores NPS (Network Policy Server), en los
controladores de dominio y los servidores DHCP.
IPAM realiza intentos peridicos para localizar controladores de dominio, servidores DNS y DHCP para
servidores que estn dentro del alcance del rea de descubrimiento especificada. Para poder ser
gestionados por IPAM y autorizar su acceso, se deben configurar los parmetros de seguridad y los
puertos del servidor.
La comunicacin entre el servidor IPAM y los servidores administrados se efecta mediante WMI o
RPC.
El mbito de descubrimiento para los servidores IPAM est limitado a un nico bosque Active
Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar Windows
Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS -
Windows Internet Name Service, proxy) no estn contemplados por el servidor IPAM. Con Windows
Server 2012 R2 aparecen nuevas caractersticas, incluyendo la posibilidad de utilizar una base de
datos SQL. Las anteriores versiones solo podan emplear la base de datos interna de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 mbitos y 150 zonas
DNS).
No hay implementada ninguna estrategia para vaciar la base de datos despus de un tiempo, el
administrador debe hacerlo manualmente.
Base de datos interna de Windows: base de datos interna que puede ser instalada por los
roles y caractersticas internos.
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la informacin de
descubrimiento de servidores, al igual que la relativa al rango de direcciones y la gestin del
servidor. El acceso a la informacin de seguimiento de direcciones IP les est prohibido.
Administradores IPAM ASM (Address Space Management): adems de los permisos del
usuario IPAM, tambin tienen la posibilidad de efectuar las tareas relacionadas con el espacio
de direcciones y tareas de gestin habitual de IPAM.
Administradores de auditora IPAM IP: los miembros de este grupo pueden efectuar las
tareas de gestin habitual de IPAM y, adems, ver la informacin de seguimiento de
direcciones IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden realizar cualquier tarea.
Las tareas IPAM se inician regularmente en funcin de una periodicidad dada. Se encuentran en el
administrador de tareas (Microsoft/Windows/IPAM):
Audit: se recopila la informacin de auditora de los servidores DHCP, IPAM, NPS y DC as como
de las concesiones DHCP.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.
Marque la casilla Instalacin basada en caractersticas o en roles y luego haga clic enSiguiente.
En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar caractersticas en la ventana que
se muestra.
En la consola Administrador del servidor en AD1, haga clic en el icono con forma de bandera.
Haga clic en el enlace Completar configuracin de DHCP.
Haga clic con el botn derecho en IPv4 y a continuacin, en el men contextual, haga clic
enmbito nuevo....
Haga clic con el botn derecho en Opciones de mbito y a continuacin, en el men contextual,
seleccione Configurar opciones.
Marque la opcin 003 Enrutador y el valor 192.168.1.254 en el campo Direccin IP. Haga clic
en Agregar para validar el valor.
Marque la opcin 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic
enAgregar para validar el valor.
Verifique en los equipos CL8-01 y CL8-02 que la direccin est configurada para Obtener una
direccin IP automticamente.
Utilice el comando ipconfig para verificar la configuracin actual.
Si la direccin configurada es una direccin APIPA (169.254.x.x), efecte una nueva solicitud
de concesin empleando el comando ipconfig /renew.
Despliegue Filtros y luego haga clic con el botn derecho en el nodo Permitir. En el men
contextual, seleccione Habilitar. Realice la misma operacin para Denegar.
Haga clic en Concesiones de direcciones y, a continuacin, haga clic con el botn derecho en la
concesin de CL8-02. En el men contextual seleccione Agregar a filtro y, a
continuacin,Denegar.
Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew en CL8-
02.
Despliegue el servidor ad1.formacion.local y luego haga clic con el botn derecho. Seleccione la
opcin Copia de seguridad.
En la ventana Buscar carpeta, seleccione el Disco local (C:) y luego haga clic en Crear nueva
carpeta.
Haga clic con el botn derecho en el mbito presente en DHCP y, en el men contextual,
seleccione la opcin Eliminar.
En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic
enAceptar.
Haga clic en S para reiniciar los servicios.
4. Implementacin de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauracin.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
funcin.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y luego haga clic
enSiguiente.
Verifique la seleccin de SV2.Formacion.local y luego haga clic en Siguiente.
En el Administrador del servidor, haga clic en IPAM para mostrar la pgina inicial.
En la ventana Configurar base de datos, deje el valor por defecto y haga clic en Siguiente.
Haga clic en Siguiente en la ventana Aprovisionar IPAM.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea de
Overview.
Si no se muestra ningn servidor, haga clic en Actualizar IPv4 (a la izquierda del identificador de
notificacin).
Ahora hay que dar a SV2 el permiso de gestin de los diferentes servidores. Se utilizan los objetos de
directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol)
y DNS (Domain Name System).
En la consola de configuracin de IPAM, haga clic con el botn derecho en la lnea AD1 y luego
seleccione Editar servidor.
En el servidor AD1, abra un smbolo del sistema DOS y luego introduzca el comando gpupdate
/force. Esto permite aplicar las directivas de grupo previamente creadas con el comando
PowerShell.
En la consola IPAM, haga clic con el botn derecho en AD1 y luego, en el men contextual,
seleccione Actualizar estado de acceso del servidor. El campo Estado de acceso IPAM muestra
ahora el estado Desbloqueado.
Pueden hacer falta varios minutos para la aplicacin de la directiva. Si esto no funciona, actualice
la consola.
En el panel INFORMACIN GENERAL, haga clic en Recuperar datos de servidores
administrados.
Haga clic con el botn derecho en el rango de direcciones IP y luego, en el men contextual, haga
clic en Buscar y asignar direccin IP disponible.
Despus de unos minutos, se presenta una direccin IP y luego se realizan las pruebas.
La direccin est disponible.
Introduzca CL8-02 en el campo Id. de cliente y luego marque Asociar MAC a identificador de
cliente. La direccin MAC se asocia.
Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitir recuperar ms
fcilmente la reserva.
Haga clic en el botn Aplicar y luego en Aceptar.
En el equipo CL8-02, renueve la concesin DHCP introduciendo los comandos ipconfig /releasey
luego ipconfig/renew.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
9 Cules son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. Cules son las dos posibilidades que
se me presentan?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 12 puntos para
aprobar el captulo.
3. Respuestas
1 Cul es el rol de un servidor DHCP?
El servidor DHCP tiene por objeto la distribucin de configuraciones IP a los equipos que la solicitan.
Este servicio permite evitar la distribucin de la misma configuracin a dos equipos diferentes.
Cuando un cliente emite una trama para solicitar una configuracin IP, sta se enva a todos los
equipos de la red. Esta trama est basada en un tipo broadcast. Estas tramas no pueden atravesar
los enrutadores. Para evitar costes excesivos por la proliferacin de servidores DHCP, debemos
implantar relay DHCP cuya funcin es la retransmisin de las diferentes solicitudes a los servidores
DHCP.
S, es posible configurar varios mbitos en un servidor DHCP. Cada mbito posee un rango de
direcciones diferente.
Un mbito posee varias propiedades, entre las que se encuentran una nombre y una descripcin.
Encontramos, tambin, un conjunto de direcciones IP que pueden distribuirse, as como la mscara
de subred y las listas de exclusin. Estas opciones pueden, a su vez, configurarse.
Para implementar una reserva necesitamos introducir la direccin MAC y la direccin deseada.
Una opcin DHCP permite complementar la configuracin IP distribuida. De esta forma es posible
distribuir la direccin del servidor DNS (opcin 044). Adicionalmente, la puerta de enlace
configurada con el asistente de creacin del mbito es la opcin nmero 003 enrutador. Es posible
distribuir otras opciones (opcin 069: servidor SMTP, opcin 070: servidor POP3).
9 Cules son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
Es posible configurar varios tipos de opciones. Podemos configurar opciones de servidor, de clase o
de reserva.
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir
direcciones a los equipos incluidos en esta lista. La lista negra permite prohibir la concesin a los
equipos incluidos.
13 Quiero migrar el rol de servidor DHCP a otro servidor. Cules son las dos posibilidades que
se me presentan?
Si existen reservas configuradas, es preferible hacer una copia de seguridad de la base de datos y
luego restaurarla en otro servidor. De esta forma, las concesiones ya distribuidas por el antiguo
servidor se conocen en el nuevo. En el caso que el nmero de reservas sea limitado, podemos
recrear el mbito. En este ltimo caso, debemos configurar el servidor DHCP para que verifique si la
direccin se encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha
solicitado.
IPAM (IP Address Management) permite realizar el descubrimiento, supervisin y auditora de una
direccin IP. Tambin es posible supervisar y administrar los servidores DHCP y DNS.
1. Requisitos previos
Poseer nociones sobre los diferentes tipos de nombres (DNS y NetBIOS).
2. Objetivos
Analizar el funcionamiento de DNS.
De esta, forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la
direccin IP del servidor. Introduciendo la direccin URL, se efecta una resolucin DNS para poder
traducir el nombre a su direccin IP.
Se utiliza una base de datos para almacenar los registros. sta puede almacenarse en un archivo o
en el directorio Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder
efectuar las operaciones de resolucin necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efecta las consultas y
actualizaciones en la base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se enva una consulta al servidor DNS para
resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se enva la direccin IP al
cliente que ha realizado la solicitud, en caso contrario se ponen en marcha otros mecanismos
(peticiones recursivas o iterativas) que comentaremos ms adelante.
El uso de un nombre, a diferencia de una direccin IP, permite realizar la resolucin incluso en caso de
cambio de direccin.
Situados debajo de los servidores raz, los servidores con autoridad sobre los dominios de primer
nivel permiten la gestin de las zonas es, net... Cada uno de los dominios es gestionado por un
organismo (ESNIC...).
En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un proveedor de
acceso, que puede hospedar un servidor web o solamente proporcionar un nombre de dominio.
Cada nivel est compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su
zona (el servidor raz contiene solamente el nombre de los servidores de primer nivel, y es el mismo
para todos los servidores de cada nivel).
Es posible para una empresa o particular aadir registros o subdominios para el nombre de dominio
que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi trfico de correo
electrnico a mi router, en concreto a la direccin de mi IP pblica).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona FR
puede resolver el registro nibonnet, pero no podr resolver el nombre de dominio shop.nibonnet.fr.
Con las consultas iterativas, el equipo cliente enva a su servidor DNS una consulta para resolver el
nombre www.nibonnet.fr. El servidor consulta al servidor raz. ste le redirige al servidor que tiene
la autoridad sobre la zona FR. La consulta a este ltimo permite conocer la direccin IP del servidor
DNS con autoridad sobre la zona nibonnet. La consulta al servidor DNS con autoridad sobre la zona
nibonnet permite resolver el nombre www.nibonnet.fr. El servidor DNS interno responde a la
consulta que recibi previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Enva la peticin
a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor
externo para efectuar la resolucin. La peticin se transmite al reenviador configurado por el
administrador (el servidor DNS del ISP que posee una cach mayor, por ejemplo). Si la respuesta no
se encuentra en su cach, el servidor DNS del ISP efecta una consulta iterativa y luego transmite la
respuesta al servidor que ha realizado la peticin. ste puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador. En
ciertos casos (aprobacin de bosque AD...), es necesario que la solicitud de resolucin que se va a
reenviar a otro servidor DNS sea redirigida en funcin del nombre de dominio (para el dominio eni.fr
enviar la peticin a, por ejemplo, el servidor SRVDNS1). El reenviador condicional permite efectuar
esta modificacin y redirigir las consultas al servidor correcto si la consulta (nombre de dominio) es
vlida.
Zonas y servidores DNS
Una zona DNS es una porcin del nombre de dominio donde el responsable es el servidor DNS.
Podemos decir que ste tiene autoridad sobre la zona. El servidor DNS gestiona la zona al igual que
los diferentes registros que posee.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene.
Este tipo de zona puede integrarse en Active Directory o simplemente estar contenida en un archivo
de texto. En el caso de que la zona no est integrada en el directorio, es necesario configurar la
transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este tipo de
zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una transferencia de
zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta ltima contiene solamente
los registros necesarios para la identificacin del servidor DNS que cuenta con autoridad sobre la
zona que se ha aadido.
Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion.local: el servidor
SV1 tiene para l autoridad sobre la zona Formacion.local y nibonnet.local.
La creacin de una zona de rutas internas se realiza para poder resolver los registros de otro
dominio.
Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolucin para el dominio
nibonnet.local, la solicitud se redirige a los servidores DNS configurados en la zona de rutas
internas. De esta forma se podr efectuar la resolucin.
La integracin de la zona en Active Directory requiere la instalacin del rol DNS en un controlador de
dominio. Este tipo de zona aporta ciertas ventajas a la gestin del rol DNS:
Replicacin de la zona DNS: la replicacin de zona integrada en Active Directory afecta solamente
al atributo modificado. Es posible emplear dos tipos de replicacin diferentes. Se realiza una
transferencia de zona con las zonas estndar, mientras que las zonas integradas en Active Directory
se replican con el controlador de dominio.
Actualizacin dinmica: la integracin en Active Directory garantiza una mejor seguridad impidiendo
una modificacin fraudulenta de los registros.
2. La zona GlobalNames
La resolucin de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres
NetBIOS). Estos ltimos pueden resolverse mediante un servidor DNS. En ciertos casos puede ser
necesario implantar un servidor WINS. Ms antiguo que DNS, emplea NetBIOS sobre TCP/IP (NetBT).
WINS y NetBT no tienen en cuenta IPv6. Estn llamados a desaparecer en unos aos.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migracin en
el servidor DNS para la resolucin de nombres cortos. Para esto, se debe utilizar una zona llamada
GlobalNames. Esta zona contiene los registros estticos que contienen los nombres.
stos se refieren a los equipos, siendo la configuracin de IP esttica y administrada por WINS
(fundamentalmente servidores, solo si los equipos cliente cuentan con direcciones estticas). La
resolucin de nombres de registros inscritos de forma dinmica no puede realizarse mediante esta
funcionalidad.
Adicionalmente, se aade el comando DOS dnscmd.exe, el cual permite crear un script y automatizar
la configuracin DNS.
2. La actualizacin dinmica
La actualizacin dinmica consiste en una actualizacin del servidor DNS en tiempo real. Esta
caracterstica es muy importante. Permite, de hecho, tener un registro al da cuando el cliente
cambia de direccin IP. La operacin de actualizacin se efecta en varios momentos:
El cliente enva una primera actualizacin dinmica no segura. Si la zona no permite las
actualizaciones seguras, se rechaza la modificacin.
El cliente enva al servidor una actualizacin dinmica segura que tramita la solicitud.
CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El equipo es
accesible con su nombre al igual que con el alias.
SRV: permite definir un servidor especfico para una aplicacin, en particular para el equilibrio
de carga.
1. El comando nslookup
nslookup es un comando que permite la bsqueda de registros en el servicio DNS.
Ejecutado sin argumentos, la consola DOS muestra el nombre y la direccin IP del servidor de
nombres primario. Posteriormente, es posible interrogar al servidor.
Para evaluar la resolucin de un nombre de equipo por un servidor DNS, bastar con introducir el
nombre deseado despus del comando nslookup.
La opcin set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opcin devuelve informacin acerca del servidor de correo electrnico.
Este comando puede usarse para los registros de tipo pblico, que se encuentran en un servidor
DNS pblico, o para los registros de tipo privado, ubicados en una red local.
2. El comando dnslint
El comando dnslint es un comando externo, antes de poder ejecutarlo se debe descargar el archivo.
Esta herramienta presenta tres funciones que permiten la verificacin de los registros DNS (Domain
Name System). Se crea un informe en formato HTML para poder ver los resultados.
Verificacin de registros DNS definidos por un usuario en un servidor DNS. Es preciso utilizar
la opcin /ql.
Verificacin de registros usados para la replicacin de Active Directory. Se debe usar la
opcin/ad.
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opcin /ad, debe
emplearse una direccin IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuracin IP del adaptador de red. Es
posible realizar otras acciones (renovacin de la concesin...) empleando diferentes opciones.
4. El comando dnscmd
La herramienta por lnea de comandos dnscmd es muy til para trabajar con scripts. Empleando
esta herramienta pueden automatizarse tareas de administracin del servicio DNS. Este comando
permite de igual manera la instalacin desatendida y la configuracin de nuevos servidores.
Inicie la consola Administrador del servidor y haga clic en el vnculo Agregar roles y
caractersticas.
Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar
caractersticas.
Haga clic con el botn derecho en el nodo Formintra.msft y luego en el men contextual
seleccione Host nuevo (A o AAAA).
Marque la opcin Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue y haga clic en Aceptar.
Si lo necesita, elimine los registros de SV2 presentes en el servidor DNS.
Haga clic con el botn derecho en el servidor AD1 y seleccione Borrar cach en el men
contextual.
Haga clic con el botn derecho en la carpeta Zonas de bsqueda directa y seleccione Zona
nueva.
La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado
en la ventana Tipo de zona.
Seleccione el botn de opcin Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: Formacion.local y luego haga clic en Siguiente.
Haga clic con el botn derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).
En el equipo CL8-01, inicie un smbolo del sistema DOS y luego introduzca ping SQL.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 Cules son las principales diferencias entre una zona primaria y una secundaria?
9 Qu es la actualizacin dinmica?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.
3. Respuestas
1 Dnde puede almacenarse la base de datos del servicio DNS?
La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el
directorio Active Directory (solamente para las zonas integradas en AD).
El cliente DNS tiene como funcin el envo de las consultas al servidor DNS para pedir la resolucin
de un nombre. Su segunda funcin es la actualizacin de los registros (si est activada la
actualizacin dinmica).
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo tiene
autoridad sobre su zona. En la jerarqua encontramos varios niveles (raz, dominio de primer
nivel...), cada uno tiene su funcin especfica.
Cuando un servidor efecta una consulta iterativa, enva una consulta a los servidores DNS de
diferentes niveles (raz, dominio de primer nivel...). El objetivo del servidor es responder a la
consulta que ha recibido.
Se pueden crear tres tipos de zona en un servidor DNS. Podemos crear zonas primarias,
secundarias o zonas de rutas internas.
6 Cules son las principales diferencias entre una zona primaria y una secundaria?
Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un
controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de
solo lectura y no pueden ser integradas en AD.
Una zona de rutas internas es una copia de una zona, donde solo existen los registros que
permiten la identificacin de los servidores DNS.
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona GlobalNames
permite crear registros estticos del tipo CNAME para que el servidor pueda resolver los nombres.
9 Qu es la actualizacin dinmica?
La actualizacin dinmica permite garantizar que un equipo que ha cambiado de direccin IP (nueva
concesin...) pueda modificar el registro sin intervencin del administrador. Integrando la zona en
Active Directory, se asegura la actualizacin dinmica.
Un registro SRV permite definir un servidor especfico para una aplicacin, especialmente para el
balanceo de carga. Un registro de tipo CNAME permite la creacin de un alias en el nombre de otro
equipo. El equipo es accesible con su nombre y el alias.
El comando dnslint es un comando externo. Permite diagnosticar problemas tales como errores de
delegacin y tambin crear registros como los definidos por el usuario o los necesarios para la
replicacin Active Directory.
Requisitos previos y objetivos
1. Requisitos previos
Poseer conocimientos sobre la gestin de discos (particionado, sistemas de archivos...).
2. Objetivos
Vista de las diferencias entre DAS, NAS y SAN.
EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnologa se basa en las normas
creadas en 1986. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las
normasAdvanced Technology Attachment 2 (ATA-2) y Advanced Technology Attachment Packet
Interface(ATAPI).
SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexin de
discos duros o unidades pticas a la placa base. La tecnologa SATA tiene por objetivo
reemplazar al estndar ATA. Presentada en 2003, la norma lleva tres revisiones: SATA 1 con
una velocidad de transmisin de 1,5 GB por segundo, SATA 2 con una velocidad de
transmisin de 3 GB por segundo, y finalmente SATA 3 con una velocidad de 6 GB por
segundo. Este tipo de disco tiene un menor coste que otras tecnologas aunque posee
igualmente un rendimiento menor. Es posible seleccionar este tipo de tecnologa si se
requiere gran cantidad de espacio en disco sin muchas restricciones de rendimiento.
SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la
conexin fsica y la transferencia de datos entre ordenadores y perifricos. Introducida en
1978, esta interfaz permite una ejecucin de transacciones a alta velocidad. Estandarizada
en 1986, SCSI ha sido creada para la utilizacin de cables de tipo paralelo; posteriormente,
se han utilizado otros soportes con esta norma. Con el uso de cables paralelos, las
transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640 SCSI (o
Ultra 5) permite velocidades de transferencia de 640 MB por segundo. Este tipo de disco
ofrece un rendimiento mayor que un disco SATA, sin embargo tiene un coste ms elevado.
SAS (Serial Attached SCSI): SAS se dise para paliar los problemas de fiabilidad o de
transmisin que podan traer otros formatos. Este tipo de discos utilizan dos tcnicas; la
transmisin en serie de datos y SCSI. Cada disco utiliza un caudal de 3 GB/s para cada
perifrico, SCSI efecta la divisin del ancho de banda empleando 2,56 GB/s para el conjunto
de los perifricos del controlador. A diferencia de la norma SATA que solo puede procesar un
comando a la vez, el controlador SAS puede enviar dos comandos simultneamente. Los
discos SAS pueden encadenarse, a diferencia de los discos SATA que necesitan un puerto por
cada disco. Durante la normalizacin de SATA 6 GB/s, apareci una nueva versin de SAS.
Presentada en su versin 2.0, posee las novedades de SATA 3 con un caudal de datos
equivalente.
SSD (Solid State Drive): este tipo de disco emplea memoria flash para el almacenamiento de
los datos, a diferencia de los discos clsicos que emplean un soporte magntico. Los accesos
a disco son netamente superiores con un menor consumo de energa. Este tipo de disco
emplea generalmente una interfaz SATA, sin embargo el coste es mayor que el de un disco
tradicional.
Ventajas de DAS
Un sistema DAS es una solucin que contiene varios discos conectados a un servidor u otro equipo
por medio de un adaptador de bus host (HBA). No puede existir ningn equipo de red de tipo hub,
repetidor, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el despliegue de
esta solucin es muy sencillo, basta con conectar el perifrico y verificar que el sistema operativo lo
reconoce. Tratndose de una solucin ms econmica, existen discos disponibles de diferentes
velocidades y tamaos. Esto permite una mejor adaptacin a las diferentes soluciones que pueden
implementarse. La administracin y la configuracin se realizan mediante la consola Administracin
de discos.
Inconvenientes de DAS
Esta solucin no permite centralizar los datos, que se encuentran repartidos entre varios servidores.
Adicionalmente a la administracin, la copia de seguridad y el acceso a los diferentes recursos es
tambin difcil de gestionar. Adems, el rendimiento del servidor (velocidad del procesador, memoria)
impacta en el acceso al DAS.
NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solucin no
necesita la conexin directa al servidor y proporciona acceso a un conjunto de servidores. Esta
solucin es frecuentemente un "appliance" sin interfaz para teclado, monitor, etc. La configuracin
se efecta a travs de la red, sin embargo el equipo debe contar con una configuracin IP. En caso
de implementar un recurso compartido de red, es preciso utilizar el nombre de la NAS (o su direccin
IP) en lugar del nombre de servidor. De esta forma, todos los usuarios pueden acceder a los
diferentes recursos compartidos del equipo ya que cuenta con una configuracin IP. Una mejor
opcin consiste en implementar una solucin SAN (Storage Area Network). Sin embargo, esta ltima
es muy costosa y necesita una arquitectura un poco ms pesada.
Ventajas de NAS
Como hemos visto, la solucin NAS ofrece la ventaja de proporcionar acceso a varios clientes con un
acceso directo desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar
cualquier problema de rendimiento vinculado al servidor, estando el equipo reservado
exclusivamente a la presentacin de los archivos y carpetas. Al estar los recursos almacenados en
un punto central, la administracin y la copia de seguridad son muy sencillas de realizar.
Adicionalmente, la solucin es independiente de la versin del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnologa mucho ms lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solucin est basada en red. No
es aconsejable almacenar aqu archivos de aplicaciones tales como SQL Server o Microsoft
Exchange.
Las SAN pueden utilizar fibra ptica o iSCSI. Este ltimo tipo de interfaz permite la transmisin de
comandos SCSI a travs del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el nmero de discos, y por ende la cantidad
total de almacenamiento. Es posible agregar un disco o una cabina de forma muy sencilla en
comparacin con una solucin de almacenamiento de tipo DAS. La centralizacin del almacenamiento
permite una mejor gestin y administracin de los recursos albergados. Los rendimientos en lectura
y escritura son ms elevados en este tipo de almacenamiento, adicionalmente es posible configurar
una redundancia a nivel de ciertos componentes (alimentacin, disco duro).
Inconvenientes de SAN
En la actualidad, esta tecnologa est muy extendida en las empresas porque garantiza (en funcin
del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los
servidores (generalmente contamos con una redundancia a nivel de alimentacin, discos y tarjeta de
red).
Funcionamiento de RAID
Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se escribe
en el disco espejo. En caso de fallo de un disco, los datos estn todava disponibles mediante
el segundo disco.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurndola mediante diferentes herramientas. Esta configuracin no est disponible para el
sistema operativo. ste solo puede efectuar la creacin de volmenes. El RAID por software es un
poco diferente porque la configuracin RAID se realiza esta vez en el sistema operativo. Se emplea
la consola Administracin de discos para la gestin de los diferentes niveles de RAID.
Niveles de RAID
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos. Los n
discos presentes en el RAID trabajan en paralelo, lo que permite una mejora en el acceso de lectura
y de escritura. Esta configuracin posee, sin embargo, un inconveniente en el tamao de los discos.
En efecto, la capacidad del volumen se corresponde con el tamao del disco ms pequeo
multiplicado por el nmero de los discos que componen el clster.
Ejemplo
Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La
capacidad del volumen es de 2 TB (tamao del disco ms pequeo * nmero de discos = 1 TB * 2 o sea 2
TB).
Esto se explica por el hecho de que en las bandas del sistema de agregacin (RAID 0) no se
escriben datos cuando el disco ms pequeo est lleno. Es muy aconsejable utilizar discos de igual
tamao.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se pierde el
conjunto de los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los mismos
datos. Hablamos de espejo o "mirroring" en ingls. La capacidad del volumen es igual al menor de
los discos presentes en el clster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamao. Este tipo de RAID ofrece
una buena proteccin de datos. En caso de fallo de uno de los discos, la controladora RAID lo
desactiva sin que el usuario se percate. Al reemplazarlo, la controladora reconstruye el espejo. Una
vez terminada la operacin, se garantizan nuevamente la redundancia y la alta disponibilidad.
RAID 5
RAID 5 es una solucin que fusiona el stripping (RAID 0) con un mecanismo de paridad. De esta
forma los datos no se escriben nunca de la misma forma en los diferentes discos. Esto permite tener
en cada disco la informacin de paridad y los datos. Esta solucin garantiza la reconstruccin del
RAID combinando los bits de paridad y los datos. Sin embargo, en caso de prdida de ms de un
disco los datos no podrn ser recuperados.
Esta solucin RAID aporta un buen acceso de lectura, sin embargo el clculo de la paridad implica
tiempos de escritura mucho ms largos.
Gestin de discos y volmenes
Desde las primeras versiones de los sistemas operativos servidor, la gestin de discos y volmenes
es un punto esencial.
Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato
GPT permite rebasar los lmites impuestos por el formato MBR. Se soportan un mximo de 128
particiones por disco en GPT. El tamao de una particin alcanza los 8 zetabytes (10 21 ), sin
embargo es necesario que la BIOS soporte GPT para poder realizar un arranque desde este tipo de
particin.
Los discos bsicos, utilizados en todas las versiones del sistema operativo Windows, utilizan tablas
de particiones de tipo MBR o GPT. Un disco bsico contiene particiones principales o particiones
extendidas. Estas ltimas estarn divididas en unidades lgicas. Al instalar un disco, la opcin por
defecto es el disco bsico. Sin embargo, es posible realizar la operacin para configurar un disco
dinmico, sin tener impacto sobre los datos presentes.
El paso de disco dinmico a disco bsico s causa, por su parte, la prdida del conjunto de datos
contenidos en el disco.
Los discos dinmicos se implementaron por primera vez con Windows Server 2000. Estos no aportan
rendimientos superiores; adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos.
La nocin de volumen hizo as su aparicin con este tipo de discos. En efecto, ya no hablamos de
particiones sino de volmenes dinmicos. Se trata de unidades de almacenamiento que se
extienden sobre uno o ms discos.
Al igual que para los discos bsicos, los volmenes pueden formatearse con el sistema de archivos
deseado y se les puede asignar una letra de unidad. Estn disponibles varios tipos de volumen,
losvolmenes simples utilizan un solo disco y poseen las mismas caractersticas que una particin
principal. No existe ningn lmite (salvo el espacio en disco) en el nmero de volmenes simples por
disco, a diferencia de las particiones principales que estn limitadas a 4 por disco. El volumen
distribuido se crea utilizando el espacio en disco libre en varios discos. Este volumen puede
extenderse a un mximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna
tolerancia a errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios
discos (como mnimo dos). Los datos se escriben de forma alternativa en los diferentes discos que
componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta solucin no ofrece
tolerancia a errores. Los volmenes reflejados, ms conocidos como RAID 1, permiten implementar
un volumen con tolerancia a errores. Empleando dos discos, los datos escritos en uno se replican,
automticamente, en el otro.
FAT
FAT (File Allocation Table) es el ms rudimentario de los tres sistemas que se pueden usar con
Windows Server 2012 R2. Al formatear un disco con un sistema de archivos FAT, se realiza una
divisin en clster (grupo de sectores). La versin original de FAT no permita tener particiones de
ms de 2 GB, a causa de la limitacin en el tamao de la tabla de asignacin de archivos.
Desarrollado por Microsoft, este tipo de particiones admiten un tamao mximo de 2 TB. No se
implementa seguridad alguna a nivel de archivos. No es recomendable utilizar este tipo de sistema
en las particiones internas de un servidor que ejecute Windows Server 2012 R2.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema
proporciona caractersticas muy tiles que el sistema FAT no tiene. Implementa ACL (Access Control
Lists) para los archivos y carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones
de acceso a los archivos, carpetas o cualquier recurso compartido permite obtener una mejor
seguridad en un sistema de informacin. Los sistemas operativos que emplean este sistema
cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es posible implementar la
compresin de archivos y cuotas por volumen. Se puede realizar conversin de una particin FAT a
una de tipo NTFS sin prdida de datos empleando el comando convert. El tamao de las particiones
formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamao
terico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamao de
archivo, carpeta o particin. Se han mejorado a su vez la correccin de errores y la verificacin de
datos. Es preciso utilizar este tipo de sistema para rebasar los lmites impuestos por NTFS. Se han
mejorado la integridad de datos, as como la proteccin contra la corrupcin. Esta novedad hereda
funcionalidades presentes en el sistema NTFS tales como la encriptacin BitLocker o la
implementacin de la seguridad mediante el despliegue de ACL. Esto permite garantizar la
compatibilidad hacia atrs con el sistema NTFS. Si el disco se formatea con este sistema, no se
reconocer si se conecta a un sistema operativo anterior a Windows Server 2012. A diferencia de
NTFS que permite la modificacin del tamao de los clsters, con ReFS cada clster tiene un tamao
de 64 KB. El sistema EFS (Encrypted File System) no es compatible con ReFS.
A continuacin, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho
ms flexibles, ofrecen funcionalidades idnticas a las de un disco fsico (resiliencia...).
La solucin necesita un grupo de almacenamiento que agrupe los diferentes discos fsicos. stos
pueden ser de tipo SATA o SAS. Antes de poder agregar un disco fsico a un grupo, es necesario que
el disco cumpla ciertos requisitos mnimos.
En primer lugar, necesitamos tener un disco para crear un grupo de almacenamiento. Necesitamos
dos discos para implementar un disco virtual en espejo. Finalmente, los discos que pueden usar una
interfaz iSCSI, SAS, SATA, USB... deben estar vacos y sin formatear.
Finalmente la Paridad es similar al RAID 5. Los datos, as como los bits de paridad, se
reparten entre varios discos. Esta ltima solucin requiere tres discos fsicos. Al igual que
para el espejo, esta solucin incluye tolerancia a fallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
En la consola de la mquina virtual SV1, haga clic en el men Archivo y luego en Configuracin.
Si la mquina virtual est arrancada, resulta imposible agregar un disco IDE. En este caso, puede
agregar discos duros de tipo SCSI.
En la ventana Configuracin para SV1 en SRV-HYPERV, haga clic en Controladora SCSI y luego
en Unidad de disco duro.
Haga clic en el botn Agregar y, a continuacin, en el botn Nuevo. Se agrega un nuevo disco
duro a la mquina.
Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente.
Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la ubicacin y
haga clic en Siguiente.
Introduzca 10 en el campo Tamao y luego haga clic en Siguiente.
Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.
El nombre del archivo vhdx debe modificarse, los dems parmetros son idnticos.
Haga clic en Aceptar, luego en la mquina virtual SV1, abra la consola Administrador del
servidor.
Haga clic con el botn derecho en Disco 1 y luego seleccione la opcin En lnea.
El nmero de disco puede variar en funcin del nmero de lectores incluidos en la mquina
virtual. Si la opcin En lnea no aparece, significa que no se ha hecho clic en el lugar adecuado.
La operacin debe hacerse en el texto encima del enlace Ayuda.
En la ventana Inicializar disco, seleccione la opcin GPT (Tabla de particiones GUID) y haga
clic en Aceptar.
Haga clic con el botn derecho en el espacio no asignado (barra negra) y luego en el men
contextual seleccione Nuevo volumen simple.
En el campo Tamao del volumen simple en MB, introduzca 1000 y luego haga clic enSiguiente.
Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente.
Haga clic en Terminar para proceder a la creacin del volumen.
La creacin de un volumen con un sistema MBR y GPT es idntica. Solo difieren el tamao y el nombre
de las particiones.
Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic
enReducir volumen.
En el campo Tamao del espacio que desea reducir, en MB, introduzca 200.
Despus de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la particin D porque est ubicado antes que ella.
Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic
enExtender volumen.
En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego haga
clic en Siguiente.
Este campo indica al sistema operativo el valor que se agregar a la particin a extender.
La particin del sistema puede reducirse o extenderse mientras el sistema operativo est cargado.
Haga clic con el botn derecho en Disco 2 y luego seleccione la opcin En lnea.
Marque la opcin GPT (Tabla de particiones GUID) y luego haga clic en el botn Aceptar.
Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen distribuido.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.
En el mensaje de advertencia, haga clic en S para que los discos se conviertan a discos
dinmicos.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.
Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen reflejado.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.
Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen RAID-5.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.
En la consola Administracin de discos, haga clic con el botn derecho en Disco 2 y luego, en el
men contextual, haga clic en Sin conexin.
Los volmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen
seccionado) no estn accesibles.
Haga clic con el botn derecho en Disco 2 y luego, en el men contextual, seleccione En lnea.
Inicie la consola Administrador del servidor y haga clic en el vnculo Servicios de archivos y
almacenamiento.
Seleccione la pestaa Grupos de almacenamiento y luego empleando el botn TAREAS, haga clic
en Nuevo grupo de almacenamiento.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento. Por ltimo, haga clic en Grupos de almacenamiento.
Seleccione el botn TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.
Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 Qu es iSCSI?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 9 puntos para
aprobar el captulo.
3. Respuestas
1 Qu tipos de disco se pueden instalar en un servidor?
Se pueden instalar varios tipos de disco en un servidor: los discos SATA, SAS o SCSI.
Una DAS (Direct Attached Storage) es un disco conectado fsicamente a un servidor a diferencia de
una NAS (Network Attached Storage) a la que se accede mediante una interfaz IP.
4 Qu es iSCSI?
iSCSI es un protocolo que permite el envo de comandos SCSI a travs del protocolo IP.
Una SAN puede utilizar dos tipos de interfaces: fibra ptica o iSCSI.
Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su direccin IP.
El MBR (Master Boot Record) impone limitaciones (tamao de las particiones, etc.). Para rebasar
estos lmites, debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear
ms de cuatro particiones principales
ReFS permite mejorar el sistema NTFS. En efecto, el tamao mximo de los archivos ha sido
aumentado. Este sistema aporta otras mejoras.
1. Requisitos previos
Poseer nociones acerca de los permisos NTFS.
2. Objetivos
Implementacin de permisos NTFS y compartir una carpeta.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se
encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al
crear una nueva carpeta o archivo. Estos ltimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estndar y los permisos avanzados.
Los permisos estndar son los ms utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos. Esto incluye la
posibilidad de modificar los permisos o convertirse en propietario. El permiso Modificar permite leer,
escribir y eliminar un archivo o una carpeta. Concede al objeto afectado permisos para ejecutar un
archivo o efectuar su creacin.
Permisos de lectura Autoriza al objeto que recibe este permiso a leer los
permisos asignados a un recurso.
El acceso se efecta empleando una ruta UNC (Universal Naming Convention). sta se compone del
nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por
ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan desde hace aos.
Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. Para acceder, es
necesario introducir la ruta UNC. Los recursos como c$, admin$ se crean durante la instalacin de un
sistema operativo cliente o servidor. Para ocultar un recurso compartido y transformarlo en un
recurso administrativo, debemos aadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un
archivo o carpeta, este ltimo recupera automticamente los permisos de seguridad aplicados a su
padre. En ciertas ocasiones, se puede llegar al caso de que los permisos heredados contradicen a
los permisos explcitos. Hablamos entonces de conflictos. En este caso, los permisos declarados
explcitamente por el administrador tienen prioridad sobre los permisos heredados. Los ltimos
pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Esta operacin se
efecta en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades -
pestaa Seguridad - Opciones avanzadas).
Despus de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarn ms al
hijo. A veces es necesario restablecer los permisos en cada nodo del rbol remplazando los
permisos del padre al hijo. Para esto, se debe usar la opcin Reemplazar todas las entradas de
permisos de objetos secundarios por entradas de permisos heredables de este objeto. La
operacin consiste en propagar los permisos del padre a todas las subcarpetas.
Una autorizacin efectiva es un permiso final otorgado a un objeto de Active Directory (usuario,
grupo o equipo). Puede ser complicado conocer esta autorizacin, se puede obtener un resultado
diferente del deseado si hay muchos grupos implicados y el usuario est incluido en diferentes
grupos. Desde hace algunos aos, existe una herramienta que permite calcular esta autorizacin
final disponible en los sistemas operativos de Microsoft. Muy prctica en arquitecturas complejas,
permite saber en pocos clics el permiso otorgado a un usuario o grupo.
Haciendo clic en Ver acceso efectivo, podemos visualizar las autorizaciones que el usuario tiene
sobre el recurso.
La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta.
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamientoy
luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaa Configuracin,
podemos activar la opcin.
La opcin debe activarse en cada recurso compartido.
Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso
de prdida del dispositivo.
Los datos deben estar almacenados localmente, esto elimina la posibilidad de realizar copias
de seguridad.
La caracterstica Work Folders permite resolver estos problemas. Permite acceder a los datos
empresariales desde cualquier ubicacin donde se conecten los empleados. Adicionalmente, los
administradores mantienen el control a nivel de la gestin de los datos y las conexiones. Ellos tienen
la posibilidad de implantar un cifrado de datos as como los parmetros de seguridad en los
dispositivos que emplean esta caracterstica. No es necesario que los clientes que acceden a los
datos sean miembros del dominio.
Los Work Folders pueden publicarse en Internet utilizando la caracterstica Web Application Proxy.
Los usuarios pueden, de este modo, sincronizar los datos conectados a Internet.
El servidor de archivos que alberga los datos y gestiona los procesos de sincronizacin debe
ejecutar Windows Server 2012 R2. Las particiones debern estar formateadas en sistema NTFS.
Para los accesos desde el exterior del sistema de informacin hay que respetar varios requisitos
previos:
Un certificado de servidor en cada servidor de archivos que emplee los Work Folders.
El certificado debe ser emitido por una autoridad de certificacin aprobada por el usuario.
Implementar las reglas de trfico y publicacin para poder acceder a los servidores desde
Internet.
El uso de un nombre de dominio pblico y la posibilidad de crear los registros DNS adecuados.
Los equipos deben ejecutar uno de los sistemas operativos Windows 8.1 o Windows RT 8.1.
Adicionalmente, el equipo o la tableta deber poseer suficiente espacio en disco para
albergar los datos del usuario. De manera predeterminada, la ubicacin empleada
es%USERPROFILE%\Work Folders.
Es posible modificar la ubicacin durante la instalacin (empleo de una unidad USB, etc.).
No existe ninguna limitacin configurada para el almacenamiento de los usuarios, sin embargo el
tamao mximo de los archivos individuales es de 10 GB.
Utilizacin de instantneas
Las instantneas permiten implantar una poltica de recuperacin de archivos o carpetas de una
forma sencilla.
La instantnea se almacena en la misma unidad que el archivo original, sin embargo es posible
cambiar el lugar de almacenamiento. El espacio asignado a la funcionalidad puede, tambin,
configurarse permitiendo as evitar la saturacin de los discos. Una vez alcanzada la cuota, las
instantneas ms antiguas se eliminan en beneficio de las nuevas, creando as un ciclo que permite
respetar el tamao lmite configurado. Observe sin embargo que las instantneas no pueden
considerarse como una alternativa a las copias de seguridad. Los datos se perdern en caso de un
fallo de disco. Es casi imposible restaurar por este mtodo ciertos archivos complejos de tipo base
de datos... Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la
aplicacin.
Por defecto, la creacin de las instantneas se efecta de lunes a viernes a las 7:00 y las 12:00.
Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse de tener el
espacio en disco requerido.
Esta solucin permite realizar la gestin de la impresin y tambin distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma simplificamos
tambin el soporte tcnico. La publicacin en Active Directory facilita la instalacin y el despliegue de
las impresoras a un usuario.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versin 4). Con este
nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora que gestiona los
lenguajes de impresin para una amplia gama de dispositivos. Los lenguajes incluyen XML Paper
Specification (XPS), Printer Control Language (PCL) Este tipo de controladores se distribuyen
mediante Windows Update o Windows Software Update Services (WSUS).
Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos.
En la mayora de los casos, un grupo est compuesto de dispositivos del mismo modelo.
Por comodidad, es preferible que las impresoras estn en un entorno cercano al usuario. La
impresin puede realizarla cualquiera de las impresoras contenidas en el grupo. El usuario
deber hacer el recorrido por las impresoras para recuperar su documento impreso, es
imposible saber en cul de los dispositivos se ha hecho la impresin.
Administracin de un servidor no unido al dominio
La consola Administracin de servidores permite administrar de manera remota varios servidores
creando un grupo, sin embargo stos deben ser miembros del dominio. Con Windows Server 2012 R2
y las herramientas RSAT (Remote Server Administration Tools) es posible administrar servidores que no
forman parte del dominio.
Antes de instalar las herramientas RSAT, se debe ejecutar un comando PowerShell desde el equipo
Windows 8.1.
Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC.
El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o
empleando un archivo hosts). Se ha agregado un redirector condicional en AD1 para poder resolver el
nombre SV2.Formintra.msft.
A continuacin, es posible aadir el servidor haciendo clic con el botn derecho en Todos los
servidores y seleccionando, en el men contextual, Agregar servidores.
Tras aadir el servidor y validar con Aceptar, aparece un error. Este ocurre al no poder autenticar la
consola.
Haciendo clic con el botn derecho en el servidor, el men contextual proporciona acceso a la
opcinAdministrar como.
Se debe introducir un nombre de usuario y una contrasea en la ventana para obtener el acceso
adecuado para la consola. Marque la opcin Recordar mis credenciales para no tener que volver a
introducir las credenciales cada vez.
En lo sucesivo es posible gestionar el servidor de manera remota.
Talleres
Los talleres permiten configurar la comparticin de archivos y de instantneas, al igual que la gestin
de impresoras mediante un grupo de impresoras. El cuarto taller muestra el uso de la consola de
administracin de un servicio de impresin. Por ltimo, esta parte prctica concluye con un taller sobre
Work Folders y la gestin de un servidor no unido al dominio.
Haga clic en el nodo Equipo y luego haga doble clic en la particin F:.
La particin puede tener una letra diferente. Si tiene solo una particin, tome la particin del
sistema.
Repita la operacin anterior para crear las carpetas Informtica, Ventas y Contabilidad.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vaco
del panel central.
En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic
enSiguiente.
Haga clic en Crear para iniciar la creacin del recurso compartido y luego en Cerrar para detener
el asistente.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explcitos en este objeto.
En la consola Administrador del servidor, haga clic con el botn derecho en el recurso
compartido contabilidad y seleccione la opcin Propiedades en el men contextual.
2. Implementar instantneas
2. Implementar instantneas
Objetivo: configurar las instantneas para permitir a un usuario restaurar un archivo.
En SV1, abra el explorador de Windows, haga clic con el botn derecho en la particin que
contiene los datos, y a continuacin, en el men contextual, haga clic en Propiedades.
Haga clic en el botn Configuracin para poder configurar los parmetros de las instantneas.
Esta ventana permite configurar el tamao mximo que pueden utilizar las instantneas. Es posible
configurar a su vez el volumen en el que se almacenarn las instantneas.
Esta ventana permite configurar el momento en que se crean las instantneas. De forma
predeterminada la operacin se efecta a las 7:00 y 12:00 de Lunes a Viernes.
El botn Nuevo permite crear una nueva programacin mientras que Eliminar elimina la programacin
seleccionada.
Verifique que las instantneas estn activadas y, a continuacin, haga clic en Crear ahora.
Haga doble clic en el recurso compartido data y luego elimine el archivo presente.
Haga clic con el botn derecho en el recurso compartido data y luego en el men contextual
seleccione Propiedades.
Esta opcin permite copiar el contenido de la instantnea en un destino diferente del original.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y luego haga clic
enSiguiente.
Haga clic en Siguiente en la ventana Seleccionar servidor de destino.
En la ventana Seleccionar servicios de rol, deje la opcin predeterminada y luego haga clic
enSiguiente.
Haga clic con el botn derecho en el nodo Impresoras y luego, en el men contextual haga clic
en Agregar impresora.
Marque el botn Agregar una impresora TCP/IP o de servicios web escribiendo la direccin IP
o nombre de host y luego haga clic en Siguiente.
En la lista desplegable Tipo de dispositivo, seleccione Dispositivo TCP/IP y luego
introduzca192.168.1.152 en el campo Nombre de host o direccin IP.
En la lista Fabricante, seleccione Genrica y luego Generic Color XPS Class Driver (A) en la
lista Impresoras.
Haga clic con el botn derecho en Impresora Sala 1 y a continuacin, en el men contextual,
seleccione Propiedades.
En la consola Administracin de impresin, haga clic con el botn derecho en el nodo Puertos y
luego haga clic en Agregar puerto.
En AD1, inicie la consola Administracin de impresin y luego haga clic en el nodo Filtros
personalizados.
Los filtros personalizados permiten mostrar informacin acerca de las impresoras. Esto permite
visualizar de forma sencilla el conjunto de impresoras y controladores as como aquellas impresoras
con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto de impresoras que
no tienen estado de preparadas). Puede crear su propio filtro para obtener la informacin deseada.
Haga clic con el botn derecho en el nodo Filtros personalizados y luego seleccione Agregar
nuevo filtro de impresora.
Introduzca Visualizacin de trabajos en curso en el campo Nombre.
Marque la casilla Mostrar el nmero total de elementos junto al nombre del filtro y luego haga
clic en Siguiente.
Seleccione el nodo Impresoras y luego haga clic con el botn derecho en la impresora Impresora
Sala 1.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creacin de una nueva GPO.
A continuacin, debemos crear la carpeta que contendr los datos de los usuarios. En la particin C,
vamos a crear mediante la lnea de comandos la carpeta Doc-Tcnica, la cual ser compartida con el
nombre Documentacin. Los miembros del grupo Formadores tendrn acceso a la carpeta.
En la consola PowerShell, introduzca el comando New-SyncShare Documentacin -path
C:\Doc-Tcnica -User Formacion\Formadores -RequireEncryption $true -
RequirePasswordAutoLock $true.
Accediendo a las propiedades del recurso compartido (haciendo clic con el botn derecho en el
recurso - Propiedades), es posible verificar la configuracin de la categora General.
La categora Acceso a sincronizacin permite definir las personas o grupos de personas autorizados
para realizar la sincronizacin.
Por ltimo, la categora Directivas de dispositivos permite configurar la directiva aplicada.
Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos, as como un
bloqueo automtico de la pantalla y la introduccin de una contrasea.
Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestin de certificados
digitales necesarios para el uso del protocolo HTTPS.
Para configurar el uso del protocolo HTTP, introduzca el comando Reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v
AllowUnsecureConnection /t REG_DWORD /d 1
En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En
produccin, ser necesario emplear el protocolo HTTPS as como un nombre pblico.
Valide los datos mediante el botn Siguiente y, a continuacin, autentquese como nbonnet.
El usuario accede correctamente a los datos de la empresa utilizando un equipo que no forma parte
del dominio.
Validacin de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raz de la carpeta
Contabilidad.
Cules son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
15 Mencione algunos requisitos previos a respetar para poder activar la caracterstica Work
Folders.
16 Enumere los pasos necesarios para administrar un servidor que no est unido al dominio.
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 12 puntos para
aprobar el captulo.
3. Respuestas
1 Cul es la diferencia entre un permiso NTFS estndar y un permiso NTFS avanzado?
No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS avanzados
permiten ser ms preciso con los permisos asignados a un objeto Active Directory.
Cuando se asigna un permiso en la ACL de un recurso (carpeta...), los objetos presentes en ese
recurso (subcarpeta, archivo...) reciben igualmente este permiso. Hablamos de padre (el recurso) y
de hijo (todo objeto presente en el interior de este recurso).
Un permiso explcito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. A
diferencia de los permisos explcitos, los permisos heredados se asignan automticamente al
objeto hijo transmitidos por el padre.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raz de la carpeta
Contabilidad.
Cules son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que permitir al
usuario acceder directamente a la carpeta deseada.
Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorizacin
efectiva diferente de la deseada por el administrador. Para garantizar que atribuimos al usuario los
permisos correctos, podemos utilizar la pestaa Acceso efectivo en la configuracin de seguridad
avanzada.
Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al
usuario solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario
tiene acceso.
Una instantnea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible modificar
esta programacin.
Se realiza una rotacin. De esta forma, cuando se alcanza el tamao mximo, las instantneas con
fecha ms antigua se eliminan en beneficio de las ms recientes.
Los usuarios pueden restaurar una instantnea por medio de la opcin Versiones anteriores en las
propiedades del recurso compartido. El administrador tiene la opcin de hacerlo desde el servidor.
La caracterstica Work Folders permite configurar una carpeta que ms adelante podr sincronizar
un usuario. El usuario podr sincronizar dicha carpeta utilizando su conexin a la red empresarial o
desde el exterior. A su vez, cuenta con la posibilidad de utilizar su equipo o tableta personal.
Es posible dotar de seguridad a estos datos de diferentes formas. La funcionalidad permite cifrar los
datos. Adicionalmente, es posible autorizar o no el acceso a la carpeta de sincronizacin. Por ltimo,
el equipo conectado puede ser sometido a la poltica de bloqueo (con peticin de contrasea),
incluso si se utiliza un equipo personal.
15 Mencione algunos requisitos previos a respetar para poder activar la caracterstica Work
Folders.
16 Enumere los pasos necesarios para administrar un servidor que no est unido al dominio.
Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8.1 debemos
instalar las herramientas RSAT y verificar el funcionamiento de la resolucin de nombres. A
continuacin, debe ejecutarse un comando PowerShell. La ltima etapa consiste en aadir el
servidor a la consola Administrador del Servidor y proporcionar las credenciales.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos sobre el funcionamiento de una directiva de grupo.
2. Objetivos
Analizar los componentes de una directiva de grupo.
El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.
El GPT (Group Policy Template) contiene los parmetros de seguridad, los scripts y los parmetros
vinculados al registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta
Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este ltimo identifica de forma unvoca al objeto en AD
DS. El GPC define atributos tales como el vnculo o el nmero de versin. Podemos encontrar el
mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.
Durante la actualizacin de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del
lado cliente (CSE) recuperan los parmetros y los aplican si ha habido una modificacin. El nmero
de versin permite identificar esta modificacin. En efecto, el nmero almacenado en el
archivogtp.ini (SYSVOL\GUIDGPO\gpt.ini) se incrementa con cada cambio o parmetro agregado.
4. Las preferencias en las directivas de grupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir ms de 20 extensiones de
directiva de grupo. Esta funcionalidad permite la reduccin de los scripts empleados por el inicio de
sesin (conexin de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.
Las preferencias se aplican a un usuario o equipo, adems dichos parmetros no son obligatorios,
un usuario puede modificar el parmetro configurado por las preferencias (desactivar el uso del
proxy, etc.).
Al igual que para las directivas, la aplicacin de las preferencias se efecta al arrancar, al apagar el
equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parmetros configurados en las
preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. La
eliminacin puede operarse indicndolo explcitamente.
La asignacin de las preferencias a los puestos cliente (que permite implantar los criterios a
respetar para aplicar los parmetros, por ejemplo ser miembro de un grupo o ejecutar un sistema
operativo en particular) se efecta de una forma ms fina que usando una directiva de grupo. En
efecto, podemos atribuir las preferencias a los equipos en funcin del sistema operativo... Esta
funcionalidad es configurable solamente en las directivas de dominio.
Los nicos parmetros que pueden estar contenidos en este tipo de objeto son los contenidos en
las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensin cab (archivo Cabinet). De esta
forma se facilita la distribucin y carga de estos archivos en otro sitio. Esta operacin de distribucin
es posible porque estos archivos son independientes del bosque o dominio en el que se crean.
Los parmetros de Internet Explorer deben ser comunes en todas las reas de la empresa.
Uno o varios parmetros deben aplicarse a todos los porttiles de x sitios de la empresa.
Aunque la base es comn a todas las directivas o todas las reas de la empresa, es posible aadir
parmetros adicionales en la directiva. Esto permite responder por ejemplo a una problemtica
especfica de una de las reas.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las
diferentes directivas de grupo:
Administradores de dominio
Administradores de empresas
CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicacin de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio,
empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un
usuario, debemos agregarlo en la pestaa Delegacin del contenedor Objetos de directiva de
grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe poseer los permisos adecuados
en el contenedor deseado.
Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorizacin de conectarse a un
controlador de dominio. La administracin debe hacerse desde su equipo.
Tratamiento de directivas de grupo
Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicacin se realiza en
un orden estricto.
Sitios
Dominios
Unidades organizativas
Es posible, a continuacin, deshabilitar el vnculo. Esta operacin implica eliminar las modificaciones
aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede
impactar en la productividad.
A diferencia de los parmetros del equipo, los parmetros de la parte usuario se aplican durante el
inicio de sesin del usuario. El intervalo de tiempo es, sin embargo, idntico. Los scripts se ejecutan
durante el inicio de sesin.
En ciertos casos (redireccin de carpeta...), la aplicacin del parmetro solo se ejecuta durante el
primer inicio de sesin. El usuario est obligado a cerrar y reiniciar la sesin. Esto se debe a que se
utilizan los identificadores puestos en cach para abrir la sesin ms rpidamente. Los parmetros
se vuelven a aplicar mientras el usuario cuente con una sesin abierta. Es posible modificar el
intervalo de configuracin, para ello debemos modificar el parmetro presente en el
nodoConfiguracin del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de
grupo.
Encontramos los mismos parmetros en la parte de usuario. Sin embargo existe una excepcin
relativa a los parmetros de seguridad. Estos ltimos se aplican cada 16 horas sea cual sea el
intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la
consola GPMC. Haciendo clic con el botn derecho en una unidad organizativa, un administrador
tiene acceso a la opcin Actualizacin de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.
La Default Domain Policy esta vinculada a la raz del dominio, lo que permite aplicarla al conjunto
de usuario y equipos del dominio por herencia. Ella contiene la poltica de seguridad predeterminada
(parmetros de contrasea, bloqueo...). Si se deben aplicar otros parmetros al conjunto de objetos
del dominio, es preferible crear una nueva directiva y luego vincularla a la raz del dominio.
La Default Domain Controllers Policy est vinculada a la unidad organizativa Domain Controllers,
de modo que solamente la reciben los controladores de dominio. sta permite configurar el sistema
de auditora y asignar permisos suplementarios (abrir una sesin en un controlador de dominio...).
Se pueden configurar permisos ms granulares configurando la ACL (Access Control List). Esto hace
que sea mucho ms fcil filtrar a las personas que pueden recibir y aplicar la configuracin. Para
acceder a esta lista de control de acceso, haga clic en el botn Opciones avanzadas en la
pestaaDelegacin.
Para utilizar una carpeta nica para todos los servidores, debemos desplegar un almacn central.
El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarn. A
diferencia del formato ADM, la creacin de un archivo personalizado es muy simple, sin embargo es
necesario estar familiarizado con el lenguaje XML.
Para invertir la configuracin, hay que modificar la directiva para indicar lo opuesto a lo que est
configurado. Ciertos parmetros contenidos en las preferencias son parmetros no administrados.
Con los parmetros administrados, el usuario no tiene la posibilidad de modificar los parmetros.
Los cambios se realizan en zonas especficas del registro, donde solo los administradores tienen
acceso:
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Es posible buscar los parmetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de administracin de
directivas de grupo. El men contextual de las plantillas administrativas (accesible haciendo clic con
el botn derecho) permite acceder a la opcin Opciones de filtro.
La ventana contiene varias zonas. La primera de ellas est compuesta por tres listas desplegables:
Configurado: permite mostrar solo los parmetros que estn configurados en la directiva de
grupo.
Comentado: este parmetro es idntico al anterior, filtra sin embargo por los comentarios
dejados en la directiva.
La segunda zona permite filtrar por palabras clave mientras que la tercera y ltima filtra por
aplicacin o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se
muestran los parmetros que contengan la palabra Ejecutar.
La bsqueda de los parmetros es as ms simple y rpida.
Talleres
Los talleres permiten poner en prctica las diferentes funcionalidades estudiadas (GPO de inicio,
preferencias...).
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:).
Haga clic con el botn derecho en Defaut Domain Policy y seleccione Editar.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo y luego, en el men contextual,
haga clic en Nuevo.
En el campo Nombre, introduzca Parmetros de puesto cliente y luego haga clic en Aceptar.
Esta vez haga doble clic en el parmetro Impedir administracin del filtro SmartScreen.
Haga clic con el botn derecho en la unidad organizativa Form y luego, en el men contextual,
seleccione Vincular una GPO existente.
Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el men.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opcin Desactivar el
filtro SmartScreen est deshabilitada.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
En la carpeta GPO de inicio, haga clic en el botn Crear la carpeta de GPO de inicio para
proceder a la creacin de la carpeta (panel derecho), a continuacin haga clic con el botn
derecho en el nodo GPO Inicio y, en el men contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Haga clic con el botn derecho en el contenedor y, a continuacin, haga clic en Nuevo.
Introduzca Prueba GPO inicio en el campo Nombre y luego, en la lista desplegable GPO de
inicio de origen, seleccione la directiva que acabamos de crear.
Haga clic en Aceptar y seleccione la directiva Prueba GPO inicio.
Empleando la pestaa mbito, podemos ver que el campo Ubicacin est vaco. La directiva no est
de momento vinculada a ningn contenedor.
4. Implementacin de preferencias
Objetivo: creacin de una GPO que contenga las preferencias y su aplicacin en el equipo.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo, a continuacin, en el men
contextual, haga clic en Nuevo.
Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Haga doble clic en Carpetas y a continuacin, en el panel central, haga clic con el botn derecho y
seleccione Nuevo y luego Carpeta.
Haga clic en Configuracin del Panel de control y luego haga clic con el botn derecho
enConfiguracin de Internet.
En Pgina principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la modificacin.
La lnea en el campo se torna verde. Sin la validacin de la tecla [F6], el parmetro no estar
actualizado.
Haga clic con el botn derecho en la unidad organizativa Form y luego, en el men contextual,
seleccione Vincular un GPO existente.
En el equipo CL8-01, abra una sesin como Alumno1 y luego inicie un smbolo del sistema e
introduzca el comando gpupdate /force.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 Cmo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
6 Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 11 puntos para
aprobar el captulo.
3. Respuestas
1 Cuntas directivas de grupo locales podemos implantar en un puesto Windows 8?
A diferencia de los sistemas operativos anteriores a Windows Vista que permitan la creacin de
una nica directiva de grupo local, ahora es posible crear varias directivas de grupo: para el equipo
local, para el grupo Administradores, para el grupo No Administradores o para un usuario especfico.
2 Cmo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
Para administrar las diferentes directivas de grupo, debemos utilizar la consola Administracin de
directivas de grupo (GPMC) y el Editor de administracin de directivas de grupo (GPME).
La directiva de grupo est compuesta de dos partes, la GPC (Group Policy Container) y la GPT
(Group Policy Template). La GPC, que contiene el ID y el nmero de versin, se replica con Active
Directory mientras que la GPT, que contiene los diferentes parmetros, se replica con el sistema de
replicacin de la carpeta SYSVOL. La GPT se almacena en SYSVOL.
5 Qu es una extensin de lado del cliente?
Una CSE o extensin del lado cliente se encuentra en el sistema operativo. Tiene como objetivo
recuperar la configuracin y aplicarla. Existen tantas extensiones del lado cliente como tipos de
parmetros.
6 Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar, instalar
las extensiones adecuadas en el lado cliente.
Una GPO de inicio permite crear plantillas de configuracin en las plantillas administrativas.
Durante su creacin, los administradores tienen la posibilidad de crear la directiva basndose en la
plantilla (los parmetros se agregarn, tambin, a las nuevas directivas).
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva local, se
aplica la directiva de sitio AD. A continuacin, se aplica la directiva de dominio y, por ltimo, se
recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas.
Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operacin se efecta
al arrancar el equipo o tras iniciar sesin. La recuperacin de la directiva solo se efecta si ha
habido una modificacin. La directiva que se atribuye a un controlador de dominio se recupera cada
5 minutos. Por ltimo, los parmetros de seguridad se aplican cada 16 horas incluso si no ha
ocurrido ninguna modificacin.
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualizacin de las
diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener que
ejecutar el comando gpupdate /force en el equipo local.
Al promover un servidor, se crean dos directivas de grupo. Ubicada en la raz del dominio, la
directiva Default Domain Plocy contiene los parmetros de seguridad. Se aplica al conjunto de
objetos del dominio. La directiva Default Domain Controllers Policy se vincula a la unidad
organizativa Domain Controllers. Permite por su parte configurar los registros de auditora en los
controladores de dominio o proporcionar derechos suplementarios a los usuarios (abrir una sesin
en un controlador de dominio, etc.).
Este tipo de filtrado permite limitar la recuperacin de una directiva a los miembros del grupo que
est configurado en el Filtrado de seguridad.
Una plantilla administrativa est compuesta por un archivo ADMX, que contiene las claves a
modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo ADML viene a
completar al archivo anterior. Por su parte contiene los textos de ayuda.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos acerca del funcionamiento de la UAC.
2. Objetivos
Creacin de la plantilla de seguridad e implantacin de los derechos de usuario.
Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o ms
equipos. Se pueden utilizar varias herramientas para efectuar esta operacin.
El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes
parmetros de seguridad.
Los privilegios que permiten el acceso a un equipo o un recurso del dominio que
proporcionan al usuario permisos para realizar una accin (por ejemplo: permiso para
guardar archivos y carpetas).
Los derechos de inicio de sesin que atribuyen los permisos de inicio de sesin (por
ejemplo: conexin local para el usuario a un controlador de dominio).
Este nodo est accesible desplegando los nodos Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Directivas locales.
Estos parmetros pueden emplearse para efectuar varias operaciones:
Cambiar la hora.
La UAC (User Account Control) hizo su aparicin con Windows Vista y Windows Server 2008. Esta
funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una
confirmacin cuando un proceso necesita permisos de administracin. Si la persona conectada no es
un administrador, se solicitan los identificadores de una cuenta de administrador.
De esta forma, los usuarios estndar y los administradores se encuentran por defecto con los
mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar
permisos ms elevados, la UAC efecta una elevacin de privilegios. De esta forma, solo el proceso
que solicita la elevacin funciona con permisos de administrador. Son posibles dos acciones:
Esta funcionalidad puede configurarse accediendo al nodo Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Directivas locales - Opciones de
seguridad.
Elevar sin preguntar: las operaciones que necesiten la elevacin de privilegios se realizan
sin solicitar al usuario la autorizacin de elevar el privilegio.
Todos esto parmetros se pueden configurar accediendo al nodo Directiva de auditora ubicado
enConfiguracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad -Directivas locales - Directiva de auditora.
Es posible activar varios tipos de parmetros:
Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto
de Active Directory. Es preciso configurar la SACL (System Access Control List).
Auditar el acceso a objetos: audita objetos no Active Directory. La SACL debe estar tambin
configurada con un grupo o cuenta de equipo, al igual que el acceso solicitado (escritura,
lectura).
Auditar eventos de inicio de sesin: permite al sistema operativo auditar los intentos de
conexin y desconexin del equipo.
Auditar eventos de inicio de sesin de cuenta: indica al sistema operativo que debe auditar
cada validacin de credenciales de cuenta.
Podemos acceder a los parmetros avanzados del sistema de auditora desde Configuracin del
equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Configuracin de
directiva de auditora avanzada - Directivas de auditora.
La activacin de la auditora sobre las acciones correctas puede generar un gran nmero de eventos
en el registro Seguridad.
Los grupos restringidos pueden configurarse empleando el nodo Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Grupos restringidos.
Implantacin de una restriccin de software
Esta funcionalidad no permite evitar la instalacin de un software pero si su ejecucin. Esto permite
prohibir la ejecucin de una aplicacin no autorizada por el departamento de TI.
Las reglas
Permiten indicar si la ejecucin de una aplicacin est autorizada. Las reglas estn basadas en uno
o varios criterios que se aplican a un archivo ejecutable:
Ruta de acceso: ruta local o UNC que contiene los ejecutables a bloquear.
Niveles de seguridad
Cada regla obtendr un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecucin del software definido en la regla. Existen tres niveles de seguridad:
Las restricciones de software pueden configurarse empleando el nodo Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas de restriccin
de software.
La funcionalidad AppLocker apareci con Windows Server 2008 y permite, a su vez, implementar
restricciones de software.
2. Utilizacin de AppLocker
AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Al
igual que para la restriccin de software, es posible controlar la ejecucin de una aplicacin. Esta
funcionalidad permite a los administradores implementar reglas de manera sencilla y se basa a su
vez en el despliegue de directivas de grupo. La regla se aplica a un usuario o grupo de seguridad de
Active Directory.
Podemos aplicar una regla para gestionar su ejecucin o utilizar la auditora para poder probar las
reglas antes de su implantacin. Los administradores pueden prohibir, por ejemplo, aplicaciones
cuyas licencias no hayan sido compradas. Solo el software validado por el departamento de
informtica estar autorizado a ejecutarse.
Ejecutables
Scripts
Las reglas de AppLocker permiten impedir el uso de una aplicacin y pueden utilizarse en varios
casos:
Ruta de acceso: autoriza o bloquea todos los ejecutables contenidos en la ruta de acceso
proporcionada.
Tambin es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del
sistema operativo. stas contienen una accin (Permitir o Denegar) que rige el funcionamiento de la
aplicacin:
Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en
cualquier entorno.
Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios
Program Files y Windows.
Utilizando el editor de reglas podemos filtrar segn el nmero de versin, el nombre de producto...
Este tipo de regla ofrece la posibilidad de crear un filtro muy personalizado.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el trfico entrante y
saliente.
La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall
(creacin de reglas, activacin/desactivacin del Firewall...). Para acceder a la consola, en el
menInicio, introduzca Firewall. En el men de la derecha, haga clic en Firewall de Windows con
seguridad avanzada.
Las reglas de entrada se utilizan cuando los equipos efectan un intercambio de tramas con destino
al servidor. Todo el trfico entrante est bloqueado de manera predeterminada, con la excepcin del
que est explcitamente autorizado por el administrador. Las reglas de salida las inicia la mquina
host y estn destinadas a los otros equipos de la red o al exterior. El trfico saliente est autorizado
por defecto. Sin embargo es posible bloquearlo creando una regla.
Tambin es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o exportar las
reglas creadas. La configuracin puede realizarse de forma manual en cada equipo o de forma
automtica utilizando la directiva de grupo (Configuracin del equipo - Directivas - Configuracin de
Windows - Configuracin de seguridad - Firewall de Windows con seguridad avanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. Tambin es posible indicar
si el firewall est activo o inactivo por perfil.
Resulta, ahora, mucho ms sencillo dar un juego de configuracin para cada red (privada, dominio o
pblica). Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del
Firewall.
Talleres
Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo.
Haga clic en Archivo - Agregar o quitar complementos y luego haga clic en Plantillas de
seguridad.
Despliegue el nodo Plantillas de seguridad y luego haga clic con el botn derecho en la carpeta.
En el campo Nombre de plantilla, introduzca Plantilla Admins. y luego haga clic en Aceptar.
Despliegue el nodo Plantilla Admins.
Haga clic con el botn derecho en Plantilla Admins. y luego, en el men contextual, haga clic
enGuardar.
Haga clic con el botn derecho en Configuracin de seguridad y luego haga clic en Importar
directiva.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuracin y
anlisis de seguridad.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo: conflicto
entre la plantilla de seguridad y la GPO).
Haga clic con el botn derecho en Configuracin y anlisis de seguridad y luego en el men
contextual seleccione Configurar el equipo ahora.
En la ventana Configurar el sistema, deje la ruta predeterminada y luego haga clic en Aceptar.
Los parmetros de la directiva de grupo Default Domain Policy han sido modificados por los
parmetros de la plantilla. sta permite actualizar el conjunto de parmetros de forma muy sencilla.
Haga clic con el botn derecho en Objetos de directiva de grupo y luego haga clic en Nuevo.
La directiva aparece en la consola, haga clic con el botn derecho en ella y luego, en el men
contextual, haga clic en Editar.
No utilice el botn Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la unidad
organizativa Cliente.
Agregue la cuenta Admins. del dominio y luego asgnele el permiso Control total.
Haga clic en el vnculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la
ventana que se muestra.
Haga clic en Comprobar nombres y luego en Aceptar.
En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.
En AD1, inicie la consola Administracin de directivas de grupo y luego haga clic con el botn
derecho en Objetos de directiva de grupo.
Introduzca Auditora carpeta Informtica en el campo Nombre y luego haga clic en Aceptar.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuracin de directivay
seleccione la casilla Error.
Abra un smbolo del sistema DOS y ejecute el comando gpupdate /force en AD1.
En AD1, inicie la consola Administracin de equipos y despliegue los nodos Visor eventos y
luego Registros de Windows.
Haga clic con el botn derecho en el grupo Admins. del dominio, y luego haga clic
enPropiedades.
Esto va a permitir auditar los intentos de modificacin denegados en las propiedades del grupo, tales
como la modificacin del propietario
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.
Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en
la unidad organizativa Domain Controllers.
Haga clic con el botn derecho en Defaut Domain Controllers Policy y seleccione Editar.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventos de auditora y Correcto.
Haga clic en Aplicar y luego en Aceptar.
En AD1, inicie un smbolo del sistema DOS y luego introduzca el comando gpupdate /force.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el
registroSeguridad.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operacin, el
objeto que ha sido modificado al igual que la cuenta que ha sido agregada, eliminada
Haga clic con el botn derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en
el men contextual.
En la consola GPMC, haga clic con el botn derecho en AppLocker y luego, en el men
contextual, haga clic en Editar.
Haga clic con el botn derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.
Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en
cualquier carpeta.
Haga de nuevo clic con el botn derecho en Reglas ejecutables y seleccione esta vez la
opcinCrear nueva regla.
Haga clic en el botn Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program
Files\Windows Mail.
Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea bloquear.
Situndolo encima de Nombre de producto, se bloquean todas las versiones de WAB. Haciendo clic
enUsar valores personalizados, podemos modificar todos los campos y seleccionar el valor deseado
de la lista desplegable.
El valor Y superior permite bloquear la versin 6.2.0.0 y posteriores. Es posible configurar los
valores Y superior, E inferior o Exactamente.
Creando una excepcin podemos autorizar una de las versiones bloqueadas, versin 6.3.0.0 (u
otra).
En el campo Nombre, introduzca Regla Bloquear Wab y luego haga clic en el botn Crear.
Se ha creado la regla correctamente.
Haga de nuevo clic con el botn derecho en Reglas ejecutables y seleccione esta vez la
opcinCrear nueva regla.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
enProgram Files(x86)\Internet Explorer. A continuacin, haga clic en Siguiente.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botn Crear.
Haga clic con el botn derecho en AppLocker y luego haga clic en Propiedades.
AppLocker puede tardar varios minutos despus del inicio para funcionar.
En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditora por Aplicar
reglas.
Valide la modificacin haciendo clic en el botn Aceptar.
En CL8-02, inicie un smbolo del sistema DOS y luego introduzca el comando gpupdte /force.
Ejecute Internet Explorer, se muestra un mensaje informando que el programa est bloqueado.
En el men, haga clic en Configuracin avanzada para iniciar la consola Firewall de Windows y,
a continuacin, haga clic en Configuracin avanzada.
Haga clic en Reglas de salida y luego en Nueva regla en el panel Acciones.
En la ventana Tipo de regla, seleccione la opcin Personalizada y luego haga clic en Siguiente.
La regla se debe aplicar a todos los programas, deje la opcin por defecto en la
ventanaPrograma y haga clic en Siguiente.
El objetivo es bloquear las respuestas del equipo a la ejecucin de un Ping.
En la lista desplegable Tipo de protocolo, seleccione el protocolo ICMPv4 y luego haga clic
enSiguiente.
En la ventana mbito, haga clic en Siguiente.
Seleccione la accin deseada, Bloquear la conexin, y valide su opcin haciendo clic enSiguiente.
La regla se aplica de momento a los tres perfiles, deje la opcin por defecto y haga clic
enSiguiente.
Introduzca Bloquear Ping en el campo Nombre y luego haga clic en Finalizar.
En CL8-02, inicie un smbolo de sistema DOS e introduzca el comando ping -4 ad1.
El equipo es miembro del dominio, por lo que est configurado en el perfil Dominio. La regla Bloquear
Ping no est activa en el perfil, el firewall permite que las tramas salgan.
Validacin de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
12 Durante la recepcin de una trama, el firewall verifica las reglas entrantes y salientes. Qu
ocurre si no existe una regla para esta trama?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.
3. Respuestas
1 Qu es una plantilla de seguridad y en qu forma se presenta?
Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los
parmetros de contrasea, bloqueo al igual que otros parmetros de seguridad. Esta plantilla puede
importarse, a continuacin, en una directiva de grupo.
Este parmetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos
permisos pueden conceder la posibilidad de abrir una sesin en un controlador de dominio o el
cambio de la zona horaria
La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando
que los procesos de usuario (Word, Internet Explorer) se ejecutan con permisos de usuario. Si
este ltimo es un administrador, el token de acceso se divide en dos (un token de usuario para el
uso cotidiano y un token de administrador para contar con permisos de administracin). Cuando un
proceso requiere permisos de administrador, solicita una elevacin de privilegios. Despus de la
aceptacin del usuario, el proceso que realiza la solicitud obtendr permiso para utilizar el token de
administrador. Sin embargo, si el usuario es una cuenta estndar sin permisos de administracin,
se requiere que se indique la informacin de inicio de sesin de un administrador para efectuar la
elevacin.
Para implantar un sistema de auditora, debemos crear una directiva de auditora y luego vincular la
unidad organizativa o la raz del dominio. De acuerdo con los objetos, debemos configurar la SACL.
5 A quin sirve la auditora?
La auditora permite tener un registro de los eventos que ocurren en un objeto (grupo AD,
carpeta...). Las auditoras pueden referirse a modificaciones, accesos, etc. Esta operacin se
configura para recuperar todos los eventos correctos o fallidos.
Los eventos de inicio de sesin permiten al sistema operativo auditar los intentos de conexin y
desconexin del equipo.
El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o
un grupo local. En el ltimo caso, esto evita que el administrador tenga que configurar el conjunto
de equipos.
El servicio Identidad de aplicacin debe estar iniciado en cada equipo. Esto permite aplicar las reglas
configuradas.
Se puede configurar AppLocker en modo auditora, en caso que debamos probar las reglas. Durante
la ejecucin de la aplicacin gestionada por AppLocker, un mensaje de aviso informa al
administrador del resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible
bloqueo de los diferentes programas.
La consola Firewall de Windows con seguridad avanzada permite la creacin de las reglas
entrantes, salientes o las reglas de conexin.
12 Durante la recepcin de una trama, el firewall verifica las reglas entrantes y salientes. Qu
ocurre si no existe una regla para esta trama?
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la
regla predeterminada. Esta ltima autoriza el trfico saliente y prohbe todo el trfico entrante,
salvo que exista una regla creada especficamente.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de micro informtica.
2. Objetivos
Utilizacin del Administrador de tareas y el Monitor de recursos.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opcin Buscar en lnea puede ser muy til. Permite obtener informacin acerca del proceso en
cuestin. La opcin Valores del recurso permite cambiar las unidades de la columna Memoria para
mostrar los porcentajes en lugar de valores y viceversa.
El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder
a la carpeta que contiene el ejecutable de un proceso sin tener que realizar una bsqueda, seleccione
la opcin Abrir ubicacin del archivo. A continuacin, se muestra la carpeta que contiene el archivo.
En ciertos casos es necesario tener ms informacin sobre un proceso. Para ello haga clic en Ir a
detalles. Se muestra la pestaa Detalles y el proceso en cuestin aparece seleccionado.
Esta vista proporciona acceso al nombre del archivo ejecutable, as como al ID del proceso (PID). Se
muestran tambin el estado, nombre de la cuenta que ha iniciado el proceso y el uso de procesador y
memoria.
Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres
grficos. Desmarque la opcin para volver al formato inicial.
Mostrar grficos reemplaza los botones de colores por los grficos en curso.
SeleccioneOcultar grficos en el men contextual para ocultar los grficos.
Copiar copia los datos presentes en los grficos en el portapapeles.
La pestaa Usuarios facilita la gestin de los usuarios conectados. Siempre es posible desconectar la
sesin de usuario, pero ahora es incluso ms sencillo. En efecto, desplegando la lnea fila del usuario
correspondiente es posible ver, fcilmente, qu procesos le pertenecen. Adicionalmente, es posible
conocer el uso de procesador y memoria de cada uno.
Por ltimo, la ltima pestaa Servicios proporciona acceso a la gestin de servicios. Es posible
conocer su estado as como distintos parmetros (PID...). Podemos acceder a la consola Services.msc
haciendo clic con el botn derecho y seleccionando Abrir servicios en el men contextual.
El Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite efectuar la supervisin del procesador y los procesos, la memoria RAM as como
la actividad de los discos y la red.
La consola se compone de varias pestaas. La pestaa Informacin general permite tener una vista
de conjunto de los componentes. Esto permite evitar cuellos de botella. Adems de los
componentesMemoria, Red, CPU y Disco, se muestran grficos actualizados en tiempo real.
Por ltimo, la pestaa Red presenta los diferentes procesos con actividad de red, la herramienta
tambin resulta til para ver las conexiones TCP y los puertos en que escuchan. La herramienta
permite analizar los diferentes componentes y proporcionar una explicacin para una degradacin de
rendimiento en un equipo.
Los diferentes grficos permiten obtener informacin acerca de los diferentes componentes del
servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operacin
puede llevarse a cabo mediante un grfico e informes. El anlisis se puede hacer en tiempo real, lo
que obliga al administrador a estar presente. Adicionalmente la lectura de datos no es ptima. La
segunda forma consiste en ejecutar un recopilador de datos, que permite registrar los datos
recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un anlisis muy granular y un resultado ptimo.
Procesador
El objeto de rendimiento Procesador permite obtener informacin sobre la actividad del procesador.
Esta es una de las piezas centrales de un servidor. Si existen varios procesadores, es posible analizar
todos o uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios as como los archivos necesarios para los
programas. En caso de fallo, los tiempos de lectura y escritura pueden verse afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona un dato
especfico.
Memoria RAM
Los contadores de rendimiento de Memoria permiten obtener informacin sobre la memoria fsica y
virtual del ordenador. La memoria fsica se refiere a la memoria RAM del equipo, mientras que la
memoria virtual concierne al espacio de memoria fsica y en disco.
Red
La parte de red incluye un gran nmero de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, tambin, sus contadores.
Es posible realizar el anlisis de forma manual o automtica. El mtodo manual es en tiempo real.
Esto implica la presencia fsica frente al ordenador para poder analizar los datos antes de su borrado.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena un
archivo con todos los valores en la carpeta PerfLogs ubicada en la particin del sistema.
Sin embargo, el tamao del archivo crecer rpidamente, lo que puede impactar el servidor y los roles
instalados en l.
Los registros de eventos
El Visor de eventos contiene varios registros tiles para diagnosticar un fallo o incoherencia en el
sistema. Est compuesto por varios registros, como Aplicacin, Sistema y Seguridad. El
registroAplicacin ofrece la posibilidad a los desarrolladores de escribir los eventos devueltos por sus
aplicaciones. El registro Sistema permite obtener los datos enviados por el sistema (problema
DHCP). El registro Seguridad permite visualizar el resultado de las auditoras configuradas.
Los diferentes registros, que poseen una extensin evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.
Informacin
Advertencia
Error
Crtico
Adicionalmente, un evento contiene varios datos importantes tales como Evento (nmero de ID del
evento), origen y el mensaje.
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del
registro...) as como configurar su tamao actual y mximo. El registro puede vaciarse empleando el
botn Vaciar registro. Se puede acceder a esta ventana haciendo clic con el botn derecho en el
registro deseado y luego seleccionando Propiedades en el men contextual.
Al alcanzar el tamao mximo del registro podemos tomar tres acciones:
Podemos crear un nuevo filtro haciendo clic con el botn derecho en Vistas personalizadas y
seleccionando Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para
tener en cuenta en el filtro.
La lista desplegable Registros de eventos permite seleccionar los registros a los que se
aplica el filtro.
Se puede igualmente filtrar por origen marcando la opcin Por origen y seleccionando en la lista
desplegable uno o ms orgenes. Tambin es posible filtrar en funcin de un nombre de equipo, de
usuario, de palabras clave o de nmero de ID.
El filtro devuelve solamente los eventos que corresponden a las categoras seleccionadas.
2. Suscripcin
Para facilitar la supervisin de los servidores de una red informtica, podemos desplegar una
suscripcin. sta permite recuperar los eventos de los servidores de destino. Los eventos
recuperados deben responder a criterios definidos por el administrador empleando una vista
personalizada. Para esta funcionalidad se emplean dos servicios:
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo
recolectado para Wecsvc.
Talleres
Los diferentes talleres presentados permiten el uso de las herramientas encargadas del anlisis y
mantenimiento del servidor.
Haga clic en Monitor de rendimiento y, a continuacin, en la cruz verde para aadir los
contadores.
En la barra de herramientas, haga clic en el botn Cambiar tipo de grfico (tercer botn) y luego
seleccione en el men contextual Barra de histograma.
Los recopiladores se crean en funcin de los roles presentes en el equipo analizado. Este ejemplo
est hecho sobre un controlador de dominio, el contador para el diagnstico de Active Directory se
encuentra en el sistema. El contenedor definido por el usuario permite crear de nuevos recopiladores
de datos.
Haga clic con el botn derecho en Definido por el usuario y luego en el men contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mnimo de
informacin.
Haga clic con el botn derecho en Recopilador Procesos y luego seleccione Detener.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o
cambiar el tipo de grfico.
Haga clic con el botn derecho en Vistas personalizadas y seleccione Crear vista personalizada.
Marque Error, Advertencia y Crtico para limitar los registros filtrados a estos niveles.
Haga clic en Aceptar y luego en el campo Nombre, introduzca Bsqueda registro App.Sys.
Confirme haciendo clic en Aceptar.
En AD1, abra la interfaz Men Inicio, haga clic en Herramientas administrativas y luego abra
la consola DHCP.
Haga clic con el botn derecho en el aviso y luego seleccione Adjuntar tarea a este evento. Esta
opcin se encuentra tambin disponible en el panel Acciones.
Haga clic en Siguiente en la ventana del Asistente para crear tareas bsicas y deje los
parmetros por defecto.
Los campos Registro, Origen e Id del evento aparecen en gris. Haga clic en Siguiente para
validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje
que no ver, necesariamente, el administrador.
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
Esta operacin autoriza al equipo SV1 a leer los registros de eventos.
Haga clic con el botn derecho en la carpeta Suscripciones y luego haga clic en Crear
suscripcin.
Los eventos que deben ser transferidos son los de nivel Informacin, Advertencia, Error y Crtico. El
filtro no es muy restrictivo, porque las mquinas se han instalado recientemente y no contienen una
gran cantidad de eventos de tipo advertencia o error.
Haga clic dos veces en Aceptar. Se adjunta una nueva lnea a la consola.
Haga clic con el botn derecho en Recopilador AD1, luego seleccione Estado en tiempo de
ejecucin.
Verifique que el sistema no enva ningn error. Si no se devuelve ningn error, espere,
porque la transferencia est en progreso.
Tras un tiempo ms o menos largo, los eventos aparecen en el registro Eventos reenviados.
Si no se transfiere ningn evento y la suscripcin no presenta ningn error, verifique el filtro y reinicie
el origen y el recopilador. Antes de reiniciar, espere algunos segundos para verificar que la suscripcin
no presenta ningn error.
Validacin de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 Cul es el formato de los archivos del Visor de eventos? Dnde se almacenan los registros?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 7 puntos para
aprobar el captulo.
3. Respuestas
1 Cul es la utilidad del Administrador de tareas?
El administrador de tareas permite gestionar los procesos y los distintos servicios. La consola
permite a su vez diagnosticar los problemas de rendimiento.
Se pueden utilizar tres tipos de grficos en el Monitor de rendimiento: curvas, histograma de barras
e informes.
A diferencia del Monitor de rendimiento que efecta un anlisis en tiempo real, un conjunto de
recopiladores de datos permite realizar un anlisis de los datos recuperados en cualquier momento.
Los grficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta est
ubicada en la particin del sistema.
6 Cul es el formato de los archivos del Visor de eventos? Dnde se almacenan los registros?
Los diferentes registros, que poseen una extensin evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
La suscripcin utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc
(Windows Event Collector Service) en el destino.
Objetivos
Configuracin de Hyper-V