Windows Server 2012 R2 - Administración Avanzada

Windows Server 2012 R2Administracin
avanzada
Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen
adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en
profundidad.
Responde a la necesidad de disponer de una mayor experiencia por parte del lector,
tratando con profundidad, desde un punto de vista terico y prctico, roles imprescindibles
tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso
la VPN. Tambin se describen todas las especificidades de Windows Server 2012 R2
(como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los Work
Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials,
etc.), para permitirle aprovechar al mximo el potencial de esta versin.
Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el

compaero ideal para aprender hasta el ltimo detalle de esta versin de Windows Server.
Aporta un alto nivel de experiencia y su vocacin es convertirse en una obra de referencia.
Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft
(MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en
infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las
mejores prcticas del mundo profesional de la empresa.
Los captulos del libro:

Introduccin Dominio Active Directory Arquitectura distribuida de acceso a los
recursos Alta disponibilidad Implementar los servicios de Red de la empresa La
evolucin de la red Servicios de Escritorio remoto Acceso remoto Aplicaciones de
Internet Reducir la superficie de ataque Consolidar sus servidores Despliegue de
servidores y puestos de trabajo Securizar su arquitectura El ciclo de vida de su
infraestructura Prepararse para el futuro
Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD
Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft tras

numerosos aos trabajando en el seno de Permis Informatique. Est reconocido como
Microsoft MVP (Most Valuable Professional) en Exchange tras varios aos. Est
certificado, entre otros, en MCSE Messaging 2013 y MCSA Windows Server 2008 et
2012.
Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de

Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con muchas
grandes empresas en servicios de consultora y auditora de sistemas y seguridad. Est
reconocido como Microsoft MVP (Most Valuable Professional) en Directory Services
desde 2007 gracias, en particular, a su activa participacin en el seno de la comunidad
Microsoft (Foro Technet y laboratorio Microsoft). Tambin est certificado en MCITP
Server Administrator para Windows Server 2012.
Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios.

Colabora como responsable de proyectos de Active Directory y Exchange y ha
participado en numerosos proyectos de despliegue y migracin de infraestructuras
Windows Server. Est certificado en MCSE y MCITP Server Administrator para
Windows Server 2008.
Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de

proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene como experto
en proyectos de diseo de parques informticos, de virtualizacin y de securizacin
siempre en relacin con tecnologas Microsoft. Est, entre otros, certificado en MCITP
Enterprise Administrator para Windows Server 2008 y MCSA para Windows Server
2012.
Introduccin
Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de
Microsoft
Se trata, evidentemente, de Windows Server 2012 R2.
Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo,

de este modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera
regular, mejoras y evolutivos tcnicos adaptados al mercado.
Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de
la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de
todos los profesionales.
Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y
completa que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta
versin evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la
virtualizacin de servidores, al Cloud Computing y a la premisa "Bring Your Own Device".
Podr, de este modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le
permitirn basar el conjunto de sus Sistemas de Informacin en una solucin Microsoft.
Las distintas ediciones de Windows Server

2012/2012 R2
Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012,
est disponible en distintas versiones. La eleccin de una u otra edicin depender,
especialmente:
Del rol del servidor que prev instalar.

De la estrategia de virtualizacin empleada.
Del tipo de licencia utilizado.
Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:
Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que

soporta hasta 64 procesadores. Se trata de una versin destinada a servidores
especialmente potentes que slo est disponible bajo un programa de clave de
licencia por volumen. Su modelo de licencia se calcula en funcin del nmero de
procesadores y del nmero de CAL. Permite alojar un nmero ilimitado de
mquinas virtuales.
Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin
Datacenter, salvo que slo permite el uso de dos instancias virtuales.
Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business
Server Essentials. Algunos roles no estn disponibles en comparacin con una
versin Standard (Server Core, Hyper-V, etc.). Esta edicin est limitada a una
nica instancia fsica o virtual, con un mximo de 25 usuarios. Las versiones
Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente,
son propias de la versin Essentials (tales como la copia de seguridad de los equipos
cliente, los cuadros de mando, etc.).
Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de
virtualizacin (no es posible instalar Hyper-V), y est limitada a 15 usuarios. Es
posible obtener ms informacin sobre las especificaciones (idnticas entre las
versiones 2012 y 2012 R2) de esta versin en la siguiente direccin:
http://technet.microsoft.com/en-us/library/jj679892.aspx
Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est
preconfigurada para ejecutar una versin mnima (Core) de Windows Server 2012 y slo
puede alojar el rol Hyper-V. Es posible encontrar ms informacin en la siguiente
direccin: http://technet.microsoft.com/es-es/evalcenter/dn205299.aspx
Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de
32 bits e Itanium ya no estn disponibles.
Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas

versiones de Windows en la siguiente direccin (en ingls): http://www.microsoft.com/en-
us/server-cloud/windows-server/buy.aspx
La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012
Standard y Datacenter, el clculo de licencias "por servidor" cambia por licencias "por
procesador". Preste atencin, en adelante, al hardware de sus servidores. Por defecto, estas
versiones parten de una licencia para dos procesadores. La nica diferencia entre ambas
versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de
dos mquinas virtuales en la versin Standard.
Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente

direccin: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-
EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf
Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos

detalles se encuentran en la siguiente
documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-
B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf
Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la
empresa, este documento se centra en las ediciones Standard y Datacenter.
Los grandes ejes de Windows Server 2012

R2
Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft
tiene en consideracin la carga de trabajo, la presin creciente sobre el servicio IT de las
empresas y la explosin del Cloud Computing. El sistema operativo deber, por tanto, dar
respuesta a estas tres exigencias esenciales.
1. Un mejor control de la informacin
Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una
mayor eficacia en la administracin y, en consecuencia, una mejora en la productividad. La
nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS
Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su
estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de control
suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de
que no sea capaz de volver a reiniciar su servidor salvo por lnea de comando:
http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run
Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha

aumentado la capacidad de script y de automatizacin de tareas gracias al lenguaje de script
Windows PowerShell. La automatizacin de tareas corrientes de administracin se ve, de
este modo, mejorada enormemente gracias a esta nueva funcionalidad. Prcticamente todas
las acciones realizadas en el seno del sistema se pueden automatizar con PowerShell, y
existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis
PowerShell equivalente a las acciones realizadas.
El servicio de directorio de Active Directory est dotado, desde Windows Server 2008
R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la
administracin automtica de cuentas de servicio o incluso la posibilidad de administrar de
forma grfica las directivas de contraseas mltiples, que encantarn a todo administrador.
El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica.
Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a
continuacin, el control sobre el que se ubican en el seno del Sistema de Informacin.
La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin

del servidor, facilita la administracin. Los asistentes disponibles permiten limitar al
mximo los errores de configuracin gracias a sus numerosas explicaciones, que guan al
administrador en la etapa de instalacin de un componente Windows. La consola permite, a
su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde un servidor
como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es,
por tanto, fcil crear un grupo de servidores que tengan que gestionarse de manera
conjunta.
Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de
Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versin
funciona, de hecho, sin una interfaz grfica y todo debe configurarse por lnea de
comandos. La ventaja principal de este tipo de administracin reside en el hecho de que la
superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor
aquellos componentes imprescindibles. Los administradores agregarn, a continuacin, los
roles que deseen. La interfaz grfica se considera una caracterstica ms que es posible
desinstalar.
Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite

detectar problemas de configuracin en sus sistemas operativos, e informar
automticamente al servicio informtico. Ofrece, a su vez, mucha informacin precisa
sobre el uso de componentes del sistema.
En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es

posible instalar impresoras automticamente sobre equipos de usuario mediante directivas
de grupo.
La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las
impresoras de su dominio.
Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker
permitirn realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows
Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.
2. Una mejor proteccin del Sistema de Informacin orientada a la

movilidad y al Cloud
Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows

Server 2008. Existe un ncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se
basaban en el ncleo NT 5.x). Windows 8 y 2012 se basan en el ncleo 6.2.
Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al
mximo el sistema operativo y, de este modo, mantener una barrera para los rootkits o
cualquier otro ataque que trate de modificar el ncleo del sistema. Windows Server
2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad ELAM (Early
Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras el
arranque del sistema.
La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar

condiciones de uso de su sistema dentro de la empresa. Se terminaron las personas
externas que llegaban con un ordenador porttil que no cumpliera con las reglas de la
organizacin y los usuarios sin el antivirus actualizado! El acceso a la red se les denegar
mientras no cumplan con los criterios de conformidad que usted haya juzgado
convenientes.
El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la

implementacin de DirectAccess, que permite a los administradores aprovechar un control
mayor sobre los equipos, pudiendo, de este modo, administrarlos incluso antes de que se
conecte un usuario (GPO disponibles, etc.). Se termin la necesidad de tener una
infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server
2008 R2.
Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus

dominios Active Directory en la medida en que puede limitar la difusin de ciertas
contraseas en caso de que se vea comprometido algn controlador de dominio. stos
encontrarn, por ejemplo, su lugar en las pequeas redes de agencia donde la seguridad del
controlador de dominio no puede garantizarse.
El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de
Informacin y, tambin, intercambiar datos con otros equipos. La pasarela sitio-a-sitio
multi-inquilino provee, de este modo, la opcin de utilizar una misma pasarela Site To Site
para conectar clientes que posean el mismo plan de direccionamiento IP.
El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque

de sus servidores realizando un filtrado de los puertos sobre el trfico de red entrante o
saliente. El firewall analiza el flujo a nivel de aplicacin, de modo que puede no autorizar el
trfico para un servicio especfico. Adems, la nueva consola de gestin MMC para el
firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o cifrar el
flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio
o entre equipos de administracin y servidores de administracin.
El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el
acceso a los datos de su disco duro desde una instalacin paralela de otro sistema operativo.
Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su

infraestructura informtica. El rol AD CS (Active Directory Certificate Services) permite
difundir certificados basados en el nuevo modelo de certificados versin 4. El rol AD RMS
(Active Directory Rights Management Services) le da la posibilidad de controlar la difusin
de los documentos en su empresa. El rol AD FS permite favorecer enormemente los
intercambios de informacin con equipos asociados externos, o incluso mejorar el uso de
terminales personales para conectarse al Sistema de Informacin de la empresa (BYOD)
con un control mnimo sobre estos equipos gracias a Workplace Join.
Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de

Carpetas de trabajo permiten sincronizar archivos profesionales entre varios PC o
dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa.
Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por

tanto, limitar el riesgo de ataque sobre el servidor garantizando una productividad y una
flexibilidad importantes.
3. Una plataforma que evoluciona
Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las

necesidades de evolucin de una sociedad.
La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las

empresas que desean virtualizar algunos de sus servidores. Esta tecnologa responde, de
este modo, de forma ultra-reactiva a los cambios de trabajo dinmicos y al desarrollo de la
cloud privada. Las rplicas de Hyper-V resultarn interesantes para ms de una PYME que
no disponga del presupuesto suficiente para la implementacin de una solucin de
replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir
replicar una mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a
una compresin y un registro de los cambios en un disco de una mquina virtual.
Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite

utilizar discos duros econmicos para crear zonas de almacenamiento. Esta zona puede, por
tanto, dividirse en espacios que se utilizarn como discos fsicos. Un poco de manera
similar a como ocurre con SAN, aunque de forma mucho menos onerosa, esta
funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos de
redundancia (paridad, mirroring, etc.).
El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado
considerablemente. Tiene en cuenta funcionalidades tales como la conmutacin automtica
SMB, la consideracin de SMB, el testigo de carpeta, etc. Tiene en cuenta, tambin, el
almacenamiento en archivos VHD o un sistema de bases de datos SQL.
Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn
enormemente la experiencia de usuario.
Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a

poco, el puesto de trabajo de las aplicaciones que son necesarias para los usuarios.
Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan
que estar instaladas en el equipo del usuario. El acceso directo de la aplicacin aparece,
ahora, en el escritorio del usuario junto a las aplicaciones instaladas de manera local en su
equipo. El usuario no es capaz de distinguir, a primera vista, las aplicaciones locales de
aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de los usuarios.
La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2,
se ha visto mejorada y ya no requiere ninguna configuracin particular para aprovechar una
calidad grfica excepcional mediante RDP (lectura de animaciones, webcam, etc.).
Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no

tener que multiplicar los puertos a abrir en su red o a implementar una red privada virtual.
Basta con tener un nico punto de entrada, a travs de un portal Web, que le permite
acceder a su red privada virtual. El trfico RDP se encapsula, en efecto, de manera
transparente en un flujo SSL (HTTPS).
El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web
que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas
aplicaciones estn, de este modo, accesibles desde su navegador de Internet. Esta solucin
se basa en IIS y puede, a su vez, integrarse en un portal SharePoint.
Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en

particular, administrar aplicaciones que requieran una alta disponibilidad.
El clster de servidores tiene como cometido contener varios a servidores con un mismo
rol. Si alguno de los servidores (llamados nodos del clster) no est disponible, el sistema
de clster bascula, automticamente, hacia otro nodo disponible. Esto se realiza sin ninguna
intervencin por parte de los administradores, lo que limita la duracin de la
indisponibilidad de una aplicacin.
El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un

reparto de la carga de red (llamada, a su vez, NLB por Network Load Balancing). Este
reparto o equilibrado de carga permite repartir la carga de red entre varios servidores que
presenten la misma informacin. El reparto de carga de red puede, de este modo, responder
a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo,
seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos
ocupado.
Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un

conjunto de herramientas adaptadas y tiles.
Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le

permite administrar sus copias de seguridad y restauraciones gracias a asistentes muy
intuitivos. La tecnologa de las instantneas permite realizar copias de seguridad de sus
archivos en ejecucin de forma casi inmediata.
El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones
(correctivos, parches de seguridad) de los sistemas operativos y de algunas aplicaciones
Microsoft en el seno de su red empresarial.
Este libro tiene tambin como objetivo presentarle las principales funcionalidades de
Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades
aparecidas tras el salto tecnolgico que separa a Windows Server 2003 de Windows Server
2008.
Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se

dirige, de este modo, a aquellas personas que ya posean cierta experiencia. No obstante,
esta obra tambin pretende explicar los conceptos bsicos de modo que resulte accesible a
aquellas personas que no posean una experiencia notoria con la tecnologa de servidor de
Microsoft.
Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en
una webografa, disponible en la pgina Informacin.
Introduccin
Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de
directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de
una empresa.
En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A

continuacin, seguiremos con explicaciones sobre los principales componentes ligados al
servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al
propio directorio.
Presentacin del servicio de directorio de

Microsoft: Active Directory Domain
Services
Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio Active
Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo
que los principios generales de un directorio Active Directory (tambin llamado Active
Directory Domain Services o AD DS) se abordan de manera muy breve para, as, poder
centrar su atencin en las especificidades aportadas por Windows Server 2012 R2.
1. Definicin de un dominio de Active Directory
Active Directory es un servicio de directorio que permite referenciar y organizar objetos

tales como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante
grupos de dominio, etc. La informacin puede, as, centralizarse en un directorio de
referencia con el objetivo de facilitar la administracin del Sistema de Informacin.
Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:
El dominio es la unidad bsica encargada de agrupar los objetos que comparten un

mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente
sobre un sistema DNS que soporte actualizaciones dinmicas y registros de tipo
SRV).
Una arborescencia de dominios es la agrupacin jerrquica de varios dominios
que comparten un mismo espacio de nombres (por ejemplo, los dominios
madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv).
Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comn
un catlogo global y que no comparten, obligatoriamente, un espacio de nombres
comn.
Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:
Los controladores de dominio se encargan de almacenar el conjunto de los datos y

de administrar las interacciones entre los usuarios y el dominio (apertura de sesin,
bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en
el dominio tiene lugar una replicacin multimaestro, lo que permite a cualquier
controlador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar
una contrasea de usuario, etc.).
Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido
compartir la informacin en varias particiones para, as, limitar la extensin de los
datos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin.
Todos los controladores de dominio de un mismo bosque tienen en comn las
particiones de esquema y de configuracin.
Todos los controladores de dominio de un mismo dominio comparten una particin

de dominio comn.
La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta

almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica
sobre los controladores de dominio que usted elija que formen parte del mismo
bosque.
Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un

mismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio a
un mismo sitio Active Directory si estos controladores de dominio se comunican
con un enlace de red que tenga una buena velocidad de transferencia. En efecto, los
controladores de dominio de un mismo sitio dialogan de manera mucho ms
frecuente que los controladores de dominio definidos en dos sitios de Active
Directory distintos. Esto le permite, tambin, reducir de manera importante el
trfico de red en un enlace que separe a dos sitios remotos.
Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno
de una infraestructura Active Directory. Estos roles deben estar contenidos en
controladores de dominio y son necesarios para el correcto funcionamiento de un
dominio de Active Directory.
Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla
muestra con detalle cada uno de estos cinco roles:
Nombre del rol

Ubicacin Rol
FSMO
Maestro de nico en el Se encarga de inscribir a los
nomenclatura de seno de un dominios en el bosque.
dominios bosque Gestiona la nomenclatura del
dominio.
Maestro de esquema nico en el Gestiona la modificacin del

seno de un esquema Active Directory.
bosque
Maestro RID nico en el Distribuye rangos de RID para los
seno de un SID.
dominio
Maestro de nico en el Gestiona los movimientos de objetos
infraestructura seno de un de un dominio a otro.
dominio
Emulador PDC nico en el Garantiza una compatibilidad con
seno de un los sistemas operativos anteriores
dominio (NT, en particular).
Sirve como servidor de tiempo de
referencia para el resto del dominio.
Sirve como punto de referencia
durante los procesos de cambio de
contrasea y bloqueo de cuentas.
2. Funcionalidades de Active Directory en Windows Server 2012 R2
Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales

gustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas
que deseen poseer un conocimiento avanzado.
Se le explica cmo instalar un controlador de dominio de Active Directory con Windows

Server 2012 R2, cmo utilizar las directivas de contrasea especficas, etc.
Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo

para que pueda constatar, usted mismo, la utilidad de estas ltimas.
a. Instalacin de un directorio de Active Directory
Desde un punto de vista general, los asistentes de configuracin se han visto mejorados
considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que
estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer
referencia a la mayora de las opciones avanzadas de instalacin del directorio Active
Directory desde el asistente creado a este efecto.
Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su
directorio Active Directory.
Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para
agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el
nombre AD DS por Active Directory Domain Services). Volveremos un poco ms adelante
sobre las etapas detalladas ligadas a esta instalacin.
En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario
que posea los permisos de Administrador del servidor.
Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro
controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,
definir estos parmetros antes de realizar la promocin de un servidor a controlador de
dominio.
Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le
permite configurar su servidor una vez instalado.
Haga clic en Configurar este servidor local (o Servidor local) para visualizar la
configuracin propia a este servidor y modificarla si fuera necesario.
Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se
encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo,
definir una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.
En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o
controlador de dominio). A continuacin deber reiniciar el servidor.
Vuelva sobre Panel, siempre desde la consola Administrador del servidor.
Haga clic en Agregar roles y caractersticas.

A continuacin se abre el Asistente para agregar roles y caractersticas. La primera
pgina aparece, por defecto, con cada ejecucin del asistente. Tiene como
objetivo permitirle verificar un conjunto de buenas prcticas antes de continuar con la
instalacin de un rol en su servidor (contrasea fuerte, direccin IP esttica, parches de
seguridad al da). Haga clic en Siguiente.
Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga

clic en Siguiente.
Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidor
definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite
precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de un
servidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidores y, a
continuacin, haga clic en Siguiente.
Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse
de manera remota.
Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la
instalacin de un controlador de dominio Active Directory, debe escoger la
opcin Servicios de dominio de Active Directory.
El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al
menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de
grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en
funcin del rol seleccionado. Haga clic en Siguiente.
A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas

suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de
Active Directory, las caractersticas necesarias ya se le han presentado en la ventana
anterior. Haga clic en Siguiente.
El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directory
as como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar los
artculos disponibles en la ayuda de Windows para ms informacin. Haga clic en
Siguiente.
La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes de
informacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio
que puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza la
instalacin del rol.
Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlos
mediante comandos PowerShell si fuera necesario.
Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin se
detenga. Puede ver el grado de avance de la instalacin en la consola Administracin del
servidor, dentro del rea marcada con la bandera de notificacin.
Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad

de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muy
intuitiva en las siguientes etapas a realizar.
En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de

exclamacin que se corresponde con la Configuracin posterior a la instalacin que debe
realizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque la
instalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo
de nuevo (o haga clic en el botn Actualizar que se encuentra justo al lado (a la izquierda)
del icono con forma de bandera de notificacin). Haga clic en el enlace Promover este
servidor a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no
se utiliza desde Windows Server 2012. Servir nicamente para facilitar la transicin de
algunas empresas que hayan desarrollado scripts con este comando. La norma es, ahora,
utilizar los scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets
PowerShell que pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain,
Install-ADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede
encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/en-
us/library/hh472162.aspx
Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel
funcional del bosque deber ser, como mnimo, Windows Server 2008. A modo de
recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso
que el nivel funcional de todos los dominios del bosque sean, como mnimo, Windows
Server 2008. Esto implica que ya no ser posible tener un controlador de dominio con
Windows Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2.
Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012

y, a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque
impactados.
Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs
es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha
optado por simplificar esta etapa integrando directamente la actualizacin del esquema y
del dominio en el asistente de promocin de un controlador de dominio desde el
Administrador del servidor.
El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario
para preparar un bosque y un dominio para la instalacin de un controlador de dominio de
una versin superior. Este comando slo est disponible en versin 64 bits.
Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es
posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin
64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2
miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se
ubica en la carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2.
Encontrar mucha ms informacin sobre la instalacin manual de adprep en la siguiente
direccin: http://technet.microsoft.com/en-us/library/hh472161.aspx
Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows
Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2
mediante la consola Dominios y confianzas de Active Directory o mediante el centro de
administracin de Active Directory (encontrar ms informacin en la direccin:
http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque,
todos los controladores de dominio funcionan con Windows Server 2012 R2 puede,
tambin, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas
consolas (encontrar ms informacin en la direccin: http://technet.microsoft.com/es-
es/library/cc730985.aspx)
Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta,
la mayora de veces, funcionalidades y caractersticas suplementarias. Estas
funcionalidades se resumen en la siguiente direccin: http://technet.microsoft.com/en-
us/library/understanding-active-directory-functional-levels(v=ws.10).aspx
Observe, no obstante, que algunos componentes no requieren ms que la preparacin del

dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar
el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de
aplicacin (Web Application Proxy) que se basa nicamente en las clases del esquema
creadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para
poder funcionar.
Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no

est activada) es posible disminuir el nivel funcional de un dominio o de un bosque de
Windows Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los
comandos PowerShell siguientes:
Import-Module ActiveDirectory
Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv
-domainmode
Windows2008Domain
Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv

-forestmode
Windows2008Forest
Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de

dominio disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en
Promover este servidor como controlador de dominio.
Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory.
Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar un

nuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda en
lnea de Windows que trata las distintas configuraciones de despliegue posibles.
Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr la

posibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de un
medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitios
remotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y se
sature el ancho de banda durante la primera sincronizacin entre los controladores de
dominio. Puede, si no, definir un controlador de dominio particular para la primera
sincronizacin del directorio de Active Directory para indicar un controlador de dominio
del mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio
remoto que podra tener un ancho de banda limitado.
D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser
miempresa.priv y, a continuacin, haga clic en Siguiente.
Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.
No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre
Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre
de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este
carcter, que le generar una serie de inconvenientes en el futuro, especialmente con
Exchange.
Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de
dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque
ya existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo
2008 R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft
KB300684 (http://support.microsoft.com/kb/300684) analiza este caso.
De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios

con extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los
nombres de dominio interno y externo para evitar, en particular, tener que realizar una
gestin algo ms compleja en su zona DNS interna.
Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para
contactar con un eventual bosque ya existente.
Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en
el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de
resolucin de nombres.
Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2
dado que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y
del bosque.
Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de
dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava
no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear
un nuevo dominio en un nuevo bosque.
Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando se

acceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8]
durante el arranque del sistema operativo. Esta contrasea deber responder a la
complejidad requerida por la directiva de contrasea.
Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de
Administrador actual por motivos de seguridad.
A continuacin, haga clic en Siguiente.

Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamiento
del dominio de Windows Server 2012 R2, como las directivas de contrasea especfica
(disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, ms
adelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular
de este captulo).
El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los
parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio
Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente
mostrar el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color
amarillo ubicada en la parte superior del asistente).
Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del
servidor, ste se borrar automticamente de estas propiedades de modo que el futuro
controlador de dominio ser cliente de su propio DNS. El anterior servidor DNS se
informar en la pestaa Reenviadores en las propiedades del servicio DNS.
Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic
en Siguiente.
Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la
base de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se
recomienda encarecidamente separar la base de datos y los archivos de registro para, as,
evitar la saturacin de I/O (entradas/salidas). Haga clic en Siguiente.
Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las
etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un
archivo de respuestas.
Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo el

riesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en
este caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC
en Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script
disponible haciendo clic en la opcin Ver script.
Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitos
previos necesarios para la instalacin del rol de controlador de dominio sobre este servidor.
Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al
enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad
con un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo,
Windows NT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un
servidor Windows Server 2008/2008 R2/2012 o 2012 R2.
Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en
Instalar.
Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic
en el vnculo que le permite volver a verificar si se cumplen los requisitos previos.
Haga clic en Instalar para arrancar la instalacin. El servidor reinicia, automticamente, al

finalizar la instalacin.
Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server

2012 R2.
Le faltar verificar la instalacin de Active Directory y realizar las primeras acciones

esenciales. El siguiente enlace le ofrece todos los elementos necesarios:
http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx
b. Presentacin de la auditora ligada al servicio de directorio
Auditar estos servidores es una actividad que consiste en censar los eventos que se
consideren interesantes en el registro de eventos. Esto le permitir evidenciar problemas de
configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema
operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto
que el rendimiento del servidor se ver impactado inmediatamente.
Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su
directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des
Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers
Policy (Configuracin de equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora).
La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms
preciso!
Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los
parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que
de una forma muy vasta la configuracin efectiva.
En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde
Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de
eventos distintos volviendo, de este modo, la creacin de objetos mucho ms granular.
La visualizacin y la configuracin de estos parmetros no son idnticos entre Windows

Server 2008 R2 y Windows Server 2012 R2.
En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede
mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles
nicamente por lnea de comandos mediante el comando Auditpol.exe.
El siguiente comando permite mostrar las distintas categoras posibles para la auditora:
Auditpol.exe /get /Category:*
En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1

con las herramientas de administracin RSAT instaladas), es posible configurar, desplegar
y administrar la auditora detallada desde la consola GPMC. La configuracin de la
auditora detallada se realiza a nivel de Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Configuracin de directiva
de auditora avanzada - Directivas de auditora.
Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la
actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta
configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server
2008 R2/2012/2012 R2 o Windows 7/8/8.1.
Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditora

simultneamente a nivel de Configuracin del equipo - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora y de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Configuracin de directiva de auditora avanzada - Directivas de auditora. Para ello,
Microsoft recomienda configurar la opcin Auditora: forzar la configuracin de
subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar
la configuracin de la categora de directiva de auditora que se define a nivel de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivel
de la auditora bsica (las siete categoras histricas) podran entrar en conflicto con las
definidas de manera ms precisa en la directiva de auditora avanzada.
Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso
utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo
poner en marcha este despliegue.
Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la
posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de
definir una directiva de auditora para un usuario particular sobre una accin precisa y para
un conjunto de servidores. Esto puede resultar muy prctico si tiene que justificar, en
particular, la auditora de la seguridad de un servidor de cara a afrontar una auditora SOX.
Los eventos generados por las auditoras de acceso a los archivos o al registro estarn
mucho ms detalladas si activa la opcin Auditar la manipulacin de identificadores
puesto que se mostrar el "motivo del acceso", que le permitir, en particular, poner de
relieve errores de configuracin (como, por ejemplo, un usuario que tiene acceso de
escritura en lugar de tener un acceso de slo lectura).
Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas en

expresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en
funcin de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en
detalle en el captulo Securizar su arquitectura.
Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la
siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx
Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las
versiones anteriores de Windows.
Se han conservado las principales categoras, y muchas subcategoras enriquecen y
hacen que la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por
tanto, mucho ms limpio de eventos intiles.
Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales
de auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las
subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo
activa, automticamente, las subcategoras.
Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el
comando auditpol en los equipos o servidores seleccionados a travs de un script, por
ejemplo.
Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equipos

Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el
comando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de
la Kb de Microsoft: http://support.microsoft.com/kb/921469
Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows

2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio
Active Directory.
Esta nueva subcategora se denomina Directory Service Changes (categora hija de DS

Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto de
Active Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio en
Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo
modificado, pero no los valores anterior y modificado del mismo.
Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el

registro de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los
objetos de Active Directory:
Nmero de evento Tipo de evento

5136 Modificacin con xito de un atributo de Active Directory.
5137 Creacin de un nuevo objeto de Active Directory.
5138 Restauracin de un objeto de Active Directory.
5139 Desplazamiento de un objeto de Active Directory.
Si desea, por ejemplo, activar la auditora para todas las subcategoras referentes al
acceso al directorio Active Directory, siga el procedimiento siguiente:
Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el
siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las
subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la
subcategora que nos interese, en nuestro caso, ejecutando auditpol /set
/subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set
/subcategory:"Administracin de cuentas de usuario" /success:enable.
Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que
posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este
problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o
bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del
smbolo.
Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de Active

Directory mediante la consola Centro de administracin de Active Directory, tambin
llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el
men Inicio - Ejecutar - dsac.exe).
Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar

- Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores
que acaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.
Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridad
basadas en las expresiones que permiten acotar los eventos a informar utilizando
expresiones basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta
mejora est ligada a otra novedad: el control de acceso dinmico, del que hablaremos con
detalle en el captulo Securizar su arquitectura.
Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios
que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por
el contrario, administradores que utilicen sus permisos de manera abusiva.
Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas:
Desde Configuracin del equipo - Directivas - Configuracin de Windows -

Configuracin de seguridad - Configuracin de directiva de auditora avanzada -
Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema de
archivos y del parmetro Auditar almacenamiento provisional de directiva de acceso
central, active la auditora Correcto y error.
A nivel de la carpeta a auditar:

Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible nicamente
por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones
avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de seguridad,
escoja un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-
RW.
Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -
Valor - [Administradores de dominio] y [Administradores].
Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en el

registro de eventos de seguridad.
Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de la
manipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012
R2 y Windows 8/8.1.
Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los
proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no
trabajen. La auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor
AND User.Project Not_AnyOf Resource.Project.
Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en el

registro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la
auditora de acceso global a los objetos con directivas de auditora basadas en expresiones,
lo que permite fusionar las directivas de auditora mltiples ubicadas en varios clientes.
De este modo el administrador de un permetro limitado podr definir una directiva de

auditora de acceso global a los objetos correspondientes a su permetro mientras que un
administrador global podr, por su parte, definir otra directiva de acceso global para un
permetro ms amplio.
Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar,
tambin, que es posible configurar el parmetro Auditar los inicios de sesin
(Configuracin de directiva de auditora avanzada - Inicio y cierre de sesin).
Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o
remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente
direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx
Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el
captulo Securizar su arquitectura.
c. Controlador de dominio de solo lectura
Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura
(llamados, tambin, RODC por Read Only Domain Controller). Un controlador de
dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico
salvo la contrasea de los usuarios. Esta informacin se almacena en solo
lectura nicamente y no es posible iniciar ninguna modificacin a nivel de dominio desde
un RODC.
Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es
posible modificar las propiedades del mismo para limitar su replicacin nicamente a
aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor
searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de
esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de
dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este
respecto en la siguiente direccin (en ingls):
http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-
440026f585e91033.mspx?mfr=true
Microsoft ha diseado una solucin adaptada a las necesidades de las empresas que posean
sitios remotos con pocos usuarios para:
mejorar la seguridad de los sitios;

mejorar la autenticacin de los usuarios de un sitio remoto sin tener que iniciar un
trfico WAN con el controlador de dominio del sitio principal;
acceder a los recursos de la red con mayor rapidez.
Aumentar la seguridad de estos sitios
Antes, en efecto era necesario instalar un controlador de dominio suplementario sobre un

sitio remoto si no quera que ciertos usuarios se quejaran de mal rendimiento y una alta
latencia en la autenticacin o el acceso a recursos del dominio. El problema que se
planteaba era que estos sitios no tenan los medios o la necesidad de tener un administrador
a tiempo completo, ni podan invertir en un local protegido para dotar de seguridad a su
servidor. En caso de robo o de corrupcin del controlador de dominio del sitio, el atacante
poda recuperar, potencialmente, todos los nombres de usuario de la empresa y sus
contraseas.
En lo sucesivo, es posible limitar las consecuencias de una corrupcin de un controlador de

dominio sobre estos sitios puesto que puede definir, con precisin, qu cuentas tienen sus
contraseas almacenadas sobre este controlador de dominio de solo lectura. Esto se realiza
mediante la pertenencia a uno de los dos grupos de seguridad llamados Grupo con
permiso para replicar contraseas en RODC (su contrasea se replica en el RODC) y
Grupo sin permiso para replicar contraseas en RODC (su contrasea no se replica en
el RODC). Tan solo tiene que escoger aquellas cuentas de usuario y agregarlas al grupo que
usted elija. En caso de conflicto (si un usuario perteneciera a ambos grupos, por ejemplo),
el permiso "Sin permiso" es prioritario. Por defecto, se almacenan dos instancias de la
contrasea sobre el RODC. La corres-pondiente a la cuenta krbtgt_xxxx y la
correspondiente a la cuenta de equipo. La cuenta krbtgt_xxxx es propia de cada RODC.
Permite entregar tickets Kerberos a los clientes que realicen la demanda. En caso de robo
del controlador de dominio de un sitio, basta con reinicializar las contraseas de estas
cuentas, como ver ms adelante.
Mejorar la autentificacin de los usuarios
Un RODC trata de autentificar una cuenta respecto a las contraseas que posee en cach. Si
no se encuentra en su cach, contactar con un controlador de dominio inscribible para
autentificar al usuario. Al mismo tiempo, consultar si la directiva de replicacin de
contraseas autoriza que se aloje en la cach del RODC la contrasea de esta cuenta o no.
De este modo, si la directiva lo permite, las consultas de autentificacin se ejecutarn
directamente en el RODC.
Tenga en mente que jams hay que abrir sesin en un RODC con una cuenta miembro del
grupo Administradores de dominio (o equivalente), pues un ataque permitira obtener estas
credenciales.
Acceder a los recursos de red ms rpidamente
Entre las dems especificaciones de un controlador de dominio de solo lectura, sepa que
este ltimo slo puede, por naturaleza, recibir el trfico de replicacin entrante (replicacin
unidireccional). No puede, por tanto, definirse como servidor inicial de una directiva de
replicacin de dominio en la medida en que simplemente sufre las modificaciones, sin
poder iniciarlas.
Es, tambin, posible instalar el servicio DNS sobre el RODC de un sitio. Esto evita tiempos
de latencia repetitivos cuando un usuario trata de realizar una resolucin de nombres sin
tener un DNS prximo a l. Este servicio ser, tambin, de solo lectura en un RODC y los
equipos no tendrn la posibilidad de insertar sus propios registros de forma dinmica sobre
este servidor DNS. Sus consultas de escritura se redirigirn a un servidor DNS sobre el que
se permita realizar escrituras. Para limitar la primera replicacin de un controlador de
dominio suplementario, es posible instalarlo desde un medio extrable y, de este modo,
preservar el ancho de banda al mximo. En el caso de un RODC, es posible realizar esta
accin utilizando el comando ntdsutil ifm, que tiene como efecto eliminar las contraseas
alojadas en cach presentes en el controlador de dominio. Puede obtener ms informacin
acerca de la instalacin de un controlador de dominio desde un medio externo en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc816722(v=ws.10).aspx
Entre los requisitos previos de instalacin de un RODC, sepa que:
El controlador de dominio debe ser capaz de transferir las consultas de

autentificacin hacia un controlador de dominio en Windows Server 2008 o
superior.
El nivel funcional del bosque y del dominio deben estar configurados en Windows
Server 2003 o superior.
Debe ejecutarse el comando adprep /rodcprep una nica vez en el bosque. Permite
actualizar el conjunto de dominios del bosque para modificar los permisos en la
particin del directorio de la aplicacin DNS. Ser preciso, por tanto, que cada
controlador de dominio con el rol "Maestro de infraestructura" est disponible en el
momento de ejecutar este comando.
Proceda como se indica a continuacin si desea instalar un controlador de dominio de solo

lectura:
La instalacin de un RODC es prcticamente idntica al procedimiento que ha utilizado

durante la instalacin de un controlador de dominio clsico. Debe, por tanto, instalar el rol
Servicios de dominio de Active Directory igual que para un controlador de dominio
clsico y, a continuacin, ejecutar la configuracin post-despliegue seleccionando la opcin
Promover este servidor a controlador de dominio.
En nuestro ejemplo, para instalar un RODC, seleccione Agregar un controlador de

dominio a un dominio existente. Haga clic en Siguiente.
Indique el nombre del dominio existente sobre el que desee instalar un RODC y, a
continuacin, haga clic en Seleccionar para especificar la contrasea de un administrador
de dominio o de la empresa. Haga clic en Siguiente (si apareciera algn error, compruebe
su configuracin DNS o autorice la apertura de puertos, pues su servidor RODC no llega a
conectarse con el servidor de dominio). Seleccione el dominio y, a continuacin, haga clic
en Siguiente.
En esta etapa, marque la opcin Controlador de dominio de solo lectura (RODC). Si lo

desea puede atribuir el rol de DNS y de catlogo global a este futuro controlador de
dominio (teniendo, siempre, en mente las limitaciones descritas anteriormente). Haga clic
en Siguiente.
Especifique a continuacin la Directiva de replicacin de contrasea agregando o
suprimiendo los grupos y las cuentas de usuario que estarn autorizados a replicar su
contrasea en este controlador de dominio de solo lectura. Seleccione, tambin, a quin
delegar la administracin del servidor RODC. En la prctica, los miembros de este grupo se
encuentran en el sitio remoto que alberga al propio controlador de dominio de solo lectura.
Haga clic en Seleccionar para agregar la cuenta o el grupo que desee. Una vez haya
terminado, haga clic en Siguiente.
Seleccione Replicar desde para seleccionar un controlador de dominio especfico si lo
desea. Haga clic en Siguiente.
Seleccione una carpeta de destino para los archivos de Active Directory. Para mejorar el
rendimiento, la base de datos de Active Directory y los archivos de registro no deberan
ubicarse en el mismo disco duro. Una vez definidas las carpetas, haga clic en Siguiente.
Aparece un resumen con las distintas opciones que ha seleccionado a lo largo del asistente.
Puede, tambin, visualizar los comandos PowerShell que se ejecutarn para realizar estas
acciones haciendo clic en Ver script. El archivo de respuestas creado permitir realizar la
instalacin de un servidor RODC por lnea de comandos sin intervencin por parte del
usuario (observe que la contrasea de restauracin del servicio de directorio no se
almacenar directamente en este archivo, y deber indicarla antes de utilizar el archivo de
instalacin sin que el asistente le solicite introducir la contrasea en el momento necesario).
Haga clic en Siguiente para ejecutar el asistente de verificacin. ste le avisar si existe
alguna configuracin incorrecta (direccin IP dinmica, etc.). Si bien no es obligatorio
resolver estos errores para ejecutar la instalacin del servidor RODC, es muy
recomendable. Haga clic en Instalar. Es necesario reiniciar el servidor para que se tengan
en cuenta las modificaciones. El servidor se agregar automticamente al dominio como
RODC.
Sepa que es posible Crear previamente una cuenta de controlador de dominio de slo
lectura desde un controlador de dominio existente. Esta opcin est disponible desde la
consola ADAC, seleccionando su dominio en Domain Controllers.
El servidor RODC est instalado. Debe, a continuacin, configurar la directiva de

replicacin de contrasea desde un controlador de dominio que permita la escritura. En
efecto, cuando un servidor RODC recibe una solicitud de autentificacin, consulta la
directiva de replicacin de contrasea para determinar si debe o no almacenar en memoria
la contrasea del usuario (o del equipo) que acaba de autentificarse. Por defecto, no se
almacena en memoria ninguna contrasea. Segn sus necesidades, puede escoger entre una
directiva de replicacin de contrasea ms o menos severa.
Para definir una directiva de replicacin de contrasea, proceda de la siguiente manera

desde un controlador de dominio (no RODC):
Abra el Centro de administracin de Active Directory y vaya al nivel correspondiente a la

unidad organizativa Domain Controllers. Haga clic con el botn derecho del ratn sobre el
controlador de dominio de solo lectura y, a continuacin, en Propiedades.
A nivel de Extensiones, haga clic en la pestaa Directiva de replicacin de contrasea.

Tal y como hemos visto anteriormente, un servidor RODC almacena nicamente aquellas
contraseas de cuenta de usuario o grupo que se definen con el valor Autorizar (para estar
autorizados a tener su contrasea replicada en el servidor RODC). Por defecto, la
replicacin de la contrasea se rechaza para las cuentas de administracin como Operadores
de cuenta, Operadores de copia de seguridad, Administradores, etc. Agregar la cuenta que
desee y seleccione si su contrasea se autoriza o no a replicarse en el servidor RODC y, a
continuacin, haga clic en Aceptar para seleccionar la cuenta de usuario o de grupo en su
dominio. Valide haciendo clic en Aceptar.
Haciendo clic en el botn Opciones avanzadas, puede mostrar el nombre de las Cuentas
cuyas contraseas estn almacenadas en este controlador de dominio de slo lectura.
Puede, tambin, seleccionar en la lista desplegable visualizar las Cuentas autenticadas en
este controlador de dominio de slo lectura. Resulta, en efecto, interesante conocer quin
est autentificado mediante este RODC y, de este modo, modificar la directiva de
replicacin de contrasea para alojar en cach la contrasea de estos usuarios y as evitar
consultas intiles hacia un controlador de dominio de escritura. Puede, tambin, seleccionar
la opcin de Rellenar contraseas previamente. Esto puede resultar muy til si instala su
RODC desde su sitio principal y rellena las contraseas que quiere alojar en cach de los
usuarios del sitio secundario (sobre el que se desplazar, a continuacin, el servidor
RODC). Habr, tambin, que rellenar las cuentas de equipo utilizadas por los usuarios
agregados. Esto evitar tener que utilizar la conexin WAN entre dos sitios durante la
primera autentificacin de los usuarios en el sitio secundario. Es decir, las cuentas
seleccionadas deber, previamente, agregarse a la directiva de replicacin de contrasea,
pues sin ello el rechazo implcito evitar que se almacene la contrasea en cach.
Sepa que es posible rellenar previamente las contraseas utilizando el siguiente comando:
repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name>
[<Computer1 Distinguished Name> <User2 Distinguished Name> ...]
Exemplo: para rellenar la contrasea de la cuenta de usuario Fernando ROMERO (y de su

equipo porttil LAP_FRO) sobre un servidor RODC llamada RODCSrv01 desde un
controlador de dominio de escritura llamado DCSrv02, el comando sera: Repadmin
/rodcpwdrep1 RODCSrv01 DCSrv02 "CN=FernandoROMERO, OU=Usuarios_IT,
DC=miempresa, DC=priv" "CN=LAP_FRO, OU=Equipos_IT, DC=miempresa, DC=priv"
En caso de robo de un servidor RODC, podr controlar de manera muy sencilla aquellas
cuentas impactadas y, de este modo, limitar los potenciales riesgos de seguridad debidos al
robo del servidor. Como administrador, aqu se muestra cmo debera reaccionar ante tal
situacin:
Desde un controlador de dominio de escritura, abra la consola Usuarios y equipos de

Active Directory (dsa.msc) y vaya al nivel de la unidad organizativa Domain Controllers.
Haga clic con el botn derecho sobre la cuenta de equipo del controlador de dominio de
solo lectura y, a continuacin, seleccione Eliminar. Confirme el borrado haciendo clic en
S.
Se muestra una ventana que le permite forzar la reinicializacin de la contrasea para las
cuentas de usuario y/o equipo. Tambin le permite exportar la lista de cuentas que estaban
en cach. Una vez seleccionadas las opciones, haga clic en Eliminar.
Su controlador de dominio RODC se suprime, incluso si un atacante trata de explotar las

contraseas almacenadas en el mismo, no tendrn ninguna utilidad puesto que se habran
modificado rpidamente.
d. Directivas de contrasea especfica y de bloqueo de cuenta granular
Una de las principales mejoras esperadas tras varios aos por los profesionales de la
informtica que utilizan el directorio de Microsoft es, sin duda alguna, la posibilidad de
poder definir directivas de contrasea mltiples sobre un dominio de Active Directoy. No
ha sido, en efecto, posible realizar esta operacin hasta Windows Server 2008.
Desde Windows Server 2008, existe una nueva clase de objetos llamada msDS-
PasswordSettings. Hace posible la multiplicacin de las directivas de contrasea en el
seno de un mismo dominio. Sobre un dominio de Active Directory existente, anterior a
Windows Server 2008, habr que actualizar el nivel funcional del dominio al menos a
Windows Server 2008 (todos sus controladores de dominio debern, por tanto, ejecutar
como mnimo Windows Server 2008).
De este modo, es posible definir un objeto "parmetros de contrasea" (llamado tambin

PSO por Password Settings Object) distinto entre los usuarios. En la prctica, puede tener
una duracin de vida mxima de contrasea de 30 das para las cuentas de
administrador. Las cuentas de servicio tendrn una longitud mnima de contrasea de 36
caracteres que jams expira.
Por defecto, slo los miembros del grupo Administradores de dominio tienen la
posibilidad de definir directivas de contrasea mltiples.
Tomemos el ejemplo de la definicin de una directiva de contrasea especfica para las

cuentas de usuario utilizadas para la administracin del sistema de informacin. Estas
cuentas de usuario forman parte de grupos de seguridad con muchos permisos sobre el
dominio y si se comprometiera la seguridad de su contrasea se permitira a un potencial
atacante tener acceso prcticamente a todos los servidores. Conviene, por tanto, dotar de
una seguridad especial a este tipo de cuentas de usuario algo especiales. Los parmetros de
contrasea sern los mismos que los definidos a nivel de la directiva Default Domain
Policy, a diferencia de la duracin de vida mxima de la contrasea que ser de 30 das en
lugar de 42 das. La longitud mnima de la contrasea pasar de 7 a 14 caracteres. La
cuenta se bloquear, a su vez, tras 10 intentos fallidos. Estos principios limitan los riesgos
de compromiso de la contrasea de los administradores.
Windows Server 2012 ha simplificado enormemente la configuracin de una directiva de

contrasea especfica. Ya no es necesario utilizar la consola Editor ADSI como ocurra con
las versiones anteriores de Windows.
Ejecutando la consola ADAC (forzosamente desde un servidor Windows Server 2012/2012

R2, o Windows 8/8.1 con las herramientas RSAT instaladas), es posible gestionar las
contraseas existentes, visualizarlas y aplicarlas a un usuario concreto.
Para configurar una directiva de contrasea especfica:

Abra la consola ADAC (dsac.exe) desde una cuenta de usuario miembro del grupo
"Administradores de dominio". Seleccione el modo Vista de rbol en la parte superior
izquierda y, a continuacin, despliegue su dominio y seleccione System - Password
Settings Container.
En la lista de tareas del panel derecho, haga clic en Nuevo y Configuracin de

contrasea. Se abre una ventana en la que debe definir los distintos parmetros de su
eleccin.
La informacin correspondiente se encuentra en el directorio Active Directory, y es posible
visualizarla con la consola adsiedit.msc, a nivel de
Nombre_FQDN_De_Dominio/CN=System/CN=Password Settings Container.
Nombre se corresponde con el atributo msDS-PasswordSettings.

Prioridad se corresponde con el atributo msDS-PasswordSettingsPrecedence.
Debe tener un valor superior a 0 y permite arbitrar en caso de conflicto cuando se
aplican dos objetos PSO sobre el mismo usuario o grupo. Cabe recordar dos reglas
en el caso de que se apliquen varios parmetros a un mismo objeto. Se aplicar el
objeto PSO que disponga del valor de precedencia ms dbil, y una directiva
aplicada a nivel Usuarios ser prioritaria sobre una directiva aplicada a nivel Grupo.
Prevea espaciar la numeracin del atributo msDS-PasswordSettingsPrecedence entre cada

directiva PSO para poder jugar con las prioridades en un futuro.
Longitud mnima de la contrasea: msDS-MinimumPasswordLength es una

cifra entera. El valor por defecto es 7 en el dominio. En nuestro ejemplo, se trata de
un PSO para las cuentas de administrador. El valor mnimo ser, por tanto,
de 14 caracteres.
Exigir historial de contraseas: msDS-PasswordHistoryLength define el nmero
de contraseas anteriores que no pueden utilizarse. Por defecto, su valor es de 24 en
el dominio.
Las contraseas deben cumplir con determinados requisitos de complejidad:
msDS-PasswordComplexityEnabled es un valor booleano que activa la
complejidad siempre que su valor sea TRUE (valor aconsejado).
Almacenar contraseas con cifrado reversible: msDS-
PasswordReversibleEncryptionEnabled. Se trata de un valor booleano. Es
preferible indicar el valor FALSE salvo si se tienen necesidades particulares.
Vigencia mnima de la contrasea: msDS-MinimumPasswordAge es una
duracin que indica la duracin de vida mnima de la contrasea para impedir al
usuario cambiar su contrasea de forma sucesiva hasta que supera el lmite del
histrico de contraseas para poder volver a utilizar su contrasea. El valor por
defecto es de 1 da. Su formato es 1:00:00:00.
Vigencia C de la contrasea: msDS-MaximumPasswordAge es una duracin que
indica la duracin de vida mxima de la contrasea. Por defecto, la contrasea debe
cambiarse cada 42 das. En este ejemplo, seleccione una duracin de vida mxima
de 30 das, es decir 30:00:00:00.
Umbral de bloqueo de cuenta: msDS-LockoutThreshold define el nmero de
contraseas errneas que puede introducir el usuario antes de que se bloquee el
objeto. Se corresponde con el parmetro Umbral de bloqueo de cuenta que es igual
a 0 (lo que indica que la cuenta no se bloquea nunca). Es preferible informar un
nmero de intentos restringido para evitar ataques sobre la contrasea. Indique el
valor 10, por ejemplo
Restablecer recuentos de bloqueo de cuenta tras (minutos): msDS-Lockout-
ObservationWindows permite Restablecer el contador de bloqueos de cuenta tras
la duracin que usted elija. Indique un valor de 10 minutos, por ejemplo,
escribiendo 10:00:00:00.
La cuenta se bloquear: Durante un periodo de (minutos): msDS-Lockout-
Duracin indica la duracin del bloqueo de la cuenta si el nmero de contraseas
errneas supera el valor de msDS-LockoutThreshold. Indique un valor de
10 minutos, por ejemplo, escribiendo 10:00:00:00 (observe que existen controles de
coherencia que le advierten siempre que trate de implementar una configuracin
irrealizable).
Se aplica directamente a equivalente a configurar el atributo msDS-
PSOAppliesTo, capaz de contener varios valores (y, por tanto, varios usuarios y
grupos). Es preciso seleccionar el o los grupos de seguridad para los que se quiere
aplicar esta directiva haciendo clic en Agregar.
Aplique, preferentemente, una directiva de contrasea a un grupo en lugar de a un usuario

para poder, de este modo, gestionarla ms fcilmente. Si desea conocer la directiva que se
aplica a un usuario, vaya a las propiedades de la cuenta en cuestin en la consola Centro de
administracin de Active Directory y, a continuacin, seleccione la opcin Ver
configuracin de contrasea resultante. Se lee el atributo msDS-ResultantPSO para
identificar la directiva asociada al usuario.
Si, desde el Centro de administracin de Active Directory, edita las propiedades de una
cuenta de usuario, no podr visualizar la PSO asociada al usuario si la PSO se ha definido
para un grupo. En este lugar ver, nicamente, el o las PSO que se han definido
directamente sobre el usuario.
e. Active Directory como servicio de Windows
Desde Windows Server 2008, es posible detener e iniciar el directorio Active Directory
desde cualquier controlador de dominio, pues se considera como un servicio de Windows.
Puede, por tanto, realizar operaciones de mantenimiento tales como la desfragmentacin

offline de la base de datos del directorio Active Directory sin tener que reiniciar el servidor
en modo de Restauracin del servicio de directorio.
Las actualizaciones de Windows que impactan al servicio de directorio ya no requieren

sistemticamente el reinicio completo del servidor. Bastar con un simple reinicio del
servicio Active Directory.
La principal ventaja ligada al funcionamiento de Active Directory como servicio es que los
dems servicios instalados sobre el controlador de dominio ya no estarn inaccesibles
cuando se quiera realizar alguna operacin de mantenimiento.
La desfragmentacin de la base de datos del directorio Active Directory no volver al

servicio DHCP (instalador sobre el mismo servidor) inaccesible.
Puede configurar el estado del servicio a nivel de la consola MMC Servicios, disponible en
las herramientas de administracin o bien escribiendo services.msc en el men Ejecutar.
El servicio aparece bajo el nombre completo Servicios de dominio de Active Directory.

El nombre del servicio es NTDS.
Cuando el estado del servicio se define como Detenido, los dems equipos ven al
controlador de dominio como un servidor miembro del dominio sobre el que las directivas
de grupo pueden aplicarse. El controlador de dominio se comporta igual que si estuviera en
modo Restauracin de servicio de directorio. Su archivo ntds.dit est libre y si no existe
ningn controlador de dominio disponible para autentificar su apertura de sesin, tendr
que utilizar la contrasea de la cuenta de administrador de restauracin de servicios de
directorio cuando promocione el servidor como controlador de dominio.
Es importante tener en cuenta que si bien el servicio NTDS puede detenerse, hay que tener
en cuenta unas precauciones mnimas:
El servicio NTDS no debe detenerse durante mucho tiempo. Por ejemplo, detener el
servicio sobre un controlador de dominio diciendo que el directorio se restablecer
en caso de que falle algn controlador de dominio. En efecto, segn la duracin de
la parada del servicio NTDS, los registros podran considerarse como demasiado
viejos y no se replicarn.
La parada del servicio NTDS no basta para realizar una restauracin del Active
Directory. Es preciso utilizar el modo de Restauracin de Servicios de Directorio
(Directory Services Restore Mode) DSRM para realizar una restauracin
(autoritaria o no).
No es posible abrir una sesin con la cuenta Administrador DSRM (que se
corresponde, en realidad, con la cuenta de Administrador local del controlador de
dominio) cuando se detiene el servicio NTDS y no existen ms controladores de
dominio disponibles durante el intento de autentificacin de cuenta. Es posible
modificar este comportamiento editando la clave
HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
en su controlador de dominio.
Los posibles valores son los siguientes:
Clave DSRMAdminLogonBehavior
Valor 0 No permite abrir una sesin con la cuenta de administrador DSRM.
(por Para abrir una sesin con esta cuenta, ser preciso que otro
defecto) controlador dominio est disponible en el momento de realizar la
autentificacin.
Valor 1 La cuenta de Administrador DSRM puede utilizarse cuando se
detiene el servicio AD DS.
Este valor es especialmente interesante si solo dispone de un

controlador de dominio o si la resolucin de nombres definida sobre
el mismo apunta nicamente sobre s mismo.
Valor 2 La cuenta de Administrador DSRM puede utilizarse para realizar la
autentificacin en cualquier situacin.
Hay que tener en mente que esta cuenta no se somete a ninguna

directiva de contrasea.
Observe, tambin, que el reinicio en modo DSRM puede realizarse de varias formas:
Utilizando el comando shutdown con las opciones -o y -r.

Utilizando la combinacin de teclas [Windows] + C - Configuracin -
Iniciar/Apagar - haciendo clic en la tecla [Mays] haciendo clic en el botn
Reiniciar y seleccionar un motivo del tipo Recuperacin.
Durante el reinicio, el servidor le propondr varias opciones, entre ellas la opcin de

Solucionar problemas, que permite recuperar el sistema operativo a partir de una imagen
de sistema, la ejecucin de una consola de comandos o bien la opcin Configuracin que
le permitir acceder al men de inicio avanzado pudiendo, en particular, acceder al modo
DSRM.
Hay otro servicio que existe desde la aparicin de Windows Server 2012 R2.
Se trata del servicio Servidor de la funcin de DS (DsRoleSvc), que est configurado, por
defecto, en modo Manual Arrancar automticamente siempre que se le solicite durante la
configuracin de un nuevo controlador de dominio, se agregue un nuevo bosque, un
dominio o un controlador de dominio, se elimine el rol Active Directory en un servidor o
cuando se clone un controlador de dominio.
f. Clonado de un controlador de dominio Active Directory virtualizado
La virtualizacin se ha convertido, en el espacio de unos pocos aos, en un elemento

imprescindible en la mayora de SI.
El captulo Consolidar sus servidores est dedicado al hipervisor Hyper-V y sus novedades.
Windows Server 2012 incluye la posibilidad de virtualizar un controlador de dominio,

operacin que era tcnicamente posible en las versiones anteriores de Windows Server,
aunque estaba fuertemente desaconsejado puesto que Microsoft no daba soporte ni a los
snapshots, ni al clonado de un controlador de dominio (puede obtener ms informacin
sobre estos riesgos en la siguiente direccin: http://support.microsoft.com/kb/888794).
Asociado a la Rplica Hyper-V, permite incluir los controladores de dominio virtualizados

en el plan de recuperacin ante desastres (PRD) de las mquinas virtuales.
Un controlador de dominio puede, de este modo:
Ser clonado sin riesgo alguno.

Realizar una imagen instantnea (snapshot) de un controlador de dominio sin riesgo
de corromper el conjunto de la base de Active Directory.
Las ventajas de la virtualizacin de un controlador de dominio son:
Poder desplegar rpidamente un controlador de dominio en un nuevo bosque o un

nuevo dominio.
Poder remplazar con varios clics un controlador de dominio.
Una mejor capacidad de evolucin de la infraestructura de Active Directory si fuera
necesario.
Implementacin de manera sencilla de entornos de pruebas.
El controlador de dominio con el rol Emulador PDC debe utilizar Windows Server 2012
para poder implementar un controlador de dominio virtualizado (tambin llamado vDC).
El controlador de dominio de origen (el que se clonar) y el controlador de dominio

clonado deben tener el rol Hyper-V instalado y deben pertenecer al mismo dominio.
El controlador de dominio de origen debe ser un controlador de dominio virtualizado que se
ejecute como mnimo en un entorno Hyper-V 3 (y, por tanto, bajo Windows Server 2012).
El switch de la red virtual Hyper-V debe tener el mismo nombre en cada servidor Hyper-V.
Si ambos controladores de dominio no tuvieran el mismo procesador, desde el controlador

de dominio de origen, haga clic en su configuracin en Hyper-V y, a continuacin, en
Procesadores - Compatibilidad y seleccione la opcin Migrar a un equipo fsico con
una versin de procesador distinta.
Debe existir un servidor Windows Server 2012 R2 con el rol Hyper-V para albergar el
vDC. Si utilizara otro hipervisor, tendr que ponerse en contacto con su proveedor para
verificar si este hipervisor tiene en cuenta el ID de generacin de mquina virtual (tambin
llamado VM-Generation-ID). Este VM-Generation ID es un identificador nico de 128 bits
que gestiona el hipervisor.
El controlador de dominio que quiere virtualizar debe disponer de los permisos suficientes
para ello (formando parte del grupo "Controladores de dominio clonables").
Observe que ciertos roles no pueden estar presentes en un servidor clonado, como por
ejemplo el servicio DHCP, AD CS y AD LDS.
Para crear un clon del controlador de dominio, debe realizar las siguientes etapas:
Desde un controlador de dominio que no se preste a clonarse, preferentemente, abra el

Centro de administracin de Active Directory y agregue el controlador de dominio que se
virtualizar al grupo "Controladores de dominio clonables" (los grupos se encuentran en el
contenedor "Usuarios").
Existe un bug en Windows Server 2012 y 2012 R2 que le obligar a renombrar el grupo
"Controladores de dominio clonables" a "Clonable Domain Controllers", cambio sin el cual
el comando PowerShell que se ejecuta ms adelante (New-ADDCCloneConfigFile) fallar.
Ejecute el comando Get-ADDCCloningExcludedApplicationList desde el controlador de

dominio que quiere virtualizar para identificar los servicios y programas que no son
clonables. Observe la lista devuelta y tome las medidas necesarias (elimine los elementos
afectados o cree una lista de exclusin) y, a continuacin, ejecute el comando Get-
ADDCCloningExcludedApplicationList -Generate - Xml. Esto provoca que se agreguen
los servicios y programas suplementarios que no estn presentes por defecto en la lista
provista en el archivo CustomDCCloneAllowList.xml (presente en %windir%\NTDS).
Ejecute el comando New-ADDCCloneConfigFile sobre el controlador de dominio de

origen. Esto provoca la creacin del VM-Generation ID y crea un archivo
DCCloneConfig.xml en %windir%\NTDS. Este comando PowerShell permite predefinir
muchos elementos tales como la direccin IP, el nombre del servidor, etc. Todos los
parmetros posibles estn disponibles en la siguiente direccin:
Por ejemplo:
New-ADDCCloneConfigFile -Static -IPv4Address "172.16.0.3"

-IPv4DNSResolver "172.16.0.2" -IPv4SubnetMask "255.255.0.0"
-CloneComputerName "VirtualDC2" -IPv4DefaultGateway "172.16.0.254"
-SiteName "MADRID"
Por defecto, el controlador de dominio clonado pertenecer al mismo sitio de Active

Directory que el controlador de dominio inicial, a menos que lo defina en el archivo
DCCloneConfig.xml.
Copie este archivo en la carpeta donde se encuentra la base de datos de Active Directory
sobre el controlador de dominio de origen (por defecto %windir%\NTDS).
El archivo DCCloneConfig.xml es uno de los componentes que permite iniciar el clonado

de un controlador de dominio.
Un controlador de dominio clonado se basa en dos elementos para detectar que es el

resultado de la copia de otro controlador de dominio:
El VM-Generation-ID de la mquina virtual es distinto al que hay almacenado en la

base de datos Directory Information Tree (DIT) (%windir%\NTDS).
Existe un archivo DCCloneConfig.xml presente en la ubicacin de la DIT o en la
raz de algn lector extrable (lector DVD, por ejemplo).
El controlador de dominio clonado contacta, entonces, con el controlador de dominio que

alberga el rol emulador PDC (Windows Server 2012 como mnimo) utilizando el contexto
de seguridad del controlador de dominio de origen. ste crea, a continuacin, los objetos
necesarios en el Active Directory y, a continuacin, el controlador de dominio clonado crea
los archivos de su base de datos y limpia su estado con ayuda del comando sysprep.
Para finalizar la implementacin de un vDC:
Deje el vDC inactivo y exprtelo o cpielo (cree un ID nico).
Cree una nueva mquina virtual importando la que acaba de exportar. Se configurar
automticamente como controlador de dominio completo y se integrar perfectamente en su
infraestructura (a ttulo informativo, sepa que en este momento se ejecuta el comando
sysprep sobre el nuevo controlador de dominio y lo instala como lo hara tras una
instalacin a partir de un medio extrable).
Preste atencin: realizar un snapshot del vDC no remplaza a la copia de seguridad regular
del Active Directory.
He aqu una lista de los comandos PowerShell utilizados para realizar la gestin de
snapshots: Checkpoint-VM, Export-VMSnapshot, Get-VMSnapshot, Remove-
VMSnapshot, Rename-VMSnapshot y Restore-VMSnapshot.
g. Instantnea de Active Directory
Dejando a un lado los snapshots (o instantneas) de los vDC; es posible, desde Windows
Server 2008, crear instantneas de un Active Directory. La tecnologa se basa en la API
VSS (Volume Shadow Copy o instantnea de volumen). Para ayudarle con las bsquedas
en ingls en Internet, sepa que esta funcionalidad tambin se denomina Database Mounting
Tool.
La principal ventaja es que es posible realizar una copia de seguridad de este tipo
incluso sobre archivos bloqueados. No es necesario, por tanto, detener el servicio de Active
Directory (para liberar los archivos asociados) para poder salvaguardar el archivo ntds.dit,
por ejemplo.
Puede acoplar el uso de instantneas con el uso de la herramienta dsamain.exe para

evidenciar cualquier cambio a realizar en el Active Directory.
Por defecto, slo los usuarios miembro del grupo Administradores de dominio y
Administradores de empresas estn autorizados a acceder a las instantneas creadas.
Para sacar el mximo provecho a las instantneas para Active Directory, existen tres
herramientas indispensables:
El comando ntdsutil para crear, eliminar, enumerar, montar, desmontar una copia de
seguridad (llamada, en esta ocasin, instantnea).
El comando dsamain que se utiliza para mostrar las diferencias entre dos
instantneas, por ejemplo.
La herramienta ldp.exe para visualizar los datos de una instantnea de forma
grfica.
El usuario solamente podr acceder a aquellos datos salvaguardados sobre los que disponga
de permisos. Los permisos sobre los objetos de la copia de seguridad no pueden
modificarse, puesto que son de slo lectura.
Para crear una instantnea del directorio Active Directory, utilice el comando ntdsutil.
Sepa, no obstante, que existen otros muchos programas comerciales que se basan en la
tecnologa de instantneas.
El comando que debe utilizar es:
ntdsutil snapshot "activate instance ntds" create

Puede planificar la copia de seguridad de estas instantneas mediante el Programador de
tareas. El comando que debe definir ser, en este caso, ligeramente diferente, pues debe
salir del contexto ntdsutil.
ntdsutil snapshot "activate instance ntds" create quit quit
Una vez terminada la instantnea, puede seleccionar la opcin de mostrar todas las
instantneas creadas. Si ya se encuentra en el nivel instantnea, escriba nicamente List All
(en caso contrario el comando completo es ntdsutil snapshot "activate instance ntds" "List
All").
Tendr, a continuacin, que montar la instantnea que desee para poder leer los datos
salvaguardados:
mount x (donde x se corresponde con el nmero de instantnea).
Una vez montada la instantnea, escriba quit dos veces seguidas para volver a una lnea de
comandos clsica.
Creacin de una instantnea del directorio Active Directory y montaje de una de sus copias
de seguridad.
A continuacin es preciso asociar esta copia de seguridad con un servidor LDAP virtual
mediante el comando dsamain.
Abra una ventana de comandos con una cuenta de usuario miembro del grupo
Administradores de dominio o Administradores de empresas y escriba el siguiente
comando:
dsamain /dbpath <Ruta de la base de datos de AD>

/ldapport <nmero de puerto no utilizado>
La ruta de la base de datos se encuentra a nivel del comando ejecutado anteriormente y

tiene el formato C:\$SNAP_XXXXXX_VOLUMEC$\ sobre el que deber agregar la ruta
completa hacia la base de datos de Active Directory, generalmente
WINDOWS\NTDS\NTDS.dit
Si el firewall est activado, obtendr, probablemente, un mensaje de advertencia para

agregar una regla para el ejecutable dsamain, puesto que pone al puerto LDAP especificado
en escucha.
Si el dominio desde el que haba creado la instantnea no existe, tendr que agregar el
argumento /allowNonAdminAccess.
Su servidor LDAP virtual est, ahora accesible mientras tenga la ventana de comandos
abierta.
Conctese a travs de un cliente capaz de acceder a los datos de este servidor LDAP. En
este ejemplo, utilizar la herramienta ldp.exe, disponible, por defecto, en Windows.
Desde el men Inicio - Ejecutar, escriba el comando ldp.exe.
Haga clic, a continuacin, en Conexin y Conectar. En la direccin del servidor, escriba

la direccin IP del servidor e indique el puerto definido anteriormente en dsamain (51389
en nuestro caso). A continuacin, haga clic en OK.
Verifique el tipo de enlace mediante el men Conexin - Enlazar. Asegrese de definir
una cuenta de usuario con los permisos suficientes. Una vez configurado, haga clic en
Aceptar para autentificarse sobre este archivo de directorio.
Haga clic, a continuacin, en Ver - rbol, y defina el nombre nico de la base de datos
correspondiente con su nombre de dominio; en el ejemplo DC=miempresa, DC=priv.
Puede, a continuacin, navegar en la copia de seguridad de su directorio a travs de esta

herramienta.
Si le parece que el acceso a los datos no es muy amigable a travs de la herramienta

ldp.exe, sepa que puede, si sus necesidades son ms limitadas, ver sus datos directamente
desde la consola Usuarios y equipos de Active Directory. Para ello, haga clic con el botn
derecho del ratn en la raz de la consola y, a continuacin, seleccione la opcin Cambiar
el controlador de dominio. Haga clic en el mensaje <Escriba aqu un nombre de
servidor de directorio[:puerto]> para informar el nombre de su controlador de dominio y
el puerto definido anteriormente. Acceder, as, a su directorio de forma ms sencilla que
con la herramienta ldp.exe. Para complementar esta informacin, no hay que olvidar la
fabulosa herramienta ADExplorer (http://technet.microsoft.com/en-
us/sysinternals/bb963907.aspx). Le permitir comparar fcilmente dos instantneas
(creadas mediante esta herramienta), lo cual puede resultar extremadamente til.
Una vez haya finalizado, no olvide cerrar la herramienta dsamain ([Ctrl] C dos veces) y
desmontar el directorio mediante el comando ntdsutil snapshot "activate instance ntds"
"unmount x" donde x es el nmero de instantnea.
Observe que la herramienta DSCT (Directory Service Comparison Tool) ser muy til si
utiliza instantneas. Le permite, entre otros, comparar un snapshot con la base de datos de
Active Directory actual y visualizar todas las diferencias entre ambos estados (elementos
agregados, eliminados, etc.). No se trata de una herramienta oficial de Microsoft. Est
disponible en la siguiente direccin: http://blog.frli.se/p/dsct.html
h. Las cuentas de servicio administradas
Habitualmente, durante la instalacin por defecto de una aplicacin, el administrador puede

configurar la misma para ejecutar su servicio asociado como Local System, Local Service o
Network Service.
Tambin es posible informar una cuenta de dominio para ejecutar este servicio, aunque esta
cuenta de dominio debe, generalmente, tener una contrasea que jams expire. Adems, la
seguridad de esta cuenta deja mucho que desear, puesto que la contrasea se encuentra en la
cach LSA, que resulta fcilmente accesible.
Se han creado dos nuevas cuentas de servicio con la salida de Windows Server 2008 R2 (y
Windows 7). Se trata de las "cuentas de servicio administradas autnomas" (tambin
llamadas Standalone Managed Service Accounts o sMSA) y las cuentas virtuales (virtual
accounts). Un tercer tipo de objeto ha aparecido con Windows Server 2012, las cuentas de
servicio administradas de grupo (Group Managed Service Accounts, o incluso gMSA).
Gracias a estos nuevos tipos de cuenta, puede extender la gestin de las contraseas puesto
que estos ltimos objetos se renovarn automticamente. Ya no es preciso tener que definir
una cuenta de servicio con una contrasea que no expire jams, puesto que el sistema la
renovar automticamente, de forma transparente, sin interrupcin en el servicio.
Las sMSA son dos tipos de cuenta de dominio que se utilizan para ejecutar
servicios. Se utilizan para que su contrasea se cambie automticamente, de cara a
simplificar la gestin de los SPN (Service Principal Name). Recuerde que el SPN es
necesario para la autenticacin Kerberos.
Esto permite, adems, mejorar la seguridad de la contrasea de la cuenta de dominio

utilizada para la ejecucin de aplicaciones como SQL Server, IIS, Exchange, o
cualquier otro servicio, con la condicin de que las cuentas sMSA estn soportadas
por el fabricante de su aplicacin asociada.
Las cuentas de mquinas virtuales son cuentas de servicio locales que no

requieren una gestin de su contrasea. Los identificadores de la cuenta de equipo
se utilizan cuando el servicio debe acceder a los recursos presentes en el dominio.
Estas cuentas se definen a nivel de las propiedades del servicio desde la consola
Servicios (services.msc), pestaa Conexin y, a continuacin, indicando el nombre
de usuario NT Service\NombreDeCuenta, sin contrasea. Tras reiniciar el
servicio, se ejecutar con un nombre de usuario que incluir el nombre del servicio.
El inconveniente de los sMSA y de las cuentas virtuales es que no son capaces de compartir
su cuenta en varios equipos. Observe que son compatibles nicamente con clientes
Windows 7/8/8.1/2008 R2/2012/2012 R2.
Las gMSA(group Managed Service Account o cuentas de servicio administradas de

grupo) han aparecido con Windows Server 2012 y permiten, a diferencia de las
xMSA, estar asociadas a un servicio (o una tarea programada, o incluso un pool de
aplicaciones IIS, SQL Server, etc.) que se utilizar sobre varios servidores (una
granja de servidores con el servicio de Equilibrio de carga de red, por ejemplo). El
uso de un gMSA est condicionado por el hecho de que todas las instancias de los
servicios utilizan el mismo principal. Para ello, esta nueva tecnologa se basa en el
nuevo servicio de distribucin de claves de Microsoft, que se encarga de proveer
una clave a una cuenta basada en un secreto compartido con este ltimo. Windows
Server 2012/2012 R2 calcula la contrasea sobre la clave provista y slo los clientes
Windows 8/8.1/2012/2012 R2 son capaces de obtener los valores de la contrasea
de estas cuentas.
Vamos a centrarnos aqu, en particular, en el uso de las cuentas de servicio administradas
de grupo, pues presentan ventajas importantes en grandes entornos informticos.
Principio general
La cuenta de servicio administrada utiliza el mismo funcionamiento y la misma frecuencia

de refresco de contrasea que la cuenta de equipo, es decir, cada 30 das, por defecto,
aunque veremos ms adelante que esta opcin es configurable. No responde a ninguna regla
de su poltica de contrasea de dominio ni a ningn PSO (directiva de contrasea nica).
No puede, tampoco, bloquearse ni es posible abrir una sesin con esta cuenta.
La contrasea auto-generada utiliza un cifrado seguro que permite generar una contrasea
de 240 caracteres aleatorios (120 para una gMSA).
En trminos de limitacin del uso de esta cuenta, sepa que no puede utilizarse en todos los
servicios de Windows (es posible que obtenga el error 1297 durante el arranque del
servicio, por ejemplo).
Una cuenta sMSA puede utilizarse, nicamente, sobre un equipo cada vez (aunque puede
ejecutar varios servicios sobre este mismo equipo). No ser, por tanto, posible utilizar una
MSA para clsteres o servicios de equilibrio de carga de red. En estos casos ser preciso
utilizar una cuenta gMSA tal y como se ha visto anteriormente.
El Service Pack 1 de Windows Server 2008 R2 permite, a su vez, definir una MSA
asociada a un servicio instalado sobre un servidor miembro del dominio y que se encuentra
sobre una red delimitada (DMZ, extranet, etc.). Antes del SP1, esta operacin fallaba si el
nico controlador de dominio presente en la misma red que el servidor que ejecutaba la
MSA era un RODC (controlador de dominio de solo lectura). En lo sucesivo, las MSA
funcionan, pues los RODC estn preparados para redirigir la consulta de la MSA hacia un
controlador de dominio de escritura.
Requisitos previos
Los requisitos previos que permiten utilizar las MSA son los siguientes:
Un dominio Active Directory con, al menos, un controlador de dominio en

Una actualizacin del esquema en versin 2008 R2 para las sMSA y las cuentas de
equipo virtuales. No es preciso tener un nivel funcional de dominio o del bosque en
2008 R2 para que la renovacin automtica de la contrasea funcione. Por el
contrario, si el nivel funcional es 2003 o 2008, el administrador deber definir
manualmente el SPN de estas cuentas MSA. Con un nivel funcional 2008 R2 o
superior, el SPN se define automticamente.
Un equipo con Windows Server 2008 (o superior) o Windows 7 (o superior) que
contengan el servicio a configurar, si se trata de una sMSA, o Windows Server
2012/Windows 8 (o posterior) para configurar una gMSA.
Disponer de las funcionalidades PowerShell, el mdulo Active Directory para
PowerShell (disponible en las herramientas de administracin RSAT para
Windows 7 en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=7887 y para Windows 8 en:
http://www.microsoft.com/es-es/download/details.aspx?id=28972) y, si fuera
necesario, al menos el .NET Framework 4.5 instalado en los ordenadores
encargados de configurar las cuentas MSA. Con Windows Server 2012/2012 R2, es
posible agregar el mdulo Active Directory para PowerShell desde el
Administrador del servidor - Administrar - Agregar roles y caractersticas.
En la medida en que la gMSA debe configurarse desde un controlador Windows

Server 2012 (o posterior), el hecho de agregar este mdulo slo es til en el caso de
que se quiera crear una sMSA desde una versin anterior.
Observe, por ltimo, que un vDC (controlador de dominio virtual) soporta

nicamente las gMSA pero no las sMSA.
Un servicio de Windows que soporte el uso de una cuenta MSA.
Instalacin y configuracin
Tras la extensin del esquema a 2008, se crea una nueva clase de objetos. Se trata de la
clase llamada msDS-ManagedServiceAccount. Si quiere delegar la creacin de esta
cuenta, tendr que verificar, previamente, que el usuario que crea la cuenta MSA posee los
permisos Create/Delete msDS-ManagedServiceAccount.
Tras la extensin del esquema en 2012, se crea otra clase de objetos. Se trata de la clase
msDS-GroupManagedServiceAccount.
Viendo los requisitos previos para instalar PowerShell, habr comprendido que los pasos se
desarrollarn, a continuacin, por lnea de comandos en lugar de mediante interfaz grfica.
Veremos, por tanto, las etapas detalladas que permiten crear una cuenta MSA y utilizarla
para ejecutar una tarea programada. Esta tarea programada es un script que debe ejecutarse
sobre todos los controladores de dominio que utilicen una cuenta con los permisos de
Administrador. Antes, era obligatorio definir una cuenta con permisos muy amplios y cuya
contrasea no cambiara jams. Ahora, es posible utilizar una gMSA para ello. Las etapas
principales son:
La creacin de la clave de raz principal de los servicios de distribucin de claves

(Key Distribution Services KDS Root key).
La creacin de la cuenta MSA en el Active Directory.
La asociacin de la cuenta MSA con un equipo que sea miembro del Active
Directory.
La instalacin de la cuenta MSA sobre el equipo asociado.
La configuracin del servicio para que este ltimo utilice la cuenta MSA.
Para crear, en primer lugar, una cuenta gMSA, conctese a su controlador de dominio
Windows Server 2012/2012 R2 y cree sus claves de distribucin raz para estar seguro de
poder crear una cuenta gMSA. En efecto, a diferencia de las sMSA, las gMSA las gestiona
y mantiene el KDS (Key Distribution Service) desde un controlador de dominio Windows
Server 2012/2012 R2.
Ejecute la consola PowerShell. El mdulo PowerShell Active Directory se cargar

automticamente. Ejecute el siguiente comando sobre su entorno de produccin para
generar una clave raz, necesaria para la creacin de una contrasea para una cuenta gMSA:
Add-KdsRootKey -EffectiveImmediately
Slo podr finalizar el resto del procedimiento tras esperar 10 horas, de cara a dejar tiempo
a la clave generada para que se replique sobre todos los controladores de dominio
(evitando, de este modo, que falle la autenticacin en caso de que sta no se replique).
Si se encuentra en un entorno de pruebas, he aqu el comando que puede ejecutar para

poder continuar de inmediato con el resto del procedimiento:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Cree un grupo de seguridad y agregue todas las cuentas de equipo que estn autorizadas a
utilizar la gMSA. Se trata de una buena prctica que permite una mejor gestin de estos
accesos. Sepa que si elimina un equipo de este grupo, tendrn que reiniciarlo para que se
tenga en cuenta la modificacin.
En nuestro ejemplo, crearemos un grupo "Domain Controllers" y haremos miembros del

mismo a todos los controladores de dominio afectados.
Cree, ahora, la cuenta gMSA desde la consola PowerShell. Tendr que indicar, al menos,
un nombre (SamAccountName) y un nombre de DNS. Opcionalmente, aunque muy til, el
parmetro PrincipalsAllowedToRetrieveManagedPassword que le permite especificar el
grupo autorizado a utilizar la cuenta gMSA. Es posible utilizar el SPN, eventualmente.
New-ADServiceAccount -Name <Nombre De Cuenta MSA>

-DNSHostName <Nombre FQDN>
-PrincipalsAllowedToRetrieveManagedPassword <Grupo>
-ServicePrincipalNames <SPN1, SPN2,...>
Por ejemplo:
New-ADServiceAccount MiMSA -DNSHostname MiCuenta.MiEmpresa.Priv

-PrincipalsAllowed-PrincipalsAllowedToRetrieveManagedPassword
"Domain Controllers"
Si quiere definir un intervalo particular para el cambio de la contrasea de la cuenta gMSA,

tendr que definirla obligatoriamente durante la creacin de la cuenta; en caso contrario, se
ver obligado a tener que volver a crear una cuenta con el parmetro conveniente. Por
defecto, el valor es de 30 das, y puede modificarlo mediante el parmetro
ManagedPasswordIntervalInDays.
Para evitar cualquier error a la hora de introducir los comandos en PowerShell, puede
utilizar la opcin de auto-completar presionando la tecla [Tab] tras escribir las primeras
letras del comando. Sepa, tambin, que una vez creada la cuenta MSA, ser visible desde la
consola Usuarios y equipos de Active Directory o desde el Centro de administracin de
Active Directory a nivel del contenedor Managed Service Accounts.
La cuenta est creada y es posible visualizarla desde la consola ADAC, en la OU Managed

Service Accounts.
Puede agregar esta cuenta MSA a un grupo de seguridad Active Directory. Para ello, edite
el grupo deseado y agregue un miembro. Especifique, a continuacin, el nombre de la
cuenta MSA recin creada. El cmdlet PowerShell Add-ADGroupMember o el cmdlet
dsmod tambin permiten realizar esta accin.
Una vez creada la cuenta MSA, la buena prctica consiste en instalar y probar la cuenta
gMSA. Desde un comando PowerShell sobre el servidor que utilizar la cuenta gMSA:
Install-ADServiceAccount <Nombre de la cuenta MSA creada anteriormente>

Test-ADServiceAccount <Nombre de la cuenta MSA creada anteriormente>
Si obtuviera un mensaje de error, se debe a que hemos integrado nuestros controladores de

dominio (en el marco de este ejemplo, nicamente) con un grupo de seguridad; mientras no
reinicie el controlador de dominio desde el que est realizando la prueba, obtendr un
mensaje de error siempre que ejecute estos dos comandos.
En nuestro ejemplo, se trata de un controlador de dominio, pero segn sus necesidades

podra ser cualquier servidor con Windows Server 2012/2012 R2 o Windows 8/8.1 (para la
gMSA).
Si desea delegar esta etapa sin tener que otorgar permisos de administrador de dominio a su
usuario, puede delegar los permisos sobre la MSA especfica mediante el siguiente script,
que debe ejecutarse desde una ventana de lnea de comandos:
dsacls "CN=<Nombre de cuenta MSA creada en la etapa anterior>,

CN=Managed
Service Accounts,DC=miempresa,DC=local" /G
"DOMINIO\<Usuario o grupo>:SDRCLCRPLOCA"
"DOMINIO\<Usuario o grupo>:WP;Logon Information"
"DOMINIO\<Usuario o grupo>:WP;Description"
"DOMINIO\<Usuario o grupo>:WP;DisplayName"
"DOMINIO\<Usuario o grupo>:WP;Account Restrictions"
"DOMINIO\<Usuario o grupo>:WS;Validated write to DNS host name"
"DOMINIO\<Usuario o grupo>:WS;Validated write to service principal name"
La cuenta MSA puede, ahora, asociarse al servicio soportado mediante la interfaz grfica
abriendo la consola services.msc y, a continuacin, especificando el nombre de usuario en
la pestaa Iniciar sesin - Esta cuenta. La cuenta que debe indicar debe tener el siguiente
formato: Dominio\NombreDeMSA$ (no olvide el dlar) sin informar ninguna contrasea.
Windows ser capaz de asignar el permiso "Abrir una sesin como servicio" a la cuenta, si
no dispone de l.
Tambin es posible asociar esta cuenta MSA mediante un script PowerShell del siguiente
tipo:
$MSA="dominio\NombreDeMSA$"
$ServiceName="Nombre_Del_Servicio"
$Password=$null
$Service=Get-Wmiobject win32_service -filter "name=$ServiceName"
$InParams = $Service.psbase.getMethodParameters("Change")
$InParams["StartName"] = $MSA
$InParams["StartPassword"] = $Password
$Service.invokeMethod("Change",$InParams,$null)
Modifique y guarde a continuacin este archivo con ayuda de un editor de texto en un
archivo con extensin ps1.
Para ejecutar un script en PowerShell, habr que disminuir la poltica de seguridad por
defecto mediante el comando Set-ExecutionPolicy, ejecutar el script y, a continuacin,
redefinir la poltica de seguridad por defecto.
Set-ExecutionPolicy remotesigned
Script.ps1
Set-ExecutionPolicy restricted
En nuestro caso, queremos definir una tarea programada que utilizar una cuenta gMSA
para ejecutarse, proceda de la siguiente manera:
Como la interfaz grfica no permite definir una cuenta gMSA desde la interfaz grfica del
programador de tareas, va a ser preciso utilizar PowerShell:
$action = New-ScheduledTaskAction "E:\Scripts\backup.cmd"

$trigger = New-ScheduledTaskTrigger -At 8:00 -Daily
$principal = New-ScheduledTaskPrincipal -UserID Dominio\<Nombre de
cuenta
MSA creada anteriormente> -LogonType Password
Action: se corresponde con la accin ejecutada (el script backup.cmd).
Trigger: define la programacin de la tarea.
Principal: indica la cuenta utilizada. Aqu, cabe destacar que hay que especificar bien la
contrasea "Password" en el argumento -LogonType. Se trata de la palabra clave que el
sistema reconocer para ir a buscar la contrasea actual de la gMSA.
De este modo, para crear la tarea programada basndose en estas variables, es preciso
ejecutar el comando:
Register-ScheduledTask BackupViagMSA_Tarea -Action $action -Trigger

$trigger -Principal $principal
No olvide, tampoco, asignar el permiso a la cuenta gMSA para iniciar sesin como
proceso por lotes sobre los servidores (a travs de la consola Administracin de directivas
de grupo a nivel de Configuracin del equipo - Directivas - Configuracin de Windows
- Directiva de seguridad - Directiva local - Asignacin de derechos de usuario).
A continuacin, se crear la tarea y ser visible desde las Herramientas administrativas -

Programador de tareas.
Para eliminar una cuenta MSA, tendr que utilizar el siguiente comando PowerShell:
Remove-ADServiceAccount -identity <Nombre de la cuenta MSA>

Puede, tambin, eliminarla de Active Directory, mediante la consola Centro de
administracin de Active Directory. Tambin es posible eliminar la cuenta MSA del
servidor que la utiliza, mediante el siguiente comando:
Remove-ADComputerServiceAccount -Identity <Nombre NetBIOS del

equipo que utiliza la MSA> -ServiceAccount <Nombre de la cuenta MSA>
El comando Uninstall-AdServiceAccount desinstala la cuenta del servidor aunque no la

elimina de Active Directory, a diferencia del comando anterior.
Acaba de configurar su cuenta MSA para el equipo que lo necesita. De este modo, no
tendr que preocuparse de la gestin de la contrasea de este servidor.
Puede consultar ms informacin tcnica sobre la implementacin de las MSA en la

siguiente direccin: http://technet.microsoft.com/es-es/library/dd548356(WS.10).aspx
i. La papelera de reciclaje de Active Directory
Windows Server 2008 R2 introduce una funcionalidad que har feliz a ms un

administrador. Se trata de una papelera de reciclaje para objetos Active Directory!
En efecto, en lo sucesivo, es posible restaurar un objeto de Active Directory que se haya

eliminado sin tener que restaurar la ltima copia de seguridad, incluso sin tener que detener
el servicio de uno de sus controladores de dominio (teniendo que reiniciarlo en modo
DSRM y utilizando el comando NTDSUTIL). En lo sucesivo, es posible, gracias a esta
funcionalidad, restaurar un objeto creado tras su ltima copia de seguridad disponible de
Active Directory.
Observe que desde Windows Server 2003 es posible utilizar la reanimacin de objetos
eliminados (durante 180 das, por defecto). El inconveniente principal de esta solucin es
que no restaura algunos atributos a un valor vinculado sino no vinculado.
En concreto, esto significa que la restauracin de una cuenta de usuario siguiendo este
mtodo no restaura su pertenencia a los grupos de seguridad y es preciso, por tanto, conocer
esta informacin para agregarla a continuacin.
La papelera de reciclaje de Active Directory le simplificar enormemente esta tarea!
Antes de entrar en detalle a ver cmo puede implementarse, veamos, en primer lugar, su
principio de funcionamiento.
Principio general
La funcionalidad de la papelera de reciclaje Active Directory se basa en cuatro atributos de

Active Directory.
isDeleted
Este atributo existe desde Windows 2000 Server. Est presente sobre todos los objetos del
directorio. Indica si un objeto se ha eliminado pero puede ser restaurado.
isRecycled
Este atributo existe desde Windows Server 2008 R2. Est presente en todos los objetos
eliminados una vez se activa la funcin de papelera de reciclaje de Active Directory. Indica
que un objeto puede restaurarse utilizando la funcin de la papelera de reciclaje de Active
Directory.
msDS-DeletedObjectLifetime
Este atributo existe desde Windows Server 2008 R2. Su valor determina el tiempo (en das)
durante el que podr restaurarse un objeto eliminado. Por defecto, su valor es igual al valor
del atributo TombstoneLifetime.
TombstoneLifetime
Este atributo existe desde Windows 2000 Server. Desde Windows Server 2003 SP1, su
valor por defecto es de 180 das. Este nmero de das sirve para propagar la informacin
sobre un objeto eliminado a todos los controladores de dominio.
Veamos, por tanto, qu ocurre cuando se elimina un objeto (una cuenta de usuario, por
ejemplo) de Active Directory:
Cuando se elimina un objeto, ste se desplaza al contenedor Deleted Objects que se

encuentra en la raz del dominio (en nuestro ejemplo: CN=Deleted
Objects,DC=miempresa,DC=priv) y el atributo isDeleted toma el valor TRUE. El
administrador dispone, entonces, del nmero de das definido en el atributo msDS-
deletedOjectLifetime para restaurar el objeto mediante la funcionalidad de la
papelera de reciclaje de Active Directory. Por defecto, su valor es igual al valor del
atributo TombstoneLifetime, es decir, 180 das en la mayora de situaciones. Dicho
de otro modo, un objeto puede restaurarse mediante la papelera de reciclaje de
Active Directory hasta 180 das despus de su borrado, por defecto.
Una vez superado el nmero de das definido por el atributo msDS-Deleted-
ObjectLifetime, el atributo isRecycled recibe el valor TRUE. El objeto entra,
entonces, en un nuevo estado disponible desde Windows Server 2008 R2 llamado
"Recycled object" (disculpe el trmino anglosajn, pero no existe una traduccin al
castellano para este trmino en el momento de escribir estas lneas).
Llegado este momento, el objeto no puede restaurarse por completo (ni a travs de la
papelera de reciclaje de Active Directory, ni mediante una restauracin completa) y pierde
ciertos atributos cuyo valor estaba vinculado, a un estado no vinculado. El objeto queda,
entonces, en este estado durante el tiempo definido por el valor del atributo
TombstoneLifetime, de nuevo 180 das. El principal inters de este estado es avisar a los
dems controladores de dominio que se ha eliminado un objeto.
Una vez superado el nmero de das definido por el atributo TombstoneLifetime
(un total de 180 + 180 das, es decir, 360 das tras el borrado de la cuenta de
usuario), el objeto se elimina "realmente" de Active Directory.
He aqu un esquema resumen:
Requisitos previos
Los requisitos previos necesarios para utilizar la papelera de reciclaje de Active Directory
no son despreciables. En efecto, es preciso que todos los controladores de dominio del
bosque ejecuten, al menos, Windows Server 2008 R2.
Ser necesario, a continuacin, extender el esquema a Windows Server 2008 R2 o superior

(hemos explicado cmo hacerlo en la seccin Instalacin de un directorio de Active
Directory).
Cabe destacar, tambin, que activando la funcionalidad de papelera de reciclaje de Active

Directory, no ser posible disminuir el nivel funcional del dominio ni del bosque sin bajar
del nivel Windows Server 2008 R2.
Activacin y uso
La activacin de la papelera de reciclaje se realiza mediante PowerShell o desde la consola

Centro de administracin de Active Directory.
Mediante PowerShell:
Abra una sesin sobre el controlador de dominio que alberga el rol de Maestro de nombres
de dominio. Ejecute la consola PowerShell con una cuenta miembro del grupo de
Administradores de empresas.
Instale la funcionalidad PowerShell y el mdulo PowerShell para Active Directory si no

estuvieran presentes.
Ejecute, a continuacin, los siguientes comandos e indique "S" (S) para validar los
comandos.
import-module ActiveDirectory (opcional)
Enable-ADOptionalFeature Recycle Bin Feature

-Scope ForestOrConfigurationSet
-Target <nombre de dominio de la raz de su bosque>
Si no sabe si la papelera de reciclaje de Active Directory ya se encuentra activa, utilice el

siguiente comando PowerShell: Get-ADOptionalFeature -filter *
Si EnabledScopes posee algn valor, esto significa que la papelera de reciclaje de Active
Directory est activa. Si estuviera vaco { }, significa que la papelera de reciclaje de Active
Directory no se encuentra activa.
Tambin es posible activarla desde el Centro de administracin de Active Directory.
Pulse las teclas [Windows] R y ejecute el comando dsac.
Sitese a nivel de su dominio y haga clic en Habilitar papelera de reciclaje.

Haga clic en S en el mensaje de alerta que indica que una vez activada la papelera de
reciclaje no podr desactivarse.
Pulse la tecla [F5] en el teclado y compruebe que la opcin Habilitar papelera de

reciclaje queda sombreada en gris.
Ahora que la papelera de reciclaje de Active Directory est activa, veamos cmo utilizarla
reproduciendo distintos escenarios posibles en produccin.
Restauracin de un objeto especfico
Tomemos como ejemplo un usuario de Active Directory eliminado por error. La

replicacin se realiza sobre todos los controladores de dominio y no ha tenido, en una
situacin de trabajo normal, otra opcin que utilizar una copia de seguridad de su Active
Directory.
Gracias a la papelera de reciclaje de Active Directory, puede realizar esta operacin en

unos pocos minutos sin interrupcin del servicio.
En nuestro ejemplo, el usuario eliminado se llama "Fernando ROMERO" y su cuenta se

ubica en la unidad organizativa "Central". Esta cuenta de usuario era, tambin, miembro de
varios grupos de seguridad.
Utilice PowerShell para visualizar los objetos eliminados que podran restaurarse.
Get-ADObject -filter isdeleted -eq $true -and name -ne "Deleted

Objects"
-includeDeletedObjects -property * | Format-List
samAccountName,displayName,lastknownParent
La opcin | Format-List permite interpretar el resultado del comando Get-Object y
mostrar nicamente ciertos atributos que se devuelven en un formato fcilmente legible. Si
suprime los argumentos del comando anterior tras la barra (carcter "|"), PowerShell le
mostrar todos los atributos que se restaurarn para aquellos objetos que puedan
restaurarse.
Esto puede resultar interesante a ttulo informativo, pero se revela, rpidamente, demasiado
extenso para un entorno de produccin en el que tenga varias decenas de objetos
potencialmente restaurables.
Observe que un objeto solo puede restaurarse si se ha eliminado tras activar la papelera de
reciclaje de Active Directory. Si un objeto se hubiera eliminado antes, no podra restaurarse
con la papelera de Active Directory. Tendra, en tal caso, que restaurarlo utilizando una
restauracin estndar (mediante la herramienta ntdsutil.exe) partiendo de la ltima copia de
seguridad que contenga el objeto a restaurar.
Una vez identificado el objeto, puede restaurarlo mediante el comando PowerShell

Restore-ADObject:
Get-ADObject -Filter samaccountname -eq "fromero"

-IncludeDeletedObjects | Restore-ADObject
No aparece ninguna confirmacin, aunque si vuelve a su consola Usuarios y equipos de

Active Directory, ver que su cuenta de usuario se ha restaurado correctamente y sus
atributos, tales como la pertenencia a los grupos de seguridad, estn presentes.
Windows Server 2012 incluye la posibilidad de restaurar un objeto de Active Directory

mediante una interfaz grfica. Para ello, es necesario tener instalado el cliente ADAC
Windows 2012.
Abra el Centro de administracin de Active Directory (dsac.exe) y, a continuacin,

seleccione la visualizacin por arborescencia (en la parte superior izquierda) para visualizar
y seleccionar el contenedor Deleted Objects.
Escoja la o las cuentas que desea restaurar y seleccione Restaurar o Restaurar en... si
desea especificar un destino de restauracin concreto. A continuacin, se restaura la cuenta
junto a su pertenencia a los grupos, su directiva de contrasea asociada si la tuviera, etc.
Restauracin de una unidad organizativa
Tomemos, ahora, como ejemplo el borrado de una unidad organizativa, as como todos los
objetos contenidos en ella (lo cual no habra ocurrido si hubiera estado activa la opcin de
proteccin contra la eliminacin accidental estuviera activa sobre esta OU! Le invitamos
no obstante, de manera excepcional, a desmarcar esta opcin en las propiedades de la OU
para realizar esta prueba). Podr restaurar todos los objetos muy fcilmente. Sepa que, para
poder restaurar el contenido, el contenedor debe estar disponible. Dicho de otro modo, si ha
eliminado una OU y sus sub-OUs y quiere restaurar una cuenta concreta de una de las sub-
OUs, tendr que restaurar previamente la OU madre e hija. A menos, claro est, que escoja
la opcin de especificar un contenedor de restauracin distinto al que estuviera definido
inicialmente (mediante la opcin Restaurar en...).
La restauracin se desarrolla en dos etapas.
He aqu un primer mtodo que utiliza PowerShell, para los puristas:
En primer lugar, es necesario restaurar la unidad organizativa en su ubicacin original. En

nuestro ejemplo, restauraremos la OU "Central" que se encuentra en la raz del dominio:
Get-ADObject -filter msds-lastKnownRdn -eq

"Central" -and lastKnownParent -eq
"DC=miempresa,DC=priv" -includeDeletedObjects | Restore-ADObject
Una vez restaurada la unidad organizativa, puede ejecutar la restauracin de todos los
objetos que contena a travs de este comando:
Get-ADObject -filter lastKnownParent -eq

"OU=Central,DC=miempresa,DC=priv"
-includeDeletedObjects | Restore-ADObject
Veamos ahora cmo realizar esta operacin mediante el Centro de administracin de Active
Directory:
Abra el Centro de administracin de Active Directory y sitese a nivel del contenedor

Deleted Objects.
La columna Principal ltimo conocido ser muy til para poder clasificar y restaurar los
objetos de una misma OU, por ejemplo.
Seleccione la o las cuentas y OU que desee y haga clic en Restaurar.
Todos los objetos presentes en esta OU (usuarios, equipos, grupos, etc.) se restauran sin
problema alguno.
En lo sucesivo, ser capaz de utilizar la papelera de reciclaje de Active Directory en caso de

que se produzca alguna manipulacin incorrecta de su directorio Active Directory.
Tenga, no obstante, en mente que esta funcionalidad no debe eximirle de realizar copias de
seguridad peridicas de sus controladores de dominio y habilitar la proteccin contra la
eliminacin accidental de sus objetos de Active Directory (al menos sobre sus OU).
Nunca se es demasiado prudente!.
j. Otras especificaciones desde Windows Server 2008 R2
Conforme aparecen nuevas versiones de Windows aparecen funcionalidades muy

interesantes relacionadas con el directorio Active Directory.
He aqu una lista, no exhaustiva, de las principales mejoras que han tenido lugar desde
Windows Server 2008 R2:
Unirse a un dominio en modo sin conexin (Offline domain join): el comando

djoin permite pre-provisionar una cuenta de equipo sobre un controlador de dominio
y crear el bloque asociado (Binary Large Object). Este bloque podr, a
continuacin, desplegarse en el puesto cliente (mediante el registro o el archivo
VHD) habilitando as una unin al dominio automtica del puesto cliente al
dominio (tras su reinicio). Ser posible realizar esta unin incluso si el equipo no se
encuentra conectado a la red de la empresa durante su reinicio.
Windows Server 2012/2012 R2 y Windows 8/8.1 pueden utilizar djoin acoplndolo
a una conexin DirectAccess (conexin VPN transparente que se aborda en el
captulo Acceso remoto). Encontrar ms informacin sobre esta solucin en el
captulo Despliegue de servidores y puestos de trabajo y, tambin, en la siguiente
direccin: http://technet.microsoft.com/library/jj574150.aspx
Centro de administracin de Active Directory: con Windows Server 2008 R2
hace su aparicin una nueva consola de gestin del directorio Active Directory, con
el objetivo de remplazar a la consola Usuarios y equipos de Active Directory. Esta
consola es una interfaz grfica para PowerShell. Tambin llamada Active Directory
Administration Center o ADAC, puede ejecutarla a travs las herramientas
administrativas desde el administrador del servidor o ejecutando el comando
dsac.exe. Las bsquedas globales permiten, en particular, ejecutar consultas LDAP
predefinidas tales como el listado de usuarios cuya cuenta est desactivada o cuya
contrasea ha expirado.
Esta consola se instala, por defecto, sobre un controlador de dominio igual o posterior a
Windows Server 2008 R2. Requiere la presencia del mdulo AD para PowerShell as como
el servidor ADWS (Active Directory Web Service).
Service Active Directory Web Service (ADWS)
Este servicio est disponible desde Windows Server 2008 R2 y se instala por
defecto tras la promocin de un servidor como controlador de dominio.
Cuando un administrador ejecuta una consulta desde su consola de administracin

de Active Directory (dsac.exe), ste la traduce en un comando PowerShell mediante
los cmdlets del mdulo Active Directory PowerShell instalado.
El comando PowerShell se transmite, a continuacin, al servicio ADWS a travs del

puerto 9389/TCP mediante un protocolo WS-* (WS-Transfer, WS-Enumeration).
Observe que existe un servicio equivalente para las versiones anteriores de Windows
Server, a partir de Windows Server 2003 SP2. Para ello, es necesario descargar e instalar el
servicio Active Directory Management Gateway Service (ADMGS), con el que podr,
tambin, consultar a sus controladores de dominio utilizando comandos Power-Shell.
Ambos servicios son equivalentes a diferencia de que ADMGS no podr utilizar una
instancia de instantnea de Active Directory.
Active Directory Best Practices Analyzer Tool
Tras la instalacin del rol Active Directory, Windows Server 2012/2012 R2 instala,
tambin, la herramienta Best Practice Analyzer Tool. Esta herramienta permite
comprobar todo un conjunto de buenas prcticas a seguir y poner de manifiesto los
errores de configuracin de los controladores de dominio de su infraestructura, tanto
para los controladores de dominio con Windows Server 2012 R2 como para los
dems (2000/2003/2008/2008 R2/2012).
Las pruebas se ejecutan desde el Administrador del servidor o mediante comandos

PowerShell.
Mediante PowerShell, ejecute los siguientes comandos para ver el estado de las distintas
Best Practices para cada mdulo:
Import-Module ServerManager
Import-Module BestPractices
Get-BpaModel
Este comando permite recuperar el ID necesario para el comando siguiente. Seleccione el

ID correspondiente al rol para el que desea realizar un scan.
Invoke-BPAModel -BestPracticesModelId Microsoft/Windows/DirectoryServices
Este comando permite ejecutar la herramienta de buenas prcticas sobre el rol definido por
su ID.
Get-BpaResult -BestPracticesModelId Microsoft/Windows/DirectoryServices
Este comando permite visualizar los resultados del anlisis anterior.

Desde el Administrador del servidor, vaya a AD DS y, a continuacin, en la seccin
Analizador de procedimientos recomendados Tareas - Iniciar examen BPA.
Tenga en cuenta que esta herramienta tambin est disponible para los roles Active
Directory Certificate Services (AD CS), DNS, Terminal Server y algunos otros que es
posible visualizar mediante el cmdlet get-BPAModel.
Ahora que se ha familiarizado con la administracin del directorio Active Directory,

descubramos una presentacin en profundidad de las directivas de grupo.
Las directivas de grupo

Las directivas de grupo se utilizan en el seno de un dominio de Active Directory para
definir parmetros comunes a un conjunto de equipos.
Microsoft provee mejoras muy tiles relativas a la gestin de las directivas de grupo desde
Windows Server 2012. Se ponen a disposicin del administrador varias opciones
suplementarias, con esta nueva versin de Windows, cuyo objetivo es mejorar el buen
trabajo que ya se haba hecho con Windows Server 2008.
A continuacin se presentan las principales evoluciones de las directivas de grupo.

1. Deteccin de enlaces lentos
La deteccin de enlaces lentos (tambin llamados, en ocasiones, "vnculos de baja

velocidad", por Microsoft) permite limitar la aplicacin de algunas directivas de grupo
cuando el usuario se encuentra conectado mediante una red con baja tasa de transferencia.
Antes, esta deteccin se realizaba gracias al protocolo ICMP, con todas las limitaciones que
ello conllevaba. Por este motivo, Microsoft ha desarrollado el servicio de reconocimiento
de ubicacin de red (tambin llamado NLA por Network Location Awareness) para
Windows Vista y Windows Server 2008. Gracias al servicio NLA, el refresco como tarea
de fondo de su directiva de grupo ser mucho ms fiable, puesto que ya no se basa en el
protocolo ICMP sino en RPC, conocido por su fiabilidad. Si su equipo intenta refrescar las
directivas de grupo (por defecto, esto se produce cada 90 minutos), mientras el controlador
de dominio no est accesible en ese preciso instante (si el usuario no est conectado a la
red, por ejemplo), el refresco no se realizar en el prximo ciclo (90 minutos ms tarde)
sino cuando el controlador de dominio vuelva a estar disponible. El servicio NLA permite,
en efecto, detectar muy rpidamente la disponibilidad del controlador de dominio en este
caso concreto.
Por otro lado, se ha optimizado el servicio Cliente de directiva de grupo, presente en un

puesto Windows 8/2012 o versiones posteriores, y estar detenido la mayor parte del
tiempo de cara a optimizar recursos de CPU. El servicio se inicia automticamente durante
5 minutos y siempre respetando un retardo de 90 minutos, aproximadamente. Este inicio se
controla, en lo sucesivo, mediante una tarea programada que se ejecuta con la cuenta
SYSTEM (no puede, por tanto, visualizarla sino con la cuenta SYSTEM, utilizando el
comando psexec, por ejemplo).
Es posible volver al antiguo mtodo de funcionamiento de este servicio habilitando la

opcin Desactivar la optimizacin de AOAC del servicio Cliente de la directiva de
grupo en Configuracin del equipo - Directivas - Plantillas administrativas - Sistema -
Directiva de grupo.
Observe, tambin, que para los accesos mediante DirectAccess, se define un enlace por
defecto si la velocidad de la conexin no se considera lo suficientemente rpida. De este
modo, el inicio de sesin se ve mejorado, puesto que cuando se detecta un enlace lento, la
aplicacin de las GPO funciona de manera asncrona. Esta configuracin tambin es vlida
para conexiones 3G.
Tenga en mente, tambin, que la opcin Fast Startup de Windows 8 (opcin que permite
detener parcialmente el sistema operativo, hacindole ganar tiempo de cara a la parada y el
arranque del equipo) tiene consecuencias en los scripts de inicio y cierre de sesin, que no
se ejecutarn. Ser preciso habilitar la opcin Fast Startup si desea seguir aprovechando
este tipo de configuracin de GPO.
2. Almacenamiento en cach de las directivas de grupo
El almacenamiento en cach de las directivas de grupo est deshabilitado, por defecto, en

Windows 8.1 y Windows Server 2012 R2. La opcin no se aplica a las versiones
anteriores de sistema operativo.
La ventaja de esta funcionalidad es que acelera el proceso de inicio de sesin, pues el motor
de directivas de grupo de Windows carga la informacin de las directivas desde una cach
local, en lugar de descargarlas desde un controlador de dominio.
El parmetro est disponible en Configuracin del equipo - Directivas - Plantillas

administrativas - Sistema - Directivas de grupo. Ser necesario editar la opcin
Configurar almacenamiento en cach de directiva de grupo.
El almacenamiento en cach de las directivas de grupo permitir, a los usuarios, obtener un

mejor tiempo de inicio de sesin si las directivas se definen para ejecutarse en modo
Sncrono. El modo Sncrono, para una directiva de grupo, permite que su ejecucin se
realice en un orden bien definido antes de permitir al usuario iniciar la sesin en Windows.
Esto resulta til para la redireccin de carpetas, la instalacin de aplicaciones, la cuota
sobre un disco, etc.
Gracias a este parmetro, la informacin de las directivas se recuperar de manera local (a

nivel de la carpeta C:\Windows\System32\GroupPolicy\Datastore) y un evento (5216) le
confirmar el correcto funcionamiento de este almacenamiento en cach.
Esta opcin ser particularmente til para aquellos equipos conectados a redes con poco
ancho de banda, o desde Internet mediante una conexin DirectAccess, por ejemplo.
3. El formato ADMX
Con Windows Vista y Windows Server 2008 ha aparecido un nuevo formato de archivo, se
trata de los archivos ADMX. Estos archivos se utilizan para mostrar las distintas opciones
de las directivas de grupo.
Poseen numerosas ventajas, en comparacin a los formatos de archivos anteriores (los

archivos ADM). Entre las principales ventajas de este nuevo formato, cabe destacar:
El lenguaje utilizado en los archivos ADMX es el XML. Este formato est

destinado a convertirse en un estndar en el intercambio de informacin entre
aplicaciones, facilitando la interoperabilidad, etc.
La creacin de un almacn central que permita centralizar los archivos de plantillas
ADMX en la carpeta SYSVOL, mientras que antes los archivos ADM se
almacenaban con cada directiva de grupo de cada controlador de dominio (pudiendo
provocar un gran volumen de datos a replicar, fenmeno que se conoce como
Sysvol Bloat). Basta, entonces, con copiar/pegar los archivos ADMX de un puesto
cliente con Windows Vista o Windows Server 2008 (disponible en la carpeta
c:\Windows\PolicyDefinitions) a la carpeta PolicyDefinitions que habr creado en
el recurso compartido
\\<nombre_de_dominio>\SYSVOL\<nombre_de_dominio>\Policies. Los
administradores que quieran editar una directiva ya no tendrn que preocuparse por
saber si disponen del archivo correcto de plantilla de directiva, dado que se
recuperarn automticamente desde el recurso compartido. Debern, no
obstante, acceder todos ellos a las directivas de grupo desde una misma versin de
Windows y, si es posible, la ms reciente para poder visualizar los parmetros del
conjunto de puestos de trabajo. En efecto, si GPMC se ejecuta desde Windows
Vista y se configura para recuperar informacin desde un almacn central, no le ser
posible visualizar los valores REG_MULTI_SZ o REG_QWORD, presentes
nicamente desde Windows 7.
La independencia del archivo de idioma que contiene el texto de cada una de las
opciones de las directivas de grupo. Se asocia un archivo de idioma con la
extensin. ADML a cada archivo ADMX. Es posible editarlo con ayuda de un
simple editor de texto, puesto que tiene, tambin, formato XML. El detalle de las
modificaciones aportadas por el sistema al escoger una directiva no se almacena en
el archivo ADML sino en el archivo ADMX asociado.
Microsoft provee, por defecto, 146 archivos ADMX y otros tantos archivos ADML
correspondientes al idioma del sistema operativo. Si haba creado sus propios archivos de
plantilla de directiva, con formato ADM, puede convertirlos al formato ADMX gracias a la
herramienta ADMX Migrator que provee Microsoft en la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-
4B5F-9625-97C2F731090C. Esta herramienta le permite, tambin, crear sus propios
archivos ADMX.
Observe que si el nivel funcional del dominio es, al menos, Windows Server 2008, ser
posible modificar la replicacin de la carpeta SYSVOL para que utilice DFSR en lugar de
FRS. Encontrar ms informacin acerca de los inconvenientes y, sobre todo, las ventajas
de la replicacin mediante DFSR en la siguiente direccin: http://technet.microsoft.com/en-
us/library/cc794837(WS.10).aspx
4. Registro de eventos
En las versiones anteriores a Windows 2008, los registros de eventos relativos a las
directivas de grupo no eran sencillos de interpretar, puesto que el formato era poco
comprensible para un administrador no iniciado.
En adelante, es posible mostrar los eventos relativos a las directivas de grupo directamente
desde el registro de eventos en un puesto con Windows Vista o Windows Server 2008 (o
versiones posteriores).
Windows Server 2012 R2 integra, a este respecto, eventos todava ms precisos, acerca de
la duracin de la descarga y la aplicacin de una directiva, lo que le resultar muy til para
analizar la causa de una duracin en la ejecucin de las GPO anormalmente elevada.
Para ello, haga clic en el men Administrador del servidor y, a continuacin, en

Herramientas y Visor de eventos.
Despliegue, a continuacin, el men Registros de aplicaciones y servicios - Microsoft -

Windows - GroupPolicy - Operativo.
Si utilizaba la herramienta Group Policy Log View para mostrar el archivo de registro de
las directivas de grupo con un formato TXT o similar, sepa que ya no necesitar hacerlo
con Windows Server 2012 R2 pues la opcin de registro del sistema de archivos le
permitir guardarlo en varios formatos (en particular CSV o XML!). Escoja, para ello, la
opcin Guardar eventos seleccionados....
Puede, de este modo, recuperar mucho ms fcilmente una gran cantidad de informacin
relativa al funcionamiento de los distintos parmetros de las directivas de grupo aplicadas.
5. Parmetros de las directivas de grupo que debe conocer
Con Windows Server 2008, se crearon nuevas categoras de directivas de grupo muy tiles,
tales como, por ejemplo, las Preferencias de directivas de grupo (GPP).
Las Preferencias de directivas de grupo ofrecen una alternativa a los scripts que se utilizan,
muy a menudo, para personalizar el entorno del usuario. Es, en efecto, posible utilizar las
directivas de grupo para configurar los lectores de red, los recursos compartidos, los
usuarios y grupos locales, las opciones de alimentacin, las impresoras que se quieren
instalar, las tareas programadas, etc.
Estos parmetros estn disponibles en la consola Administracin de directivas de grupo

(gpmc.msc). Seleccione la opcin de modificar una directiva existente, por ejemplo, en el
nivel Configuracin del equipo (o usuario) - Preferencias - Configuracin del Panel de
control.
Es posible, para cada parmetro definido, agregar condiciones de aplicacin del parmetro
en cuestin. Puede, de este modo, decidir que se apliquen los lectores de red apuntando a
un servidor en particular nicamente para aquellos usuarios con una direccin IP
comprendida en un rango de direcciones que haya definido previamente. Desde Windows
Server 2012 R2, este rango de direcciones puede definirse en formato IPv6.
Obtendr ms informacin acerca de las opciones de configuracin en la siguiente
direccin: http://technet.microsoft.com/es-es/library/cc733022.aspx
Las preferencias de directivas de grupo se han visto mejoradas desde Windows

Server 2012, en particular a la hora de considerar Internet Explorer 10 (disponible,
nicamente, en una GPP "Usuario").
Internet Explorer 11 todava no est integrado en las GPP, en el momento de escribir estas
lneas, aunque no debera tardar dado que los dems parmetros de configuracin de IE 11
ya estn disponibles a nivel de Configuracin del equipo (o Configuracin de usuario) -
Directivas - Plantillas administrativas - Componentes de Windows - Internet
Explorer.
Estas GPO de preferencias pueden modificarse mediante el cmdlet de PowerShell

GPPrefRegistryValue (o GPRegistryValue para los parmetros de GPO basados en
modificaciones del registro). Para ello, ser preciso importar el mdulo mediante el
comando Import-Module GroupPolicy.
Desde Windows 2008 R2, los parmetros de la directiva de firewall e IPsec se han
consolidado en una nica consola MMC, accesible, tambin, desde cualquier directiva de
grupo. Es, por lo tanto, posible definir reglas de trfico entrante, trfico saliente, y de
seguridad de conexin (utilizando el protocolo IPsec) para los clientes con Windows Vista
y Windows Server 2008 o versiones posteriores. Estos parmetros estn disponibles en
Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Firewall de Windows con seguridad avanzada.
Los parmetros de las directivas para IPsec y el firewall de las anteriores versiones de
Windows estn, todava, disponibles en la antigua ruta Configuracin del equipo -
Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de
Windows.
6. La consola Administracin de directivas de grupo
La consola Administracin de directivas de grupo (conocida, tambin, por el nombre

GPMC por Group Policy Management Console) es una herramienta indispensable para
administrar las directivas de grupo de su dominio Active Directory.
Si el equipo desde el que desea editar las directivas de grupo no posee la consola GPMC,
puede instalar dicha caracterstica desde el Administrador del servidor - Agregar roles y
caractersticas, haciendo clic en Siguiente hasta llegar a la etapa Caractersticas y
marcando la opcin Administracin de las directivas de grupo.
La herramienta RSAT (por Remote Server Administration Tools) permite desplazar la

configuracin de las directivas de grupo (y, de manera general, la administracin de roles y
caractersticas de su servidor) desde un equipo cliente. Para Windows 8, es posible
descargar esta herramienta en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=28972
Para acceder a la consola GPMC, abra el Administrador del servidor y, a continuacin,
seleccione Herramientas y Administracin de directivas de grupo.
La consola le presentar, a continuacin, la organizacin del o de los dominios del bosque

que desee, sus OU y sub-OU, as como los objetos de directiva de grupo definidos.
Esta consola le permite:
Crear, modificar, eliminar o vincular sus directivas de grupo con los contenedores
de los sitios, dominios o unidades organizativas del bosque que usted elija.
Forzar la actualizacin de las directivas a nivel de toda una OU (creando una tarea
programada en cada equipo). Es, tambin, posible realizar esta tarea mediante el
cmdlet Invoke-GPUpdate.
Configurar el filtrado de la aplicacin de una directiva (mediante el filtro WMI o
mediante la seguridad de la directiva).
Gestionar la delegacin.
Definir los resultados de la directiva de grupo para simular la aplicacin de una
directiva antes de su puesta en produccin.
Realizar copias de seguridad y restauraciones de las directivas de grupo.
etc.
Entre estas numerosas funcionalidades, no cabe olvidar dos opciones que han aparecido con
Windows Server 2008. Se trata de la posibilidad de realizar bsquedas y definir plantillas
de directivas.
La funcin Buscar est disponible a dos niveles en la consola GPMC.

Para las grandes empresas que deban gestionar una gran cantidad de objetos de directiva de
grupo, existe la funcin Buscar que est disponible haciendo clic con el botn derecho
sobre el bosque o el dominio que desee. Es, a continuacin, posible mostrar objetos de
directiva de grupo que respondan a ciertos criterios que haya considerado y definido. Es, de
este modo, posible mostrar las directivas para las que se ha definido alguna Configuracin
de seguridad.
La otra funcin Buscar disponible interesar a la mayora de administradores. Esta funcin,

accesible desde el editor de administracin de directivas de grupo, le permite filtrar la
visualizacin de las numerosas directivas ubicadas en el nodo Plantillas
administrativas en funcin de criterios especficos.
Puede, de este modo, encontrar los parmetros de directiva que respondan a sus
necesidades, sin tener que navegar entre los miles de parmetros posibles.
Para utilizar esta opcin, realice los siguientes pasos:

Desde la consola GPMC, haga clic con el botn derecho en el objeto de directiva de grupo
que desea modificar, seleccionando, a continuacin, la opcin Editar para acceder al
editor.
A continuacin se abre el editor de administracin de directivas de grupo. Vaya al nodo

Plantillas administrativas: definiciones de directivas... en Configuracin del equipo (o
Configuracin de usuario) - Directivas. Para iniciar una bsqueda entre todos estos
parmetros, haga clic con el botn derecho en el nodo principal (o en una de las
subcarpetas, aunque la bsqueda se realizar en todos los parmetros del nodo) y, a
continuacin, seleccione Opciones de filtro.
Las opciones de filtrado se dividen en tres categoras que le permiten afinar su bsqueda.
Puede, de este modo, seleccionar ver solamente los parmetros de la directiva que estn
configurados. Tambin es posible realizar un filtrado por palabras clave. Por ltimo, puede
seleccionar ver los parmetros definiendo filtros de condiciones para mostrar, en unos
pocos segundos, los parmetros aplicables a la familia Windows Vista, por ejemplo.
El siguiente ejemplo define un filtro que muestra todos los parmetros que contienen la
palabra clave activeX en el ttulo del parmetro de la directiva, en el texto de la explicacin
o en el comentario (la pestaa comentario le permite, en efecto, agregar el texto que desee
en la creacin de una directiva de grupo o en la activacin de algn parmetro). Haga clic, a
continuacin, en Aceptar para aplicar el filtro.
Una vez validado el filtro, la arborescencia del editor de directivas se actualiza
automticamente para mostrar nicamente aquellos parmetros que se corresponden con el
filtro definido. Estos parmetros se agrupan, tambin, en el nodo Todos los valores.
Para deshabilitar el filtro y volver a una representacin completa, haga clic con el botn
derecho del ratn sobre una de las carpetas de Plantillas administrativas: definiciones de
directivas y desmarque la opcin Filtro activado (el icono Plantillas administrativas
retomar su apariencia habitual).
Windows 2012 aporta, adems, dos funcionalidades importantes. Se trata de un

resultado mejorado en el informe de Resultados de directivas de grupo y una interfaz que
permite verificar el estado de las GPO en el conjunto del dominio.
El resultado de la directiva de grupo se ha visto mejorado. Permite, como siempre,

verificar las directivas que se aplican a un usuario y/o un equipo especfico y aporta
informacin suplementaria como, por ejemplo, eventuales errores detectados, el tipo
de enlace (lento o rpido), si se ha definido el bucle invertido, el tiempo de
aplicacin de cada CSE (un CSE es un motor que se aplica a un conjunto de
directivas).
Esta informacin est disponible en los Resultados de directivas de grupo.

Seleccione, a continuacin, la cuenta y el equipo que quiere analizar y debera ver
todos los parmetros definidos para el mismo.
La otra novedad interesante de la consola GPMC es la posibilidad de verificar el
estado de un objeto GPO en el seno de todo un dominio Active Directory. En
efecto, ya sabe que puede existir un pequeo retardo entre la modificacin de una
directiva en un controlador de dominio y su replicacin en el conjunto de los dems
controladores de dominio. En lugar de utilizar la herramienta GPOTool para
diagnosticar problemas vinculados con un usuario que ha actualizado sus directivas
GPO sobre un controlador de dominio que no ha recibido la ltima versin,
Microsoft ha mejorado la capacidad para identificar estos problemas integrando una
herramienta de diagnstico directamente en la consola de administracin de
directivas de grupo.
Para ello, haga clic en Objetos de directiva de grupo y, a continuacin, haga clic
en el nombre de una de sus directivas.
Se muestra una nueva pestaa, Estado. Puede hacer clic en Detectar ahora en la
zona inferior derecha para iniciar una verificacin del estado de esta GPO en el seno
de todos los controladores de dominio del dominio.
El filtrado est, de momento, limitado a los parmetros definidos en las Plantillas

administrativas. Si desea obtener una lista completa (aunque no exhaustiva) de los
parmetros que agrupan la Configuracin de seguridad, etc. descargue el archivo Group
Policy Settings Reference for Windows and Windows Server (vlido para Windows Server
2003 SP2/2008/2008 R2, 2012 y Windows Vista, Vista SP1, 7 y 8) con formato XLS o
XLSX (slo disponible en ingls):
http://www.microsoft.com/downloads/details.aspx?familyid=18C90C80-8B0A-4906-
A4F5-FF24CC2030FB&displaylang=en
7. Los objetos GPO Starter
Si es un poco observador, se habr dado cuenta, sin duda, editando sus directivas de grupo
mediante la consola GPMC desde un puesto de trabajo equipado con Windows Server 2008
o Windows Vista SP1 (o versiones superiores) que ha aparecido un nuevo parmetro. Se
trata del contenedor Objetos GPO Starter.
Esta opcin consiste en crear plantillas de directivas de grupo que se refieren a parmetros
disponibles en el nodo Plantillas administrativas nicamente (del lado Usuarios y
Equipos). De este modo, es muy fcil crear varios objetos de directiva de grupo que se
basarn en un conjunto de parmetros comunes, que deben definirse en sus directivas de
grupo.
De este modo, tras la creacin de una nueva GPO, puede seleccionar un objeto GPO Starter
Sourcer que haga referencia a un objeto GPO Starter existente.
Microsoft ofrece, por defecto, una lista de GPO Starter relativa a los parmetros
recomendados en su gua de securizacin de los distintos sistemas operativos. Provee, a su
vez, desde Windows Server 2012, dos GPO Starter que permiten crear reglas de firewall
adecuadas en los equipos cliente para permitir solicitar de manera remota un resultado o
una actualizacin de directiva de grupo.
Si edita un objeto GPO Starter desde un puesto con Windows Server 2008 R2 o Windows 7
(o versiones superiores) con las herramientas de administracin RSAT instaladas obtendr,
directamente, los parmetros de la directiva de grupo recomendados para los escenarios
descritos en las guas de seguridad de Windows Vista y XP.
Si desea ms informacin, en Windows 2008, puede obtener estos elementos despus de

descargarlos en la siguiente direccin:
http://www.microsoft.com/Downloads/details.aspx?familyid=AE3DDBA7-AF7A-4274-
9D34-1AD96576E823&displaylang=en
Tambin es posible exportar estas plantillas de GPO en un archivo CABinet (.CAB) para
importarlas, a continuacin, en un entorno totalmente diferente como, por ejemplo, su
entorno de preproduccin.
Tras la primera activacin de los objetos GPO Starter, se crea una carpeta llamada
StarterGPOs en la carpeta SYSVOL del controlador de dominio. Se crea una nueva
subcarpeta con un GUID asociado a cada nuevo objeto GPO Starter.
Para planificar una copia de seguridad del conjunto de sus directivas, no olvide marcar la
opcin Hacer copia de seguridad de todo disponible en el contenedor Objetos de directiva
de grupo y, a continuacin, Objetos GPO Starter.
Los dems componentes de Active
Directory
Existen otras cuatro funcionalidades principales nuevas, en lo que respecta a Active
Directory, disponibles en Windows Server 2012 R2.
Se trata de AD LDS, AD FS, AD RMS y AD CS.
1. Active Directory Lightweight Directory Services (o AD LDS)
El rol AD LDS disponible desde Windows Server 2008 R2 con este nombre es el
equivalente a ADAM (Active Directory Application Mode), que apareci con Windows
Server 2003 R2.
Se trata de una versin depurada del Active Directory Domain Services (AD DS, es
decir, el Active Directory "clsico" mencionado a lo largo de todo este captulo) que
descansa sobre los mismos principios (a saber una replicacin multipropsito, un
directorio dividido en particiones, etc.) pero que no almacena ningn componente de
seguridad de Windows (como las cuentas de usuario y ordenadores de dominio), las
directivas de grupo, etc.
El rol AD LDS permite, de este modo, distribuir la informacin necesaria a las aplicaciones
en un directorio centralizado antes que individualmente en cada aplicacin. Las ventajas de
no tener que integrar las aplicaciones en AD DS son diversas.
Una aplicacin podr actualizar el esquema en AD LDS en lugar de en AD DS, lo

que evitar riesgos intiles de corrupcin del esquema.
Una aplicacin accesible desde la extranet o mediante VPN ya no expondr el
conjunto del dominio AD DS si tiene como directorio de referencia a AD LDS.
Observe que es posible tener varias instancias de AD LDS en un mismo servidor, igual que
es posible tener el rol AD LDS instalado en un Windows Server 2008 R2/2012 y 2012 R2
con el rol AD DS. El nico requisito previo es que los puertos donde escuchan las distintas
instancias sean diferentes.
Encontrar ms informacin acerca de este tema en la siguiente direccin:

http://technet.microsoft.com/es-es/library/cc754361(v=ws.10).aspx
2. Active Directory Federation Services (o AD FS)
El componente Active Directory Federation Services permite implantar una solucin de

acceso securizado entre distintas plataformas Windows o no Windows para el acceso de las
aplicaciones Web (sobre una extranet, por ejemplo).
El uso tpico de implantar un AD FS en su empresa consiste en permitir a un cliente que
haya firmado recientemente un contrato para conectarse desde otra red (el caso de un
contrato B2C), a una empresa asociada (el caso de un contrato B2B) o a una federacin de
empresas (bosques mltiples) acceder a los recursos de su red de una forma simple y sin
tener que autenticarse en su base de datos de cuentas de usuario.
Se crea en efecto una relacin de aprobacin entre la red asociada y la suya con el
objetivo de proyectar la identidad de los usuarios y sus privilegios de acceso desde su red
hacia los socios reconocidos. De este modo el usuario no tendr que identificarse de nuevo
(principio de autenticacin nico tambin llamado SSO por Single Sign On).
Observe que, desde Windows Server 2012 R2, AD FS soporta el protocolo OAuth 2.0. Este
protocolo lo utilizan cada vez con mayor frecuencia los distintos fabricantes y proveedores
de servicios en Internet, pues permite publicar e interactuar con datos autenticando al
usuario de forma segura. Es, tambin, el caso de Windows Azure Authentication Library
(AAL), cuyo soporte se ha extendido a los directorios AD FS.
Tambin es conveniente saber que esta solucin est limitada nicamente al acceso a travs
de aplicaciones Web (con HTTPS) aunque como estas ltimas son cada vez ms potentes,
las posibilidades abiertas son tambin enormes. Es el caso por ejemplo con la integracin
de SharePoint Server 2007/2010/2013 o de AD RMS, que presentaremos ms adelante.
Para poder implantar un AD FS, existe un conjunto de funcionalidades y de servicios que

deben haberse implantado de forma previa:
El rol AD DS o AD LDS debe estar instalado en, al menos, una de las redes
implicadas.
Servidor de federacin de cuentas/recursos.
Servidor Web ADFS.
Cliente.
Encontrar ms informacin acerca del concepto AD FS en la siguiente direccin:

http://technet.microsoft.com/es-es/library/cc755828(v=ws.10).aspx
a. Workplace Join
Workplace Join es una de las mejoras ms destacadas de Windows Server 2012 R2.
BYOD (Bring Your Own Device) est al llegar. Consiste, para una empresa, en autorizar a
sus empleados a utilizar sus propios dispositivos personales (ordenadores, smartphones,
etc.) para conectarse a la red de la empresa.
Si bien esto representa un ahorro y una flexibilidad muy importantes para la empresa,
tambin puede conllevar inconvenientes en la medida en que la empresa no tiene control
sobre los equipos informticos en cuestin.
Consciente del problema, Microsoft se ha implicado en la cuestin y propone, en adelante,
el uso de los Workplace Join (trmino que todava no se ha traducido de manera oficial por
parte de Microsoft en el momento de escribir estas lneas).
De este modo, el equipo en cuestin, si bien es propiedad del empleado, podr declararse y
administrarse en un directorio AD FS. De este modo, el certificado permitir al terminal
conectarse a su directorio y autenticarse. Ser, entonces, posible solicitar a AD FS que
gestione el acceso a los recursos a travs de directivas globales de autenticacin, y tambin
gestionar la autenticacin y el control de acceso multipropsito. Observe que, en lo relativo
a smartphones, Microsoft soporta de momento los dispositivos que funcionan con Windows
(2012 R2 y 8.1) e iOS (Android no est soportado en el momento de escribir estas lneas,
aunque debera estarlo en breve).
Los servicios proporcionados por el Workplace Join son los siguientes:
Una mejor experiencia de usuario puesto que podr aprovechar el SSO (Single Sign
On) y, de este modo, no tener que volver a autenticarse con cada una de sus
aplicaciones desde su dispositivo personal.
Una mejor seguridad, puesto que la contrasea no se almacenar en el dispositivo
local sino que circular mediante un ticket de sesin que se pasar directamente a
las aplicaciones cuando se solicite realizar una autenticacin (siempre que se haya
configurado de este modo para utilizar SSO).
Un mejor manejo de los equipos que se conectan a recursos de la empresa puesto
que, como se ha explicado antes, cada equipo se registrar en AD FS y recuperar
un certificado que le permitir identificarse de forma nica en la red.
Workplace Join utiliza la funcionalidad Device Registration Service. Ligado al proxy web
de aplicacin (Web Application Proxy), ser posible utilizar Workplace Join con equipos
conectados desde Internet. Encontrar una presentacin ms completa del proxy web de
aplicacin en el captulo dedicado al Acceso remoto.
Por supuesto, esta funcionalidad no permite tener un control tan importante sobre los
puestos como si fueran miembros de un dominio de Active Directory, pero se trata de un
paso importante para controlar mejor los equipos en el marco de una iniciativa BYOD y
mejorar la experiencia del usuario reforzando la seguridad de acceso a sus aplicaciones.
Es, por otro lado, posible definir una poltica de bloqueo de las "cuentas utilizadas en la
extranet" y que no se conectan a travs del proxy web de aplicacin. De este modo, si el
nmero de intentos de autenticacin errneos supera un valor lmite definido mediante el
comando de PowerShell Set-ADFSProperties - ExtranetLockoutThreshold, entonces el
valor BadPassword de AD ya no se incrementar a nivel de controlador de dominio (con el
rol Emulador PDC) del AD vinculado a este AD FS. Esto evitar un gran nmero de
ataques tales como la denegacin de servicio, capaz de bloquear un gran nmero de cuentas
tras intentos de conexin intencionadamente errneos desde el exterior de la red de la
empresa.
Por ltimo, uno de los evolutivos ms importantes de AD FS con la aparicin de Windows
Server 2012 R2 es la autenticacin y el control multifactor.
La autenticacin multifactor consiste en forzar un mtodo de autenticacin suplementario

adems del que ya se utiliza por defecto con los terminales que utilizan el Workplace Join.
Esto resulta particularmente til para dotar de seguridad el acceso a una aplicacin sensible
que requiera, por ejemplo, la presencia de un certificado en el equipo de trabajo adems de
la contrasea, que seguir siendo necesaria para acceder a la aplicacin. Si posee
nicamente una de estas dos credenciales de autenticacin, no podr acceder a la aplicacin
(puede obtener ms informacin en la siguiente direccin: http://technet.microsoft.com/en-
us/library/dn280949.aspx).
El acceso multifactor permite dar acceso a recursos si, y solamente si, se cumplen varias
condiciones por parte del usuario (y no nicamente la tradicional pertenencia a un grupo de
seguridad). Esto mejora, en parte, la gestin de pertenencia que se aborda en el captulo
Securizar su arquitectura (a nivel del control de acceso dinmico). Para obtener ms
informacin acerca del acceso multifactor: http://technet.microsoft.com/en-
us/library/dn280937.aspx#BKMK_2
Encontrar todos los elementos necesarios para implementar Workplace Join en las
siguientes direcciones: http://technet.microsoft.com/en-us/library/dn280938.aspx y
http://technet.microsoft.com/en-us/library/dn280939.aspx
3. Active Directory Rights Management Services (o AD RMS)
AD RMS (Active Directory Rights Management Services) es un rol que permite limitar la
difusin y proteger archivos, correos electrnicos o sitios Web de su empresa.
AD RMS funciona con aplicaciones compatibles con RMS tales como Microsoft Office
Profesional 2003/2007/2010/2013, Internet Explorer 7.0 o superior, etc.
El principio de uso de las funcionalidades de AD RMS se basa en el principio de una

licencia de publicacin que se entrega con el archivo. El usuario indica el conjunto de
privilegios y de condiciones especficas para este documento. Estas propiedades lo
acompaarn protegindolo a lo largo de su ciclo de difusin. De este modo ser capaz de
controlar las posibles acciones sobre un archivo o su contenido, de definir una duracin de
validez (por ejemplo, para un presupuesto), etc.
As, cuando el archivo difundido se abra por primera vez en una aplicacin compatible AD
RMS, ste ltimo contacta con el servidor AD RMS que haya emitido la licencia de
publicacin asociada al archivo para pedir autorizacin de acceso a su contenido.
El servidor AD RMS verifica a continuacin si el usuario solicitante est autorizado a

visualizar el contenido del archivo, y en tal caso le enva una licencia de uso que le permita
acceder al contenido del documento. El usuario puede entonces abrir el archivo mediante la
aplicacin compatible RMS.
En Windows 2012, la instalacin de AD RMS se ha mejorado (es posible desplegarla en
servidores remotos, con permisos de instalacin ms flexibles, y compatible con SQL 2005
SP3, SQL 2008 SP3, SQL 2008 R2 SP1 y SQL Server 2012). Es, tambin, posible en lo
sucesivo delegar ms fcilmente los permisos de acceso a los documentos compartidos (en
el caso de una secretaria o asistente que deba acceder a los documentos de un responsable,
por ejemplo).
Observe que el rol puede, en lo sucesivo, instalarse en modo Server Core y es totalmente
instalable y configurable mediante PowerShell.
4. Active Directory Certificate Services (o AD CS)
Para completar este apartado, es importante mencionar el nico rol que no hemos visto
todava. Se trata del servicio de certificados de Active Directory (tambin conocido bajo el
nombre de Active Directory Certificate Server o AD CS).
Este rol le permitir instalar una entidad emisora de certificados en su red de empresa para
poder emitir certificados de forma sencilla a sus usuarios y equipos. Estos ltimos podrn a
su vez acceder a los sitios Web mediante el protocolo SSL sin tener que comprar
certificados (a menudo costosos) a una autoridad de certificacin pblica.
La ventaja de tener una entidad emisora de certificados de empresa basada en Windows

Server 2012 R2 consiste en el hecho de que el proceso de emisin y de renovacin de los
certificados se ve enormemente facilitado mediante la integracin de esta autoridad en
Active Directory.
Existen dos tipos de entidades emisoras de certificados.
Entidad emisora de certificados de empresa: requiere que el servidor que posee el

rol AD CS estn integrado en Active Directory y permite, de este modo, aprovechar
numerosas funcionalidades suplementarias (tales como la auto inscripcin) y
administrarse a travs de las directivas de grupo.
Entidad emisora de certificados independiente: que puede instalarse tanto en un
servidor miembro del dominio como en un servidor que no lo sea, aunque no
aprovechar las funcionalidades suplementarias.
La implementacin de esta solucin supera el alcance de este libro. He aqu, no

obstante algunas de las principales funcionalidades disponibles desde Windows Server
2008 en lo que respecta a este rol.
Desde Windows Server 2008:
La emisin de certificados a travs de su navegador se ha mejorado pues se basa en

un nuevo control llamado CertEnroll.dll.
Tiene en cuenta el protocolo NDES (Network Device Enrollment Service) que
permite a los dispositivos perifricos (routers, conmutadores, etc.) obtener
certificados X.509.
Tiene en cuenta el protocolo OSCP (Online Certificate Status Protocol) que permite
mejorar la gestin de la revocacin de los certificados.
En lo sucesivo, el modelo de certificado en la versin 3 disponible en las entidades
emisoras de certificados de empresa tiene en cuenta la criptografa de nueva
generacin (CNG Suite-B).
Una nueva consola MMC llamada PKIView est disponible para administrar de
forma ms eficaz los certificados a lo largo de su ciclo de vida.
Observe tambin que, desde Windows Server 2008 R2, se han incluido las siguientes
funcionalidades:
La auto inscripcin (es decir, la inscripcin automtica de una mquina en la

entidad emisora de certificados para obtener un certificado) es posible mediante una
conexin HTTP (con la condicin de tener el nivel funcional del esquema Active
Directory en 2008 R2). Esta opcin se ha mejorado con Windows Server 2012
(vase ms adelante).
Una de las ventajas principales es la posibilidad de solicitar un certificado desde un

bosque diferente al de la entidad emisora de certificados. Tambin es posible
publicar el servicio Web correspondiente sobre un servidor en DMZ para entregar
certificados a los usuarios de Internet. Este servicio Web ser el nico autorizado a
dialogar con la entidad emisora de certificados que se encuentre en su LAN.
Observe no obstante que tal configuracin slo est aconsejada para renovar los
certificados ya emitidos y no para emitir certificados a los clientes conectados desde
Internet.
Encontrar el manual de uso (en ingls) acerca de esta nueva funcionalidad en la

siguiente direccin: http://download.microsoft.com/download/C/2/2/C229E624-
36E4-4AD8-9D86-
F564ED539A16/Windows%20Server%202008%20R2%20Certificate%20Enrollme
nt%20Web%20Services.doc
y, tambin,
https://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx.
Requisitos previos: para+ permitir la unin desde un bosque diferente, se requiere

una entidad emisora de certificados de empresa en Windows Server
2003/2008/2008 R2/2012 y en versin Entreprise o Datacenter con cualquier
versin de Windows Server 2012/2012 R2; el nivel funcional del bosque debe ser
Windows Server 2008 R2 y los equipos cliente deben trabajar con Windows 7 o
versiones superiores.
Consolidacin de las entidades emisoras de certificados en el seno de la empresa
que posean varios bosques con relacin bidireccional.
En efecto, la entidad emisora de certificados en 2008 R2 soporta el uso de los

"LDAP Referals" lo que permite redirigir la consulta hacia el dominio correcto en el
bosque adecuado.
Requisitos previos: Entidad emisora de certificados de empresa en Windows

Server 2008 R2 o superior Entreprise o Datacenter; nivel funcional del bosque 2003
y relaciones de aprobacin inter-bosque bidireccionales.
Mejora de la entidad emisora de certificados que deba entregar una gran cantidad de
certificados.
Esto es especialmente vlido para clientes NAP basados en IPSec. En efecto, los
clientes deben solicitar varios certificados al da.
Si lo desea, puede escoger que no se guarde una copia de seguridad de los

certificados emitidos en la base de datos de la entidad emisora de certificados. La
etapa de copia de seguridad entraa a menudo un crecimiento exponencial de la
base de datos y por consiguiente un coste en su administracin.
Si elige no guardar una copia de seguridad de estos registros de certificados en la

base de datos, no le ser posible revocarlos. Este riesgo es no obstante aceptable en
la medida en que los certificados afectados tengan un tiempo de vida corto.
Requisitos previos: Entidad emisora de certificados de empresa en Windows

Server 2008 R2 o superior.
Desde Windows Server 2012:
Administracin y despliegue mediante Windows PowerShell (vase

http://go.microsoft.com/fwlink/p/?LinkID=242169 (cmdlets para el despliegue) y
http://go.microsoft.com/fwlink/p/?LinkID=242165 (cmdlets para la
administracin)).
AD CS y sus servicios asociados pueden ejecutarse sobre cualquier versin de
El modo Server Core permite instalar AD CS.
Se tiene en cuenta la renovacin automtica de los certificados para los equipos que
no son miembros de un dominio. Esta consideracin se basa en el nuevo modelo de
certificados (versin 4) y slo puede utilizarse en Windows 8/2012 y permite, en
particular, importar una renovacin de los certificados con la misma clave. Puede
encontrar ms informacin acerca del nuevo modelo de certificado v4 en la
siguiente direccin: http://go.microsoft.com/fwlink/p/?LinkId=242425
Se tienen en cuenta los nombres de dominios internacionales (es decir, que no
contengan caracteres que puedan representarse con formato ASCII) en ciertos
escenarios.
Una mayor seguridad activa por defecto en el servicio de rol Entidad emisora de
certificados; que impone, en particular, el cifrado de la consulta mediante
RPC_C_AUTHN_LEVEL_PKT (parmetro que no est habilitado en las versiones
anteriores de Windows; y que no es compatible con Windows XP).
Conclusin
En este captulo acaba de descubrir el conjunto de soluciones de gestin de la identidad y
de acceso que proporciona Windows Server 2012 R2. De este modo, podr abordar de la
mejor forma posible las necesidades en trminos de acceso a los recursos, tanto para
implementar una solucin de tipo SSO (Single Sign On o "identificacin nica") como para
controlar la difusin de los archivos en su empresa.
Introduccin
En este captulo se aborda la arquitectura distribuida (DFS) y se presenta la instalacin, la
configuracin de nodos raz, los enlaces, la replicacin DFS-R y las herramientas.
Descripcin de DFS
El acrnimo DFS significa Distributed File Systems.
Se trata de un sistema de archivos nico, lgico, jerarquizado, que estructura los

archivos compartidos entre varios equipos de la red bajo la forma de una arborescencia
lgica de recursos de sistema. El principal objetivo de DFS consiste en referenciar a todos
los recursos compartidos que queremos hacer accesibles de manera uniforme y centralizar
los espacios disponibles sobre los distintos espacios.
Esto permite obtener una vista uniforme y permanente de los datos que ya no estarn
vinculados con los servidores fsicos sobre los que se encuentran. Adems del ahorro en
unidades de red, puesto que una nica letra permite alcanzar todos los espacios
compartidos, las aplicaciones pueden configurarse, de una vez por todas, utilizando una
ruta nica y definida, que no cambiar, incluso aunque los datos se desplacen entre dos
servidores, en particular en el caso de que evolucione la volumetra necesaria.
Otra posibilidad, muy interesante, consiste en poder replicar los datos de una misma carpeta
sobre varios enlaces de red, es decir, sobre varios espacios compartidos. Esta tolerancia a
fallos aporta una funcionalidad muy prxima a la de un clster de archivos. Aunque es
preciso, no obstante, estudiar bien su modo de funcionamiento para evitar cualquier
sorpresa.
He aqu cmo organiza DFS los recursos que residen en distintos componentes de la red:
La arborescencia DFS constituye un punto nico de referencia. Sea cual sea su ubicacin,
los usuarios pueden acceder fcilmente a los recursos de la red. Sobre la red, las unidades
DFS se ven como unidades compartidas de red clsicas y se gestionan, por tanto, mediante
la funcin de redireccin de archivos utilizando los clientes de red clsicos.
Un usuario que navegue en una carpeta compartida DFS no tiene por qu conocer el
nombre ni la localizacin del servidor sobre el que se encuentra un recurso concreto. El
acceso a los recursos de red se ve, as, simplificado. Tras haberse conectado a una raz DFS,
puede recorrer la estructura y acceder a todos los recursos ubicados en esta raz. Un recurso
compartido DFS utiliza una estructura de arborescencia que contiene una raz y enlaces
DFS.
Para iniciar el uso de DFS, es necesario crear una raz DFS. Desde Windows Server 2003,
es posible crear varias races. Cada raz puede soportar varios enlaces, y cada una de ellas
puede apuntar a una carpeta compartida en red. Los enlaces DFS de la raz DFS representan
carpetas compartidas que pueden estar fsicamente ubicadas en distintos servidores de
archivos. Las ventajas ligadas a DFS son las siguientes.
Para resumir, he aqu todas las ventajas de esta solucin:

La administracin de la red se ve simplificada. En caso de que caiga algn servidor,
el enlace DFS puede desplazarse hacia otro servidor, modificando as la carpeta
DFS para indicar el nuevo servidor donde se ubican las carpetas compartidas. La
ruta sigue siendo la misma de cara a los usuarios.
El espacio de nombres permite acceder a todos los recursos utilizando un nombre
nico, sin tener que mapear una letra para cada recurso.
DFS se integra con los clientes Windows y no requiere ningn agente o el uso
suplementario de memoria.
Los servidores de archivos pueden remplazarse sin verse afectado el espacio de
nombres que utilizan los clientes.
El reparto de carga y la tolerancia a fallos pueden mejorarse en las races y en los
enlaces que se desee proteger indicando varios servidores y espacios compartidos
sobre cada recurso. Existen varios marcos de utilizacin de estas soluciones.
El espacio de nombres puede extenderse de manera dinmica para incluir un espacio
de disco complementario y para tener en cuenta nuevos requisitos.
DFS utiliza todas las autorizaciones existentes. No se necesita ninguna regla o
autorizacin suplementaria por parte de los usuarios. Las listas de control de acceso
(ACL) asociadas a las carpetas replicadas se replican de la misma manera que los
datos.
Para acelerar la bsqueda y recorrer ms rpidamente la arborescencia DFS, sta se
aloja automticamente en cach sobre los clientes tras su primer uso, hasta que
se detiene el cliente o expira la contrasea.
Instalacin
A diferencia de las versiones anteriores, los mdulos DFS ya no estn integrados ni se
inician automticamente sobre los servidores Windows. La nica excepcin, aunque
importante, es la referida a los controladores de dominio que utilizan la replicacin DFS
para las carpetas compartidas SYSVOL.
Los componentes DFS forman, ahora, parte del rol Servicios de archivos y
almacenamiento:
El mdulo FS-DFS-namespace aparecer bajo el nombre Espacios de nom-bres

DFS.
El mdulo FS-DFS-Replication aparecer bajo el nombre Replicacin DFS.
El comando SERVERMANAGERCMD.EXE ya no existe!
Es posible utilizar ambos mdulos por separado de cara a responder a necesidades

diferentes. Tambin es posible replicar carpetas, o publicar espacios de nombres, aunque lo
ideal es utilizar ambas funcionalidades al mismo tiempo.
1. El mdulo de espacio de nombres
Como con Windows 2003, es posible crear varios espacios de nombres. Estos espacios se
publican en Active Directory (AD).
La instalacin del mdulo de espacio de nombres puede realizarse a travs de PowerShell

mediante el comando:
Install-WindowsFeature FS-DFS-namespace
2. El mdulo de replicacin
El mdulo de replicacin permite crear grupos de replicacin de datos. Una replicacin

debe contener, al menos, dos recursos compartidos que provengan de dos servidores
diferentes. La instalacin del mdulo de replicacin puede hacerse mediante el comando
PowerShell:
Install-WindowsFeature FS-DFS-Replication
Observe que la replicacin mediante las herramientas Microsoft no es obligatoria. Es

posible utilizar enlaces DFS para apuntar sobre varios recursos compartidos. Pero, si desea
un contenedor idntico, tendr que replicarlo de manera explcita utilizando las
herramientas o los scripts adecuados.
3. La consola de administracin
Si lo requiere, la consola de administracin puede instalarse de manera separada a los

dems mdulos y funcionalidades.
La consola de administracin se encuentra en el Administrador del servidor, en el men

Herramientas, Administracin de DFS.
La instalacin puede realizarse tambin mediante el comando PowerShell:
Install-WindowsFeature RSAT-DFS-Mgmt-con
Tras ejecutar la consola, bastar con preguntar a Active Directory para obtener la lista de
races DFS existentes.
4. El caso de los controladores de dominio
Sobre un controlador de dominio, los servicios de espacio de nombres y de replicacin se

instalan automticamente, pero Active Directory gestiona directamente sus propias carpetas
compartidas. No es, por tanto, posible ver o modificar a este nivel la replicacin utilizada
por Active Directory para replicar el recurso compartido SYSVOL.
5. El procedimiento de instalacin grfica
La instalacin grfica permite agregar todos los componentes necesarios de una sola vez.
Esto se realiza a partir de la herramienta Administrador del servidor. En la visualizacin
por defecto del Panel se encuentra el botn Administrar, que da acceso a la opcin
Agregar roles y caractersticas.
He aqu las distintas etapas:
Haga clic en Siguiente.
Esta etapa puede ignorarse en futuras ocasiones marcando la opcin adecuada.
Seleccione la instalacin de un rol o una caracterstica. Es posible instalar varios roles o

caractersticas de una sola vez.
Una de las ventajas de Windows Server 2012 es que permite automatizar ciertas
operaciones sobre varios servidores a la vez, tales como el reinicio o la configuracin del
reporte de los errores. En cambio, la instalacin de un rol o una funcionalidad solo puede
realizarse sobre un nico servidor que debe seleccionar. Por defecto, se le propone realizar
la instalacin en el servidor local.
Sitese en el rol Servicios de archivos y almacenamiento y, a continuacin Servicios de
iSCSI y archivo.
Las opciones marcadas y sombreadas indican roles y componentes que ya estn presentes
en el servidor.
Basta, a continuacin, con seleccionar entre los Servicios de rol los componentes
deseados. Seleccionamos, en primer lugar, el mdulo Espacios de nombres DFS.
El hecho de marcar el componente Espacios de nombres DFS hace que se proponga,
automticamente, instalar la caracterstica de administracin correspondiente. Haga clic en
el botn Agregar caractersticas para aceptar y agregar el componente sugerido.
Marque el servicio de rol Replicacin DFS y haga clic, a continuacin, en Siguiente para
pasar a la instalacin de las caractersticas. En este ejemplo, ya est marcado debido a
nuestra seleccin anterior.
No hay caractersticas suplementarias que agregar. Haga clic en Siguiente.
Haga clic en Instalar. Evitaremos, generalmente, marcar la opcin Reiniciar
automticamente el servidor de destino en caso necesario.
Haga clic en Cerrar cuando le aparezca la opcin.
Tras la instalacin, los servicios arrancan automticamente. Si hace clic sobre el icono
Notificaciones en la barra de tareas, obtendr el estado de la tarea solicitada.
Configuracin del servicio DFS
1. Los distintos tipos de races distribuidas
a. Las races autnomas
Las races autnomas permiten crear arborescencias que estn vinculadas con un servidor
determinado. Estas races no estn securizadas, es decir, la raz DFS no estar accesible, ni
podr utilizarse, si el servidor que la contiene no funciona correctamente. En cambio, los
accesos directos a los recursos compartidos seguirn funcionando.
Observe que las carpetas (enlaces a recursos compartidos) pueden, no obstante, replicarse y
sincronizarse mediante un grupo de replicacin especfico.
Por otro lado, si la raz autnoma se configura sobre un clster de archivos, la raz DFS
aprovechar la misma tolerancia a fallos que la comparticin de archivos. No obstante slo
ser posible realizar esta operacin en un clster Windows Server 2008 o 2012.
He aqu el procedimiento de creacin de una raz autnoma. La consola Administracin de

DFS puede abrirse desde el men Herramientas del Administrador del servidor.
Utilizando el asistente de creacin de un espacio de nombres Nuevo espacio de nombres,

esta operacin puede llevarse a cabo muy rpidamente.
Haga clic con el botn derecho en Espacios de nombres para desplegar el men
contextual. A continuacin, haga clic en Nuevo espacio de nombres.
Los servidores de espacios de nombres no pretenden recibir directamente datos. Slo

contienen, por lo general, carpetas virtuales que apuntan sobre los datos reales. Se trata, a
menudo, de servidores controladores de dominio que se utilizan para seguir este tipo de
informacin.
Indique el nombre de servidor del espacio de nombres.
Indique el nombre de su espacio de nombres.
Haga clic en Editar configuracin... para indicar los permisos que se quiere asignar sobre
la raz RAZ AUTNOMA que se ver como un recurso compartido en el servidor
correspondiente.
Hay que prestar atencin a los permisos que se asignan a este nivel, pues los elementos
creados en la raz de este recurso compartido se encontrarn, efectivamente, en la carpeta
local indicada.
La eleccin del tipo de espacio es relevante, entre una raz que ser especfica a este
servidor y una raz llamada de nombres de dominio que podr verse y utilizarse en todo el
bosque. La raz autnoma slo podr verse en el servidor donde se aloja.
Seleccione el tipo de espacio de nombres que quiere crear, en este caso Espacio de
nombres independiente.
Esta pantalla resume las decisiones anteriores.
Haga clic en el botn Crear.

Esta pantalla confirma la creacin de la raz DFS. La pestaa Errores da acceso a los
eventuales errores que se produzcan. El registro de eventos ofrecer informacin
complementaria.
b. Las races de nombres de dominio
Las races de nombres de dominio se basan en la resolucin DNS del dominio. La principal
ventaja de esta solucin es la tolerancia a fallos, que puede asociarse a la raz mediante el
uso de, al menos, dos servidores vinculados a nivel de la misma raz.
Las races se inscriben en Active Directory, lo que permite a los administradores y a los
usuarios de todo el bosque acceder fcilmente a las unidades DFS.
He aqu el procedimiento de creacin de una raz de nombres de dominio.
Los primeros pasos son idnticos a la creacin de una raz autnoma.
Ejecute el asistente de creacin de un Nuevo espacio de nombres.

Indique el servidor que gestionar esta raz.
Indique el Nuevo espacio de nombres, teniendo en cuenta que el nombre debe escogerse
de manera lgica puesto que podrn verlo y usarlo todos los usuarios del bosque, o incluso
ms.
Haga clic en Editar configuracin para acceder a la configuracin de las autorizaciones

sobre la raz.
El espacio de nombres de dominio permite basarse en la resolucin del nombre de dominio
Active Directory para acceder a un espacio compartido fcil de encontrar.
Se recomienda utilizar el modo Windows 2008, seleccionado por defecto (siempre que se
lo permita el nivel funcional). El modo Windows 2008 activa el modo ABE (Access Based
Enumeration) y un nmero mucho mayor de races y destinos.
Haga clic en Crear si los parmetros de creacin son correctos.

Observe que la creacin de la raz de dominio estar vinculada con el modo de
funcionamiento del domino que lo alberga.
El uso de una raz de dominio supone que se quiere utilizar tolerancia a fallos y reparto de
carga sobre la raz DFS. Esto se consigue agregando un servidor de espacios de nombres
suplementario.
Haga clic en el espacio de nombres del tipo de dominio.

Haga clic en Agregar servidor de espacio de nombres.
Puede, tambin, seleccionar o indicar directamente el nombre del nuevo servidor a utilizar.
De hecho, puede haber ms de dos servidores que contengan informacin sobre los DFS.
2. Creacin de enlaces DFS y destinos DFS
El nombre de un enlace se corresponde con el nombre de la carpeta que aparece en el

espacio de nombres distribuido. Un enlace DFS se corresponde con una ruta de red, es
decir, un recurso compartido ubicado sobre no importa qu servidor (o estacin del
dominio) y que se asocia a un enlace DFS.
Es posible asociar un enlace DFS con varios destinos y, por tanto, a varios recursos
compartidos diferentes. Ser, por tanto, necesario configurar la replicacin de estas carpetas
para obtener un contenido idntico y sincronizado entre los distintos destinos.
He aqu el procedimiento que permite definir un destino sobre los recursos compartidos
CONTAB1 y CONTAB2 definidos sobre dos servidores distintos:
Seleccione el espacio de nombres deseado (autnomo o de dominio) y, a continuacin,

haga clic con el botn derecho para desplegar el men contextual.
Seleccione la opcin Nueva carpeta.
Indique el nombre del enlace DFS CONTAB.
Haga clic en Agregar para agregar los destinos asociados a este enlace.
Puede escribir directamente el nombre UNC de acceso al recurso bajo la forma

\\SERVIDOR\RECURSO_COMPARTIDO o hacer clic en Examinar.
En el segundo caso, se recomienda indicar el nombre del servidor y, a continuacin, hacer

clic en el botn Ver las carpetas compartidas.
Si se definen varios destinos, el asistente le propone crear un grupo de replicacin. A

continuacin, se ejecuta automticamente el asistente de creacin de un grupo de
replicacin.
En la siguiente seccin se describe el procedimiento de implantacin de la replicacin.
3. Replicacin
La replicacin se basa en un motor multimaestro que permite tener en cuenta

modificaciones de archivos simultneas que provengan de varios puntos diferentes y
sincronizar el conjunto. Esta replicacin se adapta a los enlaces lentos utilizando una
tecnologa de compresin diferencial llamada RDC.
Cada grupo de replicacin (conjunto de servidores) es capaz de tener en cuenta varias

carpetas replicadas.
Cada carpeta replicada puede tener sus propios parmetros, en particular filtros de
replicacin que permiten limitar los tipos de archivo y las subcarpetas que deben incluirse
en la replicacin.
a. Los filtros de replicacin
Por defecto, los filtros de archivo excluyen los filtros temporales que comienzan por el
carcter ~ as como las extensiones .BAK y .TMP.
Por otro lado, los siguientes archivos tambin se excluyen:
puntos de montaje NTFS;

archivos cifrados mediante EFS;
archivos definidos como temporales.
Es posible excluir tanto carpetas como archivos, en funcin de su nombre. Es posible

utilizar el carcter genrico *.
Las bases de datos, los archivos de vdeo y las imgenes de CD pueden, tambin, excluirse
de esta replicacin.
b. La implementacin grfica de la replicacin
He aqu el procedimiento grfico de implementacin de una replicacin.
Esta replicacin se implementa de la misma manera sobre una raz autnoma que sobre una
de dominio.
Seleccione el mdulo Replicacin y, a continuacin, haga clic con el botn derecho para
desplegar el men contextual. Seleccione la opcin Nuevo grupo de replicacin.
Esta opcin permite, principalmente, definir una replicacin ligada nicamente a dos
servidores, donde uno de ellos contendr los datos principales.
Asigne un nombre al grupo de replicacin.
Indique los servidores miembros.
Seleccione la tipologa que mejor se adapte a sus necesidades. La topologa en malla
completa est bien adaptada a las modificaciones autorizadas que provienen de todos los
servidores miembros.
Segn las caractersticas de su red, ser posible modular los horarios y la tasa de uso de la
red.
Ms adelante podr modificar fcilmente los parmetros de replicacin.
Es preferible iniciar la replicacin con carpetas vacas. En caso contrario, esta opcin
permite definir el servidor que contiene los datos iniciales.
Seleccione el servidor inicial que contiene los datos de referencia.

Indique el nombre concreto de la carpeta raz que se quiere replicar.
Es posible agregar otras carpetas a este grupo de replicacin de manera inmediata o ms
adelante.
Por cada servidor que contenga una rplica de los datos, active la replicacin indicando
una carpeta de destino. Seleccione el servidor y, a continuacin, haga clic en Editar.
Cabe destacar la posibilidad de configurar esta rplica en modo de slo lectura de manera
inmediata.
Esta opcin permite indicar el nombre de la carpeta principal y crearla, si fuera necesario.
Seleccione los servidores de destino.

Esta pantalla resume los principales parmetros de la replicacin.
He aqu el resultado de la implementacin de la replicacin.

La implementacin efectiva depender del funcionamiento de Active Directory y de la
planificacin de la replicacin que haya configurada entre los sitios.
c. La topologa de replicacin
Por defecto, se proponen dos tipos de topologa.
El modo Concentrador y radio, llamado en estrella, requiere, como mnimo, tres

miembros. Este modo es particularmente til cuando existe una fuente definida (el
Concentrador) y la replicacin se produce hacia mltiples destinos.
El modo malla completa autoriza a cada servidor replicarse hacia los dems. Se
aconseja utilizar este modo en el caso de instalaciones compuestas por una decena
de miembros como mximo.
La implementacin de una nueva topologa depende de la replicacin Active Directory y

puede, por tanto, tomar su tiempo antes de implementarse sobre cada miembro.
En cambio, la replicacin local de los archivos (de tamao razonable) puede resultar muy
rpida y, generalmente, instantnea.
Configuracin avanzada
1. Los mtodos de ordenacin
Los mtodos de ordenacin son muy importantes y deben tomarse en consideracin de cara
a optimizar el rendimiento y evitar futuros disgustos.
En efecto, cuando una misma carpeta est accesible en ubicaciones diferentes, situadas en
servidores distintos, ellos mismos alojados en sitios diferentes, la optimizacin lgica
consistira en utilizar el recurso compartido situado sobre el servidor del sitio local. Incluso
en este caso, resulta vital utilizar de forma prioritaria un servidor determinado que sirva
como referencia. En otros casos, ser conveniente forzar un servidor remoto que sirva como
referencia nica para evitar modificaciones simultneas sobre un documento.
a. Configuracin a nivel de las races DFS
La pestaa Referencias en las propiedades de las races DFS permite definir el valor por
defecto que se utiliza sobre todos los enlaces que pertenecen a esta raz.
Orden aleatorio
Coste ms bajo
Excluir destinos fuera del sitio cliente
El Orden aleatorio consiste en proveer, de manera aleatoria, todos los servidores situados
en el sitio del cliente y, a continuacin, y siempre de forma aleatoria, los dems servidores
presentes en los dems sitios sin tener en cuenta las diferencias de coste.
El Costo ms bajo presentar, en primer lugar, aquellos servidores ubicados en el sitio del
cliente de manera aleatoria. A continuacin, los servidores remotos se mostrarn segn su
coste, del menos elevado al ms elevado, aunque aquellos servidores que tengan un coste
idntico se presentarn aleatoriamente.
El ltimo modo, Excluir destinos fuera del sitio cliente mostrar, nicamente, aquellos
servidores ubicados en el sitio del cliente. Ms adelante veremos las posibles excepciones a
esta regla.
Si se fuerza, a este nivel, la restauracin automtica de clientes sobre los destinos

preferidos, se activar sobre todos los enlaces y destinos que dependan de esta raz.
En la pestaa Opciones avanzadas es, ahora, posible activar el modo ABE (Access Based
Enumeration) para ocultar aquellas carpetas sobre las que los usuarios no tienen permisos.
b. Configuracin a nivel de los enlaces DFS
Sobre cada carpeta que represente un enlace hacia uno o varios destinos, es posible
configurar una exclusin de los sitios remotos, en particular si no se ha indicado
anteriormente. Es posible, tambin, activar la restauracin automtica de los clientes hacia
un destino preferente (si no se hubiera configurado en un nivel superior).
c. Configuracin a nivel de los destinos DFS
Sobre cada destino, en la pestaa Opciones avanzadas, es posible configurar un

comportamiento particular.
Es posible dar preferencia al uso de un destino definindolo como Primero de todos los
destinos o Primero de los destinos de igual costo.
Puede, por el contrario, definir el destino como ltimo de todos los destinos incluidos en la
seleccin, o ltimo de los destinos de igual costo.
Preste atencin, estas reglas forzadas (Primero o ltimo) provocan la visualizacin
sistemtica de los destinos correspondientes.
2. Delegacin de la administracin
Por defecto, slo los administradores locales o de dominio pueden administrar los grupos
de replicacin. Sobre una raz de dominio, slo el grupo administradores de empresas
hereda, automticamente, permisos de administracin. Sobre una raz autnoma, el grupo
administradores local y la cuenta especial SYSTEM tienen permisos heredados.
Cuando un administrador crea una raz, ste, y el grupo administradores de dominio,

obtienen permisos explcitos. Esto quiere decir que es posible eliminar estos permisos.
Preste atencin, los administradores que reciben una delegacin siguen siendo propietarios
de los objetos, incluso aunque se los retire, a continuacin, un administrador.
Por otro lado, cualquier administrador de una raz DFS puede delegar la autorizacin de la
gestin.
Administracin de DFS con PowerShell
Todos los comandos de administracin DFSUTIL, DFSCMD, DFSRADMIN, DFSRDIAG,
DFSRMIG siguen existiendo. Aunque est previsto que desaparezcan en la prxima
versin, la administracin de todos los componentes y servicios de Windows se estn
estandarizando gracias al lenguaje PowerShell, que sirve de referencia.
La primera etapa consiste en importar el mdulo que contiene todos los comandos DFS:
Import-module DFSN
Observar que los comandos PowerShell se refieren, nicamente, a la gestin del

espacio de nombres .La gestin de la replicacin no se ve afectada. Las herramientas de
programacin WMI pueden ser tiles en este caso.
Todos los recursos compartidos basados en nombres de servidores que se utilizan en los
comandos siguientes deben crearse previamente.
Crear la carpeta
Crear un recurso compartido
El conjunto de comandos permite definir, mediante un script PowerShell, una

configuracin equivalente a la que se ha creado anteriormente mediante la interfaz de
administracin.
1. Administracin de los espacios de nombres con PowerShell

a. Gestin de races
Este comando permite enumerar todas las races registradas en el directorio.
Get-DfsnRoot | ft -auto -wrap
Resultado:
Path type Properties TimeToLiveSec State Descripti

on
---- ---- ---------- ------------- ----- ---------
--
\\MiEmpresa.Priv\RAIZ-DOMINIO Domain V2 Site Costing 300 Online
El comando FT utiliza detrs el carcter especial | que permite tabular el resultado y

mejorar su lectura.
Crear una raz de rbol de dominio nueva llamada RAIZ2-DOM2. Cada recurso
compartido utilizado debe existir previamente.
New-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 -Targetpath
\\SRVFIC01\RAIZ2 -Type domainV2
Resultado:
Path Type Properties TimeToLiveSec State Descripti

on
---- ---- ---------- ------------- ----- ---------
--
\\MiEmpresa.Priv\... Domain V2 300 Online
El parmetro PATH debe indicar el dominio y el nombre de la raz que utilizarn, a

continuacin, los usuarios.
El parmetro TARGETPATH debe apuntar hacia un servidor y un recurso compartido ya

existente.
El parmetro TYPE precisa que la raz se gestionar en modo 2008. Los dems valores
posibles son Standalone, para una raz autnoma, y DomainV1 para el modo 2003.
Observe que es necesario agregar manualmente la nueva raz en la herramienta de

administracin si queremos gestionarla grficamente!
Enumerar todos los servidores de nombres que soporten la raz RAIZE2-DOM2:
Get-DfsnRoot -Path \\MaSociete.Priv\RACINE2-DOM2|Get-DfsnRootTarget |

ft -auto
Resultado:
Path TargetPath State ReferralPriorityClass

ReferralPriorityRank
---- ---------- ----- --------------------- --------------------
\\MiEmpresa.Priv\RAIZ2-DOM2 \\SRVFIC01\RAIZ2 Online sitecost-normal 0
Agregar un nuevo servidor de espacios de nombres en una raz existente.
Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2|New-DfsnRootTarget

-Targetpath \\DC2012\RAIZ2 -ReferralPriorityClass "sitecostnormal"
Resultado:
Path TargetPath State ReferralPriorityClass

ReferralPriorityRank
---- ---------- ----- --------------------- --------------------
\\MiEmpresa.Priv\RAIZ... \\DC2012\RAIZ2 Online sitecost-normal 0
Preste atencin, el parmetro ReferralPriorityClass es obligatorio.

Enumerar y verificar la agregacin del servidor que administra una raz determinada:
Get-DfsnRoot -path \MiEmpresa.Priv\RAIZ2-DOM2|Get-DfsnRootTarget |ft

-auto
Resultado:
Path TargetPath State ReferralPriorityClass ReferralPriorityRank

---- ---------- ----- --------------------- --------------------
\\MiEmpresa.Priv\RAIZ2-DOM2 \\SRVFIC01\RAIZ2 Online sitecost-normal 0

\\MiEmpresa.Priv\RAIZ2-DOM2 \\DC2012\RAIZ2 Online sitecost-normal 0
Para eliminar un servidor que gestiona una de las races:
Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 |Remove-DfsnRootTarget

-TargetPath \\DC2012\RAIZ2 -Confirm:false
La opcin -confirm con valor False permite evitar la pregunta, que puede resultar
bloqueante en la ejecucin de un script.
Eliminar todos los servidores que gestionan una raz:
Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 | Get-DfsnRootTarget |

Remove-DfsnRootTarget -Confirm:false
Preste atencin, la eliminacin de todos los servidores que gestionan una raz equivale a
suprimir la propia raz. Por ello, las consolas de administracin DFS que contengan esta
raz obtendrn un error de acceso sobre esta raz. Si se trata de una raz que no va a volver a
utilizarse de forma permanente, basta, en tal caso, con eliminarla en la consola de
administracin DFS.
b. Gestin de los destinos (de carpetas) y de los accesos
Nunca hay que utilizar directamente las races DFS para almacenar datos en ellas.
Estas races se alojan, generalmente, en controladores de dominio que no tienen los
mecanismos de copia de seguridad bien adaptados, ni espacio para alojar informacin.
Crear un destino de carpeta en un espacio de nombres:
New-DfsnFolder -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO -TargetPath

\\SRVFIC1\INFORMATICA -Description "Departamento Informtico"
-EnableTargetFailback true
Agregar un destino suplementario en una carpeta existente:
New-DfsnFolderTarger -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO

targetPath \\DC2012\INFORMATICA
Path TargetPath State ReferralPriorityClass ReferralPriorityRank
---- ---------- ----- --------------------- --------------------
\\MiEmpresa.Priv\RAIZ... \\DC2012\INFORMATICA Online sitecost-normal 0
Eliminar un destino:
Remove-DfsnFolderTarget -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO

-TargetPath \\DC2012\INFORMATICA -Force
Eliminar la carpeta y los destinos correspondientes:
Remove-DfsnFolder -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO -Force
Ninguna de las instrucciones anteriores elimina los datos de los usuarios, que siguen
estando en los recursos compartidos de los respectivos servidores.
2. Administracin de la replicacin con PowerShell
Los 42 nuevos comandos estn accesibles mediante la siguiente instruccin:
Get-Command -Module DFSR
He aqu un comando que permite obtener detalles sobre cada uno de los comandos:
Get-Command -Module DFSR | Get-Help | Select-Object Name, Synopsis |

Format-Table -Auto
a. Ejemplo de creacin de la infraestructura necesaria para un grupo de replicacin de

dos servidores
Crear el grupo de replicacin:
New-DfsReplicationGroup -GroupName "GrupoReplicacionContabilidad"
Observe que el grupo de replicacin no se mostrar en la consola de administracin, ser

preciso agregarlo para poder gestionarlo desde la consola.
Crear una carpeta en el grupo de replicacin:
New-DfsReplicatedFolder -GroupName "GrupoReplicacionContabilidad"

-FolderName "Contabilidad"
Agregar los servidores:
Add-DfsrMember -GroupName "GrupoReplicacionContabilidad"

-ComputerName SRVFIC01, DC2012
Verificar los miembros del grupo de replicacin:

Get-DfsrMember -GroupName GrupoReplicacionContabilidad
Agregar las conexiones de replicacin:
Add-DfsrConnection -GroupName "GrupoReplicacionContabilidad"

-SourceComputerName SRVFIC01 -DestinationComputerName DC2012
Se agrega una conexin en cada sentido.
Agregar las carpetas a replicar entre los servidores:
Set-DfsrMembership -GroupName "GrupoReplicacionContabilidad"

-FolderName "Contabilidad" -ContentPath "C:\CarpetasContabilidad"
-ComputerName SRVFIC01 -PrimaryMember /$True -force
Este comando agrega el contenido inicial que servir de referencia.
Set-DfsrMembership -GroupName "GrupoReplicacionContabilidad"

-FolderName "Contabilidad" -ContentPath " C:\CarpetasContabilidad"
-ComputerName DC2012 -force
Este comando agrega un miembro suplementario.
Actualizar los servidores a partir del directorio Active Directory:
Get-DfsrMember -GroupName "GrupoReplicacionContabilidad" |

Update-DfsrConfigurationFromAD
La siguiente etapa consiste en verificar que la replicacin est funcionando.
El evento 4104 en el registro especfico de la replicacin DFS indica que ha finalizado la

replicacin inicial.
b. El clonado de la base de DFSR
Se han agregado algunas instrucciones especficas para mejorar la replicacin inicial

cuando existe un conjunto importante de archivos iniciales:
He aqu las cuatro instrucciones que se utilizan:
Export-DfsrClone
Import-DfsrClone
Get-DfsrCloneState
Reset-DfsrCloneState
El objetivo de este clonado es ahorrar tiempo en el anlisis y la replicacin de una
arborescencia importante copiando la base de DFSR y los datos correspondientes en el
sistema de destino.
La primera etapa consiste en exportar la base de DFSR del volumen a una carpeta local.
Cree la carpeta de destino:
MD C:\ClonadoBaseDFSR
Exportar la base de DFSR del volumen E a la carpeta que acaba de crear:
Export-DfsrClone -Volume E: -Path C:\ClonadoBaseDFSR -force | Format-List
Este comando acepta dos opciones:
La opcin -validation, que acepta tres valores:
None: no se realiza ninguna verificacin de los archivos. Este valor no se aconseja,

pues supone que no se realizar ninguna modificacin.
Basic: este valor, por defecto, es el recomendado. Existe una serie de permisos
(ACL) que, junto al tamao y la fecha, determinan si el archivo se ha modificado.
Full: es el modo normal, utilizado por DFS, desaconsejado en una replicacin con
un volumen muy elevado (superior a 10 TB).
Por defecto, la exportacin funciona nicamente si la carpeta de destino de la base

est vaca. La opcin -AllowClober permite borrar los archivos presentes.
Supervisar la ejecucin y esperar el estado Ready:
Get-DfsrCloneState
En efecto, el grupo de replicacin debe existir antes de realizar la exportacin de su

configuracin. He aqu las instrucciones mnimas a realizar en el origen para obtener un
grupo de replicacin que contenga un nico miembro:
Crear el grupo de replicacin:

New-DfsReplicationGroup -GroupName "GrupoReplicacionContabilidad"
Agregar la carpeta de datos:

New-DfsReplicatedFolder -GroupName "GrupoReplicacionDATA"
-FolderName "DATA"
Agregar el servidor origen que contiene los datos:

Add-DfsrMember -GroupName "GrupoReplicacionDATA"
-ComputerName SRVFIC01
Agregar el recurso de datos a la carpeta de datos:
Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
-ComputerName "SRVFIC01" -ContentPath E:\DATA
-PrimaryMember $True -FolderName "DATA" -force
Actualizar la configuracin a partir del directorio:

Una vez exportada la base, la siguiente operacin consiste en replicar la base

salvaguardada, y tambin los datos correspondientes.
Robocopy.exe E:\Data \\DC2012\E$ \DATA /E /B /COPYALL /R:1 /W:1

/MT:64 /XD DfsrPrivate /TEE /LOG+:Precarga.log
Replicacin de la copia de seguridad de la base de DFSR correspondiente al

volumen a replicar:
Robocopy.exe C:\ClonadoBaseDFSR \\DC2012\C$\ClonadoBaseDFSR /B
Como precaucin, limpiar la base de DFSR que podra residir en el servidor de

destino:
RD "E:\system volume information\dfsr" -Force -Recurse
Es conveniente no realizar esta accin en el disco que contiene la replicacin de las

bases de DFSR de los controladores de dominio, u otras replicaciones de DFS.
Importar la base de DFSR en el nuevo volumen:

Import-DfsrClone -Volume E: -Path "C:\ClonadoBaseDFSR" -force
La opcin -force permite evitar que pida la confirmacin.
Verificar, a continuacin, que la integracin de la base est lista, mediante el estado

Ready:
Get-DfsrCloneState
Agregar el servidor de destino en el grupo de replicacin:

Add-DfsrMember -GroupName "GrupoReplicacionDATA"
-ComputerName "DC2012"
Indicar que el servidor pertenece al grupo de datos DATA, as como la ruta de los
datos en este servidor:
Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
-ComputerName "DC2012" -ContentPath E:\DATA -FolderName "DATA"
-force
Por ltimo, agregar la conexin de replicacin entre los dos servidores:

Add-DfsrConnection -GroupName "GrupoReplicacionDATA"
-SourceComputerName "SRVFIC01" -DestinationComputerName "DC2012"
Actualizar el servidor de destino a partir de la informacin del directorio.
Utilizando este mtodo de importacin de la base, la verificacin inicial puede pasar de 24

das a menos de 8 horas para un volumen de cerca de 10 TB, es decir, para obtener la
convergencia de 14 millones de archivos a verificar, utilizando el nivel de validacin "por
defecto".
Uso de DFS y buenas prcticas

El uso de DFS no requiere ninguna adaptacin en los puestos cliente.
En efecto, del lado del usuario (y de los clientes Windows), los recursos compartidos DFS
y las races se ven como recursos compartidos clsicos. Es frecuente, en el script de
conexin, realizar una conexin con la raz, a menudo remplazando todas las conexiones
anteriores.
Por otro lado, es importante tener en cuenta que las races DFS de dominio estn
disponibles para todos los usuarios del bosque. No obstante, todos los permisos asociados a
los recursos compartidos y a las carpetas NTFS siguen estando activos como si se tratase de
un acceso directo.
En cambio, el uso de DFS permite simplificar el nmero de unidades de disco y de recursos

compartidos utilizados. Esto permite federar el conjunto de espacios disponibles.
Las aplicaciones pueden configurarse sobre una ruta nica, que ser posible mantener a lo
largo de todo el ciclo de vida del bosque.
DFS, en su configuracin Hub & Spoke, se diferencia por la replicacin en varios sitios de
informacin que cambia poco con el tiempo o que tiene un nico punto de modificacin.
Documentos de referencia, noticias, actas de reunin o informacin general sern el tipo de
documento entrante en este tipo de configuracin.
DFS puede, tambin, utilizarse para salvaguardar los datos de usuario o los perfiles
itinerantes. Es preciso realizar una configuracin particular a nivel de los destinos DFS para
que se utilice siempre el mismo recurso compartido y el mismo servidor. Es decir, es
preciso utilizar el destino principal en primer lugar, y no proponer la copia (salvaguarda)
sino como ltimo destino.
Cuando se utiliza DFS para tareas ofimticas, con numerosos documentos de tipo Word o
Excel, actualizndose sobre distintos sitios, es importante gestionar bien el versionado de
los documentos para evitar cualquier modificacin simultnea del mismo documento. En
efecto, slo se conservar la ltima versin escrita. En ciertos casos, ser preferible forzar
el uso de un destino determinado que servir como referencia para las modificaciones de
este tipo, incluso si el sitio del usuario incluye una replicacin local de este destino. La
solucin ideal, cuando sea posible, consiste en utilizar el modo Solo lectura con todos los
destinos, salvo con el destino de referencia.
Con todo, aunque DFS no es la solucin universal, puede proveer muchos servicios que
merece la pena comparar con otras soluciones, por ejemplo, de gestin documental.
Interaccin con otros componentes

1. Los espacios de nombres DFS: deteccin del sitio por parte de los
clientes DirectAccess
Windows Server 2012 ofrece, ahora, la posibilidad a los usuarios remotos conectados
mediante DirectAccess de utilizar el mejor enlace DFS posible, segn el sitio.
Los usuarios remotos reciben referencias hacia los servidores de nombres y las carpetas
ms prximas a la ubicacin de la conexin.
Con las conexiones DFS realizadas por DirectAccess en Windows 7 o Windows

Server 2008 R2, los equipos remotos cuya direccin IP no forma parte de un sitio
especfico en Active Directory reciben una sola referencia. Esta referencia contiene
nicamente un nombre de servidor que proviene de cualquier sitio, local o remoto.
Cuando las conexiones DFS se realizan mediante DirectAccess en Windows 8 o Windows

Server 2012, el equipo provee un nombre de sitio en la solicitud de referencia (Request
Referral) que apunta a un servidor de espacios de nombres que utiliza Windows Server
2012. El servidor de espacios de nombres utilizar el sitio transmitido para proveer la
referencia hacia el sitio ms prximo disponible.
Para que esta deteccin funcione, el cliente debe ejecutar Windows 8 o Windows Server
2012, y el servidor trabajar con Windows Server 2012.
Observe que la instalacin de varios puntos de acceso basados en DirectAccess est, ahora,
mucho mejor gestionada que con Windows Server 2008, de ah el inters de apuntar al
servidor DFS mejor adaptado.
2. La replicacin DFS soporta los volmenes sobre los que se ha activado

la desduplicacin
De hecho, la desduplicacin permite ganar espacio sin tener ningn impacto sobre la
replicacin DFS. Cuando se activa la desduplicacin sobre un volumen, los archivos se
segmentan en bloques de tamao variable segn el tamao del archivo. La desduplicacin
gestiona un ndice sobre estos segmentos para detectar los segmentos idnticos y ocupar
una nica vez el espacio correspondiente. Una marca de desduplicacin
IO_REPARSE_TAG_DEDUP indicar cada archivo susceptible de incluir elementos
deduplicados.
La replicacin seguir a las marcas de desduplicacin de tipo

IO_REPARSE_TAG_DEDUP para reconstruir el archivo completo.
Que un archivo est desduplicado o no, no supone ninguna replicacin puesto que el
archivo, en s mismo, no cambia. La replicacin DFS se basa en el algoritmo RDC (Remote
Differential Compression) y no sobre los fragmentos de los archivos desduplicados, que se
ubican de forma separada. Que los volmenes estn desduplicados en el origen y/o en el
destino no cambia nada.
3. DFS dispone de un proveedor WMI completo (espacios de nombres y

replicacin)
Windows Server 2012 proporciona, ahora, un proveedor WMI que permite acceder y
realizar una configuracin completa de la replicacin DFS...
gwmi -list | ft name | findstr /I "dfs"
Win32_DfsNode
Win32_DfsTarget
Win32_DfsNodeTarget
Win32_PerfFormattedData_DFSNServerService_DFSNamespace
Win32_PerfRawData_DFSNServerService_DFSNamespace
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfFormattedData_dfsr_DFSReplicatedFolders
Win32_PerfRawData_dfsr_DFSReplicatedFolders
Win32_PerfFormattedData_dfsr_DFSReplicationConnections
Win32_PerfRawData_dfsr_DFSReplicationConnections
Win32_PerfFormattedData_dfsr_DFSReplicationServiceVolumes
Win32_PerfRawData_dfsr_DFSReplicationServiceVolumes
A continuacin, se muestra un ejemplo de acceso a la informacin de una de estas clases:
gwmi -class win32_dfsnode
__GENUS : 2
__CLASS : Win32_DfsNode
__SUPERCLASS : CIM_LogicalElement
__DYNASTY : CIM_ManagedSystemElement
__RELPATH : Win32_DfsNode.Name="\\\\SRVFIC01\\RAIZ-AUTONOMA"
__PROPERTY_COUNT : 8
__DERIVATION : {CIM_LogicalElement, CIM_ManagedSystemElement}
__SERVER : SRVFIC01
__NAMESPACE : root\cimv2
__PATH :
\\SRVFIC01\root\cimv2:Win32_DfsNode.Name="\\\\SRVFIC01\\
RAIZ-AUTONOMA"
Caption :
Description :
InstallDate :
Name : \\SRVFIC01\RAIZ-AUTONOMA
Root : True
State : 0
Status :
Timeout : 300
PSComputerName : SRVFIC01
...
Hoy en da, como existen los comandos PowerShell para la parte Espacios de nombres, es,
principalmente, la parte de replicacin la que se configurar mediante WMI. Sepa que el
acceso WMI puede invocarse, fcilmente, desde PowerShell, y ser posible integrar el
conjunto en un nico script.
WMI, a diferencia de PowerShell, permite administrar completamente la replicacin

mediante DFS: http://msdn.microsoft.com/en-
us/library/windows/desktop/bb540028(v=vs.85).aspx
He aqu las clases que se utilizan para ello:
DfsrConfig
DfsrConflictInfo
DfsrConnectionConfig
DfsrConnectionInfo
DfsrIdRecordInfo
DfsrIdUpdateInfo
DfsrInfo
DfsrLocalMemberConfig
DfsrLocalMemberInfo
DfsrMachineConfig
DfsrReplicatedFolderConfig
DfsrReplicatedFolderInfo
DfsrReplicationGroupConfig
DfsrSyncInfo
DfsrVolumeConfig
DfsrVolumeInfo
Una de las principales diferencias es que, ahora, el acceso WMI utiliza el protocolo
WinRM (Windows Remote Management) como protocolo de transporte.
BranchCache
Esta funcionalidad, aparecida con Windows Server 2008 R2, permite optimizar el acceso a
los recursos compartidos alojados en los recursos compartidos de los archivos o en
servidores Web internos de tipo documentario, tales como SharePoint, para los sitios
remotos.
La lgica de funcionamiento se parece bastante a la de los Proxy de Internet. Es decir,

durante la primera recuperacin de un documento (archivo o ejecutable), ste pasa una
nica vez por el enlace lento. Para los dems clientes de este documento, sobre este sitio,
tras realizar una verificacin de los permisos y de la no modificacin del documento, se
transmite directamente desde el equipo presente en el sitio que dispone de una copia. El
ahorro se realiza no nicamente en el ancho de banda del enlace, sino tambin en el tiempo
de acceso a los documentos y aplicaciones remotos que puede resultar muy similar al de un
acceso local.
Esta opcin tambin est disponible a partir de Windows 7 bajo la forma de una cach
repartida entre las distintas mquinas.
A partir de sistemas cliente Windows 7 y servidores 2008 R2, es posible utilizar la

tecnologa BranchCache. Para ello, basta con activar la directiva de Windows
correspondiente.
Preste atencin, en aquellos servidores de archivos donde quiera activar los recursos
compartidos y utilizar BranchCache, debe agregar un servicio de rol en el rol Servicios de
archivos y almacenamiento.
1. Instalacin de BranchCache
La primera etapa consiste en instalar la funcionalidad sobre cada servidor que comparte
recursos.
No obstante, todas las operaciones pueden realizarse a partir de una nica mquina que
posea el administrador del servidor 2012 instalado.
El asistente que permite agregar roles y caractersticas puede ejecutarse desde

distintos niveles del administrador del servidor. La opcin ms rpida es, a menudo, el
botn Administrar del men principal.
La instalacin de todos los roles y funcionalidades se realiza con una nica seleccin.
Seleccione el servidor que desea configurar. Preste atencin, por defecto, slo aparece el
servidor local. Los dems servidores deben agregarse previamente. La administracin
remota debe estar autorizada a nivel de firewall.
Cada servidor accesible por los clientes que utiliza la funcin de BranchCache debe
habilitar este modo. Esta opcin permite habilitar la cach sobre los archivos compartidos
de este servidor.
Seleccione la opcin BranchCache para archivos de red.
El servidor est, ahora, activo como cliente y servidor de BranchCache para los sitios Web
y cliente, nicamente, para los servidores de recursos compartidos de archivos.
Seleccione BranchCache.
El servidor est, ahora, activo como servidor de BranchCache para los archivos.
El servicio BITS (Servicio de transferencia inteligente en segundo plano) debe estar

iniciado si quiere utilizar BranchCache sobre los sitios Web de este servidor.
Confirme la seleccin.
Tras la instalacin, se inicia el servicio BranchCache, habitualmente sin necesidad de
reiniciar el servidor.
A continuacin, debe activar una directiva de grupo que permita, al servidor, utilizar las
funcionalidades de decodificacin de tipo "Hash coding". Esta funcionalidad permite
identificar cada documento de forma nica y detectar sus modificaciones basndose en el
hash nico para cada archivo.
Esta opcin autoriza la activacin de BranchCache sobre todos los recursos compartidos.
No olvide forzar la aplicacin de la directiva.
La gestin de las directivas de grupo se accede desde el men Herramientas de un

controlador de dominio.
La configuracin del servicio BranchCache se aplica sobre la directiva Equipo, en

Directivas - Plantillas administrativas - Red - BranchCache.
2. Configuracin de los recursos compartidos
Sobre cada recurso compartido, la opcin de cach puede accederse mediante el botn
Configuracin sin conexin.
La configuracin de los recursos compartidos puede realizarse desde la consola
Administracin de equipos - Carpetas compartidas - Administrar recursos
compartidos y almacenamiento o, simplemente, desde la propia carpeta, mediante la
pestaa Recursos compartidos - Uso compartido avanzado y, a continuacin, el botn
Cach.
Seleccione la opcin Habilitar BranchCache.

Preste atencin, a diferencia del modo sin conexin clsico, los documentos o programas
ejecutables slo estarn disponibles si el recurso compartido y el documento remoto estn,
efectivamente, accesibles. En efecto, antes de enviar el documento al usuario desde la
cach, es necesario verificar que el archivo no se ha modificado y que los permisos siguen
autorizando al usuario acceder al mismo.
3. Configuracin de los clientes
El servicio BranchCache viene instalado, por defecto, en los clientes Windows 7 y 8,

aunque deber iniciarlo para que la directiva de grupo sea eficaz.
Ejecute la herramienta de Administracin de directivas de grupo desde el

Cree una nueva directiva especfica en el contenedor Objetos de directiva de grupo.

Puede asociar, ms adelante, la directiva a la unidad organizativa que contiene los equipos
seleccionados.
He aqu la directiva de grupo que debe definir para configurar los clientes:
El parmetro Activar BranchCache permite habilitar el uso de la cach, aunque no
se produce el arranque del servicio BranchCache, que se configura para arrancar
automticamente sobre los equipos.
Su activacin se realiza mediante la directiva, y se proponen dos modos:
El modo distribuido, que se utiliza cuando no hay ningn servidor disponible en el

sitio.
En este modo, todas las estaciones del sitio activadas por el BranchCache
comparten la cach y verifican, de manera local, la presencia del documento
buscado en una de las cachs antes de ir a buscar el archivo original en el sitio
central.
El modo hospedado, a menudo recomendable cuando existe un servidor Windows

2008 R2 o superior en el sitio remoto.
En este modo, todas las estaciones del sitio activadas por el BranchCache utilizan el
servidor para verificar la presencia del documento y alojarlo en la cach si es
necesario.
La activacin del modo BranchCache para archivos de red permite indicar el

retardo a partir del cual se decide, efectivamente, poner en cach el archivo
afectado.
El valor 0 hace que se alojen en cach todos los archivos.
El parmetro Establecer el porcentaje de espacio en disco usado por la memoria

cach del equipo cliente define el porcentaje de espacio en disco autorizado para la
cach sobre las estaciones o los servidores definidos para el almacenamiento de los
archivos.
El valor por defecto es un 5 %.
Esta lgica significa que se preparar una directiva especfica para cada sitio remoto
que contenga bien un servidor, o bien una cach repartida entre las distintas
estaciones. Observe que el arranque automtico del servicio puede incluirse en la
misma directiva.
A partir del cliente Windows 8, se incluyen algunas novedades:
La activacin de deteccin automtica de la cach hospedada permite, al cliente,

buscar directamente el servidor hospedado correspondiente con el sitio de conexin,
lo que evita una configuracin por sitio.
El parmetro Establecer el vencimiento de los segmentos de la memoria cach
de datos define el periodo de tiempo durante el que se conservan los elementos
considerados como vlidos. La duracin por defecto es de 28 das.
El parmetro Configurar compatibilidad con versiones de clientes de
BranchCache permite, a los clientes Windows 8, ser compatibles con las versiones
anteriores de BranchCache. Si esta opcin no se utiliza, cada mquina utiliza su
propia versin y su propio formato, lo cual puede provocar incompatibilidades con
los datos hospedados en la cach por una versin diferente.
En definitiva, Microsoft refuerza la optimizacin de los sitios remotos, buscando, siempre,
mejorar el acceso remoto. En efecto, este tipo de funcionalidad permite considerar una
centralizacin mucho ms importante de recursos y archivos compartidos, limitando el
nmero de servidores necesarios para mantener el conjunto y facilitar la administracin y la
copia de seguridad del conjunto de informacin.
Las carpetas de trabajo

1. Presentacin
Se trata de un nuevo rol de servicio que depende del servicio de archivos y de

almacenamiento. El objetivo es permitir la sincronizacin de archivos profesionales entre
varios PC o dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa.
Los archivos los gestiona la empresa, que mantiene el control de la informacin definiendo
el marco de uso mediante directivas de encriptacin y de contrasea.
De momento, slo Windows 8.1 (versiones normal y RT) pueden utilizar esta funcionalidad
(el mdulo no existe en el servidor y, por tanto, no es compatible con Windows Server
2012 R2). Existe una aplicacin, Work Folders client for Devices, pero no se ha
proporcionado una fecha para su publicacin en el momento de escribir estas lneas.
Las carpetas de trabajo se ubican en una carpeta del servidor llamada Recurso compartido
de sincronizacin. La carpeta seleccionada puede contener documentos del usuario que
estarn disponibles, inmediatamente, para el usuario sin tener que realizar ninguna
migracin.
La administracin se lleva a cabo desde la interfaz del Administrador del servidor o

mediante comandos PowerShell.
He aqu la lista de comandos que puede es posible utilizar:
Comando
Descripcin
PowerShell
Enable-SyncShare Activar un recurso compartido de sincronizacin
Disable-SyncShare Desactivar un recurso compartido de sincronizacin
Get- Obtener la configuracin de un recurso compartido de
SyncServerSetting sincronizacin.
Get-SyncShare Obtener la lista de recursos compartidos
Get-SyncUserSetting Recuperar la configuracin del usuario desde el servidor de
sincronizacin.
Get-SyncUserStatus Recuperar el estado del usuario desde el servidor de
sincronizacin.
New-SyncShare Crear un recurso compartido de sincronizacin.
Remove-SyncShare Eliminar un recurso compartido de sincronizacin.
Repair-SyncShare Reinicializar los metadatos de un usuario de recurso
compartido de sincronizacin.
Set- Modificar la configuracin de un servidor de recursos
SyncServerSetting compartidos de sincronizacin.
2. Requisitos previos
En la red interna, he aqu los requisitos previos mnimos:
Un servidor Windows Server 2012 R2

Un volumen con formato NTFS
Para acceder desde Internet:

Se recomienda utilizar un certificado en el servidor (el acceso mediante http es
posible, aunque debe evitarse en produccin).
El servidor debe estar accesible mediante HTTPS (y/o http) desde Internet, a travs
de una publicacin de tipo ReverseProxy o Gateway.
De manera opcional, si los controladores de dominio no funcionan con Windows Server

2012 R2:
Una extensin del esquema para agregar un atributo que contenga el servidor de
sincronizacin.
Si esta extensin no se lleva a cabo, el usuario debe conocer e informar la URL de

acceso cuando se configure la configuracin del cliente.
Una infraestructura AD FS, si se utiliza autenticacin AD FS (consulte el captulo

Acceso remoto - seccin Rol Web Application Proxy).
En los equipos cliente:
Una versin de Windows adaptada (de momento Windows 8.1 o 8.1 RT).
El espacio suficiente en el disco local NTFS.
Por defecto, la carpeta %USERPROFILE%\Work Folders contiene los datos

sincronizados. Pero es posible seleccionar otra ubicacin, en un dispositivo USB o
MicroSD, por ejemplo. El tamao mximo de los archivos es de 10 GB. Es posible definir
cuotas mediante el FileServerResourceManager.
3. Instalacin en el servidor
La instalacin mediante PowerShell es relativamente sencilla:
Add-WindowsFeature FS-SyncShareService
Con una nica instruccin es posible implementar este nuevo tipo de recurso compartido.
New-SyncShare SyncDataUsuarios -path E:\ USERS

-User MiEmpresa\MiUsuario -RequireEncryption $true
-RequirePasswordAutoLock $true
Las distintas opciones de configuracin se detallan en la configuracin mediante el

asistente grfico. En concreto, encontraremos:
El uso de una subcarpeta determinada que podemos indicar, en caso contrario se

incluirn todas las carpetas.
El uso del nombre de login (NetBIOS) o el nombre nico, llamado UPN.
Desde el asistente para agregar roles y caractersticas es preciso seleccionar el rol Servicios
de archivos y almacenamiento y, a continuacin, Servicios de iSCSI y archivo.
Es probable que el servidor seleccionado ya tenga estos elementos instalados.
Seleccione, a continuacin, el rol de servicio Carpetas de trabajo entre los componentes

propuestos.
Valide para agregar la funcionalidad Ncleo de web hospedable IIS.

Esta funcionalidad habilita y utiliza, automticamente, los puertos 80 (HTTP) y 443
(HTTPS).
Tras validar la funcionalidad:

Observe que los dems componentes de IIS no son indispensables para el buen
funcionamiento.
Las carpetas de trabajo estn, ahora, instaladas.

La configuracin se encuentra, naturalmente, en la seccin Servicios de archivos y
almacenamiento del servidor local.
Haga clic en el vnculo Para crear un recurso compartido de sincronizacin para

Carpetas de trabajo.
Para simplificar seleccione, preferentemente, una carpeta nueva y especfica para este uso.
Cada usuario tendr su carpeta personal en la carpeta indicada; la solucin aqu diseada es
til nicamente para carpetas personales y, en ningn caso, para carpetas comunes.
La carpeta se crea si no existe.
Indique la nomenclatura utilizada para las carpetas, as como la carpeta que se desea
sincronizar, si no queremos sincronizar el total de carpetas presentes en la ubicacin
indicada.
Por ejemplo, si utilizamos la carpeta E:\USERS, esta carpeta se comparte para recibir todas
las carpetas personales bajo la forma \\servidor\USERS\%username%, mientras que puede
ser preferible limitar la replicacin de la carpeta de trabajo nicamente a una subcarpeta
concreta, nueva o existente.
Indique el nombre del recurso compartido de sincronizacin y su descripcin.

Agregue los usuarios o, mejor, los grupos autorizados que deben poder utilizar este recurso
compartido de sincronizacin.
A menudo es preferible deshabilitar la herencia de las autorizaciones a este nivel para evitar
cualquier riesgo de conflicto con permisos no deseados (la opcin correspondiente est
marcada por defecto). Esto es, sobre todo, importante si la carpeta seleccionada o una
carpeta superior estn compartidas y se han definido permisos sobre las carpetas superiores.
Indique la seguridad seleccionada para los datos.

Esta directiva debe aceptarla el usuario antes del primer uso de los grupos de trabajo,
incluidos ordenadores y dispositivos que no forman parte de la empresa (o del dominio) y
sobre los que el usuario desea realizar la sincronizacin.
Valide el conjunto de opciones configuradas.

La representacin del resultado final:
El acceso a las carpetas se vuelve lo ms seguro posible. Por defecto, slo el acceso
mediante el protocolo encriptado HTTPS est habilitado en el equipo cliente. Esto significa
que es preciso disponer de un certificado en el servidor.
Si el servidor recibe automticamente un certificado emitido por una entidad emisora

interna, las carpetas de trabajo pueden utilizarse automticamente.
A modo de prueba, es posible deshabilitar la obligacin de usar HTTPS en el equipo cliente

ejecutando el siguiente comando en el equipo cliente:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v

AllowUnsecureConnection /t REG_DWORD /d 1
Mejor que deshabilitar el uso de HTTPS, una solucin ms elegante consiste en generar un
certificado que contenga los nombres internos y externos, para permitir a los clientes
acceder a las carpetas de trabajo de forma segura tanto desde la red local (mediante la URL
WorkFolders.MiEmpresa.Priv) como desde una red externa (WorkFolders.MiEmpresa.Es),
que es el objetivo principal de esta funcionalidad.
El siguiente comando permite generar un certificado autofirmado con este fin. Sepa que es,
tambin, posible comprar un certificado emitido por un proveedor pblico si no dispone de
una PKI en su empresa o el despliegue de certificados autofirmados le resulta demasiado
complejo.
New-SelfSignedCertificate -DnsName
"WorkFolders.MiEmpresa.Priv","SrvFic01.MiEmpresa.Priv",
"WorkFolders.MiEmpresa.Es" -CertStoreLocation
cert:Localmachine\My
Tras crear el certificado, debe agregarlo en las entidades raz del servidor, y en los distintos
clientes.
El nombre DNS WorkFolders permite automatizar y facilitar la bsqueda, disponiendo de

una forma para descubrir automticamente la configuracin, a partir de la direccin de
mensajera indicada por el usuario una vez se establece la conexin. Se recomienda crear
una entrada de tipo CNAME (alias) para este nombre en la zona DNS interna, y hacerla
apuntar al registro A (Host) correspondiente al servidor de archivos.
Para habilitar el uso del certificado que acaba de instalar, es preciso afectar al proceso IIS
Core mediante el siguiente comando que puede ejecutar desde una ventana de comandos
CMD.
netsh http add sslcert ipport=0.0.0.0:443 certhash=<Cert thumbprint>

appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}
certstorename=MY
El nmero de firma (thumbprint) que debe indicar en el comando puede obtenerse mediante
el siguiente comando PowerShell:
dir cert:\localmachine\my
Thumbprint Subject
---------- -------
EFEE6E02A04A2C1D18AF2B70B49103DF2E191ABC CN=WorkFolders.MiEmpresa.Priv
Para completar esta seccin sobre la configuracin, es posible modificar el esquema Active
Directory para agregar un campo suplementario que permita administrar la URL de acceso
a las carpetas de trabajo. Este campo puede resultar interesante si varias carpetas de trabajo
se definen en distintos servidores para asociar al usuario a una carpeta de trabajo concreta.
Esta extensin se agrega, por lo general, en el esquema tras su actualizacin, antes de

promover el primer controlador de dominio 2012 R2.
El siguiente enlace indica los elementos necesarios para administrar esta extensin sin tener
que preparar el dominio para Windows Server 2012 R2:
http://blogs.technet.com/b/filecab/archive/2013/10/09/a-new-user-attribute-for-work-
folders-server-url.aspx
Por otro lado, la gestin de la directiva de 2012 R2 permite modificar esta URL para el
usuario.
El parmetro Especificar configuracin de carpetas de trabajo se encuentra en Usuarios
- Directivas - Plantillas administrativas - Componentes de Windows - Carpetas de
trabajo.
Permite habilitar las carpetas de trabajo, indicar la direccin URL que debe utilizar, y forzar
la configuracin automtica.
4. Configuracin en el puesto cliente
El mdulo Carpetas de trabajo est integrado en Windows 8.1. Basta con configurarlo
desde el panel de control.
Acceda al Panel de control y seleccione Carpetas de trabajo.
Haga clic en Configurar carpetas de trabajo.

Indique su sufijo UPN (tiene el formato de una cuenta de correo electrnico).
La URL se configura automticamente si los equipos estn integrados en el directorio o si

la configuracin automtica est basada en el nombre WorkFolders.
Si la configuracin automtica no funciona, o si desea utilizar un servidor de sincronizacin

diferente, la opcin Indicar una URL de Carpetas de trabajo sirve para definir una
direccin de sitio web diferente.
En el caso de una estacin integrada en AD, se utiliza la autenticacin integrada.
Si todo funciona bien, la configuracin contina con la configuracin de la ubicacin de los

datos.
Acepte la directiva de empresa.
Este concepto es importante en trminos de permisos de datos, incluso para equipos

integrados en el dominio.
La configuracin de las carpetas de trabajo finaliza.

Es posible, a continuacin, administrar la configuracin de las carpetas de trabajo desde el
Panel de control.
Con el uso, es posible modificar ciertos parmetros de sincronizacin en el servidor y en el

puesto cliente.
Por defecto, las modificaciones locales sobre los dispositivos tienen preferencia e inician la
sincronizacin. Si las modificaciones provienen del servidor (o de la sincronizacin de otro
dispositivo), tardarn ms en tenerse en cuenta. Es, por tanto, posible configurar el
intervalo entre dos verificaciones de sincronizacin.
Por defecto, el intervalo de verificacin es de 5 minutos. El valor mnimo es de 1 minuto,

aunque si se disminuye este valor, no hay que olvidar tener en cuenta la potencia de CPU y
el disco necesarios para realizar esta operacin, que depende de la cantidad de archivos a
examinar.
He aqu la sentencia PowerShell que permite configurar este parmetro a tres minutos.
set-SyncServerSetting -MinimumChangeDetectionMins 3
Conclusin
Se han aportado numerosas mejoras relativas a DFS! Por ejemplo, el hecho de disponer de
comandos PowerShell para configurar la replicacin DFS permite utilizar Remote
PowerShell desde una mquina donde el componente no se encuentre instalado.
La existencia de un proveedor WMI para la replicacin mejora las nuevas herramientas de

gestin destinadas a controlar la replicacin.
Una base de DFSR corrupta puede reconstruirse sin riesgo de prdida de enlaces ligados a
una sincronizacin inicial no autoritativa. Ya no se corre el riesgo de perder,
arbitrariamente, los archivos en conflicto. Antes, en caso de producirse un error en la base
tras una sincronizacin inicial, la replicacin reiniciaba completamente desde el origen, sin
tener en cuenta archivos ms recientes que podran encontrarse.
El cross-file RDC se encuentra, ahora, deshabilitado. Por defecto, la replicacin puede

utilizar hasta cinco orgenes de un mismo archivo para generar un nuevo archivo sobre un
nuevo destino. Se obtiene, tambin, un ahorro en tiempo y en ancho de banda en redes
lentas o de tipo medio. En cambio, segn la configuracin de la red, si las redes son
rpidas, es posible que afecte al rendimiento y al tiempo que se pasa de manera local a
procesar la informacin cuando se tratan conjuntos importantes de archivos con muchas
similitudes. Los comandos SET-DFSRConnection y ADD-DFSRConnection soportan,
ahora, la opcin -DisableCrossFileRdc!
El file staging tuning permite definir el tamao mnimo a partir del cual se comprime un
archivo y se replica por partes, pasando por la etapa llamada Staging. El resultado es que,
por defecto, los archivos de menos de 64 KB no pasan por esta etapa de staging y no se
comprimen. Windows Server 2012 R2 permite indicar el tamao mnimo (entre 256 Kb y
512 TB) antes de que un archivo se procese y comprima. Los rendimientos se ven, de este
modo, mejorados en detrimento de un ancho de banda algo ms exigente.
Existen dos nuevos comandos PowerShell que facilitan la recuperacin de los archivos en
conflicto (ConflictAndDeleted) y carpetas preexistentes (PreExisting): Get-
DFSRPreservedFiles muestra los datos correspondientes y Restore-DFSRPreservedFiles
los recupera bien en su carpeta de origen, o bien en un nuevo destino
Tras un corte de corriente o un fallo inesperado, la base de datos de DFSR se repara y, a

continuacin, se reactivan automticamente las replicaciones una vez preparada la base de
datos.
En caso de deshabilitar un miembro de la replicacin DFSR, los datos presentes, incluidas

las carpetas ConflictAndDeleted y PreExisting, no se eliminan.
Esto representa muchas pequeas mejoras que, de manera global, aportan una fiabilidad
mucho mayor a los datos gestionados mediante DFS.
Introduccin
Este captulo est dedicado a la alta disponibilidad. Su objetivo es describir las posibles
ofertas en trminos de alta disponibilidad con Windows Server 2012 R2. Aumentar la
disponibilidad de los servicios que se ofrecen es un reto permanente en cualquier
departamento informtico.
Existen una serie de factores que favorecen esto:
Homogeneizar los servidores que se basan en una instalacin y una configuracin

idnticas (vase el captulo Despliegue de servidores y puestos de trabajo).
Centralizar la configuracin por GPO (consulte el captulo Dominio Active
Directory).
Salvaguardar y mantener actualizados los servidores (consulte el captulo El ciclo
de vida de su infraestructura).
Replicar los archivos ofimticos (consulte el captulo Arquitectura distribuida de
acceso a los recursos).
Duplicar los servicios de infraestructura de red (controladores de dominio,
servidores DNS, DHCP...).
Utilizar la versin Core de Windows Server 2012 R2 para limitar los tiempos de
indisponibilidad debidos a instalaciones o actualizaciones de seguridad.
Virtualizar el servicio y hospedar la mquina virtual en un clster Hyper-V.
Una vez llevadas a cabo todas estas acciones, algunos servicios crticos siguen dependiendo
de un servidor nico que, tarde o temprano, fallar o ser necesario reiniciar tras haber
instalado algn parche o correctivo. Es aqu donde entra en juego la alta disponibilidad, que
permite convertir un servicio necesariamente disponible en un servicio altamente
disponible. Es un buen complemento de los factores anteriores.
Los servidores que participan de la alta disponibilidad se designan como nodos de un
clster, y ste define al conjunto de servidores. El clster se prev para dar respuesta a
fuertes necesidades de disponibilidad y no debe considerarse a la ligera. Antes de decidir si
una solucin de tipo clster responde a esta necesidad, es necesario plantearse ciertas
preguntas:
Cul es la tasa de disponibilidad de la solucin actual?

Cul es la tasa de disponibilidad deseada/solicitada?
Cunto cuesta la prdida de la disponibilidad actual?
En caso de fallo, cunto tiempo hace falta para restaurar el servidor?
Est la solucin que presta el servicio preparada para funcionar en modo clster?
Un solo servidor es capaz de aportar todos los recursos de hardware necesarios o es
necesario disponer de varios servidores activos al mismo tiempo?
Elecciones de arquitectura
1. Las distintas arquitecturas
Tras los trminos de alta disponibilidad se esconden dos tipos de soluciones distintas:
Soluciones de tipo activo/pasivo.

Soluciones de tipo activo/activo.
La primera solucin aumenta la disponibilidad del servicio haciendo bascular los recursos
de un servidor a otro en caso de existir algn problema (solucin altamente disponible). La
segunda solucin permite tener varios servidores que responden a las solicitudes al mismo
tiempo (reparto de carga) y que pueden tolerar la prdida de algn miembro (solucin
altamente disponible).
Las soluciones de tipo activo/activo pueden parecer, a primera vista, ms interesantes,

aunque son, generalmente, mucho ms complejas y deben considerarse para dar respuesta a
un problema concreto de reparto de carga. En un entorno Microsoft, las soluciones son las
siguientes:
Solucin activo/pasivo: clster de conmutacin por error (MSCS - Microsoft

Cluster Service).
Solucin activo/activo: clster de reparto de carga de red (NLB, Network Load
Balancing).
Una aplicacin destinada a los usuarios debe ser compatible con una solucin de alta
disponibilidad. Dejando a parte los "grandes" desarrolladores de software, es habitual que
un proveedor de aplicaciones no haya probado, jams, su aplicacin en un entorno de alta
disponibilidad y que no pueda, por tanto, asegurar su funcionamiento. Como mnimo, cabe
analizar los siguientes puntos :
Puede residir el conjunto de datos en volmenes compartidos y, por tanto,
diferentes a las unidades locales C:, D...?
Deben replicarse algunas claves de registro entre ambos servidores?
La aplicacin utiliza algn dispositivo de proteccin fsica (dongle instalado en un
puerto USB o paralelo, por ejemplo) o se requiere una conexin fsica que no se
puede duplicar ni conectarse sobre dos servidores?
Los clientes pueden utilizar un nombre NetBIOS/DNS y una direccin IP distintos
del de la mquina fsica (nombre/IP virtuales)?
Cules son los mecanismos para detectar un fallo en la aplicacin y decidir
bascular al otro nodo?
Caso 1: solucin activo/pasivo
Un nico servidor hospeda un mismo recurso en un momento determinado. No existe

ninguna necesidad de sincronizar los datos de aplicacin con los dems servidores (hasta
64, como mximo). Si se produce un fallo, otro servidor inicia la aplicacin, que tendr
acceso a los mismos volmenes de disco que el servidor anterior, debiendo gestionar la
interrupcin brusca del servicio (registros de transacciones, en el caso de una base de datos,
por ejemplo). El almacenamiento puede suponer un punto de fallo nico en ciertos casos. El
almacenamiento corporativo (SAN, etc.) es caro, y generalmente se comparte entre varias
aplicaciones y plataformas. En contrapartida, todos los elementos se duplican,
especialmente los controladores. Si bien se tiene especial precaucin en que nunca se
produzca un fallo, sigue siendo posible. Otro problema es la corrupcin de algn volumen
(LUN) que hospede datos. Si fuera preciso realizar una verificacin de la particin
(chkdsk), cabra considerar la indisponibilidad durante la duracin de la misma (que
depende del nmero de archivos y no del tamao del volumen).
Caso 2: solucin activo/activo
N servidores (hasta 32, como mximo) responden a las solicitudes simultneamente. Los
servidores deben poder responder a todas las consultas y, por tanto, tener acceso al conjunto
de datos que permiten elaborar las respuestas. Su uso ms extendido son las granjas de
servidores Web. Todos los servidores tienen una copia del sitio Web y los datos se
almacenan en una base de datos que se hospeda fuera de la granja. La complejidad aparece
en la gestin de la sesin del usuario. El usuario puede tener un carrito de la compra (en un
sitio comercial) y/o estar autentificado en el sitio. Si el servidor que ha respondido a sus
consultas dejara de funcionar, otro servidor debera ser capaz de poder tomar el relevo,
preferentemente sin reenviar al usuario a su pgina de inicio. La sesin del usuario debe,
por tanto, conservarse de forma externa al servidor, por ejemplo utilizando una base de
datos.
Esto implica que el sitio web tiene que haber previsto este tipo de arquitectura y
almacenar la sesin de forma externa al servidor. Sobre un sitio comercial muy
frecuentado, esta gestin de la sesin tiene un impacto enorme en el consumo de recursos.
Es posible utilizar un clster de tipo NLB en modo activo/pasivo, aunque este modo de
funcionamiento supone un uso atpico respecto a la filosofa del producto.
He aqu una tabla que resume las principales diferencias entre ambas soluciones:
Ventajas Inconvenientes
Clster de No se produce ninguna Almacenamiento externo
conmutacin sincronizacin entre los mutualizado.
por error servidores.
Un nico servidor debe ser capaz
Es consciente del estado de de gestionar la carga (activo/pasivo
la aplicacin (funciona o por grupo de recursos).
no) y de los recursos
(saturados o no).
Clster NLB Reparto de carga Trabaja nicamente a nivel IP.
(activo/pasivo).
No es consciente del estado de la
Sin almacenamiento aplicacin.
mutualizado.
Observe que estas dos tecnologas no pueden estar soportadas en el mismo servidor, vase
el artculo 235305 (Interoperability between MSCS and NLB) de la base de conocimiento
Microsoft.
2. Alta disponibilidad, la panacea de su infraestructura?
Las promesas de la alta disponibilidad slo podrn materializarse si los equipos y los
procedimientos son coherentes con la necesidad a la que responden estas promesas. Si bien
el coste de la solucin es elevado, slo se ver amortizado si permite, efectivamente, evitar
interrupciones en el servicio. El coste de la solucin implica, como mnimo, los elementos
siguientes:
Inversiones en material (dos servidores, en lugar de uno, por ejemplo).

Volumen de espacio, consumo elctrico y de climatizacin suplementario.
El coste de "mantenimiento y gestin de infraestructura" (dos licencias de Windows
Server, los agentes de copia de seguridad...).
Licencias de las aplicaciones, algunos fabricantes obligan a pagar dos veces el
precio de la licencia de la aplicacin, incluso cuando se realiza un uso activo/pasivo.
La supervisin y la copia de seguridad se vuelven tareas ms complejas.
Necesidad de tener un almacenamiento compartido cuando se podra haber
trabajado con discos internos.
Coste de personal para formarse en esta tecnologa.
Coste de personal para mantener operativa toda la solucin.
Estos costes se producen por entorno y deben reportarse en cada entorno impactado
(preproduccin, certificacin...). El coste de una indisponibilidad debe, por tanto, ser
superior a todos estos costes.
El riesgo consiste en considerar un clster como un servidor clsico "mejorado". Este
enfoque es, a menudo, fatal en las versiones anteriores de Windows. Bastaba con que un
administrador borrara un recurso compartido de archivos desde el explorador en lugar de
hacerlo desde la consola de administracin del clster para hacer fallar este recurso de
clster y provocar, por defecto, una conmutacin por error del mismo. Microsoft ha
revisado a conciencia la integracin de la capa de clster en el sistema operativo. Este
mismo error en Windows Server 2012 R2 se gestiona, y el sistema elimina de hecho el
recurso de clster directamente sin provocar una incidencia. Esto provoca una importante
disminucin de los incidentes provocados por errores humanos debidos a un mal
conocimiento de las especificaciones de esta solucin.
La poltica de los fabricantes en lo relativo a las licencias evoluciona, aunque sigue

existiendo cierto desfase. Por ejemplo, ya no es necesario adquirir la versin Enterprise de
Microsoft SQL Server para implementar un clster, desde la versin 2005. En cambio, el
mismo producto sigue requiriendo una licencia Enterprise para formar un clster NLB de
servidores SSRS (SQL Server Reporting Services).
Un clster NLB presenta, tambin, problemas que no deben ignorarse. Se trata de un

administrador de la carga de red de nivel 3 (IP), que no tiene, por tanto, consciencia del
estado de las aplicaciones para las que reparte la carga. Si se trata de aplicaciones web, por
ejemplo, la parada de un IIS en uno de los servidores no lo sacar del clster. Tendr una
parte de los usuarios que no podr acceder al sitio Web, en particular si est habilitada la
afinidad. Esto le obliga a implementar un mecanismo de verificacin de la aplicacin, para
sacar de la granja a un nodo con error. El nico caso gestionado por un clster NLB es un
problema de nivel 3 o inferior. Por ejemplo, si el servidor pierde el acceso a la red, se
sacar automticamente de la granja y los usuarios se repartirn sobre los nodos restantes
(convergencia). Una excepcin la constituye, por ejemplo, Microsoft Forefront TMG, que
controla el clster NLB y sale del clster si encuentra algn problema.
La tecnologa NLB proporciona varias soluciones para crear una direccin IP virtual,
aunque todas presentan ventajas e inconvenientes. Algunos fabricantes de red (Cisco,
Enterasys...) requieren una configuracin especial para poder funcionar.
Un clster NLB est formado, a menudo, por dos servidores, con un mximo de 32
servidores. A diferencia del modo activo/pasivo, podemos encontrar una situacin en la que
uno de los nodos no pueda gestionar, por s mismo, toda la carga. La alta disponibilidad no
est, por tanto, asegurada, pues la prdida de un nodo genera una interrupcin del servicio o
una degradacin en el rendimiento. Es preciso, por tanto, prestar atencin a la carga que
debe absorber la granja para tolerar la prdida de un nodo. Este fenmeno tambin puede
darse en un clster de conmutacin por error, si los dos nodos trabajan en modo activo
sobre recursos diferentes (activo/activo en modo cruzado). Microsoft no recomienda
utilizar esta configuracin, y propone, en su lugar, utilizar un clster de tres nodos en este
caso (activo/activo/pasivo). El nodo pasivo se encuentra mutualizado con los otros dos
nodos activos.
Reparto de carga (clster NLB)

El reparto de carga resulta indispensable cuando no basta con un nico servidor para
gestionar toda la carga de la aplicacin o mantener unos tiempos de respuesta aceptables. Si
no existen requisitos suplementarios de disponibilidad, se recomienda agregar, en primer
lugar, recursos hardware al primer servidor antes de considerar una solucin con varios
servidores.
El reparto de carga no supone una capacidad de carga lineal. Si un servidor es capaz de dar
servicios a 200 usuarios, dos servidores no tienen por qu, necesariamente, ser capaces de
dar servicio a 400 usuarios. Todo va a depender de la naturaleza de la carga y del
comportamiento de las sesiones TCP generadas. La nocin de afinidad permite conservar a
un usuario sobre el mismo nodo mientras dure su interaccin. De este modo, se disminuyen
los cambios de sesin de usuario sobre los servidores. Para ello, la granja calcula un hash a
partir de la direccin IP del cliente y su destino. Si todos los clientes se presentan con la
misma direccin IP (por ejemplo, cuando se ubican tras un firewall con reglas NAT), sern
redirigidos hacia el mismo servidor, anulando, de este modo, el reparto de carga.
El reparto no se realiza en funcin de la carga de los servidores. Si algunos usuarios saturan

uno de los nodos, seguir recibiendo el mismo nmero de usuarios que los dems nodos. Si
la carga entre los nodos no es del todo uniforme, deber desarrollar una rutina encargada de
drenar los nodos a partir de cierta carga.
1. Requisitos previos de una solucin NLB
Si bien la instalacin de la funcionalidad de reparto de carga de red es sencilla, conviene

respetar ciertos requisitos previos para obtener el mejor rendimiento posible. La primera
etapa consiste en instalar las ltimas actualizaciones del sistema operativo. En efecto, sera
una pena hacerlo justo una vez puesto en produccin el clster... si bien no debera
producirse ninguna parada del servicio en este caso.
Los servidores que participan del clster no deben ser controladores de dominio. No
obstante, es necesario que sean miembros del mismo dominio Active Directory y que estn
en la misma subred.
Desde un punto de vista de hardware, el servidor, as como sus componentes, deben

disponer del logotipo Certificado para Windows Server 2012 R2 o, como mnimo,
Certificado para Windows Server 2012 para garantizar su estabilidad (y el soporte por parte
de Microsoft en caso de producirse cualquier problema).
Incluso si basta con una interfaz de red por nodo, se recomienda encarecidamente utilizar,
como mnimo, dos interfaces de red: la primera para el host como mquina nica, y la
segunda para el trfico del clster. Si una de las interfaces de red se dedica al trfico del
clster, sta debe tener una direccin IP fija. Adems, el registro automtico DNS de esta
interfaz debe estar deshabilitado, as como NetBIOS sobre TCP/IP. Todas las interfaces de
red que forman parte del clster, sea cual sea el nodo, deben tener una configuracin
idntica desde un punto de vista de los parmetros (control de flujo, modo dplex y tipo de
medio). Para terminar, es posible utilizar tarjetas de red configuradas en teaming.
Para realizar la instalacin, deben utilizar una cuenta que posea permisos de administrador
local. Necesitar, tambin, el nombre completo del clster as como su futura direccin IP.
2. Crear una granja NLB
La creacin de una granja NLB es, tcnicamente, una tarea rpida. Es preciso, no obstante,
verificar ciertos puntos previamente:
El modo de operacin del clster:
Monodifusin (misma direccin MAC en todos los nodos).

Multidifusin (direccin MAC nica por nodo).
Multidifusin IGMP (direccin MAC nica por nodo e inscripcin de la
direccin IGMP).
El modo de filtrado:
Host mltiple (reparto de carga).

Host nico (activo/pasivo).
Ninguno (bloquear el trfico correspondiente a la regla).
El modo de afinidad (host mltiple nicamente):
Ninguno (envo sobre un nodo aleatorio).

nico (mantenerse sobre el mismo nodo por direccin IP cliente).
Red (mantenerse sobre el mismo nodo por subred completa).
Eleccin del modo de operacin del clster
La eleccin del modo de operacin debe realizarse de forma coordinada con los
responsables de la red:
El modo monodifusin asigna la misma direccin MAC sobre todos los nodos del
clster. Esto va en contra del funcionamiento de los switches, que memorizan las
direcciones MAC por puerto, y para los que es imposible registrar dos veces la
misma direccin MAC. NLB mitiga este punto activando la clave
"MaskSourceMAC". El paquete llega con una direccin MAC de destino
correspondiente a la del clster, aunque el nodo responde con la suya propia. El
switch no puede, en este caso, asignar la direccin MAC al nodo que responde y
sigue enviando los paquetes a toda la red (inundacin). Este comportamiento es "por
diseo". Si el modo es obligatorio (lo era con Microsoft ISA Server, en un
principio), existen varias alternativas. Es posible situar un hub entre los servidores
del clster y el switch. De esta forma, el switch ve la direccin MAC del clster
desde un solo puerto (sin "MaskSourceMac"), lo cual evita la inundacin. Esto no
forma parte, no obstante, de las "buenas prcticas". El uso de un conmutador de
nivel 3 (router) no es posible, pues todos los nodos comparten la misma direccin IP
y el router enva los paquetes en funcin de la direccin IP. Los servidores no
pueden comunicarse entre ellos, puesto que tienen la misma direccin MAC. Los
paquetes se reenvan al servidor sin salir de la propia tarjeta de red.
El modo multidifusin resuelve el problema de la direccin MAC agregando una
direccin MAC de tipo multidifusin e impidiendo a los equipos de red memorizar
la direccin MAC del clster. El switch enva los paquetes al conjunto de puertos,
entre los que se encuentran los nodos del clster. Se produce, todava, una
inundacin del trfico sobre todos los puertos de la red. Algunos equipos (Cisco, en
particular) requieren convertir parcialmente el switch en un hub por configuracin,
indicndole que transfiera sistemticamente los paquetes para la direccin MAC del
clster a los puertos de todos los nodos. Es posible limitar este problema aislando
los servidores tras un router, en una VLAN dedicada.
El modo multidifusin IGMP se comporta como el anterior, aunque los nodos se
registran, tambin, con una direccin IP IGMP de clase D (de 224.0.0.0 a
239.255.255.255). Esto obliga que los equipos de red soporten la multidifusin
IGMP, aunque permite resolver lo ms elegantemente posible los distintos
problemas. Cada nodo tiene su propia direccin MAC, la direccin IP de
multidifusin y slo los nodos reciben el trfico de red del clster.
He aqu algunos artculos que tratan este asunto en funcin de los fabricantes:
Cisco:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_e
xample09186a0080a07203.shtml
Enterasys: http://www.enterasys.com/partners/microsoft/sa-nlb-tb.pdf
Eleccin del modo de filtrado
El modo de filtrado permite definir el modo de funcionamiento del clster, desde un punto
de vista de los flujos de red. Permite definir qu paquete de red (puerto y tipo) debe
enrutarse hacia qu nodo(s), o si se bloquea, simplemente.
El modo de filtrado ms interesante es host mltiple, que es de tipo activo/activo, lo que

significa que varios nodos trabajan simultneamente y, por tanto, se reparten la carga de
trabajo y, por tanto, los flujos de red. El modo host nico es de tipo activo/pasivo, con el
nodo que tiene menor ID activo, donde slo el nodo activo recibe el flujo de red. El modo
de filtrado Ninguno permite bloquear el trfico sobre ciertos puertos, en particular para
proteger los nodos.
Eleccin del modo de afinidad
Utilizando un modo de filtrado de host mltiple, existen tres modos de afinidad posibles:
Ninguno: con cada conexin TCP de un mismo cliente, se le redirigir hacia el

nodo que tenga menos clientes. Este modo asegura el mejor reparto posible,
especialmente cuando no hay datos de cliente que deban mantenerse (carrito de la
compra, sesin...).
nico: permite mantener a un cliente (segn su direccin IP) sobre el mismo nodo
mientras la topologa de la granja no se vea modificada (se agregue/elimine un
nodo). Cada cliente debe tener una direccin IP nica para tener un reparto eficaz
(sin NAT, proxy...).
Red: se comporta como el filtrado anterior, aunque en vez de utilizar directamente
la direccin IP del cliente, calcula la direccin de la red. Si, por ejemplo, un cliente
se conecta con la direccin IP 192.168.1.1, NLB la transformar en 192.168.1.0.
Todos los clientes que pertenezcan a esta red de clase C bascularn sobre el mismo
nodo. Este tipo de filtrado permite mantener a un conjunto de clientes que
provengan de una misma red sobre un mismo nodo.
De forma complementaria, en Windows Server 2012 R2 (desde Windows Server 2008 R2

para ser ms exactos), la afinidad nica puede sobrevivir a un cambio en la topologa
(convergencia), a diferencia que con las versiones anteriores, donde el cliente era redirigido
hacia otro nodo. Si un cliente X se conecta sobre un nodo A y se agrega o elimina un nodo
del clster, el clster mantendr la afinidad durante X minutos. Este retardo de expiracin,
expresado en minutos, comienza desde que el cliente est inactivo. El valor por defecto es:
no activo (0 sombreado). Esto significa que la afinidad expira desde que el cliente se
desconecta. Si fuera necesario, el clster puede disponer de varias direcciones IP virtuales.
Esto es necesario, en particular, si hospeda varios sitios web con certificados SSL. A menos
que tenga un certificado de tipo wildcard (*.MiEmpresa.Priv), cada sitio deber tener una
direccin IP dedicada para las conexiones SSL. A diferencia del protocolo HTTP, que
autoriza los host virtuales, el protocolo SSL comienza negociando la seguridad, en primer
lugar, y realizando una validacin de la URL solicitada por el cliente.
3. Configurar la granja
La implementacin consiste en:
Instalar la funcionalidad "reparto de carga de red".

Crear la granja con un nombre y, al menos, una direccin IP sobre, al menos, un
nodo.
Configurar las reglas para determinar el trfico a repartir.
La instalacin puede hacerse mediante el Administrador del servidor aunque, tambin, a

travs de PowerShell. Windows Server 2012 R2 se instala con la versin 4 de PowerShell,
que permite instalar esta funcionalidad sobre varios nodos mediante un nico comando:
Invoke-Command -ComputerName nodo1,nodo2 -Command

{install-WindowsFeature NLB,RSAT-NLB}
La granja NLB puede crearse de dos formas:
Con la interfaz clsica NLB.

Con PowerShell.
Configuracin de la granja con la interfaz grfica:
Haga clic en Inicio - Herramientas de administracin - Administrador de equilibrio de

carga de red.
A continuacin, haga clic en Clster y Nuevo.
Seleccione un primer nodo para configurarlo, as como una interfaz (la que recibir el flujo
de red proveniente de los clientes y tenga como destino la direccin IP del clster). Defina
su prioridad, su interfaz de administracin y su estado por defecto..
Agregue, a continuacin, al menos una direccin IP utilizada por la granja.
Determine la direccin IP principal del clster as como el nombre del clster.
La siguiente etapa es crtica, y consiste en seleccionar el modo de operacin del

clster (monodifusin, multidifusin con o sin IGMP). Por defecto, todos los puertos estn
configurados con reparto de carga, con una afinidad de tipo nica.
Llegados a este punto, se crea la granja con un nico servidor como miembro. Es posible
agregar un segundo nodo mediante el men Clster - Agregar host:
La interfaz de gestin de las reglas permite seleccionar la direccin IP del clster donde se
aplica, un puerto, o un rango de puertos, su naturaleza (TCP, UDP) y el modo de filtrado:
Configuracin de la granja con PowerShell:
#Creacin del clster sobre el primer nodo

New-NlbCluster -InterfaceName NLB -ClusterName cluster1.MiEmpresa.Priv
-ClusterPrimaryIP
172.16.0.25 -SubnetMask 255.255.0.0
#Agregar un segundo nodo tras la creacin del primer nodo

Add-NlbClusterNode -Interface NLB -NewNodeName nodo2.MiEmpresa.Priv
-NewNodeInterface NLB
#O Agregar un segundo nodo tras el segundo nodo

Get-NlbCluster -HomeName cluster1.MiEmpresa.Priv | Add-NlbClusterNode
-NewNodeName nodo2.MiEmpresa.Priv -NewNodeInterface NLB
Para obtener la lista completa de comandos PowerShell que permiten administrar un clster
NLB (35 en total), ejecute uno de los siguientes comandos PowerShell:
Get-Command *-NlbCluster*
#O
Get-Command -Module NetworkLoadBalancingClusters
4. Ejemplo: granja Web IIS
Una granja de servidores Web supone el uso tpico de una solucin NLB. IIS 8.5 gestiona
la nocin de configuracin compartida, que facilita la gestin de la granja centralizando la
configuracin IIS de todos los servidores Web sobre un almacn compartido de archivos
UNC. El siguiente artculo de la TechNet describe su implementacin:
Las etapas son las siguientes:
Instalar el rol Servidor Web (Web-Server).

Crear, al menos, un clster NLB con dos nodos.
Modificar la regla por defecto, para equilibrar nicamente los puertos TCP 80
(HTTP) y 443 (HTTPS).
Llegados a este punto, tendr una granja formada por dos servidores Web con una afinidad
nica. Ya sabe que NLB no es consciente del estado de la aplicacin para la que realiza el
reparto de carga. En cambio, puede modificar el comportamiento de IIS para que tenga en
cuenta el clster NLB y modifique su comportamiento en caso de ocurrir algn problema.
Por defecto, IIS reenva un cdigo HTTP 503 en caso de fallo de algn pool de
aplicaciones. En el caso de una granja de servidores, es muy probable que slo este servidor
tenga el problema. Indicando al pool de aplicaciones que realice una respuesta a nivel TCP,
va a cerrar la conexin del cliente, que se ver redirigido hacia otro nodo de la granja.
Par modificar este comportamiento, vaya a la configuracin avanzada del pool de la

aplicacin:
5. Actualizacin de una granja NLB
La actualizacin de una granja NLB existente es ms sencilla que la creacin de una granja.
Los principales problemas son, generalmente, la compatibilidad de las aplicaciones y los
drivers, como con cualquier actualizacin sobre cualquier servidor de una infraestructura.
Una granja NLB bajo Windows Server 2012 R2 puede trabajar con nodos en alguna versin
anterior de Windows Server (Windows Server 2003 R2, como mnimo), y la actualizacin
necesaria es sencilla y no requiere crear ninguna granja nueva.
He aqu los posibles mtodos de actualizacin:

Parada total del clster: la parada total del clster permite realizar la actualizacin
en todos los nodos al mismo tiempo. Esto supone una parada total de los servicios
proporcionados por el clster.
Actualizacin por turnos (rolling update): se detiene uno de los nodos y se actualiza
a Windows Server 2012 R2. A continuacin, se realiza la misma operacin con otro
nodo del clster.
Agregar un nodo nuevo (nuevo hardware): se trata de una opcin comn puesto que,
por lo general, se aprovecha para renovar el hardware. Se agrega, simplemente, un
nodo nuevo que ya funciona con Windows Server 2012 R2. A continuacin, se
elimina el nodo de la generacin anterior.
Una vez realizada la actualizacin, conviene probar el conjunto de nodos as como la

tolerancia a fallos.
Clster de conmutacin por error

La tecnologa de clster de conmutacin por error tiene un enfoque distinto al de NLB. Su
objetivo consiste en mantener los recursos en lnea de forma permanente e ininterrumpida.
Cada recurso se instancia sobre un nico servidor a la vez, aunque varios servidores pueden
estar activos al mismo tiempo sobre recursos diferentes. Para garantizar un buen
funcionamiento, la capa de clster verifica una serie de puntos:
Funcionan la direccin IP y el nombre virtual?

Funciona el acceso al almacenamiento?
El nodo es capaz de comunicarse con los dems nodos (no est aislado)?
Los servicios que hay que mantener activos son funcionales?
Si se detecta algn incidente sobre alguno de los puntos anteriores, el clster bascula el
conjunto de recursos necesarios para el funcionamiento del (de los) servicio(s) sobre otro
nodo.
Como mnimo, un clster posee al menos un grupo (el grupo clster) que contiene:
Una direccin IP virtual.

Un nombre virtual.
Potencialmente, un volumen que forma parte de un qurum, o un disco testigo.
En caso de producirse algn problema en la red, el clster debe determinar qu nodos

funcionan correctamente y qu nodos deben retirarse del clster (y los recursos que los
hospedan deben conmutar). Los nodos que sean mayoritarios quedarn en lnea.
Existen cuatro modos de funcionamiento para determinar este comportamiento:
Mayora de nodo: el nodo que se comunica con la mayor parte de nodos resulta
ganador. Este modo funciona nicamente con un nmero impar de nodos.
Mayora de disco y nodo: cada nodo tiene su propio voto, as como el qurum de
disco. El nodo con ms votos gana. Windows Server 2012 R2 aporta una
modificacin en el clculo de votos (Dynamic withness) para obtener un resultado
impar de votos en cualquier situacin. Si el resultado del nmero de votantes (los
nodos, por tanto), es impar, entonces el voto del qurum se toma en consideracin.
Puede conocer el estado del voto del qurum mediante el cmdlet PowerShell: (Get-
Cluster). WithnessDynamicWeight. Si el valor es igual a "1", entonces el voto del
qurum se considera, si vale "0", el voto del qurum no se tiene en cuenta. Esta
configuracin no se recomienda para una configuracin multisitio (almacenamiento
replicado) y requiere que todos los nodos del clster estn instalados con Windows
Server 2012 R2.
Mayora de recurso compartido de archivos y nodo: idntico al anterior, aunque
utiliza un recurso compartido de archivos externo al clster en lugar del disco
qurum. Esta es la configuracin que utiliza Microsoft Exchange 2007 en su
configuracin en clster CCR (Cluster Continuous Replication) y por Microsoft
Exchange 2010 y 2013 para DAG (Database Availability Groups).
Sin mayora: slo disco: solamente un nodo puede poseer el volumen en un
momento determinado, y recupera el conjunto de los recursos. Esta solucin se
corresponde con el funcionamiento de un clster Windows Server 2000/2003. Ya no
es el modo recomendado, sobretodo en el caso de clster multisitio (con
almacenamiento replicado). No tolera la prdida del qurum de disco
(convirtindose en un punto de fallo nico).
Cada recurso hospedado en un clster (instancia SQL, comparticin de archivos,

Exchange...) dispone de uno o varios grupos que contienen un conjunto de recursos
dedicados a su funcionamiento.
Para poder definir un servicio o una aplicacin, hay que escoger entre las siguientes
opciones:
Aplicacin genrica
Servicio genrico
DTC (Distributed Transaction Coordinator)
Ordenador virtual (mquina virtual Hyper-V)
Message Queuing
Servidor de espacios de nombres DFS
Servidor de archivos
Servidor DHCP
Servidor de destino iSCSI
Servidor iSNS (Internet Server Name Service)
Servidor WINS
Otro tipo de servidor
Servicio de agente de conexin para los servicios de Escritorio remoto
Un script genrico. ste le permite utilizar un script para realizar verificaciones
especficas para determinar el estado del recurso y decidir o no conmutar el clster.
Una vez creado el grupo, pueden agregarse los siguientes recursos virtuales:
Aplicacin genrica
Punto de acceso de cliente (con un nombre y una direccin IP virtual)
Script genrico
Servicio genrico
Direccin de tnel de IPv6
Coordinador de transacciones distribuidas
Recurso compartido de NFS
Servidor DHCP, WINS
Carpeta compartida
En funcin del tipo de recurso, algunos parmetros estarn, o no, disponibles. Los
parmetros siguientes son comunes a todos los recursos:
Dependencias: este parmetro determina qu otros recursos deben estar operativos

para que este recurso funcione.
Este parmetro puede, a su vez, determinar en qu orden deben iniciarse los

recursos. Si alguna dependencia fallara, los recursos que dependan de ella se
detendrn.
Es posible utilizar los operadores lgicos "Y" y "O". El operador "O" permite
flexibilizar las dependencias, en la medida en que dos recursos pueden cumplir un
mismo rol. Es el caso, en particular, de un clster que tenga nodos sobre dos
subredes diferentes. Existen dos recursos de tipo direccin IP (una por cada
subred), aunque solamente habr operativo uno de ellos, en un instante T. El
operador lgico "O" permite satisfacer slo una de ambas dependencias.
Afectar al grupo: este parmetro est activo por defecto. Determina, en caso de que
falle algn recurso del grupo, si todo el grupo de recursos debe conmutar sobre otro
nodo. Si este recurso no es imprescindible para el funcionamiento del grupo
completo, puede considerarse el no conmutar y que el grupo no se vea afectado. Las
soluciones de copia de seguridad crean, por lo general, un recurso en el clster. Si se
produce algn problema (crash o una accin incorrecta en la solucin de seguridad),
todo el grupo conmutar. Una solucin de supervisin adecuada permite alertar
sobre el fallo de este recurso y dejar el tiempo suficiente para reparar el problema
antes de que empiece la copia de seguridad. Evitar, as, perturbar la disponibilidad
del clster de forma imprevista y no indispensable.
Intervalo de comprobacin: el intervalo entre dos verificaciones sobre la salud del
recurso. Puede ser necesario aumentar el tiempo por defecto en el caso de servidores
con mucha carga de trabajo.
En las versiones anteriores de Windows Server, era preciso tener una red privada,
dedicada a la comunicacin inter-nodo, llamada "heartbeat". Windows Server 2012 R2
ofrece una mayor flexibilidad y no impone esta restriccin. El motivo es no tener ningn
punto de fallo nico y, por tanto, disponer de, al menos, dos caminos de red entre los
nodos. Si utiliza iSCSI, las tarjetas de red deben estar dedicadas y la comunicacin inter-
nodo bloqueada. Si utiliza una red dedicada a la copia de seguridad, es, tambin, una buena
idea prohibir su uso al clster. El bloqueo se gestiona desde las propiedades de red, en la
consola Administrador de clster de conmutacin por error.
Es bastante comn que una aplicacin almacene ciertos parmetros en una base de registro.
Si fuera necesario, el clster puede replicar una arborescencia de la base de registro, situada
en HKEY_LOCAL_MACHINE. Esta configuracin puede estar ligada a un servicio de
Windows o a una aplicacin.
1. Validacin de su clster
En las versiones anteriores de Windows Server, el hardware deba estar certificado para
poder funcionar con el servicio de clster de conmutacin por error de Microsoft. En caso
contrario, Microsoft no garantizaba el soporte. Desde Windows Server 2008, este proceso
se ha simplificado. Para poder gozar de una configuracin soportada por Microsoft, basta
con que:
El hardware incluya el logotipo "certificado para Windows Server 2012 R2"

(certificado para Windows Server 2012, como mnimo).
La instalacin se valide mediante el asistente Validacin de una configuracin.
El asistente realiza una serie de comprobaciones sobre los siguientes dominios:
Configuracin del clster

Configuracin del sistema
Inventario
Red
Almacenamiento
Existen dos excepciones relativas a este asistente de validacin. Las configuraciones

siguientes no pasan la prueba relativa al almacenamiento:
Exchange en modo CCR (Cluster Continuous Replication). El clster no dispone de

un almacenamiento compartido, puesto que lo replica CCR. Esta comprobacin no
puede llevarse a cabo (http://technet.microsoft.com/en-us/library/bb676379.aspx).
Los clsteres que utilizan un almacenamiento replicado. Ambos nodos tienen
acceso al conjunto de volmenes incluido el qurum
(http://technet.microsoft.com/en-
us/library/cc732035(WS.10).aspx#BKMK_multi_site).
La prueba acerca del almacenamiento es la nica que podra interrumpir la disponibilidad.

Una vez tenga el clster en produccin, puede utilizar una LUN, de forma temporal, para
superar las pruebas relativas al almacenamiento, en lugar del set de pruebas completo.
Este asistente tiene como objetivo verificar un clster que se pone en produccin, aunque
tambin cada cambio significativo realizado sobre el mismo, como:
La actualizacin del firmware o de los controladores.
La agregacin o eliminacin de un nodo en el clster.
El cambio de hardware de almacenamiento.
Encontrar referencias a las pruebas a realizar en funcin de las modificaciones realizadas

sobre el clster en la siguiente direccin: http://technet.microsoft.com/en-
us/library/cc732035(WS.10).aspx#BKMK_validation_scenarios
2. Implementacin del clster
La implementacin del clster incluye las siguientes etapas:
Configurar las interfaces de red sobre los futuros nodos del clster.
Configurar el almacenamiento para el clster.
Instalar la funcionalidad de clster de conmutacin por error.
Configurar el clster:
Interfaz de red
Determinar la mayora (qurum, recurso compartido testigo...)
En funcin del objetivo del clster, instale el rol de alta disponibilidad sobre todos
los nodos (servidor de archivos, servidor WINS...).
Cree la aplicacin en el clster.
Bascule sobre cada uno de los nodos para validar el correcto funcionamiento de los
mismos.
Ejecute, de nuevo, el asistente de validacin del clster.
a. Configurar la red para el clster
La primera etapa consiste en configurar las interfaces de red de los nodos de su futuro
clster. Recuerde que se recomienda encarecidamente utilizar varias tarjetas de red, cada
una configurada sobre una subred o una VLAN diferentes, y dedicarles un rol bien
definido. En nuestro ejemplo, utilizaremos cuatro tarjetas de red por nodo, he aqu su
configuracin:
LAN (172.16.0.x/16): dedicada a la comunicacin entre los clientes y los nodos del
clster.
Clster (10.0.1.x/24): dedicado a las comunicaciones internas del clster.
Almacenamiento 1 (10.0.2.x/24): primera conexin al espacio SAN iSCSI.
Almacenamiento 2 (10.0.3.x/24): segunda conexin al espacio SAN iSCSI.
Todas las interfaces deben estar direccionadas convenientemente. Esta conectividad con la
red local (LAN), donde se encuentran los clientes, debe estar direccionada correctamente
(direccin IP y DNS). Para las dems interfaces, y salvo por algn motivo en especial,
debera dejar el mnimo imprescindible (direccin IP, deshabilitar el registro DNS y de
NetBIOS).
b. Configurar el almacenamiento para el clster
La segunda etapa consiste en conectar sus nodos a un espacio de direccionamiento, iSCSI

en nuestro ejemplo, teniendo en cuenta la duplicidad de equipos de red para la tolerancia a
fallos. Para poder gestionar varias rutas de red para alcanzar el almacenamiento, ser
preciso instalar la funcionalidad MPIO (MultiPath I/O).
La configuracin de los destinos iSCSI se realiza de la siguiente manera:
Abra el iniciador iSCSI desde las herramientas administrativas.
Vaya a la pestaa Deteccin, en la seccin Portales de destino, haga clic en el botn

Detectar portal..., escriba la direccin IP del espacio de almacenamiento y haga clic en
Aceptar.
Vaya a la pestaa Destinos, seleccione el destino correspondiente a la LUN para el qurum

y, a continuacin, haga clic en el botn Conectar.
En la ventana Iniciar sesin en el destino, marque la opcin Habilitar mltiples rutas y,

a continuacin, haga clic en Opciones avanzadas....
En la seccin Conectarse utilizando de la pantalla que muestra la configuracin avanzada,

realice los siguientes cambios:
Adaptador local: iniciador Microsoft iSCSI.

IP del iniciador: direccin IP del nodo de la primera red de almacenamiento.
IP del portal de destino: direccin IP del espacio de almacenamiento en la primera
red de almacenamiento.
A continuacin, haga clic en Aceptar dos veces.
Para gestionar rutas mltiples, deber repetir las etapas 3 a 5 utilizando las direcciones IP
de la segunda red de almacenamiento en la etapa 5.
Una vez configurado el iniciador iSCSI, debe instalarse la funcionalidad MPIO. Puede
hacerlo a travs del Administrador del servidor. A continuacin, para configurar la
funcionalidad MPIO:
Abra la consola MPIO desde las herramientas administrativas.
En la pestaa Detectar mltiples rutas, marque la opcin Agregar compatibilidad con

dispositivos iSCSI (si estuviera deshabilitada, significa que no ha conectado el destino
iSCSI) y haga clic en el botn Agregar (vea la siguiente captura de pantalla).
Para terminar, valide el reinicio haciendo clic en el botn S.

c. Configurar el qurum para el clster
En este ejemplo, vamos a configurar el clster en modo mayora de disco y nodo, lo que
implica que el qurum se define en un almacenamiento de red central, un espacio iSCSI,
FCo FCoE. Todos los nodos de su futuro clster deben tener acceso bien al qurum, o bien
a la propia LUN. Ahora que ha realizado la conexin con el almacenamiento, vamos a
preparar el volumen que queremos utilizar para el qurum del clster.
Para realizar esta preparacin, utilizaremos la LUN que ha conectado en la seccin anterior.
Configure el almacenamiento para el clster y realice esta tarea nicamente para el primer
nodo. Esta preparacin puede realizarse de varias formas:
Desde el Administrador del servidor.

Desde la consola Administrador de discos (diskmgmt.msc).
Mediante el comando DISKPART.EXE.
Utilizando los cmdlets PowerShell.
Utilizaremos la consola Administrador de discos:
Abra la consola Administrador de discos.
Haga clic, con el botn derecho, sobre el disco destinado a ser el volumen del qurum, que
normalmente aparecer como disco desconocido, y seleccione En lnea.
Haga, de nuevo, clic con el botn derecho sobre el disco del qurum, y seleccione
Inicializar el disco.
En la ventana Inicializar el disco, deje las opciones por defecto y valide haciendo clic en
el botn Aceptar.
En la zona no particionada del disco de qurum, haga clic con el botn derecho y
seleccione Nuevo volumen simple....
Mediante el asistente de Creacin de un volumen simple, cree un volumen utilizando la

totalidad del espacio disponible, asgnele la letra Q (se trata de una vieja convencin de
nomenclatura para el Qurum), asgnele el nombre qurum y realice un formato rpido en
NTFS.
d. Instalacin del clster
La instalacin de la funcionalidad de clster puede realizarse de varias formas:
Desde el Administrador del servidor.

Desde PowerShell:
Invoke-Command -ComputerName nodo3,nodo4 -Command {Install-Windows

Features -Name Failover-Clustering -IncludeManagementTools}
La configuracin puede hacerse de distintas formas, aunque le conviene utilizar una cuenta
con permisos de Administrador de dominio para realizar la creacin de la cuenta de equipo
que representa el clster:
La interfaz grfica: Administrador de clster de conmutacin por error.

Desde PowerShell.
Observe que la herramienta por lnea de comandos cluster.exe ya no se encuentra

soportada en Windows Server 2012 R2.
En este libro, vamos a explicar el primer y el ltimo mtodo para realizar la configuracin
de un clster.
Configuracin mediante la interfaz grfica:
Abra el Administrador de clsteres de conmutacin por error.
Haga clic en Validar configuracin en el panel Acciones.
El mensaje de bienvenida le recuerda tres aspectos muy importantes:

Incluso si su instalacin pasa la validacin, es preciso que todo el hardware incluya
una mencin "para Windows Server 2012 R2".
Es necesario ser, al menos, administrador local de cada uno de los nodos.
La validacin no puede interrumpirse tanto si realiza todas las pruebas (que
incluyen pruebas sobre el almacenamiento) como si realiza una prueba
personalizada seleccionando el almacenamiento, lo que significa una interrupcin
del servicio para el almacenamiento del clster de algunos segundos durante la
validacin.

Agregue todos los nodos que van a formar parte del clster.
Seleccione la opcin Ejecutar todas las pruebas salvo si se trata de una excepcin, de
tipo clster Exchange CCR o clster multisitio. Haga clic en Siguiente.
El asistente muestra un resumen de las opciones anteriores. Haga clic en Siguiente.
Una vez realizadas las pruebas, se muestran los resultados. La primera frase del cuadro de
dilogo permite conocer inmediatamente si el conjunto de pruebas es concluyente. Si se han
detectado problemas, puede consultarlos mediante el informe.
Su instalacin se encuentra, ahora, certificada para funcionar en modo clster de

conmutacin por error. La siguiente etapa consiste en crear el clster.
Haga clic en Crear el clster desde el panel Acciones:

Agregue los nodos que van a formar parte del clster. Haga clic en Siguiente.
Indique un nombre (virtual) y una direccin IP para el clster. Ambos recursos estarn
dedicados al funcionamiento del clster y no deberan utilizarse para ninguna otra tarea.
El asistente le muestra un resumen de la configuracin que se aplicar antes de hacerlo
realmente. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Habramos podido llegar al mismo resultado con los siguientes comandos PowerShell:
Test-Cluster -Node nodo3,nodo4

New-Cluster -Name cluster02 -Node nodo3,nodp4 -StaticAddress
172.16.0.28
Puede recuperar la lista de comandos de gestin del clster con: get-command -module
FailoverClusters.
Por lo general, si se cumplen todos estos requisitos previos, su clster debera estar, de
manera automtica, configurado completamente por parte del asistente de instalacin del
clster. En nuestro ejemplo, el clster est configurado en modo Mayora de disco y nodo
utilizando para el qurum la LUN conectada en la seccin Configurar el almacenamiento
para el clster. Si lo requisitos previos no se cumplen, su clster se configurar en modo
Mayora de nodo.
Por defecto, la creacin de un clster de conmutacin por error a partir de la interfaz

grfica, o mediante el cmdlet PowerShell anterior, implica la creacin de la cuenta de
equipo para el clster en Active Directory. Windows Server 2012 R2 aporta una nueva
funcionalidad, Directory-Detached Cluster, que permite crear un clster de conmutacin
por error sin crear una cuenta de equipo en Active Directory, aunque los nodos formen
parte del dominio de Active Directory.
El despliegue de este tipo de clster se realiza, exclusivamente, por lnea de comandos

PowerShell, agregando el parmetro AdministrativeAccessPoint :
Test-Cluster -Node nodo5,nodo6

New-Cluster -Name cluster03 -Node nodo5,nodo6 -StaticAdress
172.16.0.29 -NoStorage -AdministrativeAccessPoint DNS
Conviene verificar la configuracin de las redes del clster para una mejor comunicacin
entre los nodos, pero tambin para el almacenamiento de red y el acceso por parte de los
clientes. Como se precisaba antes en este mismo captulo, nuestro ejemplo utiliza cuatro
tarjetas de red. He aqu la configuracin de las redes del clster (observe que hemos
renombrado las redes para una mejor comprensin):
Una vez haya verificado y corregido, si fuera necesario, los parmetros de su clster, y
antes de agregar los servicios, se recomienda validar el clster. Para realizar esta tarea, haga
clic en el enlace Validar el clster... que se encuentra en el panel Acciones y siga las
instrucciones del asistente de validacin del clster.
Llegados a este punto, tenemos un clster con mayora de disco y nodo operacional, aunque
todava no hospeda ningn servicio.
e. Implementar un clster de archivos
En una configuracin en clster, el servidor de archivos requiere un almacenamiento

compartido sobre un espacio de almacenamiento de red. Deber, ahora, agregar una
conexin a una nueva LUN sobre los nodos antes de agregar el servicio de Servidor de
archivos a su clster. Revise la seccin Configurar el almacenamiento para el clster en
este captulo.
Una vez conectada la LUN y creado el volumen (letra E:\ en nuestro ejemplo), debemos
agregar este volumen a los discos de nuestro clster.
En el Administrador del clster de conmutacin por error, vaya a la seccin
Almacenamiento y, a continuacin, Discos. En el panel Acciones haga clic en Agregar un
disco. Seleccione el disco que desea agregar y haga clic en Aceptar.
Ahora que el almacenamiento est configurado, es posible agregar el rol Servidor de

archivos al clster. Un pequeo matiz: para configurar un rol en un clster, debe
estar instalado el rol Windows equivalente.
Utilice la interfaz grfica para agregar un grupo servidor de archivos al clster:

En la pantalla Tipo de servidor de archivos, puede escoger entre un servidor de archivos
para uso general o con escalabilidad horizontal para datos de aplicacin. Deje marcada la
opcin Servidor de archivos para uso general y haga clic en Siguiente.
Indique el nombre virtual del clster para este grupo, as como una direccin IP virtual.
Seleccione el o los volmenes que hospedan los datos.

El asistente muestra el resumen de la configuracin que se va a aplicar.
El asistente muestra el informe de creacin.
El grupo que acaba de crear aparece en la arborescencia Roles:

Slo queda probar el clster reiniciando los nodos, cada uno en su turno y, a continuacin,
crear los recursos compartidos.
Sepa que este procedimiento es idntico para todos los roles de Windows que quiera
configurar en clster.
f. Casos particulares
Caso de SQL Server
En la instalacin en clster de una aplicacin Microsoft SQL Server, debe tener en cuenta:
Instalar el clster.
Instalar MSDTC como aplicacin clster (si fuera necesario).
Instalar Microsoft Framework 3.5 SP1.
Instalar Windows Installer 4.5.
Crear un grupo de clster vaco (uno por instancia a instalar).
Asignar volmenes de almacenamiento al grupo.
Ejecutar el programa de instalacin de SQL Server (como mnimo, SQL Server
2008 R2 SP1 o SQL Server 2012).
De preferencia a las versiones que ya incorporen los Service Packs mencionados, en
particular los que permitan evitar los problemas que se describen en los artculos 955725 y
973993 de la base de conocimiento.
Caso de Exchange
Microsoft Exchange Server 2010 est, oficialmente, soportado a partir del Service Pack 3.
Exchange Server 2013 tambin est soportado.
Caso de Hyper-V
Una de las principales novedades asociadas a Hyper-V y a los clsteres es la relativa al

almacenamiento de mquinas virtuales. El CSV (Cluster Shared Volume), que se incluye
con Windows Server 2008 R2, hace que no sea obligatorio disponer de un volumen por
mquina virtual (VM). Es posible hospedar un conjunto de mquinas virtuales sobre el
mismo volumen. Uno de los nodos realiza el rol de coordinador, siendo el nico que puede
crear archivos. Es l el encargado de gestionar el acceso de escritura a los archivos por
parte de los servidores, para que no haya dos servidores que modifiquen el mismo archivo.
Las ventajas son numerosas:
El espacio libre es comn a todas las VM. Este espacio pueden utilizarlo todas las
VM cuyo almacenamiento sea de tipo extensible, y tambin es posible agregar
nuevas VM. La eliminacin de una VM hace que su espacio quede disponible,
inmediatamente, para las dems VM.
El nmero de volmenes es considerablemente bajo. Habr menos intervenciones
sobre el almacenamiento central y, por tanto, menos riesgos derivados.
El tamao del volumen puede ser importante, y el tiempo de anlisis para realizar
un chkdsk est vinculado con el nmero de archivos y no con el tamao.
Con Windows Server 2012 R2, CSV soporta funcionalidades avanzadas de
administracin de archivos tales como la deduplicacin de datos y ReFS (Resilient
File System), de las que se habla en el captulo El ciclo de vida de su
infraestructura.
El modo CSV est soportado y se reserva, exclusivamente, para almacenar mquinas

virtuales Hyper-V. Jams debera utilizarse para almacenar otro tipo de objetos.
Es posible agregar volmenes CSV desde el Administrador de clster de conmutacin

por error o mediante comandos PowerShell:
$cluster = Get-Cluster cluster01

$cluster.EnableSharedVolume="Enabled"
Windows Server 2012 R2 aporta, a su vez, los discos virtuales VHDX compartidos (Shared
VHDX) que permiten el acceso al mismo disco virtual, en formato *.vhdx, a varios equipos
virtuales. Esto permite, por ejemplo, crear clsters compuestos por nodos formados por
mquinas virtuales. Se aborda la implementacin de un Shared VHDX en el captulo
Consolidar sus servidores.
3. Migracin de Windows Server 2008 a 2012 R2
Si bien este libro est orientado a Windows Server 2012, existen ciertas consideraciones
que debemos tener en cuenta si queremos migrar un clster desde una edicin anterior a
Windows Server 2012 R2:
Windows Server 2012 R2 existe, nicamente, en versin de 64 bits. Esto obliga a

que tanto el hardware como todas las aplicaciones del mismo deban ejecutarse sobre
64 bits o, al menos, mediante la emulacin de 32 bits WoW64 (Windows On
Windows).
La funcionalidad Compartir subdirectorios ya no est disponible desde Windows
Server 2012. Ser preciso crear cada recurso compartido. Esto se debe a una
limitacin tcnica de 900 recursos compartidos. Como ya no existe este problema,
esta funcionalidad se ha suprimido.
DFS y FRS ya no estn soportados en Windows Server 2012 R2 (salvo para
controladores de dominio). Debera migrar a DFSR, preferentemente. Esto implica
que los dems nodos DFS estn configurados, como mnimo, en Windows Server
2003 R2.
Utilice nombres virtuales y direcciones IP diferentes a las del grupo de clster para
sus recursos? Si no fuera el caso, la migracin implicar una interrupcin mayor del
servicio, pues ambos clsteres (el viejo y el nuevo) deben cohabitar durante la
migracin.
Existen dos enfoques para abordar la migracin:
Conservar el mismo hardware.

Migrar el clster a un nuevo clster fsico.
El primer enfoque consiste en:
Sacar un nodo del clster (vase el artculo 935197 de la base de conocimiento de

Microsoft).
Actualizarlo a Windows Server 2012 R2 o instalar de nuevo todo el sistema
operativo.
Crear un nuevo clster sobre este servidor.
Utilizar el asistente para migrar un clster.
Poner en lnea los recursos migrados.
Sacar el nodo 2008 del anterior clster y actualizarlo.
El segundo enfoque se utiliza muy a menudo, puesto que el cambio de sistema operativo
supone, a menudo, un cambio de generacin de hardware. El plan es muy similar, siempre
que no se degrade (en nmero de nodos) durante la migracin:
Instalar un clster Windows Server 2012 R2 sobre, al menos, uno de los nodos
(nuevo clster).
Utilizar el asistente para migrar un clster.
Decidir si se utiliza el mismo almacenamiento o no.
Poner en lnea los recursos migrados.
Eliminar el clster anterior.
4. Configurar un clster de conmutacin por error en modo multisitio
Si ocurre cualquier problema con el DRP (Plan de Recuperacin ante Desastres) o,

especialmente, del PSI (Plan de Seguridad Informtica) llevados a un situacin extrema,
algunas empresas implementan un entorno informtico idntico al entorno de produccin
sobre un sitio auxiliar (locales separados geogrficamente). El objetivo es que, si el sitio
principal dejara de estar disponible (debido a un fuego, a una inundacin...), los usuarios no
tengan ms que acudir al sitio secundario para poder seguir trabajando.
Para ello, es preciso, evidentemente, que los usuarios sean capaces de encontrar los mismos
datos y los mismos servicios que en el sitio principal, de la manera lo ms transparente
posible. En lo relativo a los propios datos, tiene varias posibilidades para replicarlos entre
los sitios (DFS-R por ejemplo). Pero, qu ocurre con un clster?
La implementacin de un clster de conmutacin por error en un multisitio supone que los

sitios estn conectados mediante una conexin fiable y rpida, e impone, a su vez, una
replicacin de datos del clster. Esta replicacin puede realizarse de distintas formas:
A nivel de hardware: a da de hoy, la mayora de espacios de almacenamiento

profesionales permiten replicarse entre s. Con algunos de ellos, es posible incluso
encriptar y comprimir los datos replicados. Con este tipo de replicacin, el espacio
de almacenamiento replica los bloques de datos sea cual sea el tipo o el sistema de
archivos.
A nivel lgico o sistema de archivos: la replicacin a nivel de aplicacin se basa, a
menudo, en el servicio DFS-R de Microsoft, si bien existen otras soluciones de
replicacin. Se trata de una replicacin basada en el sistema de archivos.
A nivel de aplicacin: en este tipo de replicacin, es la propia aplicacin la
encargada de replicar sus propios datos. Podemos citar a Microsoft Exchange 2007
como ejemplo, con una replicacin de tipo CCR.
A esto le acompaan dos modos de funcionamiento:
Una replicacin sncrona: en este modo, cuando un dato se encuentra en el

almacenamiento del sitio principal, la accin se considera como terminada cuando
todos los sitios reconocen la escritura de dicho dato. Esto puede suponer una fuerte
latencia de procesamiento si la replicacin utiliza una conexin lenta.
Una replicacin asncrona: aqu, el clster del sitio principal puede leer y escribir
sobre su almacenamiento sin tener por qu esperar a que los datos se repliquen
sobre el segundo sitio. La replicacin se efecta, en este caso, bien de forma
continua o bien de manera planificada. En caso de siniestro, puede haber cierta
diferencia entre los datos de ambos sitios.
Desde un punto de vista del clster, este comportamiento debe configurarse como Mayora
de nodo o Mayora de recurso compartido de archivos y nodo. En este ltimo modo, se
recomienda que el recurso compartido de archivos para el qurum est hospedado en un
servidor externo al clster. Esto permite aprovechar la conmutacin por error automtica
entre los sitios, si bien la mayora de administradores prefieren realizar esta conmutacin de
forma manual.
5. Actualizacin compatible con clsteres de conmutacin por error
Incluida con Windows Server 2012 R2, la funcionalidad Actualizacin compatible con
clsteres (CAU, Cluster-Aware Updating) permite automatizar la aplicacin de
actualizaciones de Microsoft (Windows Update) sobre los nodos del clster, conservando
un alto nivel de servicio.
El principio de funcionamiento es sencillo: se instalan las actualizaciones nodo a nodo. En

primer lugar, el primer nodo se pone en pausa, sus sesiones activas se drenan hacia otro
nodo y los roles basculan. A continuacin, se aplican las actualizaciones y se reinicia el
servidor, si fuera necesario. Para finalizar, el nodo se pone en funcionamiento dentro del
clster, recuperando los roles que tuviera antes de realizar las actualizaciones.
La actualizacin compatible con clsteres funciona siguiendo los siguientes dos modos:
Actualizacin remota: en este modo se utiliza un equipo Windows Server 2012 R2

o Windows 8.1 (Windows Server 2012 y Windows 8, como mnimo) con las
herramientas de administracin de Actualizacin compatible con clsteres
instaladas que no forme parte del clster. Este equipo permite verificar, aplicar y
realizar un seguimiento de la aplicacin de actualizaciones con una instalacin
mnima (Server Core) de Windows Server 2012 R2 o Windows Server 2012.
Actualizacin automtica: en este modo, es el clster quien administra,
directamente, las actualizaciones sobre los nodos. El primer nodo que se actualiza es
el que posee el rol de Actualizacin compatible con clsteres y, a continuacin, se
actualizan los dems nodos.
De hecho, el proceso de actualizacin adaptado a los clsteres ejecuta el cliente Windows

Update. De este modo, por defecto, es posible instalar todas las actualizaciones disponibles
en el sitio Windows Update de Microsoft. Es posible gestionar las actualizaciones que
quiere instalar sobre sus nodos con ayuda de un servidor WSUS interno y una GPO.
Puede configurar la actualizacin compatible con clsteres en modo automtico de dos

formas: utilizando el Administrador de clster de conmutacin por error, seleccionando
su clster y, a continuacin, haciendo clic en el enlace Actualizacin compatible con
clsteres que se encuentra en la seccin Configurar, o bien mediante comandos
PowerShell.
En el primer caso, en la zona Conectar a un clster de conmutacin por error, tendr
que seleccionar el nombre de su clster y, a continuacin, hacer clic en Conectar para que
aparezcan sus nodos.
Mediante la consola Actualizacin compatible con clsteres, podr:
Aplicar actualizaciones a este clster: con ayuda del asistente, puede instalar, de
manera inmediata, las actualizaciones disponibles para los nodos de su clster.
Vista previa de actualizaciones para este clster: le permite ver las
actualizaciones disponibles para los nodos de su clster.
Crear o editar perfil de ejecucin de actualizaciones: permite crear o modificar
un perfil de ejecucin de actualizaciones y almacenarlo en formato XML para
importarlo en otro servidor.
Generar informe sobre ejecuciones de actualizacin anteriores: permite generar
un informe acerca de la ejecucin e instalacin de las actualizaciones en su clster.
Configurar opciones de auto-actualizacin de clster: le permite habilitar,
deshabilitar, configurar y planificar la aplicacin de actualizaciones automticas en
su clster de forma automtica, mediante un simple asistente.
Analizar preparacin de la actualizacin del clster: permite verificar la correcta
configuracin del clster para instalar actualizaciones remotas.
Ejemplo de configuracin mediante PowerShell:
#Agregar un rol al clster

Add-CauClusterRole -ClusterName cluster02 -CauPluginName
Microsoft.WindowsUpdatePlugin
-MaxRetriesPerNode 3 -CauPluginArguments
@{IncludeRecommentedUpdate=True} -StartDate
"14/10/2012 03:00:00" -DaysOfWeek 4 -WeeksOfMonth @(3)
-EnableFirewallRules -Force
#Activacin del rol

Enable-CauClusterRole -ClusterName cluster02 -Force
Conclusin
Ahora, conoce las ventajas e inconvenientes de una solucin de alta disponibilidad y/o de
reparto de carga. Tiene las cartas en su mano para preparar su solucin y gestionarla una
vez puesta en produccin. Como con muchas otras soluciones, no debe esperar a tener
alguna necesidad tecnolgica concreta (una cada de algn servidor, por ejemplo) para
validar su buen funcionamiento. Debe planificar pruebas de forma regular, con el objetivo
de asegurar su correcto funcionamiento del da D. A diferencia de la mayora de proyectos,
es precisamente si ningn usuario se da cuenta de nada (comportamiento transparente),
cuando podremos decir que el proyecto ha sido un xito.
Introduccin
Este captulo est dedicado a la definicin y la configuracin de los componentes
necesarios para el correcto funcionamiento de la red de la empresa basada en Windows
Server 2012.
En l, se abordan los componentes IP, DNS, DHCP, WINS, as como la implementacin de

la cuarentena de red en DHCP, IPsec y 802.1x.
Seleccionar una infraestructura de red

La implementacin de toda la arquitectura de red supone realizar un anlisis de las redes
existentes. A menudo, es difcil modificar el conjunto de una sola vez. La migracin se
lleva a cabo, habitualmente, implementando un nuevo direccionamiento de red y
hacindolo cohabitar con las redes existentes. La modificacin del direccionamiento IP se
ve, a menudo, como una tarea costosa que aporta pocas ventajas suplementarias.
Es, por lo general, durante el desplazamiento o la creacin de un sitio cuando es fcil, o

incluso necesario, repensar el direccionamiento IP y planificar un nuevo sistema.
El cambio de un dominio DNS es, todava, ms complicado, sobre todo cuando dicho
dominio sirve como soporte a un dominio Active Directory. En este caso, una migracin
representa un estudio particular que se sale del marco de nuestra presentacin.
1. La eleccin de la arquitectura de red
A este nivel, cabe estudiar bien dos puntos:
La eleccin de la zona DNS.

La eleccin de la clase de red.
a. La zona DNS
Existen dos aspectos importantes a la hora de escoger la zona DNS.
El nombre escogido para la zona DNS debe corresponderse con la integridad de la entidad
(empresa, grupo, etc.) que se quiere gestionar. Este nombre debe poder ser aceptado por
todas las entidades dependientes que tengan que alcanzar esta zona. El problema es ms de
aspecto poltico que tcnico!
Si alguna entidad no se encuentra en este marco, quiere decir que debe asocirsele una zona
DNS especfica.
Si la zona DNS debe utilizarse en Internet, el dominio DNS tendr que ser,
obligatoriamente, pblico y estar registrado, es decir, debe utilizar una extensin
reconocida de tipo .es, .com, .info...
En una red interna, el dominio puede ser pblico o privado. La eleccin ms comn es, por
tanto, escoger un dominio DNS local con una extensin desconocida en Internet. La
extensin .local se utiliza muy a menudo bajo la forma miempresa.local. El desacople
entre la seccin interna y la externa resulta mucho ms fcil de llevar a cabo. Esta eleccin
se desaconseja, pues los proveedores de certificados han decidido, de acuerdo con los
grandes fabricantes, no distribuir ms certificados a partir del 1 de Enero de 2014 que
incluyan nombres de dominios DNS que no puedan verificarse. Esto tiene una
consecuencia directa en la configuracin de muchos servidores Exchange que trabajan con
este tipo de certificados. No obstante, es probable que algunos servidores Web visibles al
mismo tiempo en la Intranet y en Internet utilicen este tipo de funcionalidad.
En cambio, el uso del mismo nombre de dominio sobre la red interna y sobre Internet
obliga a tener servidores DNS diferentes para hacer visible sobre Internet nicamente la
parte que se desea exponer. Esto supone una doble administracin de las zonas DNS. Esta
solucin resulta muy compleja. En las nuevas instalaciones, las recomendaciones sern:
bien utilizar un dominio con una extensin conocida (y disponible en el registro) tal
como .org, .net, .info.
o bien definir un subdominio del dominio pblico que ya se est utilizando, de la
forma ad.miempresa.es.
En ambos casos, no supondr ningn problema obtener un certificado pblico.
b. La clase de red
Para todas las redes internas, la eleccin se realizar, evidentemente, sobre las clases de
redes privadas. Si no se quiere modificar la integridad de las redes existentes por motivos a
menudo histricos, es posible, al menos, crear todas las nuevas redes siguiendo esta regla.
La clase de red se escoge en funcin del nmero de mquinas presentes en la red, del
nmero de sitios, etc. Una red de clase C (192.168.0.X) representa, a menudo, una buena
eleccin inicial. Siempre es posible cambiar la clase de la red o incluso utilizar varias redes
en funcin de las necesidades.
El uso de TCP/IP v6 no est, todava, bien desarrollado, aunque ser necesario en un plazo
de dos a tres aos, principalmente en Internet. En la red local, siguen existiendo muchas
aplicaciones que no son compatibles, aunque deberan evolucionar rpidamente! La red
IPv6 se estudia en el captulo La evolucin de la red.
2. La instalacin de un servidor DHCP
El servidor DHCP permite implementar rpidamente la red seleccionada, y permite,

tambin, modificar rpidamente y de forma global una serie de parmetros. Las empresas
que, a da de hoy, no utilizan ningn servicio DHCP son ms bien raras.
Como muchos otros componentes de Windows Server 2012, el servicio DHCP es un rol.
a. Definicin
El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo proveer
una direccin IP y una mscara de subred a cualquier dispositivo de la red (estacin,
servidor u otro) que lo solicite. Segn la configuracin, es posible configurar tambin otros
parmetros importantes, tales como: las direcciones IP de la ruta por defecto, los servidores
DNS que debe utilizar, los servidores WINS y el sufijo del dominio, por citar algunos de
los ms importantes.
DHCP se reserva, a menudo, para las estaciones, las impresoras, y no debera servir, salvo
muy excepcionalmente, para los servidores.
b. Instalacin
Como con todos los dems componentes de Windows, la instalacin puede llevarse a cabo
de forma grfica o mediante un comando PowerShell sin tener que insertar ningn medio
extrable.
Instalacin mediante PowerShell :
Install-WindowsFeature DHCP
Preste atencin, el servicio se iniciar y configurar de manera inmediata con arranque

automtico! En cambio, la instalacin del componente DHCP mediante PowerShell slo
instala el servicio DHCP. Es preciso ejecutar el comando indicado a continuacin para
instalar la herramienta de administracin.
Install-WindowsFeature RSAT-DHCP
El servicio debe iniciarse para poder acceder y configurar DHCP.
Para que el servicio DHCP empiece a distribuir las direcciones, es imprescindible

configurar y habilitar un mbito.
Preste atencin, si el servidor que hospeda DHCP forma parte de un bosque Active
Directory, debe estar, adems, autorizado para los administradores miembros del grupo
Administradores de empresas y aquellos que hayan recibido los permisos de
administracin de DHCP.
El servicio DHCP, como los dems servicios de red de referencia (DNS, WINS), debera
instalarse siempre sobre servidores que utilicen una IP fija.
c. Configuracin
La consola de administracin de DHCP se encuentra en cualquier servidor con el rol DHCP

instalado mediante la interfaz grfica y en cualquier servidor donde se haya agregado,
especficamente, este componente de administracin.
Si el servidor local tiene el rol DHCP instalado, el servidor debera aparecer

automticamente en la consola.
Si el servidor no tiene el rol DHCP instalado, o no es el servidor que desea administrar,

utilice el botn derecho para agregar un servidor especfico o escogerlo entre los servidores
autorizados.
Para autorizar un servidor DHCP, utilice la opcin Administrar servidores autorizados.
Haga clic en el botn Autorizar, e indique el nombre o la direccin IP.

En un bosque Active Directory, slo aquellos servidores DHCP que estn autorizados a los
administradores de empresas tienen el permiso de asignar direcciones IP a partir de los
mbitos habilitados.
Confirme la direccin y el nombre propuestos haciendo clic en el botn Aceptar.
Cierre la ventana de los servidores autorizados haciendo clic en Cerrar.
Los servidores autorizados aparecen marcados con una flecha de color verde.
Cada servidor DHCP puede servir varios mbitos, aunque slo uno por cada red IP.
Utilice el asistente mbito nuevo que aparece haciendo clic con el botn derecho sobre
IPv4 para preparar el uso de la red deseada.
Defina el nombre y la descripcin del mbito.
Indique el mbito deseado.

He aqu un mbito clsico para una red 172.16.X.X de clase B que utiliza una mscara
estndar 255.255.0.0.
El rango utilizado no debe, obligatoriamente, utilizar la totalidad de la clase de red, de

modo que puede dejar algunas direcciones libres para los servidores, o direcciones IP
reservadas a impresoras u otros dispositivos.
Informe las excepciones y el eventual retardo.

Las exclusiones permiten bloquear el uso de direcciones cuyo grupo de direcciones ya est
en uso en el mbito seleccionado. Esta eleccin se utiliza, a menudo, cuando se quiere
recuperar direcciones excluidas. El retardo permite tener en cuenta los distintos mtodos de
conmutacin o escoger un servidor DHCP para que responda en primer lugar sobre un
segmento determinado.
Seleccione la duracin del contrato.

La duracin del contrato debe seleccionarse en funcin de la disponibilidad de direcciones.
Idealmente, el contrato ser lo ms largo posible (30 das) siempre y cuando existan las
suficientes direcciones disponibles. Si fuera necesario disminuir a menos de 3 das la
duracin del contrato, cabra considerar una ampliacin de la subred seleccionada.
Configure las opciones del mbito.

Defina la direccin IP de la pasarela por defecto (pasarela de red).
La pasarela por defecto forma parte de los parmetros que habitualmente estn ligados al
mbito. Salvo casos muy concretos, slo hay que incluir una direccin IP. Las direcciones
IP siguientes se utilizan nicamente si la primera no responde.
Indique el sufijo DNS y las direcciones IP de los servidores DNS.
Idealmente, todo dominio Active Directory debera incluir, al menos, dos controladores de
dominio y, por tanto, dos servidores DNS a este nivel.
Escriba las direcciones IP de los eventuales servidores WINS.

Como buena prctica, se recomienda no utilizar servidores WINS, salvo en caso necesario.
No hay que informar las direcciones IP de los servidores WINS salvo si el servicio tiene
que estar, efectivamente, instalado.
Active el mbito al finalizar el asistente

He aqu la visualizacin de las opciones del mbito tras su activacin. Observar que las
opciones a nivel de servidor se identifican mediante un icono especial que representa un
servidor. Son aquellas que contienen parmetros que son variables globales sobre todos los
mbitos.
Las opciones del servidor (006, 015, 042 y 046) sirven como valores por defecto, aunque se
reemplazan por las opciones del mbito, que son prioritarias.
La opcin Nombre de dominio DNS no permite especificar varios sufijos de
bsqueda DNS. Si fuera necesario, las directivas de grupo permiten agregar sufijos
de bsqueda.
El Tipo de nodo con el valor 0x8 configura el modo de resolucin hbrida. Es decir,
se realizar una bsqueda de servidores WINS en primer lugar, y se pasar al modo
Broadcast si falla.
Puede resultar muy interesante configurar ciertas propiedades avanzadas del servidor
DHCP.
Por ejemplo, cuando se configura la zona Intentos de deteccin de conflictos con un valor
superior a cero (generalmente 2), DHCP utilizar una consulta ICMP para determinar la
posible existencia de alguna mquina sobre esta direccin.
La actualizacin dinmica de los registros DNS es un elemento particularmente importante

que hay que configurar.
En la versin R2, es posible deshabilitar la actualizacin dinmica de los registros PTR.
El botn Configurar permite habilitar la proteccin de nombres durante la inscripcin, las

actualizaciones y las eliminaciones de registros de tipo A y PTR. Esta proteccin resulta
efectiva nicamente si est habilitado el modo Actualizaciones dinmicas seguras.
Cuando se crean y utilizan zonas de bsqueda inversa (Reverse DNS), es importante

actualizar los registros PTD y no ignorarlos cuando se elimina el contrato..
La duracin del contrato ser ms elevada conforme mayor sea el nmero de direcciones IP
disponibles y menor sea el riesgo de producirse algn conflicto.
La pestaa Filtros permite limitar la distribucin de direcciones DHCP, bien autorizando

ciertos tipos de hardware de red o bien excluyendo algunos otros. Estos tipos incluyen,
habitualmente, Token Ring, X25, ATM, Ethernet, Localtalk, Frame Relay, Fibre channel,
HDLC, LocalNet y Ethernet IEE 802.
d. Reservas
Incluso para aquellos administradores que quieran gestionar todas las mquinas con un
direccionamiento IP fijo, DHCP puede resultar muy til. En efecto, hay quien gestiona de
este modo la prctica totalidad del parque mediante una reserva para cada direccin IP,
incluso si esto supone una seguridad ms o menos ficticia.
Sin llegar al caso en que debamos gestionar as toda la red, las reservas resultan muy tiles
para las impresoras de red, los dispositivos administrables (tales como switch...) y, en
ocasiones, para ciertas mquinas cuya direccin IP se autorice y utilice en la configuracin
de alguna aplicacin.
Cada tarjeta de red dispone de una direccin fsica nica llamada direccin MAC y, de este
modo, es posible identificar una demanda proveniente de esta direccin y proveerle siempre
la misma direccin IP y la misma configuracin.
He aqu un ejemplo de definicin de una reserva:

Observe que las reservas deben formar parte de la red, aunque no tienen por qu formar
parte del mbito DHCP, lo cual puede resultar prctico en ciertas ocasiones. Si se utilizan
varios servidores DHCP para una misma subred (con restriccin de uso), las reservas deben
configurarse sobre todos los servidores.
Algunas herramientas proveen kits de recursos tales como DHCPCMD.EXE, o la librera

DHCPOBJS.DLL, que permiten desarrollar scripts para automatizar la creacin y
configuracin de los mbitos. El comando NETSH permite, tambin, realizar operaciones
de configuracin, importacin o exportacin.
Para exportar una configuracin existente, puede utilizar el comando NETSH:
NETSH DHCP SERVER DUMP >DHCPCONFIG.CMD
Adapte, a continuacin, el archivo DHCPCONFIG.CMD en funcin de las necesidades

eliminando las lneas intiles y modificando las dems.
La programacin de DHCP para PowerShell requiere que se cargue el mdulo

correspondiente mediante el siguiente comando:
Import-Module DHCPSERVER
La instruccin Get-Command -Module DHCPSERVER enumera todos los componentes

que incluye este mdulo.
He aqu un enlace hacia un primer ejemplo de uso prctico de los comandos PowerShell
para DHCP: http://blogs.technet.com/b/teamdhcp/archive/2012/07/15/bringing-powershell-
to-dhcp-server.aspx
e. Registros DNS basados en directivas DHCP
Las directivas DHCP permiten configurar de manera particular los dispositivos, por
ejemplo asignndoles una parte del rango IP, en base a los siguientes criterios:
La clase Vendor
La clase User
La direccin MAC
El identificador de cliente
La informacin relativa al agente de retransmisin
Estas directivas resultan particularmente interesantes para gestionar, de distinta manera:
Los tipos de dispositivos diferentes: impresoras, telfonos IP

El rol y el distinto uso de estos dispositivos: porttiles, PC fijos
Dispositivos virtuales: mquinas virtuales
El criterio ms sencillo que se puede utilizar es, a menudo, la direccin MAC cuyos 6
primeros caracteres hexadecimales identifican, generalmente de forma unvoca, al
fabricante y el modelo.
En el caso de mquinas virtuales, son los 6 ltimos caracteres los que pueden resultar tiles,
pues definen el direccionamiento definido a nivel de hypervisor.
Destacaremos que las directivas se gestionan bien a nivel del servidor o bien a nivel de un
mbito.
Cree una nueva directiva DHCP.

Asigne un nombre a la directiva.
Agregue una condicin.
Seleccione las condiciones de aplicacin de la directiva.
Haga clic en Agregar tras marcar la opcin Anexar o Anteponer.
Indique si desea utilizar un mbito concreto para esta directiva.
Preste atencin, este rango de direcciones IP debe formar parte del mbito DHCP
correspondiente.
Indique las propiedades DHCP que podran ser diferentes (Router, Servidor DNS).
Resumen de la configuracin inicial:
La direccin MAC puede obtenerse desde una ventana de comandos DOS mediante el
comando Ipconfig /ALL o mediante el comando PowerShell GET-NetAdapter.
Tras configurar una directiva, es posible configurar la actualizacin de DNS especfica

asociada a la misma.
A partir de las propiedades de la directiva, la pestaa DNS permite modificar el

comportamiento del registro DNS, por ejemplo para modificar el sufijo del dominio.
Observe que la pestaa General da acceso a la configuracin de una concesin
personalizada, incluso ilimitada.
f. Configuracin de la conmutacin por error del mbito DHCP
En las versiones anteriores, existan dos formas de garantizar la disponibilidad de la funcin

DHCP:
Instalar el servicio en un clster de Windows

Repartir el mbito DHCP entre varios servidores (habitualmente 70 %, 30 %)
Windows Server 2012 y 2012 R2 proporcionan la funcionalidad de DHCP Failover, es

decir, la conmutacin por error de DHCP evitando los problemas vinculados con las
soluciones anteriores.
Para simplificar, esta nueva configuracin permite a dos servidores DHCP gestionar la
misma red o el mismo mbito. Existen dos modos de funcionamiento: bien un modo de tipo
activo/pasivo, o bien un reparto de carga con un reparto de clientes. En ambos casos, la
informacin y los mbitos se replican entre los servidores, y los clientes conservan la
misma configuracin.
Observe que, para IPv6, este tipo de configuracin no resulta til. Basta con que ambos
servidores DHCP distribuyan las mismas opciones para obtener el mismo resultado.
Slo es posible instalar dos servidores DHCP. La nica restriccin es disponer de dos
servidores Windows Server 2012/2012 R2. stos no deben, obligatoriamente, formar parte
del dominio, en cambio no se garantiza el correcto funcionamiento si los relojes estn
desfasados ms de un minuto.
He aqu el procedimiento de configuracin:
La primera etapa consiste en verificar que ambos servidores DHCP estn instalados y
autorizados, si forman parte de un dominio.
Debe existir al menos un mbito sobre uno de los servidores antes de comenzar con el
procedimiento que permite configurar la conmutacin por error.
La opcin Configurar conmutacin por error se encuentra en el men contextual del

contenedor IPv4 o del mbito que se desea proteger.
Seleccione el mbito (o los mbitos) que desea configurar en alta disponibilidad.

Agregue el servidor DHCP asociado. Este puede escogerse entre los servidores autorizados
en el caso de un dominio, en caso contrario escriba su nombre.
Cree la relacin de conmutacin por error. Es importante seleccionar el modo de
proteccin!
Seleccionar el modo Equilibrio de carga o Espera activa.
El modo Equilibrio de carga repartir las peticiones en funcin del porcentaje indicado.
El modo Espera activa utiliza nicamente el servidor principal, aunque los datos se
replican en el segundo servidor, que toma el control en caso de cada del servidor principal.
Escriba una cadena de encriptacin en la zona Secreto compartido.
Esta cadena se utiliza para dotar de seguridad a la comunicacin entre ambos servidores,
que comparten esta misma clave.
Se muestran los detalles de la configuracin antes de su validacin.

Se muestra el resultado de la configuracin. Haga clic en Finalizar.
La replicacin de toda la configuracin de la zona, incluidos los rangos activos, se realiza
de manera inmediata.
He aqu alguna informacin complementaria relativa a la administracin:
Tras la configuracin, es posible forzar la replicacin del mbito o de la relacin.

Estas opciones resultan prcticas para asegurar una configuracin idntica en
ambos servidores DHCP, por ejemplo tras la parada de uno de los dos servidores.
La replicacin del mbito replica nicamente el mbito seleccionado.
La replicacin de la relacin replica todos los mbitos configurados con

conmutacin por error entre ambos servidores DHCP.
En caso de que se anule la configuracin, el servidor principal guarda la

configuracin, y el servidor Asociado se vaca de cualquier informacin relativa a
este mbito.
Implementar los sistemas de resolucin de

nombres
1. La resolucin DNS
DNS se ha convertido en la piedra angular del funcionamiento de una red Windows basada
en Active Directory, aunque no slo esto.
Muchas de las actividades actuales (mensajera, Internet) se basan en un buen

funcionamiento de la red y, en particular, del servicio DNS.
Ya no es, por tanto, posible obviar este sistema que hospeda cada vez ms informacin vital
para el buen funcionamiento del conjunto de la red.
a. Definicin
DNS (Domain Name Server) es un protocolo que permite a los clientes (de la red) consultar
una base de datos que contiene informacin sobre las mquinas y los servicios que
hospedan.
DNS es un sistema que permite establecer una correspondencia entre una direccin IP y un
nombre de dominio y, en trminos generales, encontrar cierta informacin a partir de un
nombre de dominio.
b. Instalacin
La instalacin del servicio DNS sobre una red Windows se hace, a menudo, en el marco de
instalacin del primer controlador de dominio Active Directory. Su configuracin inicial se
tiene en cuenta de manera automtica en el asistente DCPROMO. Por defecto, la zona DNS
utilizada por Active Directory est, ahora, integrada y administrada por Active Directory.
Para instalar el rol DNS mediante PowerShell:
Install-WindowsFeature DNS
Install WindowsFeature RSAT-DNS-Server
La segunda instruccin instala las herramientas de administracin de DNS.
Si el servicio DNS se agrega sobre un controlador de dominio, todas las zonas integradas
con Active Directory se conocen automticamente y se utilizan en el servicio DNS para
llevar a cabo la resolucin de nombres.
En los dems casos, el servicio DNS deber gestionarse como un servidor DNS clsico.
Podr, por tanto, hospedar zonas y servir de cach o de redirector hacia otros sistemas
DNS.
c. Los distintos tipos de zona
Zona de tipo principal
Este tipo de zona se utiliza principalmente para administrar zonas que no estn vinculadas a
Active Directory. Las zonas DNS pblicas, que contienen los servidores Web de la empresa
y los servidores de mensajera son los ejemplos de uso ms corrientes.
Cada zona se almacena en un archivo de texto especfico con formato estndar y

extensin .dns. Este tipo de archivo es compatible con los dems sistemas DNS tales como
BIND. Esto permite importar o exportar zonas DNS entre los distintos servidores.
El servidor que hospeda la zona principal es el nico que autoriza y valida las
actualizaciones de su zona. Esta es la principal diferencia con las zonas integradas en
Active Directory que autorizan, ellas, las modificaciones sobre cada controlador de
dominio.
Zona de tipo secundario
Una zona secundaria puede establecerse a partir de un servidor de zona principal, una zona
integrada en Active Directory o incluso otro servidor de zona secundaria. La zona
secundaria no es sino una rplica exacta de la zona de la que depende. En cambio, la
replicacin debe estar autorizada sobre el servidor que sirve como referencia.
En el mundo Windows, la zona de tipo secundario sirve, a menudo, para replicar la

informacin de otro dominio Active Directory para realizar una aprobacin entre dos
dominios. Las zonas secundarias se configuran, a menudo, sobre servidores BIND (Unix o
Linux) para obtener una resolucin indirecta de los dominios DNS administrados por
Active Directory.
Como ocurre con la zona principal, la informacin se almacena en un archivo de texto con
extensin .dns.
En caso de prdida del servidor principal, un servidor de zona secundario puede convertirse
en un nuevo servidor principal.
Las zonas secundarias presentan, a menudo, problemas de replicacin, de retardos en las

actualizaciones, de notificacin o de seguridad que hay que configurar. Es, por
tanto, preferible evitar el uso de zonas secundarias reemplazndolas por redirecciones
condicionales o zonas de rutas internas.
Zona integrada en Active Directory
Una zona integrada en Active Directory consiste, como su propio nombre indica, en utilizar
la base de datos de Active Directory como almacn principal de informacin. De entrada,
aprovecha todas las opciones de seguridad de Active Directory, as como la replicacin
incremental entre todos los controladores de dominio.
Todos los dominios DNS pueden integrarse con Active Directory, no slo aquellos usados
directamente por Active Directory.
A menos que su servidor DNS no se encuentre en su controlador de dominio, todas las

zonas DNS deberan estar integradas en Active Directory.
d. Los distintos tipos de replicacin
Slo se aplican a las zonas integradas en Active Directory, accediendo a las propiedades del
dominio seleccionado.
Seleccione la zona DNS y, a continuacin, haga clic con el botn derecho y seleccione
Propiedades en el men.
Haga clic en Modificar junto a Replicacin.
Aparecen los distintos tipos de replicacin.
Replicacin en todos los servidores DNS del bosque
De preferencia a este tipo de replicacin para los dominios que deban ser conocidos (y se
tengan que resolver) rpidamente en todos los dominios del bosque sin tener que transferir
las consultas hacia los redirectores (Forwarders). Esta eleccin debe aplicarse,
particularmente, al dominio raz del bosque.
Replicacin sobre todos los controladores de dominio
La replicacin sobre todos los controladores de dominio es el modo compatible con el que
exista en Windows 2000. Se trata de la eleccin lgica cuando los controladores de
dominio se utilizan como servidores DNS de referencia. En efecto, como los controladores
de dominio ya replican los datos de DNS al mismo tiempo que los dems datos del
directorio, basta con instalar el servicio DNS para que se asegure esta funcionalidad.
Replicacin sobre todos los servidores DNS del dominio
Esta eleccin se utiliza con poca frecuencia, y permite a los servidores DNS que no son
controladores de dominio recibir, tambin, la replicacin de una zona concreta.
Replicacin ligada a una particin de aplicacin
Por defecto, en un bosque Active Directory, existen dos particiones de aplicacin

particulares y que estn disponibles para realizar la replicacin:
la particin ForestDnsZones;
la particin DomainDnsZones.
Si se crea alguna otra particin de aplicacin, puede utilizarse para replicar la informacin
DNS (u otro tipo de informacin) sobre grupos de mquinas personalizados.
Observe que haciendo clic con el botn derecho sobre el servidor DNS, la opcin Crear
particiones de directorio de aplicaciones por defecto puede resultar muy til para recrear
una u otra particin.
e. Zonas de bsqueda inversa
Las zonas de bsqueda inversa DNS son capaces de resolver el nombre de una mquina a
partir de su direccin IP. La clasificacin se realiza, por lo tanto, en funcin del
direccionamiento IP de la red.
Este modo de bsqueda no es necesario, y no se utiliza en el funcionamiento normal de un

bosque Active Directory. Por este motivo Microsoft no crea zonas de bsqueda inversa de
manera automtica.
En cambio, el cliente DNS de Microsoft sabe cmo utilizarlas si se definen. Algunas

herramientas, tales como la copia de seguridad TINA (Time Navigator de ATEMPO)
necesitan este tipo de zonas para poder funcionar correctamente.
Cuando se resuelve un problema de red y se utiliza la herramienta NsLookup, es

imprescindible haber creado estas zonas de bsqueda inversa para que la herramienta
funcione correctamente y poder interpretar los resultados.
Cuando se crean estas zonas, es importante configurar DHCP para gestionar las
actualizaciones de los registros PTR, es decir, el nombre del host asociado con cada
direccin IP. La integracin de estas zonas con Active Directory se aplica, principalmente,
a las redes IP que contienen, en su mayor parte, equipos Windows.
Tras la creacin de una zona de bsqueda inversa, el nombre de la zona se basa en el

direccionamiento IP, tomando cada valor de forma inversa.
f. La zona GlobalNames o GNZ
Esta posibilidad no viene activada por defecto. Su objetivo consiste en obtener una
resolucin de nombres simples (llamados single-label name), sin dominio ni extensin,
sobre el conjunto del dominio o del bosque. Para algunos controladores, esto puede servir
para eliminar el servicio WINS sin tener que sufrir los inconvenientes de la replicacin y
las actualizaciones regulares propias del servicio WINS.
En particular, se trata de crear una zona DNS especial llamada GlobalNames en la cual se
incluyen todos los nombres para los que se quiere tener una resolucin inmediata sin tener
que buscar entre los distintos sufijos de dominio de bsqueda DNS.
Es posible, por tanto, crear entradas tales como www, smtp, pop, proxy... que apunten a
servidores bien conocidos o muy solicitados en el conjunto de la empresa. Estas entradas
pueden ser registros de tipo A que indican, directamente, la direccin IP, o de tipo
CNAME, es decir, un nombre completo que se resuelve de forma clsica.
Para configurar la GNZ, los servidores DNS autoritarios deben ser, como mnimo,
servidores Windows Server 2008. Sobre cada servidor DNS, active el modo GNZ
utilizando el siguiente comando PowerShell:
Set-DnsServerGlobalNameZone -Enable:$true
Por defecto, la zona GlobalNames no debe aceptar las actualizaciones dinmicas. En

cualquier caso, es algo que no se recomienda. Se aconseja crear una zona integrada con
Active Directory con replicacin a nivel del bosque o del dominio, segn el mbito
deseado.
add-dnsserverprimaryzone -name GlobalNames -ReplicationScope forest

-DynamicUpdate None
Agregue los registros que desee por lnea de comandos o a travs de la interfaz grfica. A
continuacin se muestra un ejemplo de cmo agregar un registro esttico que apunta a un
servidor Proxy.
Add-DnsServerResourceRecordA -zone GlobalNames -name Proxy

-IPv4address 172.16.1.5
Por defecto, la resolucin local DNS se utiliza antes que la de la zona global, si fuera
preciso utilice el siguiente comando para dar preferencia a la resolucin de nombres a partir
de la zona GlobalNames:
set-DnsServerGlobalNameZone -GlobalOverLocal $true
Esta configuracin slo se aplica a nivel de los servidores DNS. El objetivo es centralizar la
configuracin.
g. Pruebas y verificaciones
Existen diversas herramientas que permiten verificar el correcto funcionamiento de la

resolucin de nombres sobre los distintos dominios.
La herramienta ping es la primera que se utiliza para realizar pruebas de resolucin. Preste
atencin, el resultado de las pruebas puede verse alterado por el filtrado existente en los
firewall intermedios o sobre los propios sistemas. Utilice ping con el nombre corto, el
nombre completo (el nombre seguido del dominio DNS completo) y la direccin IP. Si se
obtiene una respuesta con cada una de las pruebas, significa que todo funciona
correctamente. En la prueba basada en la direccin IP, el argumento -a permite verificar
tambin la resolucin inversa.
Si aparece el nombre completo SRVFIC01.MiEmpresa.Priv, significa que la resolucin

inversa funciona correctamente, incluso en el caso de que no responda a un ping.
C:\Users\administrator.DOMINIOLOCAL>ping -a 172.16.1.184
Haciendo ping a SRVFIC01.MiEmpresa.Priv [172.16.1.184]

con 32 bytes de datos:
Respuesta desde 172.16.1.184: bytes=32 tiempo<1ms TTL=128
Estadsticas de ping para 172.16.1.184:

Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos),
Tiempo aproximado de ida y vuelta en milisegundos:
Mnimo = 0ms, Mximo = 0ms, Media = 0ms
La herramienta NsLookup permite consultar a los servidores DNS los distintos campos y
registros de las zonas DNS accesibles.
Los dos comandos, Tracert y PathPing, son equivalentes al ping, aunque muestran todas
las etapas, las direcciones atravesadas y las duraciones de cada etapa.
Existen, adicionalmente, otras herramientas como netsh, dnscmd y dcdiag que

aumentan enormemente las posibilidades.
Encontrar informacin complementaria acerca de la implementacin de Active Directory

en el captulo Dominio Active Directory.
h. Los distintos tipos de registro
SOA: el registro de tipo SOA se corresponde con una fuente de autoridad de la zona
afectada. Todas las modificaciones en la zona incrementan el nmero de versin asociado a
esta zona.
NS: el registro NS contiene todos los servidores de nombres de servidores autorizados a

responder en el dominio,
A diferencia de los dems registros, los registros SOA y NS son nicos en cada zona.
A: el registro A define la direccin IP asociada a un nombre de mquina concreto (llamado

Host en ingls).
CNAME: el registro CNAME crea un nombre (llamado Alias) en una zona, que podr
asociarse a un registro de tipo A en la misma zona o en otra zona DNS.
MX: cada registro MX debe apuntar a un registro de tipo A en el que alguna mquina posea
un servicio SMTP activo. Este registro resulta intil para la mensajera interna basada en
Exchange. Cuando existen varios registros de tipo MX, el peso (prioridad) ms bajo
asociado a cada uno de ellos indica el servidor de mensajera que debe utilizarse de forma
prioritaria.
SRV: el registro SRV sirve para indicar un servicio particular en un puerto especfico. Los
registros LDAP, Catlogo Global, Kerberos, SIP y otros utilizan este tipo de registros.
PTR: el registro PTR (Puntero) indica el nombre completo (FQDN) asociado a la direccin
IP que se utiliza para la bsqueda. Slo existe en las zonas de bsqueda inversa y no son
indispensables en un entorno Microsoft.
Existen otros tipos de registro, tales como el campo TXT, que se utilizan con menor
frecuencia y son menos tiles para el funcionamiento de una red de equipos Windows.
i. Buenas prcticas
En el marco de un bosque Active Directory, las buenas prcticas tratan de evitar la

replicacin intil de la informacin y, por tanto, evitar el uso de zonas secundarias que son
origen de muchos problemas.
Las soluciones que se utilizan son las zonas de cdigo auxiliar (stub zones) o las
redirecciones condicionales.
En los bosques y redes completas, la simplificacin implica el uso de redirectores a nivel de

cada subdominio hacia el dominio raz de cada bosque.
A nivel de cada dominio raz de cada bosque, el uso de una redireccin condicional hacia
cada bosque bastar para resolver todo el bosque correspondiente.
j. DNSSEC
A partir de Windows Server 2008 R2 y Windows Server 2012, es posible aumentar la

fiabilidad de la informacin ofrecida y recibida por el servicio DNS. La condicin principal
para utilizad DNSSEC es disponer de, al menos, un servidor Windows Server 2008 R2 con
el rol DNS instalado. El servidor no tiene por qu formar parte, necesariamente, de Active
Directory. En cambio, si la zona DNS que se quiere firmar est integrada en Active
Directory, entonces todos los servidores DNS del dominio o del bosque que gestionan esta
zona DNS deben tener instalado, como mnimo, un sistema operativo Windows Server
2008 R2.
DNSSEC permite autentificar la informacin DNS. Las zonas pueden firmarse

digitalmente. Esta firma se enva a los clientes bajo la forma de registros de recursos desde
los servidores que gestionan estas zonas. El cliente puede, a continuacin, validar la
informacin como autntica desde los servidores DNS firmados. DNSSEC impide, as,
ataques de tipo Man in the Middle que se basan, entre otros, en corromper los registros en
cach de un servidor DNS para redirigir a los usuarios hacia direcciones IP controladas por
el atacante.
El nmero de DNSSEC de Windows 2008 estaba muy limitado y se basaba en tres tipos de
registro:
KEY: este registro contiene la clave pblica indicada en la zona DNS del dominio.
Esta clave puede corresponderse con un servidor, la zona u otra entidad. Los
registros KEY se autentifican mediante registros de tipo SIG.
NXT: este registro permite indicar el prximo registro firmado, si existe.

SIG: este registro contiene la firma digital de una zona o parte de la zona para
autentificar un recurso de un tipo concreto.
La implementacin DNSSEC de Windows 2008 no permita ni gestionar ni verificar la

informacin transmitida.
La norma utilizada actualmente por DNSSEC consiste en cuatro nuevos registros de

recursos:
DNSKEY: registro de una clave DNSSEC.

RRSIG: firma de los RR existentes con DNSSEC.
NSEC: Next SEC, firma de los RR inexistentes con DNSSEC.
DS: firma de las delegaciones de zona en DNSSEC.
Como con Windows Server 2008 R2, Windows Server 2012 puede no solo gestionar las
zonas firmadas, sino tambin recibir informacin firmada, validarla y transmitirla a sus
clientes. Sin embargo, DNSSEC puede configurarse de forma mucho ms sencilla,
directamente mediante la interfaz de administracin grfica.
He aqu las distintas etapas a seguir para implementar DNSSEC:
Verifique bien las condiciones de uso de DNSSEC en los puntos importantes que se
indican al final del procedimiento.
En este ejemplo, se dota de seguridad a una zona sencilla llamada MiEmpresa.es, esttica
y pblica, que contiene dos registros MiSitioWeb (de tipo A) y www (de tipo CNAME).
Preste atencin, el procedimiento es el mismo tanto si la zona DNS se integra con Active
Directory como si no. Sin embargo, la firma de la zona bloquea la zona, que ya no
podremos transformar.
La primera etapa consiste en autorizar DNSSEC sobre el servidor DNS.
DNSSEC est autorizado por defecto en Windows Server 2012. He aqu el comando que
permite verificar esto sobre el servidor DNS seleccionado:
Get-DnsServer -Computername DC2012 | FindStr /I "Enablednssec"

EnableDnsSec True
Si fuera necesario, utilice el siguiente comando de activacin (por lnea de comandos):

DnsCmd /config /EnableDnsSec 1
Esta activacin de DNSSEC se corresponde con la entrada Habilitar validacin DNSSEC

en las opciones avanzadas del servidor DNS.
Seleccione la zona que desea firmar y haga clic con el botn derecho para desplegar el
men que contiene la opcin DNSSEC.
Seleccione la opcin Firmar la zona y haga clic en Siguiente.
Configure y distribuya los puntos de validacin de DNSSEC.
Configure la clave KSK.

Agregue una clave de tipo KSK haciendo clic en Agregar.
Modifique los parmetros del certificado.
Se recomienda seleccionar una encriptacin de tipo NSEC3, que impide recorrer y

descubrir toda la zona.
La clave KSK se agrega a la lista, haga clic en Siguiente para continuar.

Haga clic en Agregar para crear una clave de zona.
Seleccione, de nuevo, el algoritmo NSEC3 y, a continuacin, haga clic en Siguiente en la
lista de claves de la zona.
Seleccione la distribucin y la actualizacin de los anclajes de veracidad a nivel del

dominio y, a continuacin, haga clic en Siguiente.
Haga clic en Siguiente para aprobar las modificaciones aportadas.

Haga clic en Finalizar.
Refresque la visualizacin haciendo pulsando la tecla [F5].
La zona MiEmpresa.es est, ahora, firmada.
Si la zona no est integrada en Active Directory, o si los anclajes de veracidad no aparecen,

es posible importar las claves DNSKEY desde el servidor DNS que ha servido para firmar
la zona en todos los servidores DNS que pudieran necesitarlo.
Seleccione el contenedor Puntos de confianza y, a continuacin, Importar. Seleccione

DNSKEY en la herramienta de administracin DNS.
Indique el archivo Keyset correspondiente a la zona DNS deseada.
Verifique la integracin de los certificados de tipo DNSKEY en la visualizacin de la

herramienta de administracin.
Preste atencin, esta configuracin no debe realizarse sobre el servidor primario, sino,
nicamente, sobre los dems servidores DNS que reciban las consultas para esta zona.
Si la zona est integrada y el servidor DNS es controlador de dominio, esta operacin slo
debe realizarse una nica vez para todo el bosque.
Verifique que la resolucin de la zona especial .trustanchors funciona para la zona que ha
firmado mediante el siguiente comando PowerShell.
resolve-dnsname -name MiEmpresa.Es.trustanchors -type dnskey -server

dc2012
Name Type TTL Section Flags Protocol Algorithm
Key
---- ---- --- ------- ----- -------- --------- -
--
MiEmpresa.Es.trustanchors DNSKEY 3600 Answer 257 DNSSEC
7
{3, 1, 0, 1...}
MiEmpresa.Es.trustanchors DNSKEY 3600 Answer 257 DNSSEC
7
{3, 1, 0, 1...}
Firmar una zona DNS integrada en Active Directory
El procedimiento es muy similar al anterior.
Durante la instalacin, el asistente pregunta si el servidor DNS en curso debe convertirse en

el maestro de claves.
Seleccione el servidor que va a actualizar las claves de la zona.
La nica diferencia es que los puntos de confianza aparecen de forma inmediata en el

contenedor correspondiente.
Los nuevos registros creados en la zona estn dotados, automticamente, de una
nueva clave.
Configuracin de servidores DNS integrados en Active Directory
Idealmente, si los servidores DNS son controladores de dominio, las directivas se aplican
directamente sobre la unidad organizativa de los controladores de dominio. Adems, una
unidad organizativa puede utilizarse para todos los servidores DNS miembros.
Los certificados que utilizan los servidores DNS integrados en Active Directory pueden,
tambin, entregarse de forma automtica a travs de una entidad emisora de certificados
interna utilizando el modelo Directory Service Email Replication para crear una nueva
plantilla que incluya el identificador del objeto 1.3.6.1.4.1.311.64.1.1.
Se aplica una configuracin particular para que el protocolo DNS pueda utilizarse de forma
annima y autentificada, con el objetivo de validar los certificados.
Configuracin de los clientes de DNSSEC
Las estaciones o servidores miembros previstos para utilizar DNSSEC deben estar
configurados para utilizar una NRPT (Name Resolution Policy Table), es decir, una tabla
que incluye una directiva de resolucin de nombres.
Es posible crear una directiva de grupo para las mquinas miembros. Las dems se
configuran directamente en las claves de registro.
La directiva de grupo consiste en un conjunto de reglas que se aplican a la totalidad o a una

parte de la zona correspondiente. Se puede configurar en Configuracin del equipo -
Directivas - Configuracin de Windows - Directiva de resolucin de nombres.
Cada regla puede aplicarse a distintas partes (configuracin de las distintas pestaas
DNSSEC, Configuracin DNS..., Servidor DNS genrico, Codificacin) segn los
criterios de la siguiente tabla:
Con cada regla, haga clic en el botn Crear para agregarla a la tabla de la directiva.
He aqu las distintas reglas que pueden habilitarse mediante esta directiva:
El prefijo se corresponde con el nombre de la mquina: MiSitioWeb.

El sufijo se corresponde con el nombre del dominio: MiEmpresa.es.
El nombre completo es la combinacin del prefijo y del sufijo:
MiSitioWeb.MiEmpresa.es.
La subred (IPv4) con aspecto 172.16.1.1/16 permite securizar la bsqueda a partir
de la direccin IP para la zona de bsqueda inversa: 16.172.in-addr.arpa.
La subred (IPv6) realiza esta misma operacin para IPv6.
Los botones Actualizar, Crear, Eliminar, y tambin Eliminar regla, Editar regla
permiten agregar, modificar o eliminar el conjunto de reglas de la lista asociada a la
directiva.
El botn Configuracin de directiva global avanzada permite acceder a las opciones

complementarias que indican cmo debe funcionar la resolucin de nombres DNS segn la
ubicacin de red, los fallos que se produzcan en las consultas y la resolucin de las mismas.
Para aquellas mquinas que no pertenezcan al dominio, es posible configurar la tabla NRPT
en la directiva local. Si se desea, es posible elaborar un script manual para aplicar esta
directiva. Basta, para ello, con exportar la clave
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicy-Config en un
archivo NRPT.REG mediante la herramienta REGEDIT y, a continuacin, aplicarlo
mediante el comando REGEDIT /S NRPT.REG.
Hay varios puntos importantes que cabe tener en cuenta a la hora de utilizar DNSSEC:
Incluso si Windows Server 2012 incluye, ahora, una actualizacin (llamada

RollOver) automtica de los certificados para las zonas integradas en Active
Directory, es posible, aunque no recomendable, habilitar las actualizaciones
dinmicas sobre las zonas protegidas mediante DNSSEC.
Este tipo de zona la utilizarn, con mayor frecuencia, las races del bosque o las
zonas que se accedan a travs de Internet.
La renovacin de claves: el uso de claves seguras mediante certificados supone

configurar y verificar el mecanismo de renovacin regular de claves.
A diferencia de Windows Server 2008 R2, es posible agregar o eliminar registros en
cualquier momento y ya no requiere firmar de nuevo la zona. No es necesario
ningn certificado nuevo.
La seguridad que provee DNSSEC slo funciona con sistemas que tengan un cliente
DNS compatible y con sistemas que ejecuten Windows 7, Windows Server 2008 R2
y versiones superiores.
k. Administracin de DNS mediante PowerShell
PowerShell incluye numerosos comandos que permiten facilitar el conjunto de la

administracin del rol DNS.
Utilice el siguiente comando para obtener la lista de todos los comandos posibles.
Get-Command -Module DNSserver
Los comandos permiten crear, modificar y eliminar zonas, registros, as como configurar la
prctica totalidad de los parmetros de un servidor DNS, incluido DNSSEC.
He aqu la lista de comandos:
Expo Impo Clea Convert Enabl Disab

DnsServer Add Set Get Remove Invoke
rt rt r To e le
X X
Cache X X X
Conditiona
l
X
Forwarder
Zone X
Diagnostic
s X X
Directory
X
Partition X X
DnsSec
PublicKey X
DnsSecZo
ne Setting X X
DsSetting X X
EDns X X
Forwarder X X X X
Global
NameZone X X
Global-
Query-
BlockList X X
Key-
Storage-
Provider
Primary
X
Zone X X
Recursion X X
Resource-
X
Record X
Resource-
X
RecordA
Resource-
Record- X
AAAA
Resource-
Record-
Aging X
Resource-
Record- X
CName
Resource-
Record- X
DnsKey
Resource-
X
RecordDS X
Resource-
RecordM X
X
Resource-
X
RecordPtr
RootHint X X X X X
Scavengin
g X X
Secondary X X X
Zone
Setting X X
SigningKe
X
y X X X
SigningKe
y-Rollover X X X
Statistics X X
StubZone X X
Trust
Anchor X X X X X
TrustPoint X
Zone X X X X
ZoneAgin
g X X
Zone
Delegation X X X X
ZoneKey-
MasterRol
e
ZoneSign X
Zone
Transfer
Zone
Unsign X
Regist Res Restau Resu Suspen Syn Unregiste Updat
DnsServer Show Start Test
er et re me d c r e
X
Cache X
Condition
al
Forwarder
Zone
Diagnosti
cs
Directory
Partition X X
DnsSec
PublicKey
DnsSecZo X
ne Setting
DsSetting
EDns
Forwarder
Global
NameZon
e
Global-
Query-
BlockList
Key-
Storage-
Provider X
Primary
Zone X
Recursion
Resource-
Record
Resource-
RecordA
Resource-
Record-
AAAA
Resource-
Record-
Aging
Resource-
Record-
CName
Resource-
Record-
DnsKey
Resource-
RecordDS
Resource-
RecordM
X
Resource-
RecordPtr
RootHint
Scavengin
g X
Secondary
Zone X
Setting
SigningKe
y
SigningKe
y-
Rollover
Statistics
StubZone
Trust
Anchor
TrustPoint X
Zone X X X
ZoneAgin
g
Zone
Delegatio
n
ZoneKey-
MasterRol
e X
ZoneSign
Zone
Transfer X
Zone
Unsign
He aqu un enlace que le permite acceder a numerosos ejemplos de scripts PowerShell
adaptados al rol DNS: http://gallery.technet.microsoft.com/scriptcenter/DNS-Server-
PowerShell-afc2142b
l. Mejoras aportadas por la versin R2 de Windows 2012
Las estadsticas de DNS estn mucho ms detalladas:
El comando Get-DnsServerStatistics incluye una opcin -ZoneName que permite

obtener las estadsticas especficas de esta zona.
A nivel del servidor, las estadsticas incluyen la siguiente lista de secciones:
CacheStatistics, DatabaseStatistics, DnssecStatistics, DsStatistics, ErrorStatistics,
MasterStatistics, MemoryStatistics, NetBiosStatistics, PacketStatistics,
PrivateStatistics, Query2Statistics, QueryStatistics, RecordStatistics,
RecursionStatistics, SecondaryStatistics, SecurityStatistics, TimeoutStatistics,
TimeStatistics, UpdateStatistics y WinsStatistics.
El soporte de zonas protegidas mediante DNSSEC se ve mejorada:
El rol Key Master es, ahora, posible de configurar en las zonas multimaestro
gestionadas en los archivos (no integradas en Active Directory).
Por otro lado, todas las tareas de administracin pueden realizarse en el servidor
KeyMaster sin impactar a los dems DNS primarios que no son KeyMaster. Este
aislamiento permite realizar todas las operaciones de generacin de claves,
almacenamiento, reemplazo y eliminacin mientras que los dems servidores siguen
firmados en la zona mediante estas claves.
Se han agregado o extendido algunos comandos PowerShell:
El comando Step-DnsServerSigningKeyRollover fuerza la renovacin de KSK

mientras se espera una actualizacin de una firma de delegacin.
Se ha agregado la opcin -root al comando add-DnsServerTrustAnchor para
recuperar los puntos de anclaje a partir de la URL indicada en la propiedad
RootTrustAnchorsURL. Observe que el comando Retrieve-
DnsServerRootTrustAnchor es un alias.
La propiedad RootTrustAnchorURL forma parte de los elementos devueltos por
los comandos Get-DnsServerSetting y Set-DnsServerSetting.
2. La resolucin WINS
En teora, esta resolucin no debera utilizarse ms, salvo para integrar dominios antiguos
NT4. En la prctica, suele ser necesario (incluso muy prctico) para ciertas aplicaciones
heredades (Microsoft o no), y tambin para aplicaciones recientes tales como Exchange
2007 (en casos muy particulares).
Cuando se realiza una migracin o cuando existe alguna duda sobre el funcionamiento de
ciertas aplicaciones, es habitual mantener uno o dos servidores WINS en el sitio central.
Las estaciones y servidores que utilizan este tipo de aplicacin apuntarn, directamente,
sobre este servidor WINS. De este modo, es intil mantener y replicar los servidores WINS
por toda la red.
a. Definicin
WINS (Windows Internet Name Service) es un servicio basado en una base de datos Jet
que permite encontrar la direccin IP asociada a un nombre NetBIOS, y viceversa.
A diferencia de DNS, WINS mantiene informacin sobre los grupos de mquinas (llamados
grupos de trabajo cuando los ordenadores no pertenecen a un dominio), y tambin sobre los
usuarios conectados a dichas mquinas.
b. Instalacin
La instalacin de WINS se realiza agregando la funcionalidad correspondiente desde

PowerShell:
Install-WindowsFeature WINS
En este caso, el componente de administracin no se instala automticamente y puede

agregarse mediante el componente RSAT-WINS:
Install-WindowsFeature RSAT-WINS
En cualquier caso, es posible, tambin, agregar todas estas funcionalidades mediante el

c. Configuracin
Salvo en casos excepcionales en los que hay que informar manualmente un nombre
(llamado esttico) y una direccin IP, no es necesario configurar un servidor WINS, que
recibe dinmicamente toda la informacin necesaria desde los servidores y clientes que se
inscriben, de forma automtica, en la base de datos.
La nica particularidad consiste en replicar la base de datos entre dos servidores WINS, o
ms, dependiendo del caso.
d. La replicacin entre servidores WINS
La replicacin WINS se basa en dos operaciones: la emisin y la extraccin.
Para que una replicacin WINS funcione en un sentido, es preciso que el servidor WINS
est configurado para emitir las modificaciones que recibe hacia otro servidor WINS,
aunque tambin es necesario que el otro servidor WINS est configurado para recuperar la
informacin que proviene del servidor emisor en cuestin.
Para que la replicacin funcione bien en ambos sentidos entre dos servidores WINS, es
preciso que cada servidor est configurado como Emisin/Extraccin con el servidor
remoto.
e. Cundo y por qu utilizar WINS?
Preste atencin, ya no hay que ver a WINS como una solucin de resolucin completa. A
da de hoy, DNS resulta imprescindible.
WINS es, simplemente, una solucin que permite resolver problemas marginales de
funcionamiento de las aplicaciones o de acceso que sera demasiado complejo resolver de
otro modo.
El caso ms comn es una aplicacin que utilice, nicamente, nombres de servidores

sencillos y relativamente cortos. Es el caso, por ejemplo, de algunas funcionalidades de
Exchange.
La instalacin de un servicio WINS nico, centralizado, que utilizarn nicamente

algunas estaciones o servidores que tengan una verdadera necesidad del mismo responde
perfectamente a este tipo de problemtica.
Implementar la cuarentena de red

La cuarentena de red no es una verdadera solucin de seguridad, sino un elemento cuyo
objetivo es mantener en un buen estado de mantenimiento los elementos presentes en la
red.
Este componente NAP (Network Access Protection) est, todava, presente aunque
debera considerarse como obsoleto a partir de Windows Server 2012 R2. Microsoft
recomienda el uso de DirectAccess, que permite gestionar el equipo conectado "como" las
dems mquinas de la red (AV, WSUS...). La solucin aportada por DirectAccess es, por
tanto, algo diferente al control de conformidad que proporciona el componente NAP.
1. Preparar el entorno comn para los distintos tipos de cuarentena
El uso del cliente NAP se basa en el uso de un servidor NPS (Network Policy Server), es
decir, un servidor de directivas de red, que permite definir las restricciones deseadas.
Es, por lo tanto, necesario instalar y configurar este rol a partir del comando PowerShell:
Install-WindowsFeature NPAS-Policy-Server
La herramienta de administracin Servidor NPS (Network Policy Server) no se instala

automticamente, y debemos agregarla.
Install-WindowsFeature RSAT-NPAS
Una vez terminada la instalacin, es necesario definir algunos puntos para las directivas
funcionales:
Un sistema de validacin (SHV), es decir, pruebas que deben realizarse para

verificar un sistema.
Windows Server 2008 R2 y Windows Server 2012 autorizan, ahora, varias
configuraciones diferentes del sistema de validacin. Una vez configurada la
directiva de mantenimiento de la integridad del sistema, es posible seleccionar una
de las configuraciones. Cada directiva de red puede configurarse para utilizar una o
varias directivas de mantenimiento.
Un grupo de servidores de remedio: son los servidores que vern aquellas

estaciones que no cumplan con la conformidad para poder actualizarse y cumplir
con la poltica de seguridad configurada.
Las directivas de mantenimiento, que se definen como SHVs, y sern
interpretadas.
Directivas de red.
Es posible descargar el kit de integracin ForeFront for NAP (gratuito) para disponer de
un sistema de validacin complementario. Deben cargarse varios mdulos en los equipos
en funcin del tipo de procesador (32 o 64 bits), el mdulo SHV sobre los servidores NPS,
el mdulo SHA sobre los clientes que se quiere validar (http://www.microsoft.com/en-
us/download/details.aspx?id=15887).
La primera etapa consiste en definir las pruebas que se quieren realizar sobre los equipos
que disponen de un cliente NAP, es decir, Windows XP SP3, Windows Vista o superior.
En la consola de administracin del servidor NPS, NAP, seleccione el contenedor SHV.
Configure, a continuacin, el sistema de validacin provisto por defecto llamado

Validador de mantenimiento de seguridad de Windows y, a continuacin, haga clic en
Configuracin. El contenedor Configuracin contiene una configuracin llamada
Configuracin predeterminada que podemos utilizar. Es posible, tambin, definir nuevas
configuraciones.
En el contenedor Cdigos de error, se asume que si los programas de validacin de

integridad no responden o no pueden responder, el cliente se clasificar como No
compatible. Aunque, para cada situacin, es posible adaptar su estado mediante el men
Propiedades de la carpeta Cdigos de error.
Seleccione la configuracin que desea personalizar y haga doble clic para acceder a las
distintas propiedades que se comprobarn. Observe que existe una pestaa para Windows
XP y otra para Windows Vista y versiones superiores.
En el marco de esta implementacin de prueba, utilizaremos una configuracin simplificada

basada en la existencia de un firewall.
La segunda etapa consiste en definir un grupo que contenga los servidores autorizados para
configurar la conformidad con las normas definidas en los grupos de servidores de
actualizaciones.
Las mquinas no conformes pueden conectarse con los servidores indicados si estn
autorizadas las actualizaciones automticas (que sirven como remedio) en la directiva de
red.
La tercera etapa consiste en crear al menos dos directivas de mantenimiento diferentes en

las directivas de mantenimiento.
Una para los equipos conformes:
Slo aquellos validadores habilitados, es decir, los programas de mantenimiento instalados

y activos, forman parte de la regla de conformidad.
Si se crean varias configuraciones, seleccione aquella configuracin que le interesa, entre
las propuestas y configuradas anteriormente.
Haga clic en Aceptar para terminar con esta primera directiva.
Una para los equipos no conformes:
Seleccione el mismo validador que para una mquina conforme, pero defina la regla como
El cliente no supera ninguna de las comprobaciones de SHV.
La cuarta etapa consiste en la creacin de directivas de red.
Creacin de la directiva de red para los equipos conformes:
Haga clic con el botn derecho en Directivas de red y, a continuacin, en Nuevo en el

men.
Llame a la directiva Acceso completo para los equipos conformes, y deje el tipo de red
como No especificada.
No especificada significa que la directiva se aplicar sea cual sea el tipo de acceso de red
utilizado.
En la pantalla Especificar condiciones, es obligatorio precisar sobre qu elementos se

aplicar la directiva, haga clic en Agregar.
Es posible aplicar mltiples condiciones, seleccione Directivas de manteni-miento.

Seleccione, en la lista, la opcin Equipo conforme, y pase a la siguiente pantalla.
Indique Acceso concedido, lo cual resulta evidente para las mquinas conformes!
No se requiere ninguna autenticacin para este tipo de cuarentena, seleccione la opcin

Realizar slo comprobacin de mantenimiento del equipo.
En la pantalla Configurar restricciones, no hay que modificar ningn valor.
En la pantalla Configurar opciones, se trata de aplicar una configuracin (modificacin)

del cliente de red. Aqu, en la seccin NAP, se conserva el valor Permitir acceso completo
a la red.
Haga clic en Finalizar en la pantalla final que resume los valores de la directiva.
Creacin de la directiva de red para los equipos no conformes:
Haga clic con el botn derecho en Directivas de red y, a continuacin, seleccione Nueva
en el men.
Llame a la directiva Acceso completo para los equipos no conformes, deje el tipo de red
en No especificada como hizo con las mquinas conformes.
En la pantalla Especificar condiciones, debe precisar sobre qu equipos se aplica esta

directiva, haga clic en Agregar.
Es posible aplicar numerosas condiciones, seleccione Directivas de mantenimiento y, a

continuacin, seleccione la directiva Mquina no conforme de la lista. Pase a la siguiente
pantalla.
Indique Acceso concedido. En efecto, incluso para aquellas mquinas no conformes, se

trata de una regla que va a autorizar un acceso a la red, aunque slo a aquellos elementos
autorizados!
No se requiere ninguna autenticacin para este tipo de cuarentena, seleccione Realizar

slo comprobacin de mantenimiento del equipo como con las mquinas conformes.
En la pantalla Configurar restricciones, no modifique ningn valor.
En la pantalla Configurar opciones, se trata de aplicar una configuracin (modificacin)

del cliente de red. Aqu, en la seccin NAP, seleccione Permitir acceso limitado.
La opcin Permitir acceso limitado no debe aplicarse si no estamos seguros de los efectos
de la directiva. Es, a menudo, preferible autorizar un acceso completo en primer lugar y
utilizar el modo informe para hacerse una idea del conjunto de equipos que se vern
impactados.
Si queremos autorizar las actualizaciones automticas (y, por tanto, habilitar los servidores
de conformidad), debemos marcar la opcin Habilitar correccin automtica de equipos
cliente.
Haga clic en Configurar para especificar un Grupo de servidores de actualizaciones as
como la direccin de una pgina Web opcional que le d instrucciones al usuario.
En los clientes restantes, cada servidor indicado en el grupo dispone de su propia ruta con
una mscara 255.255.255.255. Lgicamente, los dems servidores no estn accesibles.
Haga clic en Finalizar en la pantalla final que resume el conjunto de parmetros de la

directiva.
Observe que, segn el reparto de roles en los distintos servidores autorizados, las
actualizaciones automticas pueden requerir un acceso completo.
El cliente Agente de Proteccin de acceso a redes debe estar habilitado sobre los puestos
cliente, es decir, el servicio debe estar configurado con arranque automtico.
El Centro de seguridad debe estar habilitado, algo que puede llevarse a cabo mediante una
directiva.
La consola del cliente NAP (NAPCLCFG.MSC) permite verificar las restricciones

impuestas.
El comando Napstat permite verificar la conformidad respecto a las reglas establecidas.

2. Implementar NAP mediante DHCP
Una vez realizadas las preparaciones previas descritas anteriormente, quedan pocas etapas
para que NAP funcione sobre DHCP.
El mbito DHCP debe, en primer lugar, estar habilitado para utilizar la seguridad basada en
NAP.
En las propiedades del mbito, encontrar la pestaa Proteccin de acceso a redes.
Las mquinas que cumplen con los requisitos previos utilizan las opciones que ha
configurado en las Opciones estndar de DHCP (Clase de proveedor), para la Clase de
usuario predeterminada.
El perfil predeterminado de proteccin de acceso a redes se corresponde con la clase de

usuario Clase de proteccin de acceso a red predeterminada que est accesible en la
configuracin avanzada de las propiedades del mbito. Las mquinas no conformes
utilizarn las opciones definidas a nivel de esta clase.
Slo es necesario definir las opciones deseadas, por ejemplo:

Un servidor DNS especfico o que no permita alcanzar o resolver ciertos nombres.
Una zona DNS ficticia o no, pero especfica para identificar rpidamente las
mquinas no conformes.
No informar ningn router, para impedir a la mquina acceder a secciones de la red
que se desean proteger.
Aparecen las opciones concretas con una clase de red especfica.
Ahora, podemos habilitar la directiva de cuarentena de DHCP, bien utilizando una

directiva, o bien directamente en la herramienta de administracin del cliente NAP que
podemos abrir mediante el comando NAPCLCFG.MSC.
En caso de que se detenga el servicio de Firewall de Windows, la estacin de trabajo no

estar conforme con las reglas definidas. Si estn autorizadas las actualizaciones
automticas, y el servidor de resolucin de problemas es accesible, las reparaciones se
realizan de manera inmediata. En nuestro caso, el reinicio inmediato del servicio Firewall
permite devolver a la mquina a la conformidad.
Utilice el comando napstat.exe para verificar el estado de conformidad de las estaciones
respecto a las directivas en uso. Existe un icono situado en el rea de notificacin que
permanece ah hasta que cerremos la herramienta.
La cuarentena de red basada en DHCP es la ms dbil de las protecciones posibles, y es

fcilmente eludible por parte de cualquier usuario que tenga permisos de administrador
local sobre su equipo.
3. Implementacin de NAP mediante IPsec

a. Instalacin del servicio Autoridad HRA
Esta seguridad requiere la instalacin del servicio Autoridad HRA (Health Registration
Authority) a travs del siguiente comando PowerShell:
Install-WindowsFeature NPAS-Health
Es preciso instalar una entidad emisora de certificados de tipo Entreprise si no existe

ningn otro sistema de distribucin de claves (PKI). El uso del rol Microsoft
correspondiente simplifica enormemente la tarea. Se recomienda encarecidamente utilizar
la interfaz grfica y, a continuacin, utilizar el asistente de creacin del certificado raz.
Para limitar la aplicacin de la cuarentena de red basada en IPsec, es prudente crear grupos
de equipos para cada categora.
Equipos clientes de NAP IPsec: es decir, todas aquellas estaciones que deban
cumplir con las normas de seguridad (CLIENTES-NAP).
Aquellos servidores llamados "de frontera" (Boundary) que reciben,
automticamente, un certificado de salud y que sirven para autentificar a los
clientes. Los controladores de dominio, los servidores DNS y los servidores de
reparacin deben formar parte de este grupo (SERVIDORES-FRONTERA).
Los equipos protegidos por NAP IPsec: reciben, tambin, automticamente un
certificado y slo autorizan la conexin desde las mquinas autentificadas
(SERVIDORES-NAP).
Cada mquina (estacin o servidor) debe poder recibir un certificado. Ahora bien, el
certificado emitido por defecto a las estaciones no contiene la directiva de autenticacin
adecuada.
Cree un nuevo certificado Autenticacin de estacin de trabajo duplicando el modelo

existente a partir de la consola de Plantillas de certificado que podemos abrir
directamente mediante el comando certtmpl.msc.
Tras la duplicacin, seleccione la compatibilidad Windows 2003 o Windows 2008. En

cualquier caso, es necesario disponer de una entidad emisora de certificados de tipo
Enterprise para que la distribucin de certificados sea automtica.
Aproveche para modificar algunos parmetros, tales como la duracin de la validez de los
certificados.
D nombre al certificado, modifique el periodo de validez y publquelo en Active

Directory.
Los servidores implicados en la validacin tienen, efectivamente, un certificado vlido

durante dos aos. En cambio, los equipos que soliciten la validacin obtendrn un
certificado con un tiempo de vida de cuatro horas.
En la pestaa Extensiones, seleccione Directivas de aplicacin y agregue la directiva

Autenticacin del agente SHA (System Health).
En la pestaa Seguridad, agregue los grupos de servidores de tipo frontera y los servidores
protegidos, y asigne los permisos Inscribirse e Inscripcin automtica.
En la consola Entidad emisora de certificados, en el contenedor de las plantillas de
certificado, haga clic con el botn derecho y seleccione Plantilla de certificado que se va
a emitir y, a continuacin, la plantilla Autenticacin de sistemas sanos.
Como la validacin de los clientes requiere, de manera regular, certificados de buena

salud, es importante verificar que el mdulo de directiva (sobre el certificado raz) est
configurado a Emitir certificado automticamente.
Los clientes deben configurarse para solicitar automticamente los certificados. En la

herramienta GPMC (Administracin de directivas de grupo), configure la peticin de
certificados automtica en la Default Domain Policy. Este parmetro se encuentra en la
seccin Configuracin de Windows - Configuracin de seguridad - Directivas de clave
pblica.
Haga clic con el botn derecho en Configuracin del equipo - Configuracin de

Windows - Configuracin de seguridad - Directivas de clave pblica - Configuracin
de la solicitud de certificados automtica - en la directiva Cliente de servicios de
servidor de certificados - Inscripcin automtica.
Los parmetros de inscripcin y renovacin automtica estn habilitados por defecto en las
Propiedades.
La cuenta SERVICIO DE RED (si la CA y la HRA se encuentran en la misma mquina) o

el equipo sobre el que se encuentra instalado el sistema de validacin (HRA) deben obtener
los siguientes permisos:
El siguiente comando permite al sistema validador solicitar los certificados con una
duracin distinta a la validez de dos aos definida e impuesta en el modelo.
certutil -setreg policy\editflags +EditF_attributeEndDate
b. Configuracin del sistema de validacin (HRA)
En el men Inicio, busque y ejecute la herramienta Autoridad HRA.
Es posible, tambin, abrir una consola MMC y agregar el componente Autoridad HRA
(Health Registration Authority).
Agregue la entidad emisora de certificados a partir de Active Directory.
Modifique las propiedades de la entidad emisora de certificados, en particular para validar

la entidad emisora de certificados de la empresa, y las plantillas de certificado que se van a
utilizar.
En la herramienta de administracin NPS, debe estar deshabilitada la reparacin
automtica. Esto puede configurarse en los parmetros del validador de mantenimiento del
sistema dentro de la configuracin por defecto. La opcin Configuracin de
Actualizaciones automticas debe estar desmarcada.
En el puesto cliente, para habilitar IPsec, es necesario hacerlo desde la lnea de comandos
mediante la siguiente instruccin:
netsh nap client set enforcement ID =79619
Cada cumplimiento (Enforcement) dispone de un identificador especfico:
DHCP = 79617
RAS = 79618
IPsec = 79619
TS Gateway = 79621
EAP = 79623
Observe que si el equipo no est conforme, el certificado que reciba se ver invalidado
inmediatamente sin esperar las cuatro horas.
De momento, no se impone ningn cumplimiento salvo el hecho de disponer de un
certificado. Estos cumplimientos los aportan tres directivas basadas en los grupos de
seguridad creados al principio.
c. Definicin de las reglas de seguridad de conexin
Estas directivas pueden definirse en la raz del dominio siempre que se implemente un
filtrado sobre los grupos de seguridad.
Los servidores frontera deben solicitar, pero no imponer, certificados vlidos. Los
servidores protegidos y los puestos cliente deben utilizar certificados, aunque es preferible
utilizar directivas diferentes para asociar una configuracin especfica para los clientes
(URL de configuracin HRA).
He aqu la directiva que debe implementar sobre los servidores frontera (Boundary):
En Configuracin del equipo - Directivas - Configuracin de Windows -

Configuracin de seguridad - Firewall de Windows con seguridad avanzada - Firewall
de Windows con seguridad avanzada - LDAP... cree una nueva regla de seguridad en
Reglas de seguridad de conexin, y seleccione Aislamiento.
Seleccione Solicitar autenticacin para conexiones entrantes y salientes y, a
continuacin, el mtodo de autenticacin modo avanzado.
Haga clic en Personalizar.
Haga clic en Agregar en la seccin Primera autenticacin.

Seleccione el modo Certificado de equipo y, a continuacin, Examinar para indicar su
entidad emisora de certificados. Haga clic en Aceptar solo certificados de
mantenimiento.
Haga clic en Aceptar para terminar de personalizar los modos de autenticacin y, a
continuacin, en Siguiente.
Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.
D nombre a la regla REGLA NAP IPSEC Frontera.
En la pestaa mbito de la directiva, agregue un filtrado de seguridad para el grupo

Servidores IPSEC de Frontera (SERVIDORES-FRONTERA) y elimine el grupo por
defecto Usuarios autenticados.
He aqu la nueva directiva que debe implementarse en los clientes y los servidores
protegidos.
Aunque la configuracin sea idntica, cree dos directivas independientes para poder
habilitar y modificar la configuracin segn las necesidades.
Utilice el mismo procedimiento que con los servidores frontera, seleccionando la opcin
Requerir autenticacin para las conexiones entrantes y solicitar autenticacin para las
conexiones salientes, en lugar de Solicitar.
Indique su entidad emisora de certificados de dominio, y marque la opcin Slo aceptar
certificados de mantenimiento.
Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.
D nombre a esta regla REGLA NAP IPSEC Client.
En la pestaa mbito de la directiva, agregue un filtrado de seguridad para el grupo

Clientes IPSEC (CLIENTES-NAP).
Se crear una directiva idntica para los servidores que se quieren proteger.
Utilizando la instruccin ping -t sobre un servidor frontera o un servidor protegido, ser

posible verificar la autenticacin por certificado mediante la herramienta Firewall de
Windows con seguridad avanzada.
Se utiliza una asociacin de seguridad basada en los certificados para llevar a cabo la
comunicacin.
Efectivamente, esta es tan solo una posibilidad de implementacin de seguridad basada en

la cuarentena de IPsec. Sera prudente maquetar el conjunto de la red antes de implementar
dichos cambios sobre una red en produccin.
Preste atencin, el hecho de imponer una autenticacin hace que no sea posible conectarse
con mquinas que no tengan un certificado vlido o que no cumplan la directiva de
seguridad para los sistemas conformes.
4. Implementar NAP sobre 802.1x
802.1X estaba, hasta el momento, reservado principalmente a los puntos de acceso

inalmbricos.
Actualmente, NAP permite, tambin, utilizar fcilmente esta autenticacin directamente

sobre la red local. Esta implementacin supone el uso de RADIUS para procesar la
solicitud, y la creacin de una VLAN especfica mediante un switch que acepte VLAN.
Son necesarios, por tanto, tres elementos:
un servidor de autenticacin;
un agente de autenticacin (switch o punto de acceso inalmbrico) ;
el solicitante.
El cliente solicitante utiliza el protocolo EAP (EAP over LAN) para enviar la solicitud al
agente de autenticacin (Pass-Through). El agente Pass-Through puede, a continuacin,
consultar al servidor RADIUS para validar o no la conexin.
A partir de Windows Server 2008/2008 R2/2012, el servidor NPS remplaza la tecnologa

IAS, aunque sigue utilizando el protocolo RADIUS para comunicarse. Si los clientes
cumplen con la conformidad relativa a la seguridad demandada, se les asigna una VLAN
especfica o un filtrado por IP.
a) Configuracin del switch (o punto de acceso):
He aqu la configuracin de las distintas VLAN que deben configurarse en el switch (o

punto de acceso) para llevar a cabo nuestro ejemplo:
VLAN ID 1 es la VLAN por defecto.

VLAN ID 2 para las mquinas que no cumplen con la conformidad.
VLAN ID 3 para las mquinas conformes.
Es necesario deshabilitar la comunicacin inter-VLAN entre las VLAN 2 y 3.
Los puertos del switch utilizados para conectar el servidor NPS y los controladores de
dominio deben configurarse para no imponer la autenticacin 802.1X. Todas las solicitudes
de autenticacin del switch deben redirigirse hacia el servidor NPS.
b) En el bosque Active Directory, ser preciso tener una entidad emisora de certificados
raz de tipo Enterprise. El servidor NPS debe haber recibido un certificado de equipo y el
certificado raz deber agregarse a las principales entidades de confianza en todas las
mquinas.
Es posible crear un grupo de seguridad especfico llamado Clientes NAP 802.1X para los
clientes NAP 802.1X, con el objetivo de restringir la aplicacin de las directivas en las
mquinas que pertenezcan a este grupo.
La mayora de elementos (Controladores de dominio, Servidor NPS, Entidad emisora de

certificados, Administracin de directivas de grupo) pueden instalarse sobre el mismo
servidor, lo cual nos simplificar en gran medida la configuracin de las pruebas. Si los
sistemas de cuarentena anteriores se han probado con xito, todos los elementos necesarios
se encuentran ya instalados. En cambio, ser preferible, en primer lugar, eliminar o
deshabilitar las directivas de grupo y las directivas de red que ya estn configuradas.
c) Configuracin del servidor NPS como servidor de directivas de mantenimiento
(Health Policy Server):
Lo ms sencillo es utilizar el asistente de configuracin de NAP.
A partir de la raz (NPS Local):
Haga clic en Configurar NAP en la seccin Configuracin estndar.
En Mtodo de conexin de red, seleccione IEE 802.1X (cableada).
En los Clientes RADIUS, agregue la direccin IP o los switch RADIUS, as como el

secreto compartido que utilizar el cliente RADIUS.
En la pantalla Grupos de equipos y usuarios, no indique nada.
En lo relativo al mtodo de autenticacin, haga clic en Seleccionar, seleccione el

certificado (vlido) emitido por el servidor que hospeda NPS y valide el modo PEAP-MS-
CHAP v2.
A continuacin, debe configurar las dos redes locales virtuales (VLAN) tal y como se
indica a continuacin, haciendo clic en Configurar.
La VLAN de la red de organizacin que se obtiene modificando el atributo estndar:

Debe agregarse un atributo (tag) especfico:
La VLAN de la red restringida:
El atributo indicado Tunnel-Tag debe tener el valor 1.
En Definir directivas de mantenimiento de NAP, seleccione el sistema de validacin

deseado, es decir, Validador de mantenimiento de seguridad de Windows, en nuestro
caso.
Por defecto, el acceso completo a la red no est permitido para aquellos clientes no
conformes.
Todas las directivas se crean en la pantalla final haciendo clic en Finalizar.

d) Una vez finalizada la configuracin a travs del asistente, es interesante verificar cada
parmetro.
Para realizar pruebas, el validador de mantenimiento de seguridad de Windows est

configurado para verificar nicamente el arranque del servicio de firewall.
Las directivas de control de integridad (definir los validadores a utilizar).
Las directivas de solicitud de conexin (verifique el orden de ejecucin, observe
que la directiva NAP 802.1X slo se aplica a conexiones de tipo Ethernet).
Las directivas de red y, en particular, la directiva NAP 802.1X (cableada) No
compatible con NAP.
En efecto, tras la implementacin de directivas de red, es primordial considerar la

existencia de mquinas Unix, Linux, Mac u otros, que no sern compatibles con NAP.
Estas mquinas deben seguir funcionando y comunicndose en la red, bien a partir de
exclusiones, o bien a partir de reglas especficas.
e) Para aquellos clientes NAP declarados como conformes, es necesario que los clientes
tengan la configuracin adaptada. Para las mquinas integradas en el dominio, es lgico
utilizar directivas de grupo para forzar su correcta configuracin.
He aqu los principales puntos de esta directiva:
Inicie automticamente el servicio Agente de proteccin de acceso a redes.
Inicie automticamente el servicio de Configuracin automtica de redes cableadas.
Habilite el Cliente de aplicacin de cuarentena de EAP en la seccin Configuracin de

Windows- Configuracin de seguridad - Proteccin de acceso a redes - Configuracin
del cliente NAP - Clientes de cumplimiento.
Todos estos elementos pueden configurarse y automatizarse mediante una directiva.
Habilite el Centro de seguridad (solo equipos de dominio).
En Directivas de red cableada (IEEE 802.3), cree una directiva de red cableada con la
siguiente configuracin:
Haga clic en Propiedades y deje la opcin Verificar la identidad del servidor validando
el certificado marcada, as como el mtodo de autenticacin EAP-MSCHAP versin 2
por defecto.
Desmarque la opcin Habilitar reconexin rpida.
Marque la opcin Aplicar Proteccin de acceso a redes.
Si queremos restringir esta directiva a un grupo de equipos concreto, retire el grupo

Usuarios autenticados en la seccin Filtro de seguridad y agregue el grupo Clientes
NAP 802.1X que se ha creado al principio del procedimiento.
El botn Opciones avanzadas, en la pestaa Seguridad, permite acceder a una

configuracin avanzada de 802.1X.
Preste atencin, no olvide integrar los clientes en este grupo!
Observe que estos parmetros pueden tambin configurarse de manera manual en el equipo
de trabajo, a condicin de iniciar manualmente todos los servicios indicados en la directiva.
5. Conclusin
He aqu los resultados obtenidos con los distintos tipos de cuarentena.
Reglas Cliente correcto Cliente incorrecto

DHCP Direccin IP completa y acceso Rutas restringidas.
completo.
802.1X Acceso completo. Acceso a la VLAN restringida o a los
puertos autorizados.
IPsec Comunicacin con cualquier Los elementos de confianza rechazan las
elemento de confianza. conexiones de sistemas no seguros.
La mejor seguridad es la que aporta 802.1X, seguida de la que ofrece IPsec, siendo DHCP
una barrera fcilmente franqueable.
En cualquier caso, la cuarentena de red no supone una seguridad absoluta, aunque mejora
enormemente la seguridad global favoreciendo la uniformidad a nivel del conjunto de la
red.
Existen otros tipos de cuarentena, aunque no se aplican a la totalidad de la red: se trata de la

cuarentena VPN, Acceso Remoto o Escritorio remoto.
Una de las principales restricciones ligadas al uso de la cuarentena consiste en utilizar

Windows XP SP3, Windows Vista, o superior, e iniciar los servicios de proteccin de red
necesarios. No obstante, es importante destacar que existen numerosos fabricantes que
ofrecen productos compatibles con NAP y existen, en particular, clientes NAP para Linux y
Mac.
La consola IPAM
La instalacin de la funcionalidad IPAM (IP Address Management) tiene como objetivo
centralizar la administracin del direccionamiento IP utilizando por el conjunto de
elementos dependientes de la infraestructura de red de Microsoft.
La herramienta est basada en una base de datos que permite administrar el descubrimiento,
la supervisin y la auditora del direccionamiento. Esta base de datos conserva y registra la
informacin durante 3 aos a partir de criterios tales como las direcciones IP, los nombres
de las mquinas o de los usuarios. A partir de esta informacin centralizada y agregada, la
consola permitir modificar la configuracin DNS, DHCP de manera remota teniendo en
cuenta todos los elementos necesarios.
Las funcionalidades que se tienen en cuenta son:
DHCP
DNS
NPS
Esta consola no puede instalarse sobre un controlador de dominio. En cambio, s es posible

instalar la consola de administracin remota de IPAM sobre un controlador de dominio.
1. Ventajas de esta solucin
Supervisar y administrar el direccionamiento IP sobre una red de empresa es un elemento

crtico en la administracin de la red, conforme sta se va haciendo ms grande y compleja.
Muchos administradores utilizan, todava, tablas o bases de datos personalizadas para

realizar un seguimiento manual del lugar y el uso de las direcciones IP. Generalmente, esto
consume bastante tiempo y suele producir errores de tipo humano. El servidor IPAM es una
herramienta que trata de dar solucin, precisamente, a esta necesidad.
En trminos de planificacin, IPAM remplaza herramientas manuales y scripts.

Permite evitar anlisis costosos durante las expansiones o modificaciones del nivel
de actividad, o durante cambios de configuracin o de tecnologa.
IPAM provee una plataforma de gestin nica para la administracin de las
direcciones IP de la red. Permite optimizar el uso y las capacidades de los servicios
DHCP y DNS en un entorno multi-sitio.
IPAM permite trazar y prever el uso del conjunto de direcciones IP utilizadas. El
anlisis de la tendencia general permitir prever mejor ciertos incidentes.
La auditora realizada por IPAM ayuda a cubrir ciertas exigencias legales asociadas
a leyes tales como HIPAA y Sarbanes-Oxley, y provee informes que permiten
investigar y gestionar los cambios.
2. La arquitectura IPAM
Segn el tamao de la empresa y sus necesidades, el despliegue puede ser distribuido (un
servidor IPAM por sitio) o centralizado (un nico servidor para toda la empresa), o incluso
una combinacin de ambos. El lmite de cobertura de un servidor IPAM es el bosque del
que forma parte.
Cada servidor IPAM se configura para administrar un mbito especfico. El mbito puede
ser un dominio, un sitio y puede tambin limitarse a una lista filtrada de servidores
administrados. Un servidor IPAM puede, tambin, definirse en la copia de seguridad.
IPAM se comunica de manera regular con los controladores de dominio, los servidores
DNS y DHCP de la red que estn en su dominio de cobertura. Cada servidor debera
definirse como administrado o no administrado!
Para que un servidor pueda ser administrado por IPAM, es necesario configurar la
seguridad sobre dicho servidor, de modo que el servidor IPAM pueda realizar la
supervisin y modificar la configuracin si fuera necesario. Las directivas de grupo son,
por tanto, la herramienta ideal para automatizar esta configuracin segn si el servidor est
administrado o no.
He aqu los protocolos que se utilizan segn los servicios solicitados:
Protocolos de acceso Servicios

IPAM Server RPC WMI SMB WS-Mgmt DHCP
RPC WMI WS-Mgmt DNS
RPC WMI LDAP Controladores de dominio
RPC NPS
3. Instalacin
Como con los dems elementos, la instalacin puede hacerse de forma grfica o mediante
comandos PowerShell.
Seleccione la funcionalidad Servidor de administracin de direcciones IP (IPAM).
Valide la lista de las dems funcionalidades necesarias haciendo clic en Agregar

caractersticas.
Observe que se necesita la base de datos interna de Windows para la primera instalacin.
IPAM para Windows Server 2012 R2 soporta la migracin de MS SQL, aunque no lo
propone, por defecto, durante su instalacin. La migracin se describe al final del mdulo.

Haga clic en Instalar.
Instale la consola sobre otro servidor 2012 reservado para la administracin o sobre el
controlador de dominio.
Si el componente IPAM se instala sobre un servidor, el componente se muestra en el

administrador del servidor, aunque slo puede utilizarse si el cliente de gestin IPAM est
instalado. He aqu el comando que debe utilizar en este caso:
Install-WindowsFeature IPAM-Client-Feature
4. Configuracin inicial
Acceda a la consola de administracin, desde el administrador del servidor, que contiene la

herramienta IPAM/Informacin general.
La configuracin se realiza en seis etapas.
Haga clic en Conectar con servidor IPAM (etapa nmero 1 del asistente).
Seleccione el servidor IPAM deseado y haga clic en Aceptar:
Haga clic en Aprovisionar el servidor IPAM (etapa nmero 2 del asistente) y, a

continuacin, en Siguiente.
Seleccione la configuracin bsica que desea.
Seleccione el modo Microsoft SQL Server y, a continuacin, indique:
el nombre del servidor SQL

el nombre de la base de datos SQL
el puerto 1433
y si es necesario crear el esquema en la base de datos.
A continuacin, valide haciendo clic en Siguiente.
Observe que, utilizando la base de datos Interna, ahora es posible cambiar la ubicacin de
dicha base de datos.
Configure la cuenta de acceso a SQL.

Para que el acceso y la creacin de la base de datos se realicen correctamente, verifique
bien los siguientes puntos:
El firewall debe autorizar la conexin sobre el puerto SQL (1433).

El servidor IPAM debe tener permisos para conectarse.
La solucin ms sencilla consiste en crear un grupo de ACCESO_IPAM_SQL que

contenga al servidor IPAM en Active Directory y, a continuacin, crear un login en SQL
para dicho grupo. Asigne, a continuacin, el rol DbCreator a dicho login.
Seleccione el mtodo de aprovisionamiento por directiva de grupo e indique el prefijo

seleccionado.
Observe el comando que tendr que ejecutar mediante PowerShell:
Invoke-IpamGpoProvisioning
Si no utiliza las directivas de grupo propuestas, deber configurar manualmente los

recursos compartidos, las reglas de firewall y los grupos de seguridad necesarios.
Haga clic en Aplicar para confirmar los parmetros.

Haga clic en Cerrar.
Cree las directivas mediante el comando Invoke-IpamGpoProvisioning.
Invoke-IpamGpoProvisioning -Domain MiEmpresa.Priv -GpoPrefixName IPAM

-force
Es importante especificar el mismo prefijo de dominio que el que ha indicado en el

asistente!
Las directivas se crean en la raz del dominio correspondiente. Se aplican, por tanto, a todos
los servidores DNS, DHCP y DC (para acceder a la configuracin de NPS) del dominio.
Idealmente, es posible desplazar la aplicacin de dichas directivas sobre las unidades
organizativas que contengan nicamente los servidores correspondientes. No hay que
olvidar que los controladores de dominio pertenecen a un contenedor especfico.
Haga clic en la etapa siguiente en Configurar deteccin de servidores (etapa nmero 3

del asistente).
Haga clic en Agregar sobre cada dominio que quiera administrar y, a continuacin, valide
haciendo clic en Aceptar.
Seleccione aquellos roles que desea descubrir.
Por defecto, los tres roles (DNS, DHCP, Controladores de dominio) estn seleccionados, lo
cual resulta aconsejable. Haga clic en Aceptar.
Haga clic en Iniciar deteccin de servidores (etapa nmero 4 del asistente).
La ejecucin de la tarea aparece hasta el final de la ejecucin. El trfico no ser importante

en un primer momento, puesto que se trata de consultas LDAP en el directorio.
Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso

de IPAM (etapa nmero 5 del asistente).
Es preciso definir el estado de gestin de cada servidor, es decir, si se desea administrarlo o
no. Es importante considerar bien la accin recomendada especificada junto a cada
servidor.
Seleccione el servidor o los servidores que desea configurar y, a continuacin, haga clic
con el botn derecho para desplegar el siguiente men contextual:
Haga clic en Editar servidor para obtener la siguiente pantalla:

Seleccione el modo Administrado y, a continuacin, haga clic en Aceptar.
El retardo en el estado de la comunicacin entre cada servidor y el servidor IPAM aparece

en la parte inferior de la pgina.
Existen varios elementos que podran impedir una correcta comunicacin sobre todos o
parte de los modos de acceso necesarios. Las directivas anteriores tienen como objetivo
autorizar IPAM a acceder a los servidores que posean los roles administrados.
Fuerce la aplicacin de las directivas IPAM en cada servidor DC, DHCP o DNS mediante
el comando GPUPDATE /FORCE.
Reinicie los servicios DHCP y DNS.
A continuacin, utilice la opcin Actualizar el estado de acceso del servidor. Si todo va

bien, el servidor pasa al estado desbloqueado (icono verde).
Cada uno de los componentes debera pasar al estado desbloqueado:
Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP
se mantenga bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT
est creado correctamente en la carpeta C:\Windows\system32\ dhcp.
Haga clic en Recuperar datos de servidores administrados (etapa nmero 6 del

asistente).
Ahora, todas las funcionalidades IPAM se encuentran habilitadas.
5. Grupos utilizados por IPAM
Los siguientes grupos de seguridad se crean en la base de datos local de cuentas del
servidor IPAM:
Usuarios IPAM: los miembros de este grupo pueden ver toda la informacin
disponible en el inventario de servidores, el espacio de direccionamiento IP y el
anlisis de la gestin de la consola IPAM as como los eventos operacionales IPAM
y DHCP que forman parte del catlogo de eventos, aunque no consultar la
informacin de seguimiento de las direcciones IP.
Administradores IPAM MSM: los miembros del grupo Administradores MSM
(Multi-Server Management, gestin multiservidor) tienen los mismos permisos que
los usuarios IPAM y, adems, pueden realizar tareas de gestin IPAM corrientes y
tareas de anlisis y de administracin.
Administradores IPAM ASM: los miembros del grupo de Administradores ASM
(Address Space Management, gestin del espacio de direccionamiento) tienen los
mismos permisos que los usuarios IPAM y, adems, pueden realizar tareas de
gestin IPAM corrientes as como tareas ligadas al espacio de direccionamiento IP.
Administradores de auditora IPAM IP: los miembros del grupo de
administradores de auditora IPAM tienen los mismos privilegios que los usuarios
IPAM. Pueden realizar tareas de gestin IPAM corrientes y, adems, ver la
informacin de seguimiento de las direcciones IP.
Administradores IPAM: los miembros de este grupo tienen permisos sobre todos
los datos IPAM y pueden realizar cualquier tarea.
Existe un grupo de seguridad universal IPAMUG que se crea sobre el dominio tras la
primera instalacin:
Este grupo de equipos contiene el primer servidor IPAM instalado.

Este grupo est incluido en los Event Log Readers y Usuarios DHCP del
dominio.
6. Tareas de administracin cotidianas
Haga clic en el men ACCIONES para obtener las operaciones habituales sobre las
direcciones IP:
Este men Acciones contiene, tambin, las distintas tareas planificadas:

7. Limitaciones a tener en cuenta
IPAM slo soporta controladores de dominio Microsoft, y servidores

Windows 2008 o superior, integrados en un bosque mediante servicios DHCP, DNS
y NPS.
Esto quiere decir que la herramienta no gestiona la administracin y la

configuracin de elementos no-Microsoft de la red. No obstante, es posible
incluirlos en la base de datos.
La instalacin puede ahora utilizar la base de datos interna de Windows o una base
de datos ubicada en un servidor MS SQL 2008 o superior. Preste atencin, la base
de datos integrada en Windows est limitada a 4 GB.
Un servidor IPAM es capaz de gestionar hasta 150 servidores DHCP, 500
servidores DNS, 6000 mbitos DHCP y 150 zonas DNS.
La base de datos almacena tres aos de informacin histrica (contratos, direcciones
MAC, conexiones y desconexiones de los usuarios) de hasta 100000 usuarios. No
existe ninguna estrategia de purgado automtico, de modo que tendr que hacerse
manualmente si fuera necesario.
El anlisis de tendencias sobre el uso de direcciones IP y de solicitudes slo est
disponible para IPv4.
No existe ningn procesamiento especial para direcciones de tipo IPv6
autoconfiguradas sin estado, ni sobre la migracin de mquinas virtuales.
IPAM no permite auditar direcciones IPv6 autoconfiguradas sobre un equipo que no
est administrado para seguir un usuario.
IPAM no verifica la coherencia de las direcciones IP con los routers y switchs de la
red.
8. La migracin de IPAM a IPAM 2012 R2
La actualizacin de Windows Server 2012 a 2012 R2 conserva la funcionalidad IPAM, as

como la mayora de componentes instalados y configurados. En cambio, la base de datos
IPAM debe actualizarse para poder continuar siendo administrada y, principalmente,
aprovechar las nuevas funcionalidades.
Al arrancar la herramienta de la consola IPAM, tras la conexin, aparece la opcin

Actualizar el servidor IPAM.
Haga clic en Actualizar el servidor IPAM.
Haga clic en Siguiente para iniciar el asistente.

El asistente realiza una verificacin de la base de datos. Una vez terminada, haga clic en
Siguiente.
Haga clic en Actualizar.
Haga clic, a continuacin, en Cerrar en el resumen de tareas de actualizacin.
Aparece la visualizacin clsica de todas las opciones de administracin de la consola

IPAM:
9. Los roles de IPAM 2012 R2
La gestin de los roles se ve mejorada con Windows Server 2012 R2, y es mucho ms
granular.
La administracin se divide, ahora, en:
Roles: conjunto de acciones autorizadas para usuarios concretos.

mbitos de acceso: conjunto de objetos o de recursos autorizados a los usuarios.
Por defecto, existe un nico mbito llamado Global, que incluye todos los recursos.
Directivas de acceso: combinacin de roles y de mbitos de acceso.
La delegacin granular de la administracin consiste en:
Agregar roles suplementarios si es necesario.

Crear y nombrar mbitos y, a continuacin, asociar estos mbitos a los objetos
correspondientes.
Agregar usuarios o grupos autorizados, asociarles su rol y su mbito de acceso.
a. La lista de roles integrados
He aqu la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se
corresponden, exactamente, con los grupos creados por IPAM. Adems, es posible crear
nuestros propios roles:
Rol Administrador ASM IPAM:
Este rol integrado provee las autorizaciones requeridas para gestionar

completamente los espacios de direccionamiento IP, los bloques de direcciones IP,
las subredes de direcciones IP, los rangos de direcciones IP y las direcciones IP.
Rol Administrador de mbitos DHCP IPAM:
Este rol integrado provee los permisos requeridos para gestionar los mbitos DHCP.
Rol Administrador de reservas DHCP IPAM:
Este rol integrado provee los permisos requeridos para gestionar las reservas DHCP.
Rol Administrador de registros de direcciones IP:
Este rol integrado provee los permisos requeridos para gestionar las direcciones IP,
en particular la bsqueda de direcciones IP no asignadas, as como la creacin y la
eliminacin de instancias de direcciones IP.
Rol Administrador de registros DNS:
Este rol integrado provee los permisos requeridos para gestionar los registros de
recursos DNS.
Rol Administrador DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar completamente un
servidor DHCP, as como sus mbitos DHCP, sus filtros de direcciones MAC, sus
directivas DHCP y sus reservas DHCP.
Rol Administrador IPAM:
Este rol integrado provee los permisos especificados por los roles Administrador
ASM IPAM y Administrador MSM IPAM, adems de los permisos necesarios para
gestionar mbitos de acceso, directivas de acceso y grupos lgicos.
Rol Administrador MSM IPAM:
Este rol integrado provee los permisos requeridos para gestionar completamente los
servidores DHCP, los mbitos globales DHCP, los mbitos DHCP, los filtros de
direcciones MAC, las directivas DHCP, las zonas DNS y los registros de recursos
DNS.
b. Creacin de un rol personalizado
Si se quiere, por ejemplo, delegar la modificacin de registros DNS en la zona DNS

pblica nicamente, he aqu las etapas que debe seguir.
Para crear un rol personalizado, basta con ir a la carpeta IPAM/CONTROL DE

ACCESO/Roles de la consola.
El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente para Agregar un
rol de usuario.
Escriba un Nombre y, opcionalmente, una Descripcin del rol.
Seleccione, a continuacin, todas las operaciones autorizadas para este rol.
c. Creacin de un mbito de acceso
Para crear un mbito personalizado, basta con ir al a carpeta IPAM/CONTROL DE

ACCESO/mbito de acceso en la consola.
El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente Agregar mbito
de acceso.
El mbito puede ubicarse directamente bajo el mbito Global, o en otro nivel si se desea
crear una arborescencia ms compleja.
A continuacin es posible asociar este mbito a los recursos u objetos correspondientes.
Por defecto, todos los recursos dependen del mbito Global.
Si desea delegar la zona pblica MiEmpresa.es, haga clic en el botn derecho en la zona
miempresa.es y seleccione la opcin definir mbito de acceso.
Seleccione el mbito de acceso deseado.

d. Definicin de las directivas de acceso
Hasta ahora, no ha tenido lugar, realmente, ninguna delegacin. Agregando los usuarios o
los grupos es como se otorgan los permisos reales de administracin.
Vaya a IPAM/CONTROL DE ACCESO/Directivas de acceso.
Haga clic en el botn TAREAS y, a continuacin, seleccione Agregar directiva de

acceso.
Seleccione el grupo o el usuario desde el directorio.

Haga clic, a continuacin, en Configuracin de acceso para poder agregar combinaciones
de roles y mbitos.
Haga clic en el botn Agregar configuracin y, a continuacin, en Aplicar.
Como con Exchange, y con muchos otros productos, la tendencia es hacia la granularidad
en la delegacin de la administracin mediante el uso de roles personalizados que gestionan
un mbito. El objetivo es no asignar ms que aquellos permisos necesarios relativos a las
acciones y mbitos deseados.
El protocolo IPv6
Poco a poco, la tecnologa IPv6 se va introduciendo en nuestro da a da. Esto es as debido
a la inercia que adquiere todo en Internet, porque ya no existe otra opcin en ciertas zonas
de Internet (frica, Asia...) y, tambin, para conseguir una mejora progresiva a la hora de
adquirir nuevos dispositivos y componentes.
Microsoft est actualizando, de manera progresiva, todos sus productos para soportar los
estndares de la industria. Esto incluye a IPv6, que ser el nuevo protocolo obligatorio en el
acceso a Internet, y que supone una evolucin de IPv4, protocolo que se utiliza a da de
hoy.
IPv6 se concibe para dar respuesta a numerosos problemas vinculados a IPv4: la

configuracin automtica, la movilidad y, sobre todo, la extensibilidad del espacio de
direccionamiento, que se hace casi infinito en Internet.
La funcionalidad principal de IPv6 es el uso de direcciones de 128 bits (en lugar de

direcciones de 32 bits), lo cual permite explotar hasta 3.4 1038 direcciones, ms que
suficiente para gestionar las necesidades actuales y futuras.
IPv6 no asegura la compatibilidad hacia atrs con IPv4. Un nodo configurado

exclusivamente con IPv6 no puede comunicarse con un nodo que est configurado,
exclusivamente, en IPv4. Como consecuencia de ello, debe producirse una transicin
progresiva desde una red que funcione exclusivamente en IPv4 hacia una red que tenga en
cuenta al mismo tiempo IPv4 e IPv6 de forma nativa. A medida que el nmero de nodos y
de aplicaciones de la red que tengan en cuenta IPv6 aumente, el trfico de su red bascular,
con el tiempo, de un uso mayoritario de IPv4 a un uso mayoritario de IPv6. Se trata, por
tanto, del objetivo de transicin hacia IPv6.
Dado que actualmente prevalecen los nodos, dispositivos, aplicaciones y sistemas de

gestin de red que utilizan nicamente IPv4, salvo algunas excepciones, el objetivo de su
estrategia de transicin hacia IPv6 consistir en migran una red que trabaja exclusivamente
en IPv4 hacia una red que tenga en cuenta, al mismo tiempo, el trfico IPv4 y el trfico
IPv6, y no migrar hacia una red que trabaje exclusivamente con IPv6.
El objetivo de esta parte no es presentar la integridad de IPv6 (lo que podra llevarnos
varios libros), sino disponer de los comandos bsicos de referencia para comprender y
adaptarse al nuevo entorno.
1. Tabla de equivalencia entre IPv4 e IPv6
A continuacin se presentan algunos conceptos IPv4 y su equivalente en Ipv6:
Direccionamiento IPv4 Direccionamiento IPv6

Clases de direcciones 5 Clases: A a E. No existe una equivalencia en
de Internet IPv6
Direcciones MultiCast 224.0.0.0/4 FF00::/8
Direcciones de Todos los bits a 1 No se aplica en IPv6
BroadCast (255...)
Direccin no 0.0.0.0 ::
especificada
Direccin de bucle 127.0.0.1 ::1
local
Direcciones IP pblicas Clases A a C salvo las Direcciones de tipo Global
clases privadas. unicast.
Direcciones IP 10.0.0.0/8, Direcciones de Site-local
privadas 172.16.0.0/12, ULA=FC00::/7
192.168.0.0/16
Direcciones 169.254.0.0/16 Direcciones de Link-local
autoconfiguradas FE80::/64
(APIPA)
Representacin en Notacin decimal Notacin hexadecimal separada
modo Texto separada por puntos. por los smbolos ":", se eliminan
los ceros correspondientes a la
compresin.
Las direcciones compatibles

IPv4 se representan en notacin
decimal con puntos (para los 4
ltimos valores).
Ejemplo ::ffff:172.16.1.1
Representacin de las Notacin decimal o nicamente la longitud del
redes y subredes longitud del prefijo. prefijo.
(Mscara de red)
Resolucin de nombres Registro de tipo (A) Registro de tipo (AAAA) que
DNS que contiene una contiene una direccin IPv6.
direccin IPv4.
Resolucin DNS Dominio de tipo IN- Dominio de tipo IP6.ARPA.
inversa ADDR.ARPA.
2. Comandos principales
La mayora de comandos son idnticos y funcionan a la vez sobre IPv4 e IPv6, por ejemplo
los comandos ipconfig /flushdns y /registerdns.
En algunos casos, se desea forzar el uso de un protocolo, por ejemplo, en la resolucin de

nombres DNS.
Ping -4 DC2012
Envo de una consulta ping sobre DC2012.MiEmpresa.Priv [172.16.1.1] con 32 bytes de

datos:
Respuesta de 172.16.1.1: bytes=32 tiempo<1ms TTL=128
Ping -6 DC2012
Envo de una consulta ping sobre

DC2012.MiEmpresa.Priv[fe80::2d95:5a6:9b7d:f350%13] con 32 bytes de datos:
Respuesta de fe80::2d95:5a6:9b7d:f350%13: tiempo<1ms
Preste atencin, en este resultado, la parte %13 no forma parte de la direccin IP, sino que
se corresponde con el nmero del itinerario (interfaz) utilizado.
Cuando una tarjeta de red soporta los dos protocolos IP, no es obligatorio configurar DHCP
sobre ambos protocolos. Cuando se quiere utilizar el protocolo IPv6, o bien que el
protocolo DHCP se base en IPv6, he aqu algunos comandos prcticos:
Ipconfig /release6
Adaptador Ethernet LAN:
Sufijo DNS especfico para la conexin. . : MiEmpresa.Priv
Vnculo: direccin IPv6 local. . . . . . . . . . . : fe80::c969:22b:c9fc:8eb0%12
Direccin IPv4. . . . . . . . . . . . . . . . . . . . . . : 172.16.1.185
Mscara de subred. . . . . . . . . . . . . . . . . . . : 255.255.0.0
Pasarela por defecto. . . . . . . . . .. . . . . . . . . : 172.16.1.5
Ipconfig /renew6
Adaptador Ethernet LAN :
Sufijo DNS especfico para la conexin. . . . . . : MiEmpresa.Priv
Direccin IPv6. . . . . . . . . . . . . . . . . . . . . . : fd00::afbe:52a9:314e:e25c
Vnculo: direccin IPv6 local. . . . . . . . . . . . . . . : fe80::c969:22b:c9fc:8eb0%12
Direccin IPv4. . . . . . . . . . . . . . . . . . . . . . . . . . : 172.16.1.185
Mscara de subred. . . . . . . . . . . . . . . . . . . . . . . : 255.255.0.0
Pasarela por defecto. . . . . . . . . . . . . . . . . . . . . . : 172.16.1.5
Observe que los comando /release y /renew slo funcionan para IPv4.
3. La configuracin de DHCP v6
Por defecto, la configuracin de un servidor DHCP v6 no es obligatoria. Existen muchos

mecanismos para evitar la mayora de conflictos entre sitios, y sobre cada sitio. La
asignacin aleatoria de una parte del sitio entre millones de combinaciones posibles, y la
asignacin aleatoria de direcciones voluntarias repartidas tambin sobre varios millones de
combinaciones hacen que los problemas sean meramente tericos. En un sitio determinado,
la primera mquina define el direccionamiento nico que se utilizar y, a continuacin,
todas las dems mquinas se integran en el mismo direccionamiento. De hecho, la nocin
de sitio o, para ser ms exactos, de sub-sitio puede extraerse de las subredes IPv6 y
gestionarse, por defecto, mediante routers. Son ellos los encargados de configurar los
equipos de acuerdo con el prefijo de la subred correspondiente.
El inconveniente es que los servidores, en particular los servidores DNS y los controladores
de dominio, tendrn, tambin, una direccin algo compleja y difcil de memorizar. En el
marco de las directivas los scripts, o la configuracin de ciertos componentes tales como
firewalls, puede ser deseable configurar uno mismo esta parte de DHCP. Sabiendo que se
puede escoger la direccin IP de su servidor DNS; de su proxy, ser mucho ms fcil
utilizar informacin fija en los scripts de conexin o de personalizacin del entorno.
Esta eleccin supone utilizar, voluntariamente, una configuracin globalmente IPv6,

sabiendo que muchos dispositivos y aplicaciones no estn, todava, plenamente operativos
sobre este protocolo. Si bien el acceso de los clientes est, generalmente, bien administrado
en IPv6, es necesario en trminos de administracin y de funcionamiento de varias
aplicaciones importantes. Por ejemplo, en Exchange 2010, todos los protocolos de acceso
IMAP, POP, SMTP y MAPI estn preparados para funcionar en IPv6. En cambio, IPv4
sigue siendo indispensable para establecer la comunicacin entre servidores Exchange.
El funcionamiento de DHCPv6 est ligado a varios valores del entorno definidos sobre las
tarjetas de red. Cuando se habilita IPv6 en una tarjeta de red, la configuracin se realiza,
por defecto, en modo StateLess (sin estado). Esto quiere decir que la configuracin de la
direccin (flag llamado M), tiene el valor Disabled, y no est administrado. La
configuracin de cada sitio la aportan los routers.
Si se instala DHCPv6, puede utilizarse para distribuir otros elementos de configuracin

(por ejemplo, el servidor DNS, los sufijos de bsqueda...) a condicin de que el atributo
Otra configuracin con estado (flag llamado O) tenga el valor Enabled.
Si se habilitan ambos parmetros, la configuracin llamada StateFull se basa

completamente en DHCP.
a. Configuracin del cliente DHCPv6 sobre el servidor DHCP
He aqu la lista de comandos que debe utilizar para gestionar, de manera efectiva, un
direccionamiento IPv6 basado en DHCPv6.
En los siguientes comandos, LAN se corresponde con el nombre de la tarjeta de red.
netsh interface ipv6 set interface LAN routerdiscovery=dhcp

netsh interface ipv6 set interface LAN managedaddress=enabled
netsh interface ipv6 set interface LAN otherstateful=enabled
La opcin routerdiscover puede valer Enabled si los routers estn, efectivamente,

configurados de forma que puedan aportar los elementos necesarios.
Utilice el comando netsh interface ipv6 show interface LAN para confirmar las opciones en
curso.
b. Configuracin del servicio DHCPv6
Abra la consola de administracin de DHCP.
Seleccione la opcin mbito nuevo en el men IPv6.
Haga clic en Siguiente para iniciar el asistente.

Asigne un nombre al mbito y haga clic en Siguiente.
Indique el prefijo de la red as como la posible preferencia.
El nmero de prefijo se debe escoger en el mbito previsto para las redes privadas. Como
con las redes IPv4, cada subred utiliza una parte fija que debe ser diferente!
La nocin de preferencia (valor de 0 a 255) permite repartir/optimizar el comportamiento

de DHCP entre varios servidores. Un cliente DHCP preferir un servidor que tenga la
misma preferencia que el que haya obtenido la vez anterior.
Agregue las zonas o direcciones IP que desea excluir.

En este caso, se escogen las 255 primeras direcciones, aunque podemos ser ms generosos
sin que ello suponga un problema. Todos los servidores para los que se quiere asignar una
direccin IP fija, en particular servidores DNS y controladores de dominio, utilizarn,
principalmente, este tipo de direccin, que podremos informar en las opciones.
Indique la duracin deseada para los contratos.

La duracin preferida se corresponde con el retardo normal deseado de conservacin de una
direccin.
La duracin vlida se corresponde con la duracin mxima, si no existe una renovacin del
contrato.
Habilite el mbito y valide al final del asistente.

Configure, a continuacin, las opciones del mbito o la configuracin a nivel de servidor.
Las opciones 23 (servidores DNS que se usarn para la resolucin de nombres) y 24
(sufijos de bsqueda) son las opciones ms interesantes que se pueden configurar.
Preste atencin, la activacin del modo IPv6 completo no tiene sino ventajas. La estacin
recibe una direccin IPv6 aunque no funcionar plenamente en este modo sino tras haber
deshabilitado IPv4. Es preciso probar bien el conjunto antes de utilizarlo en una red de
produccin.
4. Configuracin DNS v6 de la zona de bsqueda inversa
La zona de bsqueda DNS directa no necesita ninguna configuracin particular.

Los registros siguen la misma lgica que los registros clsicos.
He aqu las etapas que permiten crear una zona de bsqueda inversa de tipo IPv6:
Seleccione Zonas de bsqueda inversa y, a continuacin, haga clic con el botn derecho
y seleccione Zona nueva... en el men contextual.
Inicie el asistente Nueva zona y haga clic en Siguiente.
Seleccione el tipo de zona y haga clic en Siguiente.
Seleccione el tipo de replicacin y haga clic en Siguiente.

Seleccione el tipo Zona de bsqueda inversa para IPv6.
Escriba el prefijo y el tamao de la zona que se desea, en bits.
Teniendo en cuenta el nmero casi ilimitado de redes y de mquinas, nos limitaremos a una
red en la que queremos recibir y actualizar la informacin.
Seleccione el tipo de actualizacin y haga clic en Siguiente.

Finalice la creacin de la zona haciendo clic en Finalizar.
Los registros DNS inversos aparecen una vez actualizada la zona, tarea que podemos forzar
mediante el comando ipconfig /registerdns.
5. TEREDO
Teredo es una tecnologa que facilita la transicin entre IPv6 e IPv4, permitiendo a las
aplicaciones IPv6 comunicarse a travs de una red IPv4, incluso a travs de redes que
utilizan NAT, es decir, traduccin de direcciones. Esta capa es vlida y est lista para
utilizarse en Windows Server 2012. DirectAccess puede utilizar esta solucin, aunque
requiere dos direcciones IP pblicas simultneas consecutivas.
6. ISATAP
ISATAP (Intra-site Automatic Tunnel Addressing Protocol) es una tecnologa de transicin

definida en la RFC 4214. El inters de ISATAP consiste en utilizar la infraestructura IPv4
tal como es, sin ningn hardware suplementario ni modificacin en la configuracin de los
routers. Las nuevas aplicaciones que utilizan IPv6 pueden instalarse sobre IPv4 gracias a
esta capa suplementaria adaptndose al direccionamiento existente. Esta capa es, de hecho,
vlida y est lista para utilizarse en Windows Server 2012.
El direccionamiento de ISATAP est compuesto por un prefijo, un valor fijo (0:5efe o

200:5efe) y termina con el direccionamiento IPv4.
64-bits_Unicast_Prefix:0:5efe:w.x.y.z
Este formato de direccin se utiliza cuando la direccin IPv4 es privada.
64-bits_Unicast_Prefix:200:5efe:w.x.y.z
Este formato de direccin se utiliza cuando la direccin IPv4 es pblica.
Esta combinacin permite utilizar IPv6 manteniendo sus equivalentes en IPv4.

Asociacin de tarjetas de red en equipo
(Teaming)
Windows Server 2012 soporta ahora, de forma nativa, la combinacin de varias tarjetas de
red. Las soluciones que daban antes los fabricantes suponan utilizar tarjetas de red
idnticas, del mismo proveedor, y no estaban soportadas directamente por Microsoft en
configuraciones de virtualizacin, soluciones que son exigentes, por lo general, en cuanto a
la necesidad de tarjetas de red.
La asociacin (hasta 32 tarjetas de red) realiza, principalmente, la agregacin del ancho de

banda y la tolerancia a fallos. Es posible asociar tarjetas de distintas velocidades, y crear,
por lo tanto, tantas asociaciones de tarjetas como sea necesario. El asistente propone
integrar las tarjetas fsicas, o incluso las tarjetas virtuales creadas por Hyper-V. Esto resulta,
por otro lado, muy prctico cuando se desea desplazar tarjetas Hyper-V hacia nuevas
tarjetas de forma asociada. Este tipo de configuracin no requiere la configuracin de un
switch, y permite conectarse directamente a varios switchs diferentes, lo que mejora la
tolerancia a fallos. Por supuesto, es mejor utilizar tarjetas que dispongan de las mismas
propiedades.
He aqu el procedimiento de instalacin, que es relativamente sencillo.
Abra el Administrador del servidor y sitese en el Servidor local.
Puede, tambin, configurar asociaciones sobre un servidor remoto, aunque no se

recomienda.
Haga clic en Deshabilitado junto a la propiedad Formacin de equipos de NIC.

Agregue una asociacin seleccionando la opcin TAREAS en EQUIPOS y, a
continuacin, Nuevo equipo.
Podemos, tambin, utilizar el men TAREAS de una tarjeta disponible o en la seccin

ADAPTADORES E INTERFACES.
Seleccione el nombre de la futura tarjeta, e indique las tarjetas que forman parte de la
asociacin.
Haga clic en Propiedades adicionales para adaptar la configuracin.
El modo de formacin de equipos y el modo de equilibrio de carga no se pueden modificar
en una mquina virtual. En cambio, es posible definir una VLAN especfica, o la tarjeta que
se deja como reserva.
El modo Independiente del conmutador funciona en cualquier caso, y no requiere ni un

switch particular, ni disponer de una configuracin particular. Permite, tambin, conectar
cada tarjeta a switchs diferentes, con el objetivo de gestionar, de este modo, los fallos o el
reinicio de un switch.
Los otros dos modos de asociacin requieren una configuracin especfica sobre los
switchs.
El modo Formacin de equipos esttica obliga a identificar los enlaces que

componen la asociacin a nivel de switch.
El modo LACP es un protocolo estndar que permite negociar con los dems
equipos el funcionamiento ptimo agrupando los puertos configurados de la misma
manera (velocidad, modo Duplex, VLAN, Trunk).
El modo de equilibrio de carga por defecto se basa en una tabla hash de las direcciones, es
decir, un reparto basado en las direcciones IP recibidas. El otro modo propuesto se basa en
los puertos Hyper-V.
La asociacin de tarjetas en una mquina virtual es til solamente si no se ha creado

ninguna asociacin sobre la mquina host. O bien asociamos dos tarjetas sobre el servidor
host, o bien asociamos dos tarjetas a la mquina virtual. Preste atencin, es necesario
modificar las opciones de las tarjetas de red en la configuracin de la mquina virtual.
La asociacin de la tarjeta ha concluido.
La administracin de las tarjetas permite habilitar, deshabilitar, agregar o eliminar nuevas

tarjetas.
Preste atencin, la nueva tarjeta creada no recupera la configuracin TCP/IP de ninguna de

las tarjetas anteriores, y se basa, por tanto, en DHCP. Las tarjetas que forman parte de la
asociacin pierden su configuracin especfica. En cambio, cabe destacar que esta
configuracin especfica se recupera siempre que la tarjeta salga de la asociacin.
Configure la nueva tarjeta llamada Team1.
Las tarjetas utilizadas para la asociacin se marcarn como Habilitado. La tarjeta Team1
incluye, ahora, la configuracin del protocolo TCP/IP.
Presentacin de SMBv3
SMB 3.0 es la nueva versin, incluida desde Windows Server 2012 y Windows 8.
Observe que se llamaba SMB 2.2 durante su periodo Beta. La mayor parte de novedades
funcionan nicamente con estas versiones de Windows. Este nuevo protocolo debera
incluirse en la prxima versin de Samba 4.0, y ahora mismo se encuentra en desarrollo por
parte de NetApp y EMC.
1. Caractersticas de SMBv3
SMB 3.0 aporta las siguientes mejoras respecto a versiones anteriores del protocolo:
Conmutacin transparente de SMB (Transparent Failover - Node Fault Tolerance)
Un mismo recurso compartido puede proveerse por varios servidores o nodos

diferentes de un clster. La parada de un nodo ya no implica una desconexin y una
reconexin.
SMB multicanal
Todos los enlaces de red disponibles entre dos equipos sern evaluados y utilizados.
El nmero de conexiones establecidas est vinculado entre dos sistemas. Depende
del nmero de interfaces y del tipo de tarjeta. Una tarjeta que soporte RSS
autorizara cuatro conexiones, con un mximo de ocho de manera global. Incluso un
sistema que posea una sola tarjeta puede utilizar esta funcionalidad y repartir su
actividad entre varios procesadores.
Agrupaciones de servidores SMB (ScaleOut)
Esta funcionalidad supone una ventaja respecto a las dos anteriores (Failover y
Multicanal). Cuando un recurso compartido SMB 3.0 se instala en un clster, todos
los nodos y todas las tarjetas de red se utilizan para optimizar la transferencia de
datos.
SMB directo
Esta funcionalidad permite a los equipos que poseen tarjetas de red RDMA
transferir datos de memoria a memoria entre ellos sin tener que pasar por el
procesador.
Encriptacin SMB
Todos los datos enviados por SMB 3.0 entre los equipos se encriptan,
automticamente, por defecto.
VSS sobre los recursos compartidos de archivos SMB
Los recursos compartidos pueden, en lo sucesivo, salvaguardarse gracias a una

herramienta compatible con VSS. El servicio de instantneas de Microsoft realizar,
bajo demanda, los snapshots necesarios.
Concesin de directorio SMB (SMB directory leasing)
SMB aloja en cach todos los metadatos de los documentos accesibles, en particular
a travs de BranchCache. Esto disminuye el nmero de consultas de ida y vuelta y
el tiempo de latencia en el acceso inicial a las propiedades de un archivo.
PowerShell para SMB
Todas las propiedades de SMB son, ahora, accesibles y configurables a partir de

comandos PowerShell.
2. Caso prctico: implementar el modo Multicanal

a. Requisitos previos
Para probar y utilizar SMB 3.0 es necesario disponer de, al menos, dos equipos con
Windows Server 2012/2012 R2 o Windows 8/8.1. Para aprovecharlo plenamente, hace
falta:
Varias tarjetas de red.

O, al menos, una tarjeta que soporte el modo RSS (Receive Side Scaling).
O, al menos, una tarjeta que soporte el modo RDMA (Remote Direct Memory
Access).
Observe que las mquinas virtuales (Windows 8/8.1 o Windows Server 2012/2012 R2)
creadas por Hyper-V soportan, de forma nativa, RSS. Esto resulta muy prctico, y explica
tambin, en parte, las transmisiones tan rpidas entre sistemas hospedados en un mismo
servidor host.
Cada tarjeta clsica autoriza una conexin TCP.
Cada tarjeta RDMA autoriza dos conexiones RDMA.
Cada tarjeta que soporta RSS autoriza un mximo de cuatro conexiones TCP.
b. Comandos PowerShell
Verificar la configuracin del servidor:
Get-SmbServerConfiguration
AnnounceServer : False
AsynchronousCredits : 64
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 5
AnnounceComment :
EnableDownlevelTimewarp : False
EnableLeasing : True
EnableMultiChannel : True
EnableStrictNameChecking : True
AutoDisconnectTimeout : 0
DurableHandleV2TimeoutInSeconds : 30
EnableAuthenticateUserSharing : False
EnableForcedLogoff : True
EnableOplocks : True
EnableSecuritySignature : False
ServerHidden : True
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RequireSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : True
Smb2CreditsMax : 2048
Smb2CreditsMin : 128
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True
EncryptData : False
RejectUnencryptedAccess : True
Verificar la configuracin del cliente:
Get-SmbClientConfiguration
ConnectionCountPerRssNetworkInterface : 4
DirectoryCacheEntriesMax : 16
DirectoryCacheEntrySizeMax : 65536
DirectoryCacheLifetime : 10
EnableBandwidthThrottling : True
EnableByteRangeLockingOnReadOnlyFiles : True
EnableLargeMtu : True
EnableMultiChannel : True
DormantFileLimit : 1023
EnableSecuritySignature : True
ExtendedSessionTimeout : 1000
FileInfoCacheEntriesMax : 64
FileInfoCacheLifetime : 10
FileNotFoundCacheEntriesMax : 128
FileNotFoundCacheLifetime : 5
KeepConn : 600
MaxCmds : 50
MaximumConnectionCountPerServer : 32
OplocksDisabled : False
RequireSecuritySignature : False
SessionTimeout : 60
UseOpportunisticLocking : True
WindowSizeThreshold : 8
Get-SmbServerNetworkInterfaceGet-SmbClientConfiguration
Scope Name Interface Index RSS Capable RDMA Capable Speed IpAddress
---------- --------- ----- --- ------- ------------ ----- ---------
* 12 True False 10 Gbps
172.16.1.184
* 12 True False 10 Gbps
fe80::4eb:1e38:4cf5...
* 12 True False 10 Gbps fec0::12
Get-SmbClientNetworkInterface| ft -auto
Interface Index RSS Capable RDMA Capable Speed IpAddresses Friendly
Name
--------------- ----------- ------------ ----- ----------- --------
-----
12 True False 10 Gbps {fec0::12,
fe80::4eb:1e38:4cf5:cfc0,
172.16.1.184} LAN
17 False False 0 bps
{fe80::5efe:172.16.1.184}
isatap.MiEmpresa.Priv
14 False False 0 bps {fe80::100:7f:fffe}
do Tunneling
Pseudo-Interface
Get-SmbMultichannelConnection |ft -auto
Server Name Selected Client IP Server IP Client Interface Index Server
Interface Index Client RSS Capable Client RDMA Capable
----------- -------- --------- --------- ---------------------- -----
----------------- ------------------ -------------------
dc2012 True 172.16.1.184 172.16.1.1 12 13 True False
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 1
Para comprobar el uso del modo multicanal, basta con copiar una pequea herramienta.
PS C:\sources> copy .\admtsetup32.exe x:\
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 4
Observe que existe un mximo de cuatro canales activos simultneamente entre ambos
equipos.
Por ltimo, destacaremos que, incluso habiendo probado las reglas por defecto del grupo
para ser lo ms favorables posibles en los casos ms comunes, es posible parametrizar el
nmero de conexiones utilizadas mediante los siguientes comandos:
Set-SmbClientConfiguration -MaximumConnectionCountPerServer <n>

Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n>
Tambin es posible personalizar el comportamiento del multicanal entre varios servidores

para forzar el uso de ciertas tarjetas y excluir algunas otras. Ser preciso, entonces, utilizar
los siguientes comandos:
New-SmbMultichannelConstraint -ServerName <miservidor> -InterfaceAlias

<mitarjeta1>, <mitarjeta2>
En trminos de optimizacin y de seguridad, deshabilitar el protocolo SMB 1.0 es ms que

aconsejable:
Set-SmbServerConfiguration -EnableSMB1Protocol :$false
3. Observaciones
Destacaremos que la prctica totalidad de las ventajas de SMB 3.0 no requieren, en

realidad, ninguna configuracin especfica. Si los servidores poseen las tarjetas de red
adecuadas y la negociacin se lleva a cabo con xito, se utilizar la mejor opcin de entre
las posibles. En un futuro prximo, sern los servidores Windows Server 2012 fsicos o
virtuales los que aprovecharn un mejor rendimiento con una configuracin que utilice los
roles y caractersticas de Hyper-V, el clustering, y el almacenamiento compartido de tipo
CSV basado en SMB 3.0. Los servidores de recursos compartidos tendrn que esperar,
seguramente, algo ms de tiempo antes de que un gran nmero de estaciones de trabajo con
Windows 8 aprovechen estas nuevas mejoras de rendimiento.
4. Las modificaciones de SMB en Windows Server 2012 R2
La modificacin ms inmediata es SMB 1, que ya no es necesario en el funcionamiento

normal. Sigue estando activo, por defecto, aunque puede deshabilitarse, lo cual elimina
tambin el servicio llamado Explorador de red (Computer Browser) y el protocolo de
administracin a distancia (Remote Administration Protocol).
El rendimiento se ve mejorado en el marco de los servidores de recursos compartidos

utilizados bajo la forma de granja de servidores (Scale-Out File server) y, por extensin,
aquellos que sirven para alojar a los servidores virtualizados. Cabe destacar:
La conmutacin automtica de los clientes en funcin de los archivos compartidos y

no en funcin del servidor para obtener el mejor acceso posible.
El uso de archivos VHDX compartidos en recursos compartidos CSV o SMB Scale-
Out para gestionar los clsters. La nocin de Scale-out consiste en poder repartir la
carga sobre varios servidores.
La migracin Over SMB de mquinas virtuales utilizando SMB Direct y SMB
Multichannel, para una migracin ms rpida y con menor consumo de procesador.
El soporte de varias instancias SMB diferentes sobre un servidor de archivos Scale-
Out: por defecto, una instancia administra los accesos estndar a los archivos
compartidos, y se crea una instancia suplementaria por cada nodo del clster para
gestionar el trfico CSV inter-nodo.
Existen otras pequeas mejoras:
El rendimiento es mucho mejor para las tarjetas que soportan RDMA (SMB over
RDMA), principalmente para las de tipo 40 Gbps Ethernet o 56 Gbps InfiniBand.
Las tarjetas RDMA permiten la transferencia direct de memoria a memoria, entre

dos equipos que disponen de este tipo de tarjeta.
Los eventos SMB estn mejor detallados.

La gestin del ancho de banda permite definir lmites sobre los distintos tipos de
trfico: Default, Live Migration y mquinas virtuales.
Windows Server Gateway

Esta funcionalidad es un elemento clave en las redes hbridas, que va a ayudar a las
empresas a conectarse con los proveedores de servicios a travs de una red privada de tipo
punto a punto.
Como tal, la mquina virtual realiza solamente el enrutamiento, es decir, la transferencia de

los paquetes entre dos tarjetas de red. El resto del trabajo lo aseguran las capas de red
incluidas con Hyper-V, que encapsulan, etiquetan y segmentan los paquetes.
A da de hoy, ste no es el nico uso para esta pasarela, que permite interconectar distintos
tipos de redes fsicas y virtuales, segmentando si fuera necesario la comunicacin.
Segn la arquitectura, esta funcionalidad debe complementarse con otros productos para
crear puentes, separar los flujos mediante tags (VLAN) y enrutar correctamente los flujos
una vez que se ha eliminado la mquina virtual.
En la empresa, esto puede aportar:
La comparticin de una Cloud privada entre varias entidades (Dev, PreProd, Prod).
El acceso a infraestructuras externas (Cloud hybride).
La intercomunicacin entre distintas redes o arquitecturas que provengan de
distintas entidades.
Para proveedores de Cloud pblica, esto facilita:
El aislamiento de las comunicaciones.

La comparticin de recursos de hardware de red (routers/switchs/).
La continuidad del direccionamiento de red del cliente que puede interconectar, sea
cual sea su direccionamiento.
De manera esquemtica, se trata de un router por software basado en una mquina virtual.
Aun as, el uso de una mquina virtual permite gestionar el filtrado de las conexiones
(aislamiento) a nivel del servidor fsico, y etiquetar los paquetes a su paso.
1. Instalacin
Hablando con propiedad, no existe, como tal, una instalacin sino simplemente una
configuracin.
Dejando a un lado la configuracin del entorno de red, esta configuracin se realiza a dos
niveles en Windows Server 2012 R2:
En el servidor Hyper-V
En la mquina virtual
a. En el servidor Hyper-V
Algunos comandos indicados aqu son opcionales y dependen de la configuracin de la red,

otros optimizan el rendimiento, y muy pocos son indispensables.
Otros es posible ejecutarlos solamente si se dispone de tarjetas de red que soportan la

funcionalidad correspondiente.
He aqu las instrucciones de optimizacin (todas las tarjetas no aceptan los mismos
parmetros):
Aumentar los buffers de recepcin:
Set-NetAdapterAdvancedProperty "LAN" -DisplayName "Receive Buffers"

-DisplayValue 3000
Aumentar los buffers de transmisin:
Set-NetAdapterAdvancedProperty "LAN" -DisplayName "Transmit Buffers"

-DisplayValue 3000
Activacin del modo RSS:
Enable-NetAdapterRss LAN
Activacin del Queuing:
Enable-NetAdapterVmq "Teaming1"
Si fuera necesario, indique la VLAN que desea utilizar en la tarjeta externa:
Set-VMNetworkAdapterVlan -VMName "WSG" -Name "VIRTUAL" -Access

-VlanId 5
Activar el aislamiento en la tarjeta de red LAN:
Set-VmNetworkAdapterIsolation -VMName WSG -VMNetworkAdapterName "LAN"

-IsolationMode NativeVirtualSubnet -MultiTenantStack Off
Es posible deshabilitar el modo de aislamiento mediante el comando:
Set-VmNetworkAdapterIsolation -VMName WSG -VMNetworkAdapterName "LAN"

-IsolationMode None
b. Configuracin de la pasarela WSG
He aqu los comandos de optimizacin de las tarjetas de red en la mquina virtual.

Definicin del nmero mximo de procesos a utilizar en funcin de la configuracin:
Set-NetAdapterRss "LAN", "VIRTUAL" -MaxProcessorNumber 8
Tamao mximo de los buffers que se utilizan en entrada y salida:
Set-NetAdapterAdvancedProperty "LAN","VIRTUAL" -DisplayName

"Send Buffer Size" -DisplayValue "32MB"
Set-NetAdapterAdvancedProperty LAN, VIRTUAL -DisplayName

"Receive Buffer Size" -DisplayValue "16MB"
La configuracin de ambas tarjetas de red y la ruta por defecto puede definirse mediante la
interfaz grfica.
En la tarjeta que permite acceder a la red virtual o remota, es preciso especificar esta red
remota y la direccin IP concreta que se desea utilizar.
Configuracin de la ruta esttica hacia la red virtual (es posible, tambin, utilizar el
comando route add):
New-NetRoute -InterfaceAlias VIRTUAL -DestinationPrefix

172.17.100.1.0/24 -NextHop 172.17.100.254
Ejemplo de configuracin de la ruta por defecto:
New-NetRoute -InterfaceAlias LAN -DestinationPrefix 0.0.0.0/0 -NextHop

172.16.254.254
La parte ms importante consiste en activar el enrutamiento entre ambas redes:
Set-NetIPInterface -InterfaceAlias LAN -Forwarding Enabled

Set-NetIPInterface -InterfaceAlias VIRTUAL -Forwarding Enabled
Ahora el enrutamiento debera estar activo!
La desactivacin del enrutamiento se realiza mediante el comando:
Set-NetIPInterface -InterfaceAlias VIRTUAL -Forwarding Disabled
c. La configuracin del router interno
Para que los paquetes se encaminen desde la mquina virtual hacia la o las redes remotas,
se agrega una ruta esttica sobre el router por defecto para que los paquetes cuyo destino
sea 172.17.100.0 se enven a la direccin IP de la pasarela. La configuracin depender del
router utilizado.
2. Esquema de un ejemplo de uso
La red virtual indicada aqu estar, a menudo, vinculada con otra tarjeta de red fsica que
permitir acceder a otros recursos internos o externos segn la configuracin. Es posible,
tambin, instalar una VPN para acceder a otras redes que no estarn accesibles ms que por
esta pasarela.
Es posible realizar una configuracin idntica sobre el sitio remoto para recibir y
repartir los flujos.
Si tiene lugar, la conexin intersitio utilizar mecanismos de tipo Tunnel para encapsular
los paquetes de red que, de otro modo, no podran enrutarse directamente. Si el nmero de
la red gestiona el nivel 3, estos mecanismos pueden ser GRE o IP-in-IP tunneling. A nivel
2, existen las VLAN de tipo Q-in-Q.
Para saber ms, el siguiente enlace presenta la mayora de combinaciones posibles:

http://technet.microsoft.com/es-es/library/jj618319.aspx
3. Conclusin
He aqu algunos elementos de reflexin suplementarios que cabe tener en cuenta.
La capa Hyper-V Network Virtualization (HNV) puede soportar en esta versin:

50 dominios de enrutamiento (red de mquinas virtuales)
500 subredes virtuales (subredes en las redes de mquinas virtuales)
200 conexiones VPN punto a punto
He aqu un procedimiento que indica las distintas etapas de la implementacin:

http://geekswithblogs.net/KeithMayer/archive/2012/10/08/step-by-step-implementing-
hyper-v-network-virtualization-with-windows-server-2012.aspx
Desafortunadamente, no existe, a da de hoy, una herramienta de administracin integrada

en Windows Server 2012 R2 para administrar la pasarela. La gama System Center contiene
la mayora de elementos necesarios para controlar la construccin de soluciones basadas en
la WSG.
Con todas estas mejoras, Windows Server 2012 R2 incluye muchos usos que cambian muy
rpido. La interconexin de nubes privadas, pblicas, la virtualizacin en varios niveles, las
facilidades de conexin y la velocidad permiten adoptar nuevas arquitecturas que facilitan
la administracin de un conjunto de componentes muy diverso.
Experiencia con Windows Server

Essentials
Se trata de un nuevo rol de Windows Server 2012 R2. Este rol ayuda a proteger los datos,
ofreciendo un acceso a la informacin desde casi cualquier dispositivo.
Este servicio le ayuda a conectarse rpidamente a las aplicaciones de gestin de su empresa

y a los servicios asociados - accesibles desde este servidor.
Este rol le aporta el mismo nivel de facilidad en la administracin que el proporcionado por
SBS, dejando a un lado la mensajera, que no est incluida en este rol. En cambio, se ha
hecho lo posible para poder integrar fcilmente la mensajera correspondiente a Office 365,
y la mensajera de tipo Exchange.
Preste atencin, como con SBS, este rol incluye sus restricciones, en particular a la hora de
tener en cuenta bosques mono-dominios nicamente.
1. Instalacin
En la ventana del Asistente para agregar roles y caractersticas, seleccione el rol

Experiencia con Windows Server Essentials de la lista.
Este rol integra toda una serie de componentes. Haga clic en Agregar caractersticas.
Podemos observar la instalacin automtica de numerosos componentes relacionados con el
rol IIS as como la herramienta de copia de seguridad.
No hay que agregar ninguna caracterstica adicional.

El rol IIS se instala automticamente!
Valide la lista de componentes IIS instalados, y agrguelos si fuera necesario.
Confirme la instalacin de los componentes haciendo clic en Instalar.
Valide el resultado de la instalacin.
2. Configuracin inicial
Tras la instalacin de la funcionalidad, la consola de gestin de servidores pide realizar la

configuracin.
Haga clic en el enlace Ms... junto al mensaje Requiere configuracin para:....

Haga clic en la accin Configurar Windows Server Essentials en el detalle de las tareas.
Si la configuracin es vlida, haga clic en Configurar.

Haga clic en Cerrar.
Observe que el sistema puede reiniciar en cualquier momento.
Si todo va bien, ver aparecer el siguiente mensaje:

Preste atencin, Windows Server Essentials se configura por defecto en los puertos 80 y
443. Entrar, por tanto, en conflicto con cualquier otro servicio Web ya instalado, as como
con la funcin Carpetas de trabajo, que utiliza los mismos puertos!
Por otro lado, el servicio entidad de certificados se instala automticamente, y se solicita

automticamente un certificado a esta entidad.
3. Administracin
La herramienta de administracin principal se llama Panel, para la que existe un

acceso directo en el escritorio. Observe que no hay que confundirlo con el cuadro de mando
de administracin de servidores.
He aqu el panel de Windows Server Essentials:

Aqu encontrar la lista esencial de tareas a manejar para obtener las funcionalidades
deseadas:
Administrar las cuentas y las carpetas

Administrar el acceso desde cualquier lugar
Configurar la copia de seguridad
Integrar equipos
La ventaja consiste en obtener, a continuacin, rpidamente el estado de seguimiento, de

los servidores, etc.
Es posible, a continuacin, integrar distintos servicios locales o remotos (Cloud):

En las aplicaciones, existe la posibilidad de conectarse a Microsoft Pinpoint. Se trata de
una ubicacin donde podemos encontrar herramientas complementarias que se integran con
Windows Server Essentials.
4. Configuracin del cliente en el equipo del usuario
Para instalar el cliente que permite interactuar con esta funcionalidad, utilice la URL
http://NombreDelServidor/CONNECT, que da acceso a un enlace de descarga de la
herramienta llamada Conector, compatible con Windows 7 SP1, Windows 8, Windows 8.1
y Mac OS X 10.6 a 10.8.
Tras la instalacin, el equipo se integra al dominio, si no lo estuviera ya.
Descargue la herramienta.
Ejecute el asistente de instalacin.

Siga la instalacin.
Indique su nombre de usuario y contrasea.
Se muestra una alerta de seguridad sobre la cuenta Administradores.
Seleccione la opcin apropiada. Haga clic en No si configura el cliente para el conjunto de

usuarios del equipo.
La primera opcin est, principalmente, adaptada a equipos porttiles y equipos personales,
la segunda opcin a equipos de empresa.
Configure el modo de copia de seguridad del equipo.

Valide la configuracin.
Una vez terminada la instalacin, se agrega un componente a la barra de tareas.
Preste atencin, tras la primera conexin se realiza una copia de seguridad de la estacin
Las copias de seguridad de los equipos cliente estn ubicadas en archivos especiales con
extensin de tipo DAT en el servidor, en la carpeta C:\ServerFolders\Copias de seguridad
de equipos cliente.
5. Uso
Si se ha configurado para todos los usuarios del puesto de trabajo, cualquier usuario que
inicie sesin se conectar, automticamente, al servidor.
El entorno del usuario incluye dos elementos para acceder a los datos:
El acceso directo en el Escritorio.
ste contiene dos accesos directos que apuntan a carpetas de trabajo a travs del
recurso compartido Carpetas compartidas sobre el servidor.
El icono de la aplicacin Launchpad, instalado por el conector, aparece en la barra

de tareas.
Si se abre el LaunchPad, se obtiene la lista de aplicaciones disponibles.
Por defecto, aparece la siguiente pantalla:

El usuario puede, de este modo, iniciar una copia de seguridad, acceder de manera remota
si el mdulo se ha configurado para obtener las carpetas compartidas, as como las
aplicaciones agregadas tales como el correo electrnico, si se hubiera configurado.
La aplicacin Panel est accesible nicamente a aquellos usuarios declarados como

administradores en la consola de administracin de Windows Server Essentials.
6. Conclusin
La administracin aprovecha una herramienta que le permite implementar rpidamente toda

una infraestructura comparable a la que se provee con SBS o en la versin especfica de
Windows Server 2012 Essentials, salvo en lo relativo al correo electrnico, que se propone
como una integracin con Office 365.
Ahora es posible realizar una pequea maqueta para afinar la configuracin y adaptarla a
las necesidades concretas del proyecto. Por ejemplo, las carpetas compartidas se crean por
defecto en el disco C: del servidor.
Introduccin
Este captulo est dedicado al rol Servicios de Escritorio remoto (Remote Desktop
Services) de Windows Server 2012 R2. Probablemente ya utiliza este servicio para
administrar su parque de servidores de forma cotidiana. Tras revisar este uso simple
aunque, ciertamente, crtico, veremos la potencia del rol RDS. Esto incluye, en particular,
la publicacin de aplicaciones, del escritorio en modo sesin o virtual, as como el acceso a
estas aplicaciones a travs de una pasarela Web.
Antes de empezar, vamos a realizar algunas aclaraciones sobre la nomenclatura. El nombre

de los servicios se ha visto modificado desde Windows Server 2008 R2, y encontramos
nuevos nombres en Windows Server 2012 R2:
Antes de Windows Windows Server 2012 R2 Tambin llamado

Server 2008
Terminal Services Servicios de Escritorio RDS
remoto (Remote Desktop
Services)
Terminal Server Host de sesin de Escritorio RDSH
remoto
no exista Host de virtualizacin de RDVH o VDI
Escritorio remoto
Administracin de Administracin de licencias
licencias TS de Escritorio remoto
Service Broker TS Agente de conexin a RDCB (Connection Broker)
Escritorio remoto RDSB (Service Broker) o
Broker
Acceso Web TS Acceso Web para los RDWA o RDWEB
servicios de Escritorio remoto
Puerta de enlace de Puerta de enlace de Escritorio
TS remoto
Como podr observar, el cambio principal es que se ha remplazado "Terminal Services" por
"servicios de Escritorio remoto".
Esta obra, centrada en Windows Server 2012 R2, utiliza la nueva nomenclatura en lo
sucesivo. Aquellas funcionalidades que slo existan en una versin se destacarn. La
denominacin "Escritorio remoto" se remplazar, a menudo, por la voz inglesa RDS
(Remote Desktop Services) con el objetivo de hacer ms legible el texto.
Windows Server 2012 R2 incluye su conjunto de mejoras en los servicios de Escritorio

remoto respecto a las versiones anteriores. En particular, destacaremos:
Una consola de administracin que le permitir administrar sus servidores de

Escritorio remoto o escritorios virtuales de forma sencilla y centralizada.
Los discos de perfil de usuario que permiten ampliar la gestin de los perfiles
mviles.
La gestin automatizada de los escritorios virtuales que permite recrear escritorios
virtuales, una vez aplicadas las actualizaciones de seguridad instaladas en el modelo
de escritorio virtual.
La instalacin simplificada de los servicios de Escritorio remoto en modo sesin o
en modo de escritorios virtuales (VDI).
Una mejora en la compresin de los flujos de audio y vdeo con una reduccin del
ancho de banda de casi el 50% en algunos casos.
La posibilidad de visualizar las sesiones (Session Shadowing), que permite
supervisar y controlar la sesin de otro usuario conectado a un servidor host de
sesin de los servicios de Escritorio remoto o a un escritorio virtual que se ejecuta
sobre un servidor host de virtualizacin de los servicios de Escritorio remoto.
Una mejor tasa de compresin de los flujos RDP, que mejora el uso del ancho de
banda.
Una mejora en el tiempo de reconexin (Quick reconnect), tras la prdida de la
conexin mediante un escritorio virtual, una sesin o una aplicacin RemoteApp.
La posibilidad de instalar el rol Connection Broker en un servidor controlador de
dominio.
Sera demasiado extenso enumerar la lista completa.
Windows 8.1 y Windows Server 2012 R2 incluyen el cliente Remote Desktop Client
(RDC) en su versin 8.0. El objetivo consiste en mejorar la experiencia de usuario
proporcionando:
Soporte multi-touch.
Redireccin dinmica de USB mediante RemoteFX.
Gestin de la reconexin automtica para aplicaciones RemoteApp y conexiones de
Escritorio remoto.
Integracin de una autenticacin nica (Single Sign-on).
Integracin de una API mediante RemoteFX para VoIP.
Integracin de sesiones anidadas.
Un verdadero soporte multipantalla (en lugar de la extensin habitual).
Soporte a pantallas con cambio de representacin apaisada/vertical.
Soporte a la hora de agregar o eliminar una pantalla en caliente (conexin a un
proyector de vdeo, por ejemplo) en una sesin y las aplicaciones RemoteApp.
Securizacin de las conexiones de administracin mediante el modo
RestrictedAdmin, que permite realizar una autenticacin mediante un ticket
Kerberos y un token de autenticacin de la sesin interactiva sin necesidad de
volver a introducir las credenciales tras la conexin. No se enva ninguna
contrasea, encriptada o en claro, al servidor, y no existe, por tanto, la posibilidad
de que un pirata nos robe la contrasea (ni siquiera el hash de la contrasea). Los
sistemas operativos compatibles son nicamente Windows Server 2012 R2 y
Windows 8.1 (tanto del lado cliente como servidor de conexin). Adems, slo
aquellos usuarios miembros del grupo local Administradores (directa o
indirectamente) podrn conectarse en modo RestrictedAdmin. Para abrir una
conexin en modo RestrictedAdmin necesita escribir el comando mstsc.exe
/restrictedAdmin. Observe que el parmetro /admin viene implcito con el
parmetro /restrictedAdmin.
RemoteFX, incluido por primera vez con Windows Server 2008 R2 SP1, ha visto
evolucionar sus funcionalidades gracias a Windows Server 2012 R2. He aqu las
principales mejoras de RemoteFX:
Soporte de DirectX 11.1: en una sesin, RemoteFX gestiona, ahora, DirectX 11.1
sobre los procesadores grficos virtuales (vGPU) con el objetivo de mejorar la
calidad grfica y dar soporte, tambin, a la visualizacin 3D, siempre basada en
DirectX 11.1.
Soporte de aplicaciones Metro RemoteFX gestiona las aplicaciones Metro
introducidas con Windows 8.
Soporte extendido de dispositivos USB: RemoteFX puede, ahora, redirigir varios
tipos de dispositivos USB, tales como impresoras, telfonos mviles,
lectores/grabadoras de CD, lectores de smartcard, webcams u otros dispositivos
USB. Adems, los dispositivos USB pueden redirigirse en mitad de una sesin, de
forma dinmica, y no slo durante la apertura de la sesin.
Mejora de las conexiones WAN y externas: gracias a las funcionalidades de
RemoteFX Adaptative Graphics, RemoteFX Media Streaming y RemoteFX for
WAN, se hace mucho ms cmodo trabajar a distancia.
Para aprovechar todas las mejoras aportadas por RemoteFX, es preciso utilizar el cliente
RDP 8.1.
En una infraestructura de servicios de Escritorio remoto con Windows Server 2012 R2, los
servicios de rol Agente de conexin a Escritorio remoto son el pilar fundamental.
Este servicio de rol permite gestionar el conjunto de sesiones de usuario sobre varios
servidores RDS. Esto mejora, a su vez, la experiencia de usuario, agregando las
publicaciones RemoteApp, escritorio remoto y escritorio virtual en una vista nica. Para
ello, almacena el estado de todas las sesiones de todos los servidores, informacin que
recibe mediante servidores RDS. Cuando un usuario se conecta por primera vez sobre un
servidor, el Agente de sesiones memoriza esta conexin. Si el usuario pierde la conexin de
red, su sesin TS permanece activa sobre el servidor, aunque en estado desconectado.
Cuando vuelva a tener conexin de red, y vuelva a conectarse con el servidor, el Agente de
sesiones detectar que ya existe una sesin existente y enviar al usuario sobre este servidor
RDS. De este modo, el usuario volver a su sesin anterior en lugar de crersele,
potencialmente, una sesin nueva.
Tambin se utiliza, por defecto, el servidor de administracin de la implementacin como

punto de unin con la nueva consola de gestin de los servicios de Escritorio remoto.
No podr tener una infraestructura de servicios de Escritorio remoto en Windows Server

2012 R2 sin tener este rol instalado. Es obligatorio, aunque casi transparente.
Implementar los Servicios de Escritorio
remoto
Desde un punto de vista tcnico, los servicios de Escritorio remoto ya estn instalados, por
defecto, aunque detenidos, con Windows Server 2012 R2. A diferencia de las versiones
anteriores a Windows Server 2008 R2, esto servicios se ejecutan, en lo sucesivo, con la
cuenta "Servicio de red" en lugar de como local system. La seguridad del sistema se ha
visto mejorada y, de este modo, un fallo en el servicio tiene un impacto menor que antes.
Como se explica en la base de conocimientos de Microsoft (KB946399), la cuenta
"Servicio de red" necesita tres privilegios para ejecutar los servicios de Escritorio remoto:
Ajustar las cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege).

Generar auditoras de seguridad (SeAuditPrivilege).
Remplazar un token a nivel de proceso (SeAssignPrimaryTokenPrivilege).
Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el
riesgo de no poder ejecutar ms estos servicios. Desde Windows Server 2008 es, no
obstante, posible detener el servicio RDS, lo que no poda hacerse antes. Puede comprobar
el estado actual del servicio as como los estados aceptados por el servicio utilizando el
siguiente comando (el nombre corto del servicio no se ha modificado):
sc query TermService
El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se
haya autorizado de manera explcita, el servidor no escucha en el puerto TCP para no
exponer los servicios sobre la red. El siguiente comando permite verificar que el puerto
TCP 3389 no escucha nada sobre el servidor, por el momento:
netstat -an | findstr 3389

Para aprovechar el conjunto de funcionalidades que ofrece Windows Server 2012 R2, se
requiere el cliente RDP versin 8.1 (realmente, la versin 6.3.9600, aunque no se
corresponde con el sistema operativo). Ya est incluido en Windows 8.1 y Windows Server
2012 R2. En el momento de escribir estas lneas, no existe un cliente RDP 8.1 para sistemas
anteriores a Windows 8.1, aunque las versiones 8.0 y 7.0 del cliente RDP siguen siendo
compatibles con los servicios de Escritorio remoto de Windows Server 2012 R2, sin las
mejoras aportadas por la versin 8.1 del cliente RDP.
Los servicios de rol que componen este rol de Servicios de Escritorio remoto son:
Host de sesin: permite, a un servidor, hospedar aplicaciones o el escritorio

completo de Windows. Todos los usuarios pueden conectarse, no slo los
administradores. Se ha eliminado la limitacin a dos sesiones concurrentes.
Host de virtualizacin: los servicios de Escritorio remoto se integran con Hyper-V
y permiten implementar escritorios o aplicaciones virtuales, en modo pool o
personalizado, y presentarlas a los clientes mediante el cliente RDP, RemoteApp o
mediante acceso Web.
Administrador de licencias: gestiona la asignacin de licencias CAL por
dispositivo o usuario con el objetivo de conectarse a un servidor RDSH o RDVH.
Agente de sesiones: permite repartir las sesiones TS en una infraestructura (o granja
de servidores) RDS, as como la reconexin a una sesin existente en una granja.
Gestiona, a su vez, el reparto de carga entre los servidores del mismo grupo siempre
que no exista una sesin abierta para un usuario determinado.
Puerta de enlace: permite a los usuarios habilitados consumir recursos desde
Internet siempre que el perifrico ejecute el cliente RDC. El flujo RDP (Remote
Desktop Protocol), inicialmente sobre el puerto TCP 3389, se encapsula en un canal
HTTPS (puerto TCP 443) entre el cliente y la puerta de enlace de los servicios de
Escritorio remoto. Esto le va a permitir utilizar una conexin VPN para acceder a
los recursos ofrecidos por los servicios de Escritorio remoto.
Acceso Web: permite presentar las aplicaciones y los escritorios remotos a los
usuarios mediante un simple sitio Web. Est acoplado a la Puerta de enlace de
Escritorio remoto, lo que permite aumentar las posibilidades de acceso por parte
de los usuarios, en particular desde hoteles, estaciones u otras empresas, donde el
acceso a Internet est, a menudo, limitado a un flujo HTTP (TCP 80) y HTTPS
(TCP 443).
1. Administracin remota
Si bien el servicio de Windows ya est instalado, ste no se inicia por defecto. En efecto, el
servicio de Escritorio remoto (TermService) est configurado con un arranque Manual, y
se configura automticamente con arranque Automtico cuando se habilita la
Administracin remota o se instalan los servicios de rol Host de sesin de Escritorio
remoto o Host de virtualizacin de Escritorio remoto. De momento no puede utilizarlo
para administrar sus servidores de forma remota, es preciso autorizar explcitamente el
acceso remoto mediante el Administrador del servidor.
Abra la consola Administrador del servidor y haga clic en Servidor local en la zona de
navegacin.
En la parte principal de la consola, dentro de Propiedades para NombreDeServidor, haga

clic en Deshabilitado donde indica Escritorio remoto.
Se abre una ventana de Propiedades del sistema, donde la pestaa Acceso remoto
permite habilitar el escritorio remoto, con o sin NLA, as como autorizar a ciertos usuarios
a conectarse. Escoja la opcin Permitir las conexiones remotas a este equipo.
Esta interfaz modifica dos claves del registro: fDenyTSConnections y User-
Authentication, ubicadas en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.
La primera bloquea cualquier conexin TS, ser necesario asignarle un valor 0 para
autorizar las conexiones, y la segunda exige la autenticacin NLA siempre que su valor sea
1.
Aparece el siguiente mensaje informativo, haga clic en Aceptar.

La gestin del Firewall de Windows se describe en el captulo Securizar su arquitectura.
Deje la opcin Permitir slo las conexiones desde equipos que ejecuten Escritorio
remoto con Autenticacin a nivel de red (recomendado) marcada. A continuacin, haga
clic en Aplicar.
NLA significa Network Level Authentication. El objetivo consiste en luchar contra los
ataques llamados hombre en el medio (man in the middle) autenticando al servidor RD
antes de que se conecte el usuario. Es posible utilizar varios protocolos para realizar esta
tarea: kerberos, TLS/SSL, NTLM. Tcnicamente, se basa en el proveedor CredSSP, que
utiliza SSPI (Security Service Provider Interface). Una vez superada la fase de
autenticacin mutua, el cliente provee las credenciales del usuario, que se encriptan dos
veces con las claves de sesin SPNEGO y TLS.
El Escritorio remoto, destinado especialmente a la administracin remota, permite, por

defecto, acceder nicamente a los miembros de los grupos Administrador local y
Administrador de dominio. Puede agregar otras cuentas haciendo clic en el botn
Seleccionar usuarios.
Haga clic en el botn Aceptar para cerrar la ventana de las propiedades del sistema
Ahora que el acceso remoto est abierto, el servicio RDS est iniciado y escuchando en el
puerto TCP y UDP 3389 (una lnea para IP versin 4 y otra para IP versin 6):
En efecto, Windows Server 2012 R2 gestiona, ahora, el protocolo UDP para los servicios
de Escritorio remoto. La conexin inicial se realiza siempre sobre el puerto 3389 TCP.
UDP entra en juego una vez establecida la conexin inicial, para acelera la tasa de
transferencia.
Sobre una red local, la tasa de transferencia es generalmente buena, entre los 100 Mb/s y
1000 Mb/s. El protocolo UDP no aporta, necesariamente, una mejora importante en el
rendimiento, salvo para el uso de RemoteFX. Por el contrario, UDP adquiere sentido
cuando hablamos de conexiones de tipo WAN o mediante una puerta de enlace de servicios
de Escritorio remoto, donde la tasa de transferencia se ve limitada a la velocidad de su
conexin a Internet.
Para aprovechar el protocolo UDP, es preciso utilizar, como mnimo, el cliente RDP 8.0.
Puede, ahora, utilizar el escritorio remoto para administrar su servidor. Esta funcionalidad
no requiere la instalacin del rol Escritorio remoto. La administracin remota se considera
algo indispensable en cualquier servidor, sea cual sea su uso, y no se caracteriza por un rol
determinado.
La administracin remota es muy til, aunque no supone un avance destacado. Es

momento de explotar todo el potencial del rol! Para ello, tras haber instalado los
componentes del rol, se configurarn en el marco de ejemplos concretos.
2. Instalacin de los servicios de Escritorio remoto
Windows Server 2012 R2 utiliza una nueva forma (incluida con Windows Server 2012) de
instalar los servicios de Escritorio remoto basada en escenarios que simplifican, as, la
instalacin de los distintos servicios de rol de Escritorio remoto sobre varios servidores.
Este modo de instalacin instala y configura tambin el protocolo de despliegue de
Escritorio remoto que permite administrar el servidor mediante la nueva interfaz de gestin
de servicios de Escritorio remoto RDMS.
Sigue siendo posible instalar los servicios de Escritorio remoto mediante la instalacin
basada en roles o caractersticas. No obstante, este modo de instalacin requiere una
administracin por GPO o directamente en la base de registro. En efecto, las consolas de
administracin tsadmin.msc y tsconfig.msc ya no existen en Windows Server 2012 R2.
Adems, si prev agregar su servidor RDS 2012 R2 a una granja RDS 2008 R2, tendr que
seleccionar este modo de instalacin.
Si bien todos los servicios de rol de Escritorio remoto pueden instalarse sobre el mismo
servidor, se recomienda separarlos. En la mayora de casos, los servicios de rol Host de
sesin y Host de virtualizacin se instalan slo sobre un servidor, el Administrador de
licencias se instala, a menudo, sobre un controlador de dominio, y el Acceso Web y la
Puerta de enlace se agrupan en otro servidor.
Por qu separar los servicios de rol de Escritorio remoto? Desde un punto de vista
prctico, es obligatorio para poder configurar en clster los servidores Host de sesin (RD
Session Host) y el Acceso Web (RD Web Access). Otro ejemplo es que, si su
infraestructura RDS soporta un gran nmero de usuarios que utilizan la misma puerta de
enlace de los servicios de Escritorio remoto, esta ltima consumir bastante tiempo de
procesador para el cifrado de los flujos SSL y, por tanto, ralentizar a los usuarios que
trabajan en la parte Host de sesin si estos servicios de rol estn instalados en el mismo
servidor.
Observe que la instalacin del rol Connection Broker sobre un controlador de dominio est,
ahora, soportada, aunque no es una buena prctica.
He aqu las principales posibilidades para instalar los servicios de Escritorio remoto:
Mediante la instalacin de Escritorio remoto: este modo de instalacin, tambin

llamado modo escenario, permite implementar sobre uno o varios servidores los
servicios de rol de Escritorio remoto mediante un asistente de instalacin grfico.
Permite instalar los servicios de rol RD Session Host, RD Web Access y RD
Session Broker.
Mediante la instalacin basada en roles o caractersticas: este modo de
instalacin, idntico a las versiones anteriores de Windows Server, permite instalar
cada servicio de rol de Escritorio remoto de forma unitaria. Ser preciso utilizar este
modo de instalacin para instalar los servicios de rol de Escritorio remoto
siguientes: Administrador de licencias de Escritorio remoto y Puerta de enlace
de Escritorio remoto.
Mediante PowerShell: con PowerShell, veremos que es posible reproducir los dos
tipos de instalacin anteriores.
Antes de proceder con la instalacin de los servicios de Escritorio remoto, debe asegurar
que se respetan, como mnimo, los siguientes requisitos previos:
Los servidores afectados por la instalacin deben ser miembros del dominio Active
Directory.
Los servidores afectados por la instalacin deben tener una direccin IP fija.
Es tambin aconsejable crear una jerarqua de unidades organizativas dedicada a los

servicios de Escritorio remoto en el seno de Active Directory. El objetivo consiste en poder
aplicar las directivas de grupo nicamente a aquellos servidores y equipos virtuales que
formen parte de los servicios de Escritorio remoto (principalmente servidores RD Session
Host). Otra ventaja "oculta" es que esto le va a permitir organizar mejor su arborescencia de
servidores en el seno de su Active Directory.
Para instalar los servicios de Escritorio remoto, debe utilizar una cuenta de usuario que
posea, al menos, permisos de Administrador local sobre los servidores afectados por la
instalacin.
b. Instalacin Inicio rpido
Como ya hemos mencionado, la instalacin de los servicios de Escritorio remoto es algo

sencillo, sobre todo utilizando el asistente de instalacin en modo Inicio rpido. Este tipo de
instalacin implementar los servicios de rol necesarios (RDWEB, Agente de conexin y, o
bien RDSH, o bien RDVH) sobre el mismo servidor.
Instalacin basada en sesiones
A continuacin, se muestra cmo instalar los servicios de Escritorio remoto basados en

sesiones:
Desde el futuro servidor de servicios de Escritorio remoto, abra el Administrador del

servidor, haga clic en el men Administrar y, a continuacin, Agregar roles y
caractersticas.
Se abre el Asistente para agregar roles y caractersticas y le muestra la pantalla Antes

de comenzar, haga clic en el botn Siguiente.
En la pantalla Seleccionar el tipo de instalacin, marque Instalacin de Servicios de

Escritorio remoto y, a continuacin, haga clic en Siguiente.
En la pantalla Seleccionar tipo de implementacin, marque Inicio rpido y, a

En la pantalla Seleccionar escenario de implementacin, marque Implementacin de

escritorio basada en sesin y, a continuacin, haga clic en Siguiente.
En la pantalla Seleccionar un servidor, seleccione el nombre del servidor afectado por la

instalacin de los servicios de Escritorio remoto en la columna Grupo de servidores, y
haga clic en la flecha situada en el centro para desplazarlo a la columna Seleccionado. Si
realiza la instalacin desde otro servidor, puede que el nombre del servidor afectado por la
instalacin no aparezca en la lista Pool de servidores. Ser preciso anular la instalacin de
los servicios de Escritorio remoto, volver al Administrador del servidor, abrir el men
Administrar y seleccionar Agregar servidores para incluir su servidor. Haga clic en el botn
Siguiente para continuar con la instalacin.
En la pantalla Confirmar selecciones, marque la opcin Reiniciar automticamente el

servidor de destino en caso necesario y haga clic en el botn Implementar.
El Asistente para agregar roles y caractersticas le muestra, a continuacin, la pgina

Ver progreso que le permite implementar roles y servicios de rol. Una vez se haya
reiniciado automticamente el servidor, abra de nuevo una sesin con la cuenta de usuario
que haya utilizado para realizar la instalacin de los servicios de Escritorio remoto y, a
continuacin, abra el Administrador del servidor para terminar la instalacin. Este ltimo
abrir, automticamente, la ventana del Asistente para agregar roles y caractersticas en
la pgina Ver progreso. Una vez terminadas las etapas de la instalacin con xito, haga
clic en el botn Cerrar.
Una vez finalizado el procedimiento de instalacin, su servidor est listo para recibir
sesiones de usuario. En efecto, el modo de instalacin inicio rpido instala y configura los
roles necesarios para los servicios de Escritorio remoto sobre un entorno Windows Server
2012 R2 (servicios de sesin de agente de conexin, acceso Web, servidores host de
sesin), la consola de administracin de los servicios de Escritorio remoto (RDMS, Remote
Desktop Management Service), configura el punto de implementacin de los servicios de
Escritorio remoto, y crea una coleccin para el servicio de sesin de Escritorio remoto
llamada QuickSessionCollection. Puede, tambin, observar que este modo de instalacin
publica de manera automtica tres aplicaciones a travs de RemoteApp: Calculadora, Paint,
WordPad.
Vista del conjunto de una implementacin en modo rpido.

Vista de la coleccin creada por defecto por una implementacin en modo rpido.
Aparece un icono en la barra de tareas que le advierte sobre la ausencia de licencias. Ser
preciso disponer de un servidor de licencias, con un periodo de prueba de 120 das. Tendr
que instalar el administrador de licencias de servicios de Escritorio remoto, habilitarlo e
instalar las licencias de acceso cliente a los servicios de Escritorio remoto.
Tambin tendr que obtener (o administrar) y asociar al servidor RD Session Broker y al

servidor RD Session Host certificados digitales, y precisar, si fuera necesario, la
configuracin de los parmetros de la coleccin del servicio de implementacin de
Escritorio remoto, las conexiones, las aplicaciones publicadas mediante RemoteApp... Y,
para finalizar, tendr evidentemente que instalar las aplicaciones sobre las que podrn
acceder los usuarios de los servicios de escritorio remoto.
He aqu el equivalente en PowerShell:
# Instalacin en modo roles y caractersticas (opcional)

Install-WindowsFeature RDS-RD-Server,RDS-Web-Access,RDS-Connection-
Broker -IncludeManagementTools
# Instalacin en modo escenario servicio de Escritorio remoto

New-RDSessionDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -SessionHost rds1.MiEmpresa.Priv
# Creacin de la coleccin
New-RDSessionCollection -CollectionName QuickSessionCollection -Session
Host rds1.MiEmpresa.Priv -ConnectionBroker rds1.MiEmpresa.Priv
# Publicacin de la calculadora mediante RemoteApp

New-RDRemoteApp -CollectionName QuickSessionCollection -Connection
Broker rds1.MiEmpresa.Priv -DisplayName Calculadora -Alias
Calculadora -FilePath "C:\Windows\system32\calc.exe"
-ShowInWebAccess $true -RequiredCommandLine $false
# Publicacin de WordPad mediante RemoteApp

Broker rds1.MiEmpresa.Priv -DisplayName WordPad -Alias WordPad
-FilePath "C:\Program Files\Windows NT\Accesorios\wordpad.exe"
-ShowInWebAccess $true -RequiredCommandLine $false
# Publicacin de Paint mediante RemoteApp

Broker rds1.MiEmpresa.Priv -DisplayName Paint -Alias Paint
-FilePath "C:\Windows\system32\mspaint.exe" -ShowInWebAccess $true
-RequiredCommandLine $false
Observe que la instruccin Install-WindowsFeatures... no es obligatoria. En efecto, la

instruccin New-RDSessionDeployment instalar todos los roles y servicios necesarios,
como IIS, por ejemplo.
Instalacin basada en escritorios virtuales
La instalacin basada en escritorios virtuales no es complicada. No obstante, es

preferible crear un disco virtual que contenga una instalacin de un cliente Windows. En
nuestro caso, utilizaremos un disco virtual que contenga una instalacin de Windows 8,
instalado y con el sistema preparado.
Cabe indicar que la instalacin en modo Inicio rpido crea, por defecto, una coleccin de
escritorios virtuales en Pool.
Recuerde que, a diferencia de las sesiones basadas en un servidor host de sesin donde
todos los usuarios abren una sesin sobre la misma mquina, gestionados por el servidor
host de sesin, las sesiones basadas sobre escritorios virtuales se abren sobre mquinas
virtuales donde se conecta un nico usuario.
A continuacin se muestra cmo instalar los servicios de Escritorio remoto basados en

escritorios virtuales (VDI) en modo Pool:
Abra el Administrador del servidor, haga clic en el men Administrar y seleccione

Se abre el Asistente para agregar roles y caractersticas. En la pantalla Antes de

comenzar, haga clic en Siguiente.
En la pantalla Seleccionar el tipo de instalacin, marque Instalar los servicios de
En la pantalla Seleccionar tipo de implementacin, marque Inicio rpido y, a

En la pantalla Seleccionar escenario de implementacin, marque Implemen-tacin de

escritorio basada en mquina virtual y, a continuacin, haga clic en Siguiente.
En la pantalla Seleccionar un servidor, seleccione el servidor sobre el que desea instalar

los servicios de Escritorio remoto y haga clic en Siguiente.
En la pantalla Seleccionar una plantilla de escritorio virtual, escriba la ruta completa del
archivo de disco duro virtual que servir como modelo y habr creado previamente y, a

El Asistente para agregar roles y caractersticas le muestra, a continuacin, la pgina

Ver progreso que le permite implementar roles y servicios de rol. Una vez se haya
reiniciado automticamente el servidor, abra de nuevo una sesin con la cuenta de usuario
que haya utilizado para realizar la instalacin de los servicios de Escritorio remoto y, a
continuacin, abra el Administrador del servidor para terminar la instalacin. Este ltimo
abrir, automticamente, la ventana del Asistente para agregar roles y caractersticas en
la pgina Ver progreso. Una vez terminadas las etapas de la instalacin con xito, haga
clic en el botn Cerrar.
Si durante la instalacin de los servicios de Escritorio remoto en modo Implementacin de

escritorio basada en mquina virtual observa que se detiene en la etapa Coleccin de
escritorios virtuales - Creacin de la coleccin de escritorios virtuales..., que abriendo
el Administrador de Hyper-V, existe alguna mquina virtual adems de la mquina
virtual QuickMasterVM, en estado iniciado, y que su instalacin dura ms de 10 minutos,
entonces probablemente no tenga ningn servidor DHCP configurado en su red, o bien no
es accesible desde las mquinas virtuales que est tratando de implementar (mquina virtual
ubicada sobre el switch incorrecto, por ejemplo). Conviene, evidentemente, resolver este
problema, de modo que pueda finalizar su implementacin.
Como con una instalacin de los servicios de Escritorio remoto basada en sesiones y en
modo de inicio rpido, su servidor est listo para aceptar conexiones de usuario. No
obstante, estar limitado en cuanto al nmero de usuarios que pueden conectarse
simultneamente, puesto que slo se ha creado una VM durante la instalacin.

Install-WindowsFeature Hyper-V,RDS-Virtualization,RDS-Web-Access,
RDS-Connection-Broker -IncludeManagementTools -Restart
# Instalacin en modo escenario servicio de Escritorio remoto,

# debe realizarse desde otro equipo.
New-RDVirtualDesktopDeployment -ConnectionBroker rdvh1.MiEmpresa.Priv
-WebAccessServer rdvh1.MiEmpresa.Priv -VirtualizationHost
rdvh1.MiEmpresa.Priv -CreateVirtualSwitch
# Atribucin de permisos de creacin y eliminacin de VM

# sobre la OU Equipos
Grant-RDOUAccess -Domain MiEmpresa.Priv -OU "Computers"
-ConnectionBroker rdvh1.MiEmpresa.Priv
New-RDVirtualDesktopCollection -CollectionName QuickVMCollection
-PooledManaged -VirtualDesktopTemplateName "Win8.1 Ent"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation
@{"rdvh1.MiEmpresa.Priv" = 1} -StorageType LocalStorage
-VirtualDesktopNamePrefix Win81ent -ConnectionBroker
rdvh1.MiEmpresa.Priv
c. Implementacin estndar
Primera instalacin de los servicios de Escritorio remoto en modo sesin
La instalacin en modo Implementacin estndar le permitir instalar los servicios de rol

Escritorio remoto sobre varios servidores, con el objetivo de separar o instalar varios
servidores host simultneamente, aprovechando una instalacin ms sencilla.
A continuacin se describe cmo proceder para realizar una instalacin de los servicios de
Escritorio remoto basada en sesiones, sobre varios servidores (para dos servidores RDSH,
rds1.MiEmpresa.Priv y rds2.MiEmpresa.priv, y un servidor RDWA y RDCB,
rdsgw.MiEmpresa.Priv en este ejemplo):
Abra el Administrador del servidor, haga clic en el men Administrar y, a

continuacin, en Agregar roles y caractersticas, y seleccione la opcin Agregar
servidores para agregar los servidores que van a contener, al menos, un servicio de rol de
Escritorio remoto
En el Administrador del servidor, haga clic en Administrar y, a continuacin, en



En la pantalla Seleccionar tipo de implementacin, marque Implementacin estndar y,
a continuacin, haga clic en Siguiente.
En la pantalla Seleccionar escenario de implementacin, marque Implementacin de

escritorio basada en sesin y, a continuacin, haga clic en Siguiente.
En la pantalla Revisar servicios de rol, haga clic en Siguiente.
En la pantalla Especificar servidor de Agente de conexin a Escritorio remoto,

seleccione el servidor que ser el RD Connection Broker en la columna Pool de servidores
y, a continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (el servidor rdsgw.MiEmpresa.Priv en nuestro ejemplo). A continuacin,
haga clic en Siguiente.
En la pantalla Especificar servidor de acceso Web de conexin a Escritorio remoto,

seleccione el servidor que ser el RD Web Acces en la columna Pool de servidores y, a
continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (el servidor rdsgw.MiEmpresa.Priv en nuestro ejemplo). A continuacin,
En la pantalla Especificar servidores host de sesin de Escritorio remoto, seleccione el

o los servidores que sern RD Session Host en la columna Pool de servidores y, a
continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (los servidores rds1.MiEmpresa.Priv y rds2.MiEmpresa.Priv en nuestro
ejemplo). A continuacin, haga clic en Siguiente.

Tras finalizar la instalacin, se reiniciar el servidor. Una vez reiniciado, abra de nuevo
una sesin con la cuenta de usuario que haya utilizado para realizar la instalacin y, a
continuacin, abra el Administrador del servidor para que finalice el asistente de
instalacin y configuracin de los servicios de Escritorio remoto. Haga clic en Cerrar.
Una vez terminada la instalacin de los servicios de Escritorio remoto, slo los usuarios
miembros del grupo Administradores de dominio podrn abrir una sesin sobre los
servidores RD Session Host. El motivo es bien simple, el asistente de instalacin no ha
creado ninguna coleccin, ni existen aplicaciones publicadas por RemoteApp.
Adems de seguir las mismas recomendaciones que con la post-instalacin de la

instalacin de los servicios de Escritorio remoto - Inicio rpido, tendr que crear una
coleccin.
A continuacin se muestran los comandos equivalentes en PowerShell (basados en

sesiones):
# Instalacin en modo escenario del servicio de Escritorio remoto

New-RDSessionDeployment -ConnectionBroker rdsgw.MiEmpresa.Priv
-WebAccessServer rdsgw.MiEmpresa.Priv -SessionHost
rds1.MiEmpresa.Priv,rds2.MiEmpresa.Priv
Primera instalacin de los servicios de Escritorio remoto en modo escritorio virtual
La instalacin basada en escritorios virtuales con una implementacin estndar es

prcticamente idntica, de modo que no vamos a describirla con detalle. He aqu los
comandos equivalentes en PowerShell para un servidor RDVH, rdvh1.MiEmpresa.Priv y
un servidor RDWA y RDCB, rdsgw.MiEmpresa.Priv en este ejemplo):

Install-WindowsFeature Hyper-V,RDS-Virtualization,RDS-Web-Access,
RDS-Connection-Broker -IncludeManagementTools -Restart
# Instalacin en modo escenario del servicio de Escritorio remoto,

# debe realizarse desde otro puesto.
New-RDVirtualDesktopDeployment -ConnectionBroker rdsgw.MiEmpresa.Priv
-WebAccessServer rdsgw.MiEmpresa.Priv -VirtualizationHost
Agregar un tipo de implementacin
Una instalacin basada en un despliegue de sesin puede, tambin, gestionar un despliegue

de escritorios virtuales. Para ello, basta con proceder como si se tratara de una nueva
instalacin:
Abra el Administrador del servidor, haga clic en el men Administrar y seleccione



En la pantalla Seleccionar tipo de implementacin, marque Implementacin estndar y,

En la pantalla Seleccionar escenario de implementacin, marque Implemen-tacin de

escritorio basada en mquina virtual y, a continuacin, haga clic en Siguiente.
.En la pantalla Revisar servicios de rol, haga clic en Siguiente.
En la pantalla Especificar servidor de Agente de conexin a Escritorio remoto,

verifique que est seleccionado correctamente su servidor de agente de conexin y haga
clic en Siguiente.
En la pantalla Especificar servidor de acceso Web de conexin a Escritorio remoto,
verifique que est seleccionado correctamente su servidor de acceso web y haga clic en
Siguiente.
En la pantalla Especificar servidor host de virtualizacin de Escritorio remoto,

seleccione el servidor que ser host de virtualizacin para los servicios de Escritorio remoto
y marque la opcin Crear un nuevo conmutador virtual en los servidores seleccionados
y, a continuacin, haga clic en Siguiente.

El Asistente para agregar roles y caractersticas le muestra, ahora, la opcin Ver

progreso que le permite supervisar el despliegue de roles y servicios de rol. El servidor
host de virtualizacin reiniciar dos veces durante la instalacin, debido a la instalacin del
rol Hyper-V. Cuando finalicen todas las etapas de instalacin con xito, haga clic en
Cerrar.
Ejemplo con un servidor Host de sesin, rds1, que tambin es servidor de Acceso Web y
Agente de conexin
# Nuevo despliegue de sesiones.

Ejemplo con un servidor Host de virtualizacin, rdvh1, y un servidor de Acceso Web y

Agente de conexin, rds1.
# Instalacin en modo servicio de Escritorio remoto,

# debe instalarse desde otro puesto.
New-RDVirtualDesktopDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -VirtualizationHost
# Atribucin de permisos de creacin y eliminacin de VM

# sobre la OU Computers
Grant-RDOUAccess -Domain MiEmpresa.Priv -OU "Computers"
-ConnectionBroker rdvh1.MiEmpresa.Priv
d. Instalacin mediante PowerShell
Instalacin de los servicios de Escritorio remoto mediante PowerShell
# Instalacin en modo roles y caractersticas

Install-WindowsFeature -Name NombreDelRol -IncludeManagementTools -
Restart
Este cmdlet le permite instalar roles (y/o caractersticas) que siguen al atributo Name, as
como su consola de administracin asociada. Si se requiere el reinicio del servidor, se podr
automatizar gracias al atributo Restart. Es, tambin, importante destacar que cualquier rol o
servicio de rol necesario para el rol especificado por el atributo Name se instalarn de
manera automtica, tales como RPC over HTTP, IIS, .NET Framework 4.5...
Es posible especificar varios roles al mismo tiempo separndolos por comas (por ejemplo:
RDS-SessionHost, RDS-Web-Access, RDS-ConnectionBroker).
Para obtener la lista de roles RDS posibles, instalados o no, puede ejecutar el siguiente
cmdlet:
Get-WindowsFeature *RDS*
Aparece un mensaje de advertencia que le indica que es necesario reiniciar para tener en
cuenta la instalacin del rol. Si realiza esta instalacin desde el Administrador del
servidor, y el servidor tiene, tambin, el rol de controlador de dominio, aparecer una
alerta que le indicar que no se recomienda realizar esta accin. En efecto, instalar el rol de
Escritorio remoto sobre un controlador de dominio conlleva verdaderos riesgos que debe
evaluar cuidadosamente.
Una vez ejecutado el cmdlet, los roles y servicios de rol estn instalados, aunque su
servidor no podr, de momento, responder a las consultas de los clientes puesto que falta,
todava, configurar los servicios de Escritorio remoto. Esta accin puede realizarse
mediante RDM (Remote Desktop Manager), por directiva de grupo (GPO) o incluso
mediante PowerShell.
Adems, para una instalacin con varios servidores, con separacin de roles, habr que
utilizar varios cmdlets PowerShell del tipo:
# Instalacin en modo roles y caractersticas (remoto)

Invoke-Command -ComputerName NombreDeServidor -Command{Install-
WindowsFeature -Name NombreDeRol -IncludeManagementTools -Restart }
El cmdlet PowerShell ms eficaz para instalar los servicios de Escritorio remoto basado en
sesiones es el siguiente:
# Instalacin del servicio de Escritorio remoto

Tiene la ventaja de instalar y pre-configurar los servicios de Escritorio remoto sobre uno o
varios servidores de forma simultnea, con un nico cmdlet.
Para conocer ms cmdlets relacionados con la instalacin, consulte las secciones

Instalacin Inicio rpido e Implementacin estndar en este mismo captulo.
Para tener una idea de todos los cmdlets posibles puede utilizar el siguiente comando
PowerShell:
Get-Command *-RD*
3. Presentacin del Administrador de Servicios de Escritorio remoto
En un entorno de Escritorio remoto Windows Server 2012 R2, lo esencial de la

configuracin y de la administracin de los servicios de Escritorio remoto se realiza
mediante la nueva consola de administracin de servicios de Escritorio remoto (RDMS,
Remote Desktop Management Services), o por lnea de comando PowerShell.
Como hemos visto durante la instalacin, por defecto, una infraestructura de Escritorio
remoto en Windows Server 2012 R2 requiere, como mnimo, tres servicios de rol de
Escritorio remoto:
RD Connection Broker, que gestiona la infraestructura RDS, las conexiones de los

usuarios y el reparto de carga de red.
RD Web Access, que se encarga de proveer a los usuarios un portal de acceso Web
para la presentacin de las aplicaciones y escritorios pblicos.
Y, o bien RD Session Host (servidor de sesin), o bien RD Virtualization Host
(servidor de escritorio remoto virtual).
A todo esto se le debe agregar, obligatoriamente, un servidor de licencias de servicios de

Escritorio remoto (RD Licensing).
Con Windows Server 2012 R2, los servicios de Escritorio remoto se articulan en torno al
servicio de rol Agente de conexin, incluso aunque slo tenga un servidor host (de sesin o
de virtualizacin), y aunque no utilice la gestin de los perfiles de usuario. El servidor que
posee el servicio de rol Agente de conexin es, tambin, el servidor de implementacin de
los servicios de Escritorio remoto, servicio que permite, en particular, configurar el
conjunto de servicios de Escritorio remoto.
La consola de administracin de servicios de Escritorio remoto RDMS, integrada con el

Administrador del servidor, le obligar a abrir este ltimo para acceder a la consola RDMS
y configurar, as, su infraestructura RDS.
La primera seccin Informacin general le ofrece, como su propio nombre indica, una
vista general de su infraestructura de servicios de Escritorio remoto. Esta pantalla le
permite agregar servidores a los servicios de Escritorio remoto y, tambin, administrar la
configuracin de alta disponibilidad del servicio de rol Connection Broker. Veremos esto
un poco ms adelante en este captulo.
La segunda seccin Servidores le permite ver la lista de servidores que forman parte de su
infraestructura RDS, y le permite, tambin, agregar roles y caractersticas sobre estos
servidores y recopilar eventos. Encontrar, tambin, la herramienta Best Practice Analyzer
para los servicios de Escritorio remoto, que conviene ejecutar una vez terminadas la
instalacin y configuracin.
La siguiente seccin, Colecciones, le permite modificar, mediante el men Tareas en la
seccin Colecciones, los parmetros de implementacin comunes a toda la infraestructura
RDS conectada a su servidor de Agente de conexin, tales como: el mtodo de
autentificacin, el modo de licenciamiento, los certificados... Tambin podr agregar
nuevas colecciones. La seccin Conexiones le mostrar todas las conexiones activas sea
cual sea su coleccin de origen, y desde aqu podr enviar un mensaje, tomar el control
sobre la sesin (Instantnea en el submen), forzar la desconexin o cerrar la sesin del
usuario conectado.
Para terminar con la lista de secciones, encontrar, a continuacin, la lista de colecciones
disponibles. Con una instalacin en modo Inicio rpido, se crea una coleccin llamada
QuickSessionCollection si su instalacin se basa en hosts de sesin o QuickVMCollection
si su instalacin se basa en hosts de virtualizacin. Con cualquier otro modo de instalacin,
tendr que crear una nueva coleccin para que los usuarios puedan conectarse.
Desde la pantalla de una coleccin, es posible modificar las propiedades de dicha coleccin
y gestionar las aplicaciones RemoteApp. Si se trata de una coleccin de sesin, podr
agregar servidores host de sesin suplementarios o administrar las conexiones de dicha
coleccin. Si se trata de una coleccin de escritorios virtuales, podr agregar un escritorio
virtual o recrear todos los escritorios virtuales de la coleccin.
La vista de una coleccin de sesin QuickSessionCollection:

Vista de una coleccin de virtualizacin QuickVMCollection:
Configuracin
1. Propiedades de implementacin
Para acceder a las propiedades de implementacin, abra el Administrador del servidor,

vaya a la seccin Servicios de escritorio remoto, Colecciones y, a continuacin, en el
men Tareas seleccione la opcin Editar propiedades de la implementacin:
Pestaa Puerta de enlace de Escritorio remoto: permite definir el nombre de la

puerta de enlace de los servicios de Escritorio remoto que debe utilizarse as como
el mtodo de autenticacin.
Pestaa Administracin de licencias de Escritorio remoto: permite definir el
modo de licenciamiento (por usuario o por dispositivo) y el servidor de licencias
que se debe utilizar.
Pestaa Acceso Web a Escritorio remoto: muestra, simplemente, la lista de
servidores de Acceso Web.
Pestaa Certificados: le permite importar certificados o generar certificados auto-
firmados para los servicios de Escritorio remoto.
Pestaa Active Directory (requiere, al menos, un despliegue virtual): permite
indicar la unidad organizativa donde se crearn las cuentas de equipos
correspondientes a los escritorios virtuales de los servicios de Escritorio remoto.
Pestaa Ubicacin de exportacin de escritorio virtual (requiere, al menos, un

despliegue virtual): permite especificar la ubicacin donde se almacenarn los
modelos de escritorio virtual.
Los parmetros de despliegue afectan a todas las colecciones y todos los servidores
asociados a esta implementacin. Todos estos parmetros afectan, por tanto, a la
implementacin de los servicios de Escritorio remoto en su conjunto.
2. Configuracin de una coleccin de sesiones
En un entorno RDS en Windows Server 2012 R2, todos los servidores host de sesin de
una misma coleccin comparten los mismos parmetros de sesin, de seguridad,
de administracin de dispositivos...
Observe que un servidor host de sesin no puede pertenecer a ms de una coleccin.

He aqu el procedimiento que debe seguir si ha realizado una instalacin en
Implementacin estndar o si ha eliminado la coleccin por defecto o, simplemente, si
desea crear una nueva coleccin:
Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto,

Colecciones y, a continuacin, en el men Tareas, seleccione Crear coleccin de
sesiones.
Se abre el asistente Crear coleccin y aparece la pantalla Antes de comenzar, haga clic
en Siguiente.
En la pantalla Nombre de coleccin, escriba el nombre de su coleccin y, eventualmente,

una descripcin. A continuacin, haga clic en Siguiente.
En la pantalla Especificar servidores host de sesin de Escritorio remoto, seleccione el

o los servidores que formarn parte de dicha coleccin y, a continuacin, haga clic en
Siguiente.
En la pantalla Especificar grupos de usuarios, agregue los grupos de usuarios que

tendrn autorizacin de acceso sobre la coleccin y, a continuacin, haga clic en Siguiente.
En la pantalla Especificar discos de perfil de usuario, desmarque la opcin Habilitar

discos de perfil de usuario, y haga clic en Siguiente.
En la pantalla Confirmar selecciones, haga clic en el botn Crear.
Para finalizar, en la pantalla Ver progreso, haga clic en Cerrar.
New-RDSessionCollection -CollectionName MiColeccionDeSesiones
-CollectionDescription "" -SessionHost rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv
Tendr, ahora, una coleccin de servidores de sesin configurada de forma sencilla, sin
aplicaciones RemoteApp.
Propiedades de una coleccin de Hosts de sesin
He aqu una descripcin de las propiedades de una coleccin de servidores host de sesin:
Pestaa General: en esta pestaa puede modificar el nombre y la descripcin de la

coleccin. La opcin Mostrar la coleccin de sesiones en Acceso Web de
Escritorio remoto le permitir mostrar o no la coleccin en el Acceso Web.
Observe que esta opcin no estar disponible si se han publicado aplicaciones
RemoteApp en dicha coleccin.
#Ejemplo de modificacin de la descripcin en PowerShell
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones -CollectionDescription "Nueva descripcin"
Pestaa Grupos de usuarios: le permite administrar los grupos de usuarios que

pueden conectarse a los servidores host de sesin y a las aplicaciones RemoteApp
de la coleccin. Preste atencin a los permisos suplementarios que deben aplicarse
para RemoteApp, para saber ms consulte la seccin que aborda RemoteApp.
# Agregar autorizaciones de conexin para el grupo Usuarios de

# dominio (para definir ms grupos, seprelos con comas).
Set-RDSessionCollectionConfiguration -CollectionName MiColeccionDe
Sesiones -UserGroup "MIEMPRESA\Usuarios de dominio"
Pestaa Sesin: puede definir la duracin de las sesiones inactivas, as como el

comportamiento que desea cuando se alcanza el tiempo de inactividad. Por qu
gestionar estos elementos? Si algn usuario no se desconecta, su sesin, as como
los programas en memoria, permanecen en el servidor. El consumo de recursos del
sistema, mantenido, provoca que el servidor no pueda aceptar conexiones de otros
usuarios.
He aqu una explicacin y una recomendacin para la configuracin:

Finalizar una sesin desconectada: cierra de forma arbitraria cualquier sesin
desconectada. Valor propuesto: 2 horas.
Lmite de la sesin activa: obliga al usuario a cerrar su sesin incluso si est
activo. Esto permite luchar contra fugas de memoria en las aplicaciones, y evitar
que un usuario no cierre jams su sesin. Valor propuesto: 12 horas.
Lmite de la sesin inactiva: cierra de forma arbitraria cualquier sesin mantenida
por un cliente pero que no tiene actividad en el teclado/ratn. Valor propuesto:
4 horas.
Cuando se alcanza el lmite de una sesin o se pierde la conexin: accin que
desea realizar cuando se produce una de ambas situaciones. Valor sugerido
Desconectar de la sesin.
La situacin es la siguiente:
El tiempo mximo, antes del cierre de una sesin, es igual a:
Lmite de sesin activa + Finalizar una sesin desconectada = 14 horas.
Observar que el usuario dispone, todava, de 2 horas potenciales para volver a conectarse
sin perder su sesin.
Antes de salvaguardar un servidor de host de sesin por la noche, se recomienda cerrar

todas las sesiones de Escritorio remoto del servidor de forma arbitraria. Esto evita que se
produzcan errores sobre los archivos abiertos en modo exclusivo y permite salvaguardar
perfiles RDS que se copian tras el cierre de sesin sobre su carpeta).
He aqu los comandos equivalentes en PowerShell:

# Lmite de sesin y carpeta temporal
MiColeccionDeSesiones
-ActiveSessionLimiteMin 720
-IdleSessionLimitMin 240
-BrokenConnectionAction Disconnect
-AutomaticReconnectionEnable $true
-DisconnectedSessionLimitMin 120
-TemporaryFoldersDeletedOnExit $true
-TemporaryFoldersPerSession $true
# Valores admisibles
# los valores numricos se definen en minutos
# -BrokenConnectionAction None/Disconnect/LogOff
Pestaa Seguridad: esta pestaa le permite administrar la capa de seguridad y el

nivel de cifrado del protocolo RDP.
# Security
-SecurityLayer Negociate
-EncryptionLevel ClientCompatible
-AuthenticateUsingNLA $true
# -SecurityLayer RDP/Negociate/SSL (por defecto Negociate)
# -EncryptionLevel Low/ClientCompatible/High/FipsCompliant
(por defecto: ClientCompatible)
Pestaa Equilibrio de carga: si dispone de varios servidores host de sesin en su

coleccin y stos no tienen el mejor rendimiento, esta pestaa le ser til para
repartir la carga entre ellos, as como administrar el nmero mximo de sesiones por
servidor host de sesin.
# Reparto de carga (ejemplo para 2 servidores host de sesin)

$LoadBalanceObjectsArray = New-Object System.Collections.
Generic.List[Microsoft.RemoteDesktopServices.Management.
RDSessionHostCollectionLoadBalancingInstance]
$LoadBalanceSessionHost1 = New-Object Microsoft.RemoteDesktopServices

.Management.RDSessionHostCollectionLoadBalancingInstance
("MiColeccionDeSesiones",80,500,"rds1.MiEmpresa.Priv")
$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost1)
$LoadBalanceSessionHost2 = New-Object Microsoft.RemoteDesktopServices

.Management.RDSessionHostCollectionLoadBalancingInstance
("MiColeccionDeSesiones",100,700,"rds1.MiEmpresa.Priv")
$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost2)
MiColeccionDeSesiones -LoadBalancing $LoadBalanceObjectsArray
# -LoadBalancing Array[CollectionName,Weight,NumberOfSessions,
RDSessionHost]
Pestaa Configuracin de cliente: en esta pestaa puede administrar la redireccin

del lector de audio y vdeo, las tarjetas y dispositivos Plug-and-Play, etc. para las
conexiones. A esto se le aade la administracin de las redirecciones de las
impresoras y el nmero mximo de pantallas redirigidas.
# Configuracin de cliente
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-ClientPrinterRedirected $true
-ClientPrinterAsDefault $true
-RDEasyPrintDriverEnable $true
-MaxRedirectedMonitors 16
# Varias opciones separadas por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording/
# SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone-MaxRedirectedMonitors [1-16], 16 por defecto
Las CustomRDPProperty son opciones que permiten, en particular, agregar parmetros

complementarios a la conexin RDS. Por ejemplo, un archivo RDP no es sino un conjunto
de CustomRDPProperty, para darse cuenta de esto, edite un archivo RDP con ayuda de
Notepad. Si desea ms informacin acerca de CustomRdpProperty:
http://go.microsoft.com/fwlink/?LinkId=139899
Pestaa Discos de perfil de usuario: Windows Server 2012 R2 implementa una

nueva forma de administrar los perfiles de los usuarios de los servicios de Escritorio
remoto: los discos de perfil de usuario.
Un disco de perfil de usuario se presenta bajo la forma de un disco virtual con un

formato *.vhdx y contiene, por defecto, los datos del perfil de un usuario, o el
equivalente al perfil de usuario que se encuentra, habitualmente, en
C:\Usuarios\%username%. A esto, puede incluirle carpetas externas al perfil o
excluir carpetas propias del perfil. Los discos del perfil de usuario permiten, por
ejemplo, resolver problemas de sincronizacin de ciertos tipos de archivos, tales
como los archivos PST de Outlook y los archivos de base de datos como Access.
Estos discos de perfil de usuario deben almacenarse sobre un recurso compartido
accesible por todos los servidores host de la coleccin y, preferentemente, por
enlaces de red rpidos. Adems, el conjunto de servidores de la coleccin deben
tener autorizacin Control Total sobre el recurso compartido y la carpeta asociada.
Cuando un usuario abre una sesin sobre uno de los servidores de la coleccin, el
servidor monta el disco de perfil de usuario directamente en su carpeta de perfil (por
defecto: C:\Usuarios) mediante un enlace simblico. Esto resulta transparente al
usuario, y a las aplicaciones.
# Creacin de la carpeta de almacenamiento de discos virtuales

# de perfil de usuario (sobre DC2012, en este ejemplo)
mkdir
D:\UserProfileDisk
# Aplicacin de los permisos necesarios para usar los discos
# virtuales de perfil usuario (para DC2012 en este ejemplo)
# Permisos asignados en este ejemplo:
# - Control total para RDS1, nuestro servidor RDSH,
# - Control total para el grupo de Administradores de empresas,
# - Control total para la cuenta Sistema,
# - Control total para la cuenta Creador Propietario (slo
# para aquellas carpetas y archivos hijos).
$RepUserDisk = "D:\UserProfileDisk"
$acl = Get-Acl $RepUserDisk
$acl.SetAccessRuleProtection($True, $False)
$rule = new-object System.Security.AccessControl.
FileSystemAccessRule("MIEMPRESA\RDS1$",
"FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = new-object System.Security.AccessControl.FileSystemAccessRule
("MIEMPRESA\Administradores de empresas", "FullControl",
"ContainerInherit,
ObjectInherit", "None", "Allow")
("Sistema", "FullControl", "ContainerInherit,
ObjectInherit", "None", "Allow")
("CREADOR PROPIETARIO", "FullControl", "ContainerInherit,
ObjectInherit",
"InheritOnly", "Allow")
Set-acl $RepUserDisk $acl
# Creacin del recurso compartido Userdisk con autorizacin

# de control total (para DC2012 en este ejemplo)
New-SMBShare -Name UserProfileDisk -Path D:\UserProfileDisk -FullAccess
"MIEMPRESA\RDS1$","MIEMPRESA\Administradores de empresas"
# Configuracin de los discos de perfil de usuario

# para una coleccin de sesiones
-EnableUserProfileDisk
-DiskPath \\DC2012\UserProfileDisk
-MaxProfileDiskSizeGB 5
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
a. Instalacin de una aplicacin sobre un servidor de sesiones
Cuando instala una aplicacin sobre un servidor RDS, debe indicar que va a tener lugar una
instalacin. Para ello, puede utilizar el comando:
change user /install
Una vez terminada la instalacin, puede volver al modo estndar:
change user /execute
Si el instalador utiliza la tecnologa MSI, el comando change user no es necesario, puede

ejecutarlo directamente.
Esta manipulacin no es obligatoria en Windows Server 2012 R2 con las aplicaciones

certificadas para Windows Server 2012 o Windows Server 2012 R2, aunque supone una
buena prctica si la aplicacin que instala es anterior y no est certificada para Windows
Server 2012/2012 R2.
Windows Server 2012 existe, nicamente, en versin de 64 bits. Wow64 permite ejecutar
aplicaciones de 32 bits mediante emulacin. Esto supone, en cualquier caso, una carga
complementaria y no permite aprovechar al mximo la capacidad de la plataforma tcnica.
Verifique sistemticamente si existe una versin de 64 bits antes de instalar el componente
o la aplicacin en cuestin.
b. Mantenimiento de un servidor de sesiones
A diferencia de un servidor Web, por ejemplo, pasar un servidor host de sesiones al modo
de mantenimiento es ms complicado de cara a los usuarios. Pueden tener documentos
abiertos, no salvaguardados, correos electrnicos en curso, etc. Afortunadamente, existen
herramientas adaptadas a estas situaciones disponibles para cortar el servicio de forma
controlada.
Para empezar, puede autorizar o no el inicio de sesin de un usuario mediante el comando

change logon. Este comando acepta varios argumentos:
/QUERY: muestra el modo de inicio de sesin actual.
/ENABLE: autoriza los inicios de sesin de usuario.
/DISABLE: prohbe los inicios de sesin de usuario.
/DRAIN: prohbe los nuevos inicios de sesin de usuario, aunque autoriza las
reconexiones a las sesiones existentes.
/DRAINUNTILRESTART: prohbe los nuevos inicios de sesin de usuario hasta
que el servidor haya reiniciado, aunque autoriza las reconexiones a las sesiones
existentes.
Para cerrar todas las conexiones a la vez, puede utilizar el siguiente script:
for /f "skip=2 tokens=2," %i in (query session) do logoff %i
El comando query session permite enumerar todas las sesiones de usuario del servidor.
Una vez se obtiene la lista de sesiones, anote el nmero de sesin para el que desea realizar
alguna accin. A continuacin, podr:
Cerrar la sesin (cierra todas las aplicaciones abiertas, sin realizar una copia de
seguridad): logoff XXX
Desconectar al usuario (todas las aplicaciones siguen abiertas, aunque el usuario se
desconecta): tsdiscon XXX
Eliminar una sesin por la fuerza: session reset XXX
Conectarse a esta sesin: tscon XXX
Enviar un mensaje al usuario: msg XXX Cierre, por favor, su sesin
c. Mejora en la experiencia de usuario sobre un servidor de sesiones
Instalacin de la experiencia del usuario
La experiencia del usuario supone agregar la funcionalidad Experiencia de escritorio,

presente por defecto en una edicin cliente de Windows (como, por ejempo, Windows 8.1),
sobre los servidores host de sesin. Esto incluye, en particular, al lector Windows Media, la
reproduccin de archivos AVI, el centro de sincronizacin, la grabadora de Windows,
Herramientas de captura de pantalla, temas de Windows y la gestin multi-pulsacin.
Para aprovechar todo esto, instale las caractersticas Experiencia de escritorio y Servicios
de Escritura con lpiz y Escritura a mano. Reinicie el servidor.
Para aprovechar plenamente las mejoras grficas aportadas por la activacin de la
experiencia del usuario (del lado servidor), necesitar una conexin con alta tasa de
trasferencia entre el cliente y el servidor (como mnimo 10 Mb/s) y configurar el cliente
RDP.
Activacin de la experiencia del usuario auditiva
Para aprovechar completamente el uso del sonido en una sesin de Escritorio remoto, es
necesario iniciar el servicio Audio de Windows y configurarlo en arranque automtico.
Gestin del entorno mediante directivas de grupo
Es posible, incluso necesario, recurrir a una directiva de grupo para modificar el entorno de
los usuarios que abran una sesin sobre el host de sesin. Ser posible mostrar u ocultar
iconos en el escritorio o prohibir el acceso a ciertos dispositivos, o configurar los
parmetros de Internet Explorer, por ejemplo.
Para ello, tendr que crear una nueva directiva de grupo y asociarla a la unidad organizativa
que contenga sus servidores de host de sesin. Defina los parmetros de usuario de la
directiva tal y como desee, y habilite la opcin Configurar el modo de procesamiento de
bucle invertido de la directiva de grupo de usuario seleccionando el modo Combinar.
Encontrar este parmetro en Configuracin del equipo - Directivas - Plantillas
administrativas - Sistema/Directiva de grupo.
Administracin de la impresin
La gestin de la impresin y, en particular, de los controladores de las impresoras sigue

siendo un asunto importante en un entorno de Terminal Services. Windows Server 2012 R2
utiliza la funcionalidad Easyprint para superar los distintos problemas. Se implementa en
tsprint.dll, tanto en 32 como en 64 bits, del lado cliente o del lado servidor. Los requisitos
previos del lado cliente son los siguientes:
Cliente RDC 6.1 como mnimo.

Framework .Net 3.0 Service Pack 1.
Observe que, si el cliente no cumple estos requisitos previos, ser preciso instalar los
controladores de impresin sobre el servidor.
De otro modo, Easyprint permite ver, desde el servidor RDS, el conjunto de propiedades de
la impresora, sin tener que instalar el controlador en el propio servidor. Para ello, se
comporta como un proxy y redirige todas las llamadas a la interfaz sobre el controlador del
lado cliente. Convierte la impresin de un formato GDI a un formato XPS (siempre que no
se trate ya de un formato XPS) sobre el servidor, y lo enva al cliente en la sesin RDP, a
travs de un canal virtual (XPS over RDP). Una vez en el puesto cliente, si el controlador
de impresin es compatible con XPS, el documento se imprime directamente. En caso
contrario, se convierte de nuevo del formato XPS al formato GDI y se imprime.
Ahora, es posible restringir el nmero de impresoras que se conectan desde el puesto
cliente mediante una GPO. El inicio de sesin se ve, as, acelerado, y la impresora por
defecto del puesto cliente basta en la mayora de casos.
Para aplicar esta restriccin mediante GPO, debe habilitar el parmetro: Configuracin del
equipo - Plantillas administrativas - Componentes de Windows - Servicios de
Escritorio remoto - Host de sesin de Escritorio remoto - Redireccin de impresora.
3. Configuracin de una coleccin de escritorios virtuales
El Escritorio remoto y VDI (Virtual Desktop Infrastructure) resultan una solucin

integrada. A diferencia de los servicios de Escritorio remoto clsicos donde varios usuarios
abran una sesin sobre un servidor host de sesin, una infraestructura de escritorios
virtuales le permite dedicar una mquina virtual a cada usuario, y stos se conectan a su
mquina virtual a travs de los servicios de Escritorio remoto.
Hyper-V soporta los escritorios virtuales, en particular mediante el servicio de Agente de

conexin de los servicios de Escritorio remoto y, eventualmente, SCVMM (el
administrador de mquinas virtuales). El objetivo es complementario al de un servidor de
Escritorio remoto clsico: se trata de proveer un escritorio remoto sobre un cliente
Windows (Windows 8.1, por ejemplo) a un usuario. Esta asignacin puede ser temporal
(pool de VM) o permanente (escritorio personal).
Esta flexibilidad permite cubrir necesidades muy especficas:

Ciertas aplicaciones que no funcionan o no estn soportadas salvo en un OS cliente,
o donde el modelo de licenciamiento es ms ventajoso con OS de tipo cliente.
Ciertos usuarios deben tener privilegios de administrador sobre la mquina
(desarrolladores remotos, etc.). De este modo, no son administradores de servidores
de servidores RDS. Gracias a los escritorios virtuales personales, el usuario es
administrador de la mquina virtual donde est conectado, y ya no sobre el todo
servidor.
En el caso de aplicaciones temporales, cuando finaliza la solucin temporal, la
mquina virtual vuelve, automticamente, a su estado final (disco de rollback).
Este tipo de arquitectura est orientada a una solucin multiservidor:
Un servidor que juega el rol de agente de conexin y despacha las conexiones de los
usuarios (RDS-Connection-Broker).
Uno o varios servidores Hyper-V que albergan mquinas virtuales. Estas mquinas
deben ser estrictamente idnticas (con los mismos programas instalados).
Las mquinas virtuales deben ser de primera generacin, pues las mquinas
virtuales de segunda generacin no estn soportadas.
Como con las colecciones de sesiones, con un entorno RDS en Windows Server 2012,
todos los servidores host de virtualizacin de una misma coleccin comparten los mismos
parmetros de sesin, de seguridad, de gestin de dispositivos...
He aqu cmo crear una nueva coleccin de escritorios virtuales en pool:
Abra el Administrador del servidor, navegue a la seccin Servicios de Escritorio

remoto, Colecciones y, a continuacin, en el men Tareas seleccione la opcin Crear una
coleccin de escritorios virtuales.
Se abre el asistente Crear una coleccin y aparece la pantalla Antes de empezar, haga
clic en Siguiente.
En la pantalla Asignar nombre a la coleccin, escriba el nombre de su coleccin y,

eventualmente, una descripcin. A continuacin, haga clic en Siguiente.
En la pantalla Especifique el tipo de coleccin, seleccione el tipo de coleccin que desea

aplicar y haga clic en Siguiente.
En la pantalla Especifique la plantilla de escritorio virtual, seleccione un modelo que

haya creado previamente y, a continuacin, haga clic en Siguiente.
En la pantalla Especificar configuracin de escritorio virtual, seleccione la opcin

Proporcionar configuracin de instalacin desatendida y haga clic en Siguiente.
En la pantalla Especificar la configuracin de instalacin desatendida, seleccione el
huso horario, el dominio y, eventualmente, una unidad organizativa y, a continuacin, haga
clic en Siguiente.
En la pantalla Especifique los usuarios y grupos de usuarios, si fuera necesario, agregue

los grupos de usuario que tendrn permisos de acceso a la coleccin, modifique el nmero
de escritorios virtuales que desea crear y el prefijo del nombre. A continuacin, haga clic en
Siguiente.
En la pantalla Especificar asignacin de escritorio virtual, haga clic en Siguiente.
En la pantalla Especificar almacenamiento de escritorios virtuales, puede modificar el

tipo y la ubicacin del almacenamiento de los escritorios virtuales (archivos de las
mquinas virtuales). En nuestro ejemplo, mantendremos los valores por defecto, haciendo
clic en Siguiente.
En la pantalla Especificar discos de perfil de usuario, desmarque la opcin Habilitar

discos de perfil de usuario, y haga clic en Siguiente.
En la pantalla Confirmar selecciones, haga clic en el botn Crear, aparece la pantalla

Ver progreso que le muestra el grado de avance.
Para terminar, en la pantalla Ver resultados, haga clic en Cerrar.

New-RDVirtualDesktopCollection -CollectionName MiColeccionDeVMs
-Description ""
-PooledManaged
-VirtualDesktopTemplateName "Windows 8.1 Ent - Sysprep"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv" = 2}
-Domain "MiEmpresa.Priv"
-OU "OU=Escritorios virtuales,DC=miempresa,DC=priv"
-UserGroup "MIEMPRESA\Usuarios de dominio"
-StorageType LocalStorage
-VirtualDesktopNamePrefix Win8ent
-UserProfileDiskPath \\DC2012\UserProfilDisk
-MaxUserProfileDiskSizeGB 5
# El parmetro PooledManaged puede remplazarse por:

# -PooledManaged
# -PooledUnmanaged
# -PersonnalManaged
# -PersonnalUnmanaged
#
# El parmetro CustomSysprepUnattendFilePath permite indicar la
# ruta hacia un archivo de respuestas de sysprep de formato XML
# -CustomSysprepUnattendFilePath "RutaDelArchivoXML"
Una vez ejecutado este cmdlet, las cuentas de equipo para los escritorios virtuales se crean
correctamente en la unidad organizativa Escritorios virtuales.
Propiedades de una coleccin de Host de virtualizacin
Pestaa General: esta pestaa presenta la misma informacin que para una
coleccin de sesiones con algunos datos suplementarios, tales como la posibilidad
de habilitar el retraso de guardado.
# Configuracin del cliente

Set-RDVirtualDesktopCollectionConfiguration
-CollectionName MiColeccionDeVMs
-CollectionDescription ""
# Valores posibles
# -SaveDelayMinutes
Pestaa Escritorios virtuales: todos los campos son de solo lectura. Algunos
pueden configurarse durante la creacin de la coleccin, y otros en la configuracin
de la implementacin.
Pestaa Grupos de usuarios: esta herramienta es idntica a la pestaa Grupos de
usuarios para una coleccin de sesiones.

# Agregar autorizaciones de conexin para el grupo Usuarios de
# dominio (para definir varios grupos, seprelos por comas).
Set-RDVirtualDesktopCollectionConfiguration -CollectionName
MiColeccionDeVMs -UserGroup "MIEMPRESA\Usuarios de dominio"
Pestaa Cliente: encontrar en esta pestaa la misma informacin que para una
coleccin de sesiones.
# Configuracin del cliente

Set-RDVirtualDesktopCollectionConfiguration
-CollectionName MiColeccionDeVMs
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-RedirectClientPrinter $true
-RedirectAllMonitors $true
# Valores posibles
# Es posible seleccionar varios separados por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording
# /SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone
Pestaa Discos de perfiles de usuario: esta pestaa es idntica a la pestaa Discos

de perfil de usuario de una coleccin de sesiones.
# Creacin de la carpeta de almacenamiento de discos virtuales

# de perfil de usuario
mkdir UserProfileDisk on c:\
New-SMBShare -Path D:\UserProfileDisk -Name UserProfileDisk
# Agregar autorizaciones de conexin para el grupo de Usuarios de

# dominio (para definir varios grupos, seprelos por comas).
Set-RDVirtualDesktopCollectionConfiguration -CollectionName
MiColeccionDeVMs
-EnableUserProfileDisk
-DiskPath \\DC2012\UserProfileDisk
-MaxProfileDiskSizeGB 5
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
a. Agregar escritorios virtuales a una coleccin - Creacin de un escritorio virtual
Puede resultar til saber cmo agregar escritorios virtuales a una coleccin de escritorios
virtuales. Para ello, simplemente hay que seguir el siguiente procedimiento sencillo:
Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto,

Colecciones, y el nombre de su coleccin (MiColeccionDeVMs, en nuestro ejemplo) y, a
continuacin, en la seccin Escritorios virtuales, haga clic en el men Tareas y seleccione
Agregar un escritorio virtual.
Se abre el asistente Agregar escritorios virtuales, indique el nmero de escritorios

virtuales que desea agregar y haga clic en Siguiente.
En la pantalla Especificar asignacin de escritorio virtual, haga clic en Siguiente.
En la pantalla Confirmar selecciones, haga clic en el botn Crear.
Para finalizar, en la pantalla Ver resultados, haga clic en el botn Cerrar.
# Agregar escritorios virtuales a una coleccin

Add-RDVirtualDesktopToCollection -CollectionName MiColeccionDeVMs
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv"=1}
4. Desplegar aplicaciones con RemoteApp
Este servicio de rol hace RDS muy atractivo. Permite publicar aplicaciones en lugar de un
escritorio completo. Esta capacidad para publicar una aplicacin permite una mejor
integracin de dicha aplicacin en el entorno habitual del usuario, que tendr la impresin
de que la aplicacin se ejecuta, directamente, en su puesto (como si fuera una ventana ms).
Con la configuracin del cliente RemoteApp, la aplicacin aparecer en la pantalla de

bienvenida (men inicio) y la asociacin de la extensin del archivo se realizar con el
puesto cliente. Por ejemplo, si Microsoft Visio slo est disponible mediante RemoteApp,
el cliente RemoteApp puede asociar la extensin.vsd con esta aplicacin publicada. De este
modo, cuando un usuario hace doble clic sobre un archivo local.vsd, Microsoft Visio se
abre automticamente como RemoteApp y abre el archivo solicitado. La operacin es, por
tanto, transparente de cara al usuario.
Ya no es posible crear el archivo.rdp o el paquete .msi con Windows Server 2012 R2,
tendr que crearlo a mano si no quiere utilizar la configuracin del cliente RemoteApp en
los puestos cliente.
Con Windows Server 2012 R2, las aplicaciones RemoteApp se publican a nivel de la
coleccin.
A continuacin se muestra cmo configurar una aplicacin RemoteApp que se publica en
un escritorio virtual:
Abra el Administrador del servidor y vaya a una coleccin de sesiones, o de escritorios

virtuales. A continuacin, en la zona principal de la ventana, haga clic en el men Tareas y
en la seccin RemoteApp, seleccionando la opcin Publicar programas RemoteApp.
Si publica una aplicacin en un escritorio virtual, debe escoger el escritorio virtual sobre el
que se encuentra la aplicacin que quiere publicar. Es lo que le permite hacer la siguiente
pantalla Seleccionar escritorio virtual. Una vez lo haya seleccionado, haga clic en
Siguiente.
En el asistente Publicar programas RemoteApp, en la pgina Seleccionar programas

RemoteApp, marque la opcin correspondiente al programa que desea publicar (la
calculadora, en este ejemplo) y, a continuacin, haga clic en Siguiente.
En la pantalla Confirmacin, haga clic en el botn Publicar.
Espere algunos segundos hasta que se publique la aplicacin y, a continuacin, en la

pgina ltima etapa haga clic en el botn Cerrar.
# Publicacin de la Calculadora mediante RemoteApp

# por un servidor de sesiones
New-RDRemoteApp -CollectionName MiColeccionDeSesiones -ConnectionBroker
rds1.MiEmpresa.Priv -DisplayName Calculadora -Alias Calculadora
-FilePath "C:\Windows\system32\calc.exe" -ShowInWebAccess $true
# Publicacin de la Calculadora mediante RemoteApp

# por un servidor de escritorio virtual
New-RDRemoteApp -CollectionName MiColeccionDeVMs -VirtualDesktopName
Win8Ent-0 -ConnectionBroker rds1.MiEmpresa.Priv -DisplayName
Calculadora -Alias Calculadora -FilePath
"C:\Windows\system32\calc.exe" -ShowInWebAccess $true
Observe que la publicacin de una aplicacin oculta, automticamente, el acceso web del
escritorio, mientras que muestra la aplicacin publicada mediante RemoteApp.
Podr gestionar las propiedades de la aplicacin RemoteApp mediante la interfaz grfica o

mediante los siguientes cmdlets PowerShell:
Get-RemoteApp: muestra la lista de aplicaciones RemoteApp publicadas.

New-RemoteApp: publica una nueva aplicacin RemoteApp.
Set-RemoteApp: modifica las propiedades de una aplicacin RemoteApp.
Remove-RemoteApp: elimina una aplicacin RemoteApp.
Para finalizar, observe que es posible precisar los permisos de acceso de los usuarios a las
aplicaciones RemoteApp mediante la pantalla Asignacin de usuarios en las propiedades
de la aplicacin RemoteApp.
Del lado del puesto cliente, la configuracin del cliente RemoteApp es muy sencilla y
puede hacerse mediante la interfaz grfica o mediante GPO. No obstante, si el certificado
de su servidor Broker es autorfirmado, tendr que instalarlo en la Entidad de certificacin
raz de confianza del equipo cliente.
A continuacin se muestra cmo realizar la configuracin del cliente Remote App mediante
la interfaz grfica:
Abra Conexiones remotas accesible en el Panel de control y haga clic en el enlace Acceso
a los programas RemoteApp y servicios de Escritorio remoto.
En el campo Direccin URL de conexin o direccin de correo electrnico escriba la

URL https://NombreDeSuServidorRDS/rdweb/feed/webfeed.aspx (rds1.MiEmpresa.Priv en
nuestro ejemplo) y haga clic en Siguiente.
En la pantalla Listo para configurar la conexin, haga clic en Siguiente.
En la pantalla Configur correctamente la siguiente conexin, haga clic en Finalizar.

Si quiere configurar los puestos de cliente mediante una directiva de grupo, cree una nueva
directiva de grupo y vaya a Configuracin de usuario - Directivas - Plantillas
administrativas - Componentes de Windows - Servicios de Escritorio remoto -
Conexin de RemoteApp y Escritorio.
Habilite el parmetro Especificar la direccin URL de conexin predeterminada y
escriba la URL correspondiente a su servidor que posea el servicio de rol Agente de
conexin para los servicios de Escritorio remoto
Este parmetro de directiva de grupo slo se aplica a aquellos sistemas operativos Windows
Server 2012, Windows 8 y Windows RT. Con sistemas operativos anteriores, tendr que
realizar una configuracin manual.
Configuracin avanzada
1. Configuracin del Acceso Web de los servicios de Escritorio remoto
El uso de RDS se ha extendido mucho ms all de un simple escritorio remoto. Windows

Server 2012 ofrece, ahora, un medio para centralizar los recursos publicados sobre un
portal Web. Desde el punto de vista del cliente, siguen siendo necesarios dos criterios:
Poder acceder al sitio Web que ofrece el acceso Web desde un navegador de
Internet, con o sin proxy.
Tener instalado el cliente RDC 7.0 como mnimo.
Este servicio de rol puede instalarse sobre un servidor que tenga o no otros servicios de rol
de Escritorio remoto. Requiere, no obstante, como mnimo IIS 8.5 para poder funcionar y
una relacin de confianza con los servidores host de sesin para poder enumerar las
aplicaciones RemoteApp. Generalmente, ya viene instalado si ha realizado la instalacin
Inicio rpido o Implementacin estndar.
Es posible agregar el servicio de rol Acceso Web para Escritorio remoto mediante la
interfaz grfica o mediante PowerShell.
# Agregar un servidor de Acceso Web

Add-RDServer -Server MiServidorWebRDS -Role rds-web-access
Para acceder al servicio, abra un navegador Web en la siguiente direccin, remplazando

MiServidorWebRDS por el nombre del servidor que tenga dicho servicio de rol:
http://MiServidorWebRDS/RDWeb/
El nuevo portal de Acceso Web gestiona, ahora, navegadores como Mozilla Firefox o
Google Chrome as como Microsoft Internet Explorer (si bien este ltimo presenta ciertas
ventajas tales como una mejor gestin de la autenticacin, por ejemplo).
Por defecto, la autenticacin se realiza mediante un portal (formulario):

Una vez autentificado, se muestra la siguiente pgina:
Se presentan dos pestaas. La pestaa RemoteApp y escritorios se configura
dinmicamente con las aplicaciones y escritorios a los que tiene permisos para acceder si la
funcionalidad RemoteApp se ha configurado. La pestaa Conectarse a un equipo remoto
permite abrir una sesin RDP completa sobre el servidor especificado en el sitio Web.
La pestaa Conectarse a un escritorio remoto ofrece varias opciones, aunque no permite

escoger el servidor sobre el que abrir una conexin. Para configurar el servicio, tiene dos
opciones posibles:
Dejar que el Administrador de servicios de Escritorio remoto se las apae l solo

(opcin recomendada).
Utilizar la MMC IIS 8.5.
Editar el archivo de configuracin XML, web.config, ubicado por defecto en la ruta
C:\Windows\Web\RDWeb\Pages.
Configuracin mediante IIS:
Abra la consola Administrador de servicios de Internet (IIS) desde la pantalla de

bienvenida, Herramientas administrativas y, a continuacin, Administrador de
servicios de Internet (IIS).
En la pestaa Conexiones, despliegue el nombre de su servidor y, a continuacin, Sitios -

Default Web Site - RDWeb y, por ltimo, la carpeta virtual Pages.
Haga clic dos veces en el icono Configuracin de aplicaciones en la parte central de la

pantalla:
El sitio de acceso RDWeb puede incorporarse en un sitio SharePoint, pues se trata de un
Webpart. Esta opcin no se aborda en este libro, puesto que SharePoint se sale de su
permetro.
Los parmetros configurables son los siguientes:

DefaultTSGateway: permite especificar la puerta de enlace por defecto que utilizarn las
conexiones. Por defecto, no existe ninguna puerta de enlace predeterminada. Una vez la
seleccionada la aplicacin RemoteApp o el escritorio remoto, se abre una conexin RDP
clsica sobre el puerto 3389 TCP.
GatewayCredentialsSource: puede tomar los valores 0, 1 o 4. El valor por defecto es 4,

que se corresponde con "preguntarme ms tarde".
ShowDesktops: con el valor true por defecto. Esta variable controla el hecho de que se
muestre o no la pestaa Escritorio remoto en el sitio Web.
xClipboard: con el valor true por defecto. Bloquea el uso del portapapeles de Windows si
su valor es false.
xDriveRedirection: con el valor false por defecto. Autoriza la redireccin de los lectores
locales si su valor es true.
xPnPRedirection: con el valor false por defecto. Autoriza la redireccin de dispositivos de

tipo plug & play si su valor es true. Esto aplica nicamente a los dispositivos multimedia
que trabajan con los protocolos Media Transfer Protocol, Picture Transfer Protocol o
Microsoft Point of Service (POS) for .NET 1.11.
xPortRedirection: con el valor false por defecto. Autoriza la redireccin de los puertos
COM y LPT si su valor es true.
xPrinterRedirection: con el valor true por defecto. Bloquea la redireccin de las

impresoras si su valor es false.
Utilizar el archivo XML web.config presenta la ventaja de que se tiene acceso a los
comentarios que explican los distintos valores, por ejemplo, para
GatewayCredentialsSource:

Las modificaciones se aplican en caliente y no se requiere ningn reinicio. Basta con

refrescar la pgina Web para ver los cambios.
Por defecto, las aplicaciones RemoteApp estn habilitadas para el Acceso Web. Esta
autorizacin puede gestionarse por aplicacin, desde la consola Administrador de
RemoteApp.
2. Configuracin de la Puerta de enlace de Escritorio remoto
El uso de RDS se ha extendido ms all de los lmites de la empresa. Una vez fuera del
lugar de trabajo, no controlamos la infraestructura implementada, as como sus
restricciones. La apertura de una conexin sobre el puerto 3389 TCP desde otra empresa,
desde un hotel o desde cualquier otro lugar pblico puede estar bloqueada por firewalls, lo
cual limita la aplicacin de los servicios de Escritorio remoto. Windows Server 2012 R2
ofrece un medio de transporte adaptado a este contexto para acceder a los recursos: HTTPS.
El primer requisito previo consiste en disponer de un certificado SSL vlido, bien emitido
por un tercero de confianza, o bien desde su propia infraestructura de PKI. Windows Server
2012 R2 le permite generar un certificado auto-firmado, aunque esto implica poder agregar
este certificado raz en los equipos que se utilizan para conectarse. Esta solucin puede
resultar algo excesiva, aunque la experiencia del usuario no es ptima, y va a ser
problemtica para la conexin desde un equipo sencillo desde un hotel, por ejemplo. Lo
principal es que el puesto cliente considere su certificado como digno de confianza.
A continuacin se muestran los atributos del certificado y las reglas que deben respetar:
El certificado debe ser de tipo equipo.

El objetivo del certificado es la autenticacin del servidor. El atributo EKU es de
tipo Server Authentication (1.3.6.1.5.5.7.3.1).
El certificado no debe haber expirado.
No se requiere un OID de 2.5.29.15, aunque si quiere utilizarlo, debe tener tambin
uno de estos usos: CERT_KEY_ENCIPHERMENT_KEY_USAGE,
CERT_KEY_AGREEMENT_KEY_USAGE, y
CERT_DATA_ENCIPHERMENT_KEY_USAGE;
El nombre del certificado (CN) debe corresponderse con el nombre DNS utilizado
por el cliente que se conecta a la puerta de enlace.
Instalacin de la Puerta de enlace de Escritorio remoto:
Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto e

Informacin general y, a continuacin, haga clic en el icono con el signo + en la Puerta
de enlace de Escritorio remoto sobre el esquema central (o haga clic en el men Tareas de
la seccin Servidor de implementacin, y seleccione la opcin Agregar servidores de
puerta de enlace de Escritorio remoto).
En la pantalla Seleccionar servidor, seleccione el o los servidores que asegurarn el rol de

puerta de enlace, y haga clic en Siguiente.
En la pantalla Nombre del certificado SSL autofirmado, escriba el nombre de dominio

completo (FQDN) que utilizarn los clientes para conectarse (generalmente el nombre de
dominio pblico, webapp.MiEmpresa.es) y, a continuacin, haga clic en Siguiente.
En la pantalla Confirmar selecciones, haga clic en el botn Agregar.
Una vez terminada la instalacin, en la pantalla Ver progreso, haga clic en el botn
Cerrar.
# Instalacin del servicio de rol RDS-Gateway

Add-RDServer -Role RDS-Gateway -GatewayExternalFqdn
webapp.MiEmpresa.es-Server rds1.MiEmpresa.Priv
# Depuracin...
Set-RDDeploymentGatewayConfiguration -GatewayMode Custom
-GatewayExternalFqdn webapp.MiEmpresa.es -LogonMethod GatewayAuthMode
-UseCachedCredentials $true -BypassLocal $true -Force
Observe que el cmdlet Add-Server instala el servicio de rol Puerta de enlace de Escritorio
remoto, as como todas las dependencias tales como RPC over HTTP e IIS, sobre el o los
servidores afectados. Crea, tambin, un certificado autofirmado y lo asocia con el servicio
Puerta de enlace de Escritorio remoto. No obstante, con Windows Server 2012, este cmdlet
finaliza con dos errores ligados a dos comandos incorrectos en el archivo de script
Despliegue del mdulo PowerShell. Por este motivo, proporcionamos un segundo cmdlet
que termina el trabajo... Este cmdlet no es intil, por el contrario, en un servidor Windows
Server 2012 R2 puesto que se ha corregido el error en esta versin.
Por defecto, la instalacin genera un certificado autofirmado que resulta til para una fase
de pruebas. Para un entorno de produccin, se recomienda encarecidamente utilizar un
certificado obtenido a travs de una entidad emisora de certificados reconocida.
Para configurar la Puerta de enlace de Escritorio remoto:
Abra la consola Administrador de puerta de enlace de Escritorio remoto desde la

pantalla de inicio, Herramientas administrativas - Servicios de Escritorio remoto y, a
continuacin, Administrador de puerta de enlace de Escritorio remoto.
En el panel izquierdo, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, haga clic en Propiedades. He aqu algunas pestaas interesantes:
La pestaa General: permite limitar el nmero de conexiones simultneas o

prohibir nuevas conexiones.
La pestaa Certificado SSL: permite administrar el certificado que presenta la
puerta de enlace al cliente. Puede generar un certificado autofirmado mediante una
entidad emisora de certificados.
La pestaa Configuracin de transporte: permite modificar los puertos de red
utilizados por los protocolos HTTP y HTTPS. Observe la presencia del transporte
UDP sobre el puerto 3391, que permite optimizar los flujos de red
Cierre las propiedades del servidor.
Despliegue la carpeta Directivas, seleccione Directivas de autorizacin de conexiones y,

a continuacin, edite las propiedades de la directiva RDG_CAP_AllUsers.
En la pestaa Requisitos, puede modificar los usuarios y grupos de usuarios que
pueden conectarse mediante la puerta de enlace de Escritorio remoto.
La pestaa Redireccin de dispositivos le permite limitar la redireccin de
dispositivos cuando se est conectado a travs de la puerta de enlace.
La pestaa Tiempos de espera le permite limitar el tiempo de espera de inactividad
de una sesin o el tiempo de espera de expiracin de una sesin. Se recomienda
configurar un valor pequeo para el tiempo de espera de inactividad, 15 minutos es
incluso demasiado si una sesin se ha abierto desde un sitio pblico y no tiene
supervisin alguna.
Despliegue la carpeta Directivas, seleccione Directivas de autorizacin de recursos y, a
continuacin, edite las propiedades de la directiva RDG_AllDomainComputers.
En la pestaa Grupos de usuarios, puede modificar los usuarios y grupos de
usuarios que pueden conectarse a los equipos remotos mediante la puerta de enlace
de Escritorio remoto.
La pestaa Recurso de red le permite definir cules sern los equipos remotos a los
que podrn conectarse los usuarios a travs de la puerta de enlace. Es importante
definir los equipos a los que los usuarios pueden acceder a travs de la puerta de
enlace. Es posible definir un grupo de Active Directory, un grupo gestionado por la
puerta de enlace de Escritorio remoto, o bien todos los equipos. En produccin,
debera ser lo ms restrictivo posible a la hora de abrir el acceso.
La pestaa Puertos permitidos permite definir los puertos de red autorizados. Por
defecto, slo est autorizado el puerto TCP 3389, que es el puerto RDP por defecto.
Para terminar, verifique que su despliegue est bien configurado para utilizar la puerta de
enlace de Escritorio remoto:
Abra el Administrador del servidor - Servicios de Escritorio remoto - Colecciones y, a

continuacin, haga clic en el men Tareas y seleccione la opcin Editar propiedades de
la implementacin.
En la pestaa Puerta de enlace de Escritorio remoto, verifique que la opcin Usar esta
configuracin del servidor de puerta de enlace de Escritorio remoto est marcada y el
nombre completo de su servidor de puerta de enlace bien informado. Si no fuera el caso,
hgalo as.
La pasarela RDS est, ahora, operativa. Posee un certificado SSL autogenerado y se han
definido dos directivas. Todos los usuarios del dominio pueden utilizar la puerta de enlace
para acceder a cualquier equipo de la red.
3. Configuracin del Administrador de licencias de Escritorio remoto
Las licencias RDS propuestas son de dos tipos:
Por dispositivo, sea cual sea el nmero de usuarios que utilicen este dispositivo para
acceder a los recursos RDS.
Por usuario, sea cual sea el dispositivo utilizado para acceder a recursos RDS.
En su arquitectura, puede ser adecuado instalar, por ejemplo, el Administrador de

licencias sobre el servidor que ejecuta KMS (Key Management System). Si este servicio de
rol est instalado sobre un controlador de dominio, todos los servidores RDS del dominio
(independientemente de la versin) sern capaces de encontrarlo automticamente. Si su
infraestructura RDS slo incluye servidores Windows Server 2012 o Windows Server 2012
R2, es preferible instalar el Administrador de licencias sobre el servidor Agente de
conexin.
Para instalar el servidor de licencias RDS:
Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto e

Informacin general y, a continuacin, haga clic en el icono con el signo "+" a nivel de
Administrador de licencias de Escritorio remoto sobre el esquema central (o haga clic en el
men Tareas en la seccin Servidor de implementacin, y seleccione la opcin Agregar
servidores de licencias de Escritorio remoto).
En la pantalla Seleccionar servidor, seleccione el o los servidores que proveern el rol de

servidor de licencias para Escritorio remoto y, a continuacin, haga clic en Siguiente.
En la pantalla Confirmar selecciones, haga clic en el botn Agregar.
Una vez terminada la instalacin, en la pantalla Ver progreso haga clic en el botn
Cerrar.
# Instalacin del servicio de rol RDS-Licensing

Add-RDServer -Role RDS-Licencing -Server rds1.MiEmpresa.Priv
Activacin del servidor de licencias de Escritorio remoto:
Abra el Administrador del servidor, haga clic en el men Herramientas - Terminal

Services y Administrador de licencias de Escritorio remoto.
Haga clic con el botn derecho en el servidor que desea activar y, a continuacin,
seleccione la opcin Activar servidor en el men.
Se abre el asistente de Activacin del servidor, haga clic en Siguiente.
En la pantalla Mtodo de conexin, los posibles mtodos de conexin son:
Conexin automtica: el servidor debe poder establecer una conexin con el

servidor Microsoft mediante el protocolo HTTPS.
Navegador Web: utiliza otro equipo que accede a Internet para realizar el
procedimiento de activacin.
Por telfono: intercambiar nmeros de serie con Microsoft por telfono.
Deje el mtodo de conexin en Conexin automtica (recomendado) y haga clic en

Siguiente.
En la pantalla Informacin de la empresa, incluya aquella informacin asociada a su
empresa (todos los campos son obligatorios) y haga clic en Siguiente.
En la segunda pantalla Informacin de la empresa, escriba la informacin opcional, y

En la pantalla Finalizacin del Asistente para activar servidor, desmarque la opcin

Iniciar el Asistente para instalar licencias ahora y haga clic en el botn Cerrar.
Esto no supone sino la primera etapa, registrar su servidor con Microsoft. Ahora es posible
agregar licencias TS, seleccionando el programa de licencias. Una vez provistos los
nmeros necesarios, las licencias TS se muestran en el Administrador de licencias. Para
ello, haga clic con el botn derecho en el servidor y seleccione la opcin Instalar licencias
en el men contextual.
Tenga en cuenta que Microsoft no ha modificado el contrato de licencia entre Windows

Server 2012 y Windows Server 2012 R2, en lo relativo a la licencia de acceso cliente a los
servicios de Escritorio remoto (RDS Cal). Esto significa que las licencias RDS Cal de
Windows Server 2012 son compatibles con los servidores RDS Windows Server 2012 R2
y, por tanto, no es necesario volver a comprar RDS Cals.
Observaciones:
Este servicio de rol consume muy pocos recursos, aunque debe instalarse sobre un
servidor estable. Las licencias no podrn entregarse a otro servidor fcilmente, y la
ausencia de este rol hace que el conjunto de hosts pasen al periodo de prueba de 120
das.
Un servidor RDS Windows 2012 Server puede, nicamente, comunicarse con un
servidor de licencias Windows 2012 Server.
Por defecto, se crea una base de datos en el servidor en la siguiente ruta:
%systemroot%\system32\lserver
Un servidor de licencias Windows Server 2012 R2 puede proveer licencias RDS a
servidores RDS Windows Server 2008/2008 R2, siempre que posea RDS Cal
Windows Server 2008/2008 R2.
El administrador de licencias permite seguir el consumo de licencias en modo
usuario, y generar informes. Para utilizar esta funcionalidad, el objeto equipo del
servidor debe ser miembro del grupo Active Directory Servidores de licencias de
Terminal Server. Si el servidor es, tambin, controlador de dominio, entonces la
cuenta Servicio de Red debe formar parte, tambin, de este grupo.
Para terminar la configuracin, debe seleccionar el modo de licenciamiento a aplicar (por

dispositivo o por usuario), que se utilizar en las propiedades de implementacin de
Escritorio remoto.
4. RemoteFX
RemoteFX, que se incluye desde Windows Server 2008 R2 Service Pack 1, es una
funcionalidad que permite mejorar de forma significativa la experiencia de usuario y
permite mostrar grficos en 3D de buena calidad, a travs de una conexin de Escritorio
remoto desde un puesto con un cliente RDP 8.1 u 8.0. El cliente RDP 7.1 tambin est
soportado, aunque con menos funcionalidades. Adems, la tecnologa incluye el soporte de
Aero, animaciones Flash o Silverlight con un rendimiento muy bueno (siempre que la tasa
de transferencia de la red sea lo suficientemente buena, por supuesto). Con la aparicin de
HTML5 y la multiplicacin de empresas que utilizan clientes ligeros para conectarse a su
infraestructura, no cabe duda de que a RemoteFX le espera un buen porvenir.
Observe que RemoteFX permite, tambin, aumentar las posibilidades de redireccin de los
dispositivos USB.
Es posible utilizar dos arquitecturas para aprovechar la tecnologa RemoteFX: o bien

mediante una infraestructura virtualizada VDI con Hyper-V, o bien a travs de una
conexin a un servidor que posea el rol host de sesin disponible desde Windows
Server 2008 R2 SP1.
a. RemoteFX para un host de virtualizacin de Escritorio remoto
RemoteFX puede utilizarse a travs de una infraestructura virtualizada hospedada en

Hyper-V a travs del rol de virtualizacin de Escritorio remoto.
Los equipos cliente que acceden mediante esta infraestructura aprovechan la aceleracin
grfica de la tarjeta fsica del servidor Hyper-V, permitiendo as aprovechar las ventajas
que ofrece RemoteFX. La tarjeta grfica est, en efecto, virtualizada y est accesible a
todas las mquinas virtuales hospedadas.
Los requisitos previos que permiten implementar dicha infraestructura son numerosos:
El procesador debe ser compatible SLAT (Second Level Address Translation). Esta
funcionalidad se denomina EPT (Extended Page Tables) en los procesadores Intel y
NPT (Nested Page Tables) en los procesadores AMD. Los procesadores Intel
Nehalem como los Xeon X5540, Xeon E5530, con ncleo Sandy Bridge e Ivy
Bridge Intel i3, i5 o Intel i7 y los procesadores AMD con ncleo Barcelona,
Shangha, Istanbul o Magny-Cours como Opteron 2356 forman parte de los
modelos compatibles.
Se necesita una tarjeta grfica (CPU) sobre el servidor que hospeda RemoteFX. El
controlador debe soportar DirectX 11.1 y disponer de, al menos, 1 GB de memoria
dedicada al vdeo.
Observe que el nmero de mquinas virtuales que permitan aprovechar la funcionalidad

RemoteFX depender directamente de la capacidad de memoria de la tarjeta grfica. Cada
mquina virtual requiere en torno a 200 MB de memoria (dependiendo de la resolucin de
pantalla y del nmero de monitores que se utilicen).
La tarjeta GPU instalada en el servidor debe poseer un nico procesador grfico. Si

una tarjeta grfica se instala en el servidor, habr que deshabilitarla para que la
tarjeta GPU sea la nica que se utiliza.
La funcionalidad Hyper-Threading debe estar habilitada sobre el servidor.
La mquina virtual a la que se accede debe ejecutar Windows 8/8.1 Professional o
Enterprise, Windows 7 Entreprise o Ultimate con el Service Pack 1 instalado. Si se
trata de una versin x86, la cantidad de memoria alojada debe ser de 1024 MB
como mnimo. Para un sistema operativo de 64 bits, ser preciso alojar 2048 MB de
memoria, como mnimo.
Deben cumplirse los requisitos previos de hardware del rol Hyper-V en el servidor,
tal y compo hemos visto anteriormente.
Los roles "Host de virtualizacin de Escritorio remoto" as como, evidentemente, el
rol "Hyper-V" deben estar instalados en el servidor que hospeda las mquinas
virtuales.
El cliente RDP utilizado para acceder a la mquina virtual debe tener la versin 7.1
(disponible, de momento, en Windows 7 SP1 y 2008 R2 SP1 nicamente) para
gestionar por aplicacin la compresin/descompresin/codificacin/decodificacin
de los flujos de audio y vdeo a nivel del protocolo RDP 7.1. Estas acciones pueden,
adems, realizarse mediante un componente de hardware dedicado (ASIC) que
estar instalado del lado del cliente y del lado servidor. Se recomienda utilizar la
versin 8.0 u 8.1, pues aportan una mejor compresin de los flujos de vdeo en el
protocolo RDP.
Observe que las tarjetas de supervisin remota (tarjeta ILO, iDrac, IMM, KVM sobre IP,
etc.), que sirven habitualmente para tomar el control sobre un servidor y configurar su
BIOS o acceder a la consola, pueden presentar problemas de compatibilidad.
RemoteFX utiliza, en efecto, los controladores WDDM cuando se instala una tarjeta GPU,
mientras que las tarjetas de supervisin utilizan, en su mayora, el controlador XPDM.
Estos dos controladores no pueden funcionar de manera simultnea, si un controlador
intenta conectarse a travs de la tarjeta de supervisin mientras el controlador RemoteFX
est cargado, la consola del servidor no ser visible cuando se tome el control remoto de un
sistema operativo con sesin iniciada.
La solucin consiste, por tanto, en deshabilitar la tarjeta de supervisin desde la BIOS o en

utilizar el controlador "cap" de RemoteFX. Encontrar ms informacin acerca de la
instalacin del controlador "cap" en la siguiente direccin: http://technet.microsoft.com/es-
es/library/gg607270(WS.10).aspx
Las principales etapas para implementar RemoteFX son:
Instalacin de RemoteFX en el servidor Hyper-V (abrir el Administrador del

servidor desde Agregar roles - Servicios de Escritorio remoto - RemoteFX).
Configuracin de la implementacin de RemoteFX en la mquina virtual (en la
configuracin de la mquina virtual, agregue la tarjeta de vdeo 3D RemoteFX y, a
continuacin, reinicie la mquina virtual).
Uso del cliente RDP 7.1 como mnimo, estando recomendado el cliente 8.0 o
superior. El cliente RDP 7.1 debe estar configurado para utilizar una conexin de
acceso remoto en modo LAN y con 32 bits de colores. Se genera, a continuacin, un
evento con ID 2 sobre la mquina virtual, en el registro de Microsoft-Windows-
RemoteDesktopServices-RdpCoreTS/Admin, que confirma que se ha conectado
correctamente sobre la mquina virtual utilizando RemoteFX. De este modo podr
aprovechar efectos 3D, Aero, etc.
Para disfrutar una mejor experiencia de usuario puede, tambin, seguir esta etapa opcional
configurando el parmetro Optimizar la experiencia visual al usar RemoteFX con una
tasa de captura de pantalla Mximo (calidad ptima) en la Configuracin del equipo -
Plantillas administrativas - Componentes de Windows - Servicios de Escritorio
remoto - Host de sesin de Escritorio remoto - Entorno de sesin remota. Tras reiniciar
el equipo para confirmar los cambios en algn equipo (y siempre que la conexin de red
tenga una buena tasa de transferencia), apreciar todava un mejor rendimiento de las
animaciones remotas.
Encontrar una gua paso a paso del despliegue de RemoteFX para un host de virtualizacin
de Escritorio remoto en la siguiente direccin:
b. RemoteFX para un host de sesin de Escritorio remoto
Los requisitos previos de instalacin de RemoteFX sobre un servidor que hospeda el rol de
host de sesin de Escritorio remoto son un poco menos exigentes que en el caso de una
infraestructura VDI.
Tendr, en efecto, que respetar las condiciones siguientes:
El procesador debe soportar SSE2 (Streaming SIMD Extensions 2).

Debe estar instalado el rol "Host de sesin de Escritorio remoto" en un servidor
Windows Server 2012 R2 o Windows Server 2012.
El cliente RDP que se utiliza para acceder a la mquina virtual debe tener, como
mnimo, la versin 7.1, estando recomendada la versin 8.0 u 8.1, para gestionar por
aplicacin la compresin/descompresin/codificacin/decodificacin de los flujos
de audio y vdeo a nivel del protocolo RDP 7.1. Estas acciones pueden, adems,
realizarse mediante un componente de hardware dedicado (ASIC) que estar
instalado del lado del cliente y del lado servidor.
Las principales etapas para implementar RemoteFX son:
Instalacin del rol "Host de sesin de Escritorio remoto" en su servidor Windows

Server 2012 R2 o Windows Server 2012.
Configuracin de la implementacin de RemoteFX en el servidor al que accede. Es
preciso, tambin, limitar el nmero mximo de colores a 32 bits por pxel, bien a
nivel de las propiedades de conexin RDP, o bien mediante una directiva de grupo
en Configuracin del equipo - Plantillas administrativas - Componentes de
Windows - Servicios de Escritorio remoto - Host de sesin de Escritorio remoto
- Entorno de sesin remota. El otro parmetro a habilitar se encuentra en el mismo
lugar y se llama Configurar RemoteFX.
Uso del cliente RDP 7.1 como mnimo, estando recomendada la versin 8.0 u 8.1.
El cliente RDP 7.1 debe estar configurado para utilizar una conexin de acceso
remoto en modo LAN y con 32 bits de colores. Se genera, a continuacin, un evento
con ID 2 sobre la mquina virtual, en el registro de Microsoft-Windows-
RemoteDesktopServices-RdpCoreTS/Admin, que confirma que se ha conectado
correctamente sobre la mquina virtual utilizando RemoteFX. De este modo podr
aprovechar efectos 3D, Aero, etc.
Para disfrutar una mejor experiencia de usuario puede, tambin, seguir esta etapa
opcional configurando el parmetro Optimizar la experiencia visual al usar
RemoteFX con una tasa de captura de pantalla Mximo (calidad ptima) en la
Configuracin del equipo - Plantillas administrativas - Componentes de Windows -
Servicios de Escritorio remoto - Host de sesin de Escritorio remoto - Entorno de
sesin remota. Tras reiniciar el equipo para confirmar los cambios en algn equipo (y
siempre que la conexin de red tenga una buena tasa de transferencia), apreciar todava un
mejor rendimiento de las animaciones remotas.
Encontrar una gua paso a paso del despliegue de RemoteFX para un host de sesin de
Escritorio remoto en la siguiente direccin:
c. RemoteFX para la redireccin de USB
Si lo desea, puede, tambin, aprovechar la redireccin de dispositivos USB para redirigir

cualquier dispositivo USB hacia su escritorio remoto, hospedado sobre una mquina virtual
en Windows 7 SP1 como mnimo. Los dispositivos compatibles son numerosos (escner,
impresora multifuncin, webcam, etc.). Si dispone, fsicamente, de una webcam conectada
a su equipo cliente, puede exportar su uso sobre la mquina virtual remota, que se accede
mediante el escritorio remoto.
Observe que la redireccin USB no funciona si RemoteFX est hospedado sobre un host de
sesin de Escritorio remoto. La redireccin slo ser efectiva si RemoteFX est instalado
sobre un host de virtualizacin de Escritorio remoto.
Puede utilizar esta funcionalidad en un equipo virtual con Windows 7 SP1, Windows 8 o
Windows 8.1 mediante una conexin de escritorio remoto, mediante un acceso Web RDS, o
incluso mediante una RemoteApp.
Las principales etapas para implementar la redireccin de puertos USB son:
Habilitar la funcionalidad de redireccin USB mediante RemoteFX en la seccin

Configuracin del equipo - Plantillas administrativas - Componentes de
Windows - Servicios de Escritorio remoto - Cliente de conexin de Escritorio
remoto - Redireccin de dispositivos USB RemoteFX. El parmetro Permitir la
redireccin RDP de otros dispositivos USB RemoteFX compatibles desde este
equipo debe estar Habilitada con los Derechos de acceso a redireccin de USB
con RemoteFX definidos para Administradores y usuarios. Reinicie, a
continuacin, el puesto en cuestin.
Configurar el cliente RDP (7.1 como mnimo) para redirigir el dispositivo deseado.
El dispositivo deber estar conectado antes de que se inicie la conexin a escritorio
remoto. En la conexin de acceso remoto (mstsc.exe) en las Opciones - Recursos
locales - Otros, marque el dispositivo USB que desea redirigir. Una vez establecida
la conexin mediante escritorio remoto, el dispositivo estar disponible sobre el
equipo remoto.
Encontrar una gua paso a paso para configurar la redireccin USB en la siguiente
direccin: http://go.microsoft.com/fwlink/?LinkId=192432
Conclusin
Ahora ya sabe cmo implementar el rol de Escritorio remoto y el conjunto de sus
componentes. Puede implementar distintos mtodos de acceso, adaptados a cada contexto
(desde la red local, Internet, hacia un servidor o VDI) sin reducir la seguridad del
sistema de informacin. Sera una pena privar a los usuarios, y por lo tanto clientes, de una
tecnologa as de rpida y eficaz.
Introduccin
Este captulo est dedicado a las distintas formas que existen para acceder a los servicios de
su empresa si se encuentra fuera de ella.
La primera parte aborda los distintos medios que permiten este acceso remoto. A
continuacin, se describen los distintos servicios que ofrece Windows Server 2012 para
responder a necesidades de movilidad cada vez ms exigentes.
Principios bsicos del acceso remoto

A da de hoy, los usuarios itinerantes son cada vez ms exigentes y requieren poder acceder
a todos sus datos en cualquier momento (correo electrnico, archivos, etc.) de la misma
forma que si se encontraran en los locales de su empresa. Para poder satisfacer estas
necesidades, tendr que configurar, seguramente, una solucin de acceso remoto.
Este acceso remoto puede realizarse a travs de dos tipos de enlace. Bien mediante un
enlace de tipo Conexiones de acceso telefnico (llamadas con frecuencia Dial-up), o viene
estableciendo una red privada virtual (VPN: Virtual Private Network).
1. Acceso telefnico
a. Generalidades sobre las conexiones telefnicas Dial-up
Utilizar una conexin de tipo Dial-up permite acceder a la red de la empresa mediante una
simple lnea telefnica, desde cualquier sitio. La contrapartida de esta facilidad de acceso es
que se trata de una tecnologa que ya es vieja y que ofrece un rendimiento muy limitado,
con una tasa de transferencia de informacin muy baja.
En la prctica, es necesario que tanto el cliente como el servidor estn dotados de un

mdem. El usuario configura una conexin de acceso telefnico bajo demanda,
especificando un simple nmero telefnico. Cuando se inicia la conexin, se requiere un
nombre de usuario y una contrasea. El servidor que gestiona el acceso remoto (tambin
llamado RAS, Remote Access Server) ser contactado a travs de la lnea telefnica, a la
que se encuentra conectado a travs del mdem.
b. Ventajas e inconvenientes de las conexiones telefnicas Dial-up
Ventajas
No se necesita una conexin a Internet: basta con una simple lnea telefnica
clsica.
Confidencialidad de los datos: la informacin no transita a travs de Internet, de
modo que los datos no son objetivo de todos los ataques propios de este medio
de comunicacin a travs de la red mundial. La seguridad es, por lo tanto mxima,
puesto que la red local no tiene por qu estar abierta al mundo exterior.
Inconvenientes
Muy poco ancho de banda. Basada en la tecnologa telefnica, las tasas de
transferencia de este tipo de conexin es bastante limitada. En efecto, la red
telefnica se ha diseado para poder reproducir la voz humana, y nada ms. Las
frecuencias que pueden transitar por este medio de transmisin son, de hecho, muy
limitadas.
Para aumentar la tasa de transferencia que encontramos (56K), existen lneas de
transmisin digitales (128K). No obstante, siguen representando una inversin
importante.
Coste elevado. Las comunicaciones telefnicas tienen un coste que no es
despreciable, recuperar un simple archivo de 10 MB supondr una inversin
considerable de tiempo necesario para descargarlo (cerca de cuarenta minutos si la
tasa de transferencia media es de 4 kB/s).
Adems, para poder proveer conexiones remotas mltiples se requieren tantas lneas
telefnicas como usuarios nmadas puedan conectarse simultneamente.
Si bien el coste es bastante elevado de esta tecnologa hace que su uso no parezca muy
atractivo, puede resultar muy til en ciertos casos concretos. Si no es, en efecto, extrao
tener problemas de conexin a Internet, es mucho menos habitual tener cortes de la lnea
telefnica. Puede resultar, de este modo, bastante interesante aprovechar este tipo de acceso
en ciertas empresas de administracin de servidores. En efecto, un administrador podr
seguir gestionando, de manera remota, sus servidores a travs de la lnea telefnica, aunque
no estn disponibles a travs de Internet.
2. Acceso mediante Internet

a. Generalidades sobre las VPN
La segunda tecnologa que permite realizar un acceso remoto utiliza la red Internet y no la
red telefnica. A diferencia de las conexiones bajo demanda que le permiten conectar
directamente con la red de la empresa, en este caso es necesario pasar "a travs" de Internet.
La tecnologa que se utiliza se denomina VPN (Virtual Private Network o Red Privada
Virtual, en castellano). Aqu, la comunicacin se establece directamente a nivel IP.
A continuacin se dan algunas explicaciones relacionadas con la terminologa Red Privada
Virtual:
La conexin es virtual en cuanto a que el equipo que establece una conexin VPN a travs
de Internet se va a comportar como si estuviera directamente conectado a la red de rea
local, como si se tratase de un cable de red directamente conectado a ella. El usuario va a
poder, de este modo, acceder a los mismos recursos que si estuviera fsicamente conectado
a la red. Esta conexin se considera, no obstante, virtual, precisamente porque no existe tal
enlace fsico Ethernet con la red de destino. Es privada en cuanto a que se trata de una
conexin punto a punto entre el origen y el destino. Los datos que se intercambian estn
cifrados. De este modo, si alguien interceptara los datos, no se podran descifrar sin conocer
la clave privada de la transaccin.
Las VPN se utilizan, a menudo, para conectar sitios remotos completos. Hablamos,
entonces, de VPN sitio a sitio. El objetivo de este tipo de conexiones es poder vincular
lgicamente redes remotas sin tener que realizar un enlace de red directo (Ethernet, Wi-Fi,
etc.).
b. Los distintos tipos de VPN que ofrece Windows Server 2012 R2
Windows Server 2012, como sus predecesores, soporta los siguientes tipos de VPN:
PPTP (Point to Point Tunneling Protocol):
PPTP es el mtodo ms sencillo para implementar y utilizar una VPN. El cifrado de

los datos interviene despus del proceso de autentificacin mediante el protocolo
PPP. Utilice, preferentemente, una autentificacin MS-CHAPv2 con una
autenticacin basada en PAP (Password Authentication Protocol) o CHAP
(Challenge Handshake Authentication Protocol) para no dejar que la contrasea
transite sin cifrar por la red.
L2TP/IPsec (Layer 2 Tunneling Protocol):
Ms seguro que PPTP, L2TP/IPsec es el resultado de un desarrollo conjunto entre

Microsoft y Cisco.
A diferencia de PPTP, el cifrado incluye la fase de identificacin puesto que la

sesin IPsec se establece justo antes.
Adems, la autenticacin mutua de las mquinas (tambin llamada handshake)

impide a cualquier mquina desconocida conectarse. Esto evita, en particular,
ataques del tipo Man-in-the-Middle, que sufren las VPN basadas en PPTP.
Preste atencin, no obstante, puesto que es necesario evitar, tericamente el NAT

antes de IPsec puesto que modifica el contenido de los paquetes. Esta modificacin
es incompatible con los mecanismos de proteccin integrados de los datos IPsec. Si
se ve obligado a utilizar L2TP sobre una red "nateada", utilice la variante NAT-T
(NAT Traversal).
Desde Windows Server 2008, el sistema tambin ofrece:
SSTP (Secure Socket Tunneling Protocol):

SSTP es una nueva forma de tnel VPN que facilita el establecimiento de una
conexin VPN mediante un firewall o un dispositivo que realiza la traduccin de las
direcciones de red (NAT).
Esto es posible gracias a la encapsulacin de paquetes PPP (Point to Point Protocol)

en HTTPS. SSTP utiliza conexiones HTTP encriptadas con SSL para establecer
conexiones con las pasarelas VPN. De este modo, es posible establecer conexiones
VPN a travs de un proxy HTTP.
Del mismo modo que con L2TP/IPsec, slo se transmite la informacin de

identificacin una vez establecida la sesin SSL con la pasarela VPN.
Tambin llamado PPP/SSL, este protocolo permite utilizar PPP y EAP para realizar
la autenticacin y hacer que la conexin sea todava ms segura.
Slo disponible con la combinacin de versiones Windows Server 2008 R2/Windows 7 o

versiones superiores, la tecnologa VPN Reconnect permite hacer una reconexin
transparente mediante un enlace VPN. En caso de que se interrumpa la conexin a Internet,
por ejemplo, el sistema se encarga de recuperar la conexin VPN sin ninguna intervencin
por parte del usuario, y en unos pocos segundos.
c. Ventajas e inconvenientes de VPN
Ventajas
Coste reducido: todas las empresas y todos los usuarios ya estn equipados, por lo
general, con una conexin a Internet. El coste de la implementacin es por lo tanto
mnimo, pues basta con aprovisionar un servidor que haga las veces de servidor
VPN. Adems, con una nica conexin a Internet es posible dar servicio a varias
conexiones remotas simultneas sin tener que adquirir una lnea suplementaria.
Ancho de banda elevado: la tecnologa VPN se apoya directamente en IP y, por
tanto, sobre una infraestructura Internet. Con la extensin de ADSL y la explosin
del ancho de banda asociado, esta tecnologa es mucho ms rpida que las
conexiones de tipo Dial-Up.
VPN Anywhere: supone una pequea analoga con la tecnologa empleada en
Exchange (RPC over HTTPS) donde se encapsula el trfico de Outlook a travs de
trfico Web seguro (HTTPS). Como se ha explicado antes, aqu es el trfico VPN el
que est encapsulado en HTTPS. La seguridad de las redes es por lo general una
prioridad, y es corriente bloquear el trfico de salida que no se corresponda con las
necesidades de la empresa. Por el contrario es raro ver el trfico HTTPS saliente
bloqueado. De este modo, gracias a SSTP, el usuario debe poder conectarse desde
cualquier red de empresa o punto de acceso a Internet.
Inconvenientes
Dependiente de la red: a diferencia de las conexiones bajo demanda, el
rendimiento de una conexin a Internet desde una de las dos partes (empresa o
usuario nmada) tienen un impacto nada despreciable en la calidad de la
transmisin. Cualquier problema en el proveedor de acceso de una u otra parte
puede provocar una incapacidad total para comunicarse.
Confidencialidad de los datos: aunque se utilizan sistemas de cifrado no queda
ms remedio que los datos transiten a travs de Internet. Esto los vuelve
potencialmente visibles para todo el mundo aunque estn cifrados.
d. DirectAccess, el "VPN-Killer"
La tecnologa DirectAccess se denomina, a menudo, "VPN-Killer" por parte de muchos

profesionales de la informtica. Este sobrenombre proviene del hecho de que a diferencia
de las VPN habituales (PPTP, L2TP, etc.), Direct Access permite establecer una conexin a
la red de la empresa antes incluso de abrir una sesin sobre la mquina cliente.
El objetivo del lado del cliente consiste en mejorar su experiencia como usuario nmada
proporcionndole condiciones de trabajo totalmente idnticas a las que disfruta en los
edificios de su empresa
Los administradores de sistemas sacarn buen partido a esta tecnologa. En adelante sern
capaces de administrar ntegramente los equipos situados fuera de la empresa: despliegue
de actualizaciones de software, actualizacin del antivirus, aplicacin de las directivas de
grupo, etc.
Por defecto, y a diferencia de las tecnologas VPN habituales, slo el trfico de destino de
la empresa pasar a travs de Direct Access, de forma que no ralentice el trfico de Internet.
Siempre es posible hacer transitar la totalidad del trfico por Direct Access, con el objetivo
de controlar de principio a fin la seguridad del acceso.
Su capacidad para gestionar la alta disponibilidad se ha visto mejorada con la llegada del
Service Pack 1 de Windows Server 2008 R2 pues incluye el soporte del direccionamiento
6to4 e ISATAP cuando se utiliza DirectAccess mediante un clster NLB (Network Load
Balancing). Si desea ms informacin acerca del clster NLB, consulte el captulo Alta
disponibilidad.
He aqu las etapas del proceso de conexin a la red gracias a DirectAccess con Windows
Server 2008/2008 R2/2012/2012 R2:
El cliente detecta si tiene conexin de red.

Intenta establecer una sesin sobre un sitio Intranet SSL para determinar si se
encuentra en el seno de la red de la empresa o en el exterior.
El cliente se conecta al servidor Direct Access mediante IPSec e IPv6. Si no hay
disponible una conexin IPv6 nativa (ste es generalmente el caso si el equipo
cliente est conectado a Internet), el cliente establece un tnel IPv6 sobre IPv4
mediante 6To4 o Teredo (para ms informacin acerca de Teredo dirjase a la
pgina: http://technet.microsoft.com/en-us/network/cc917486.aspx).
Si el cliente no llega a establecer la conexin a causa de un cortafuegos o de un
proxy, intentar conectarse automticamente mediante el protocolo HTTPS.
El equipo cliente y el servidor Direct Access van a autenticarse mutuamente gracias
a los certificados de equipo. Este proceso forma parte de los mecanismos IPSec.
El servidor Direct Access va a verificar en sus reglas si el equipo est autorizado (o
forma parte de un grupo autorizado) para establecer una conexin Direct Access.
El servidor Direct Access va a redirigir el trfico del equipo cliente hacia los
servidores de la Intranet sobre los que est autorizado el acceso del usuario.
Este proceso es ligeramente diferente con Windows Server 2012 puesto que ya no se utiliza
IPsec y, en lo sucesivo, la conexin externa se establece directamente mediante HTTPS. La
etapa 3 de intento de conexin IPsec e IPv6 ha desaparecido, pasando directamente de la
etapa 2 a la etapa 4.
e. Rol Web Application Proxy
Web Application Proxy (o WAP) es un nuevo servicio de rol de Acceso remoto en

Windows Server 2012 R2. El proxy de aplicacin web provee una funcionalidad de proxy
inverso para las aplicaciones web presentes en su red de empresa permitiendo, as, a los
usuarios acceder desde el exterior de la empresa y desde cualquier dispositivo mvil (de
momento se soporta IOS y Android debera llegar prximamente).
WAP requiere poseer una granja de AD FS para poder funcionar. Sin AD FS, el asistente
no puede completar las etapas de configuracin.
Es posible proveer funcionalidades simples de proxy inverso utilizando una autenticacin

de tipo Pass-Through, que tiene, tambin, la capacidad de pasar informacin de
autenticacin del cliente hacia el servidor de destino sin pre-autenticacin. Puede, tambin,
proveer una autenticacin a AD FS (Active Directory Federation Service) agregando el rol
de proxy AD FS. Observe que, incluso para el Pass-Through, el asistente exige una granja
AD FS configurada.
El objetivo de WAP es publicar aplicaciones web internas en la red de la empresa para

hacer que estn disponibles desde el exterior, poco importa el cliente utilizado (equipo
porttil, Smartphone, etc.), proveyendo una autenticacin nica (SSO) que juega, as, el rol
de portal SSL.
Se recomienda desplegar este rol en una red perimtrica (entre el firewall conectado a
Internet y el conectado a la red de la empresa). A diferencia de una publicacin web
"clsica", WAP corta el trfico entrante del cliente para iniciar una nueva sesin con la
aplicacin final. De este modo, el usuario no se comunicar, jams, directamente con la
aplicacin, sino que acceder a travs del componente WAP.
En resumen, WAP provee funcionalidades de publicacin de aplicaciones similares a
Microsoft Forefront Unified Access Gateway (UAG). No obstante, WAP interacta con
otros servidores y servicios (AD FS) para proveer un despliegue simplificado. No
reemplaza totalmente a UAG, pues slo las aplicaciones web con autenticacin Kerberos o
por notificacin pueden aprovechar una publicacin mediante WAP.
WAP puede, por ejemplo, resultar til para publicar el acceso remoto web de un servidor
Exchange (OWA) o un servidor Lync (Lync Web app). Al gestionarse la autenticacin en
AD FS, el usuario recibir un token nico y podr aprovechar el SSO (Single Sign On) para
acceder a las dos aplicaciones gracias a una nica autenticacin.
Encontrar, en el siguiente enlace, las etapas que permiten implementar una publicacin
mediante el componente WAP: http://technet.microsoft.com/en-us/library/dn383650.aspx
f. Cules son las novedades de Windows Server 2012 y Windows Server 2012 R2?
Windows Server 2012 combina la funcionalidad de Direct Access con el rol RRAS
(Remote and Routing Access Service) en un nuevo rol que permite administrar de manera
centralizada, configurar y supervisar a la vez Direct Access y los servicios de VPN. La
mayor mejora reside en las numerosas actualizaciones y mejoras de Direct Access para
prevenir bloqueos ligados al despliegue, y simplificar su gestin.
Se han aportado las siguientes mejoras con Windows Server 2012:
Coexistencia de Direct Access y RRAS: ambas herramientas pueden, en lo

sucesivo, administrarse desde la misma interfaz, a saber: la consola de
Administracin de acceso remoto.
Simplificacin del despliegue de Direct Access para estructuras de tamao
pequeo o mediano: ya no es obligatorio disponer de dos direcciones IPv6
consecutivas. Basta con tener acceso al puerto TCP 443 desde el exterior, ya no es
preciso utilizar reglas IPsec complicadas.
Desaparecen los requisitos previos de clave pblica (PKI): gracias a la
delegacin Kerberos.
Integracin nativa del soporte NAT64 y DNS64 para acceder a recursos mediante
IPV4: antes, era preciso tener una intranet compatible con IPv6; en lo sucesivo basta
con IPv4.
Soporte de DirectAccess sobre un servidor a travs de NAT.
Simplificacin de la administracin de las directivas de seguridad.
Soporte de Load Balancing: ya no es necesario un servidor UAG (Unified Access
Gateway) como era el caso con la funcionalidad Direct Access en Windows 2008
R2.
Integracin de NAP (Network Access Protection): para asegurar la seguridad
verificando el estado de la seguridad en los puestos.
Soporte multidominio.
Soporte de Windows Server en modo Core.
Soporte OTP (One-Time Password).
Supervisin de los usuarios.
Herramientas de diagnstico.
Registro de eventos e Informes.
VPN sitio a sitio en modo IKEv2 IPsec: Windows Server 2008 R2 incluye el
soporte IKEv2 en las conexiones VPN cliente. El uso de IKEv2 y de IPsec ofrece
una autenticacin y mtodos de cifrado robustos. Windows Server 2012 incluye esta
funcionalidad reforzada para conexiones VPN de tipo sitio a sitio.
En lo sucesivo, es posible virtualizar el servidor que hospeda el rol de Acceso
remoto.
Windows Server 2012 R2 aporta, por su parte las siguientes mejoras:
Pasarela VPN sitio a sitio multiteniente (Multi-Tenant Site-to-Site VPN

Gateway): con Windows Server 2012 R2, es posible desplegar pasarelas sitio a sitio
multilocalidad (multicliente) para proveer una conectividad a los sitios locales hacia
las redes virtuales dedicadas en la red principal. Una pasarela (o Gateway: GW) es
capaz de dar servicio a varios clientes que posean direcciones IP que se solapen
(overlap). Para aclarar este punto, se muestra a continuacin un esquema que
muestra el caso de un anfitrin que aloja mquinas virtuales para clientes que
utilizan la virtualizacin de redes Hyper-V. Vemos cmo una nica pasarela S2S
GW (Site To Site Gateway) es capaz de dar servicio a dos clientes distintos que
posean la misma direccin IP (en este caso 10.10.10.0/24).
El servicio Enrutamiento y acceso remoto (RRAS) GW es una nica solucin
software que puede desplegarse en la mayora de instancias de servidores RRAS
multicliente para equilibrar la carga. El siguiente enlace le indicar las etapas de la
configuracin necesaria para su implementacin:
http://blogs.technet.com/b/networking/archive/2013/10/15/multi-tenant-vpn-with-
windows-server-2012-r2.aspx
Pasarela del acceso remoto VPN multicliente: para las pequeas y medianas
estructuras, no existe la obligacin de poseer dos direcciones IPv6 pblicas
consecutivas. El acceso al puerto TCP 443 desde el exterior es suficiente. El uso de
reglas IPsec complicadas ya no es necesario.
Border Gateway Protocol (BGP): Windows Server 2012 Border Gateway
Protocol (BGP) permite un reparto dinmico y el aprendizaje de las rutas mediante
interfaces de enrutamiento sitio-a-sitio (S2S) de RRAS. Esta funcionalidad permite,
a los anfitriones (principalmente proveedores de servicios (IaaS)) desplegar BGP en
las pasarelas S2S multi-cliente. De este modo, la pasarela puede saber qu paquetes
estn dirigidos a Internet, hacia las redes locales (clientes), hacia la red virtual del
cliente en el anfitrin y, de este modo, determinar los itinerarios de manera
consecuente. Las pasarelas RRAS con BGP habilitado puede, a su vez, desplegarse
en las empresas para distribuir rutas internas a otras pasarelas de la red de la
empresa sobre tneles seguros.
Implementar un acceso seguro a travs de

Internet
En esta seccin veremos cmo configurar un servidor como servidor de acceso remoto. En
primer lugar se describen los mtodos para configurar los distintos tipos de VPN ofrecidos
por Windows Server 2012 (PPTP, L2TP, SSTP). A continuacin se abordan los aspectos
relativos a la securizacin. No se mencionar la configuracin de un servidor RAS
mediante mdem, pues se trata de una tecnologa que apenas se utiliza.
1. Implementar un enlace VPN
Requisitos previos de hardware: el servidor debe estar integrado en el dominio

MiEmpresa.Priv y provisto de dos tarjetas de red. Una conectada a Internet y otra conectada
a una red local (LAN). La primera se encarga de aceptar las conexiones VPN entrantes y
necesita una IP fija (en nuestro caso configurada con la direccin IP 211.111.111.111/25,
preste atencin puesto que esta IP se utiliza como ejemplo, debera utilizar una IP pblica
en produccin). La segunda interfaz de red transfiere el trfico entre las conexiones VPN y
los recursos de red de la LAN.
En el caso de una VPN PPTP o L2TP es tcnicamente posible tener una nica tarjeta de
red. Esto se sale, no obstante, del marco de buenas prcticas recomendadas por Microsoft y
el rendimiento puede verse afectado.
a. Instalacin del rol Acceso remoto
La instalacin del rol se realiza desde la consola Administrador del servidor, en la

subcarpeta Roles, haciendo clic en Agregar roles.
He aqu las distintas etapas:
Abra la consola Administrador del servidor.
Haga clic en Administrar y, a continuacin, en Agregar roles y caractersticas.
En Tipo de instalacin, seleccione Instalacin basada en roles o caracte-rsticas.

En la pantalla Seleccionar servidor, haga clic en DC2012 en la lista y, a continuacin,
En la seccin Roles del servidor, marque la opcin Acceso remoto tal y como indica la
siguiente captura de pantalla:
Lea la descripcin del rol y, a continuacin, haga clic en Siguiente.
Marque la opcin DirectAccess y VPN (acceso remoto).

En el cuadro de dilogo Asistente para agregar roles y caractersticas, haga clic en
Agregar caractersticas y, a continuacin, haga clic en Siguiente.
En la pantalla Rol de servidor web (IIS), haga clic en Siguiente.
Deje las opciones por defecto de los servicios de rol marcadas y, a continuacin, haga clic
en Siguiente.
En la pantalla de confirmacin, haga clic en Instalar.

En la pantalla de Resultados, verifique que la instalacin se desarrolla correctamente y
haga clic en Cerrar.
Si bien ya no resulta til con Windows Server 2012, si lo desea puede crear un certificado
autofirmado para L2TP/IPsec o SSTP con Windows Server 2008/2008 R2: abra la consola
Administrador de Internet (IIS) y, en la parte central, haga doble clic en Certificados de
Servidor. En la seccin Acciones, haga clic en Crear un certificado autofirmado... y, a
continuacin, asgnele un nombre descriptivo.
b. Configuracin de las funcionalidades VPN
Ahora que ha instalado el rol de servidor de acceso remoto, puede configurar sus
parmetros asociados.
El procedimiento de configuracin para las tres tecnologas VPN es idntico.
En la consola Administrador del servidor, haga clic en Herramientas y, a continuacin,

seleccione Administracin de acceso remoto.
En el panel de navegacin, dentro de Configuracin, haga clic en DirectAccess y VPN.
En la seccin central, haga clic en Ejecutar el Asistente para introduccin.
Se abre el asistente de instalacin, haga clic en Implementar solo VPN.

En la parte izquierda, haga clic con el botn derecho sobre su servidor y, a continuacin,
seleccione Configurar y habilitar Enrutamiento y acceso remoto como se indica a
continuacin:
Seleccione Acceso remoto (acceso telefnico o red privada virtual) y haga clic en
Siguiente.
Marque la opcin VPN y haga clic en Siguiente.
Seleccione su interfaz pblica (aqu, de cara a simplificar, se han renombrado las

conexiones en funcin de su uso: se trata, por tanto, de la tarjeta WAN).
En la pantalla Asignacin de direcciones IP, seleccione Automticamente si dispone de

un servidor DHCP. En caso contrario, seleccione De un intervalo de direcciones
especificado.
Si desea que el servidor VPN asigne las direcciones, le aparece la siguiente pantalla:
Haga clic en Nuevo y, a continuacin, defina un rango que contenga suficientes
direcciones de red. Valide haciendo clic en Siguiente.
Preste atencin y especifique un rango que se corresponda con su red local. Sin ello, la
comunicacin no funcionar.
En la pantalla Administrar servidores de acceso remoto mltiples, si dispone de un
servidor RADIUS marque S, en caso contrario marque No.
Aqu, marcaremos No puesto que la seguridad con RADIUS se aborda ms adelante en este
captulo.
Aparece el siguiente cuadro de dilogo que le informa del uso de un agente de

retransmisin DHCP.
El componente Agente de retransmisin DHCP es un agente que transfiere los mensajes

DHCP (Dynamic Host Configuration Protocol) entre los clientes y los servidores DHCP
sobre distintas redes IP. Resulta, por lo tanto, til cuando no existe ningn servidor DHCP
en el segmento fsico de una mquina.
Haga clic en Aceptar.
En la pantalla Resumen, verifique que la informacin de la configuracin es la deseada y,

a continuacin, haga clic en Finalizar. A continuacin, haga clic en Aceptar.
Una vez terminado este asistente, Windows Server 2012 crea automticamente 128 puertos
para cada una de las tres tecnologas de VPN que conoce .Cada conexin requiere un puerto
nico. Para obtener una mayor seguridad, conviene deshabilitar los puertos intiles.
Una vez configurado para aceptar conexiones VPN entrantes, Windows Server 2012
bloquea automticamente todo el trfico entrante sobre la interfaz pblica que no se
corresponde con el trfico VPN.
Para modificar los paquetes autorizados (por ejemplo: para poder tomar el control sobre el
servidor por escritorio remoto):
Desde la consola Administrador del servidor, haga clic en Herramientas y, a

continuacin, en Enrutamiento y acceso remoto.
Despliegue la arborescencia Nombre de su servidor - IPv4 (o IPv6 segn su

configuracin) - General.
Haga clic con el botn derecho sobre su interfaz pblica y, a continuacin, seleccione
Propiedades.
Haga clic en Filtros entrantes....
Slo falta autorizar el trfico deseado (puerto 3389 TCP por ejemplo para el escritorio
remoto).
2. Administracin de la seguridad de los accesos
Ahora que sabe cmo configurar Windows Server 2012 R2 como servidor de acceso
remoto, sin duda querr controlar la forma en la que se conectan los usuarios. Cuentas de
usuario, franjas horarias, grupos y muchos otros parmetros son configurables.
En las versiones anteriores a Windows Server 2008, estos parmetros se administraban a

travs de la consola Directivas del acceso remoto. Desde Windows Server 2008, debe
utilizar la consola Servidor de directivas de redes (Network Policy Server). Esta consola
le permite administrar la seguridad de los accesos a su red de forma centralizada.
Con Windows Server 2012 y Windows Server 2012 R2, el rol de servidor NPS (Network
Policy Server) se instala automticamente cuando se agrega el rol de acceso remoto, a
diferencia de lo que ocurra en las versiones anteriores de Windows Server.
Para modificar una directiva existente:

en Servidor de directivas de redes (Network Policy Server).
Despliegue el nodo Directivas - Directivas de red.

Encontrar dos directivas por defecto con valores mximos para la columna Orden de
procesamiento. Debe prestar atencin a este orden. En efecto, las directivas de red se
procesan en orden creciente. El servidor va a recorrer las directivas partiendo del menor
valor de prioridad. Si encuentra una que corresponde con criterios de peticin de conexin,
autoriza o no el trfico. De este modo, si una directiva est configurada para rechazar el
acceso, tras la verificacin de las directivas el acceso estar automticamente bloqueado
incluso si hay otra directiva ms tarde que lo autoriza.
Lo ms prctico es que cree sus propias directivas de acceso a la red para controlar bien su
contenido. He aqu el procedimiento a seguir para crear una directiva que autoriza al grupo
Comerciales a conectarse a la red entre semana de 9h a 18h:
En la consola Servidor de directivas de redes (Network Policy Server), vaya a

Directivas de red.
Haga clic con el botn derecho en la carpeta Directivas de red y, a continuacin, haga clic
en Nuevo. Especifique un nombre para su directiva. Preste atencin a elegir nombres
explcitos, de este modo si sus directivas se multiplican ganar en claridad.
La lista desplegable Tipo de servidor de acceso a la red se refiere a la tecnologa NAP
(Network Access Protection) que se ha abordado en el captulo Implementar los servicios
de red de la empresa. Aqu, slo se administra la seguridad de acceso al servidor VPN, y
dejaremos la opcin como No especificado.
Aparece, a continuacin, una pgina que le permite definir las condiciones. Haga clic en
Agregar.
A continuacin tiene la posibilidad de elegir entre una gran variedad de criterios agrupados
en siete categoras diferentes:
Grupo (grupo de equipos, de usuarios, etc.).

HCAP (grupos que se corresponden con servidores de acceso a la red de terceros).
Restricciones horarias (das de la semana, intervalos horarios, etc.).
Proteccin de acceso (sistema operativo, compatibilidad NAP, etc.).
Propiedades de la conexin (direccin IP del cliente, tipo de autenticacin, etc.).
Propiedades del cliente (nombre del cliente RADIUS, IP del cliente RADIUS, etc.).
Puerta de enlace (nmero de telfono del servidor Dial-Up, nombre del dispositivo
de red que transmite la solicitud).
En este libro no se abordan con detalle todas estas condiciones, teniendo en cuenta su
elevado nmero. Podr no obstante encontrar ms detalle en la TechNet de Microsoft en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc731220.aspx
Las condiciones son acumulables, puede por ejemplo autorizar a un nico grupo de
usuarios y sobre una franja horaria muy precisa.
Seleccione Grupos de usuarios y, a continuacin, haga clic en Agregar.
En el cuadro de dilogo que se abre, haga clic en Agregar grupos y, a continuacin,

escriba el nombre del grupo (Comerciales, en nuestro ejemplo) y valide haciendo clic en
Aceptar.
Valide haciendo clic en Aceptar y, a continuacin, haga clic en Siguiente.
Una vez haya agregado las condiciones, tiene la posibilidad de Conceder acceso, de
Denegar acceso o incluso hacer que sean las propiedades de marcado del usuario las
que determinen el acceso (en este caso, son las propiedades definidas en la cuenta del
usuario las que se tienen en cuenta). En este ejemplo, seleccione Acceso concedido y, a
A continuacin puede elegir entre los distintos Mtodos de autenticacin.
Debe seleccionar al menos uno. Preste atencin, las opciones sin marcar en la siguiente
imagen representan autenticaciones poco seguras y no deberan estar marcadas en la
medida de lo posible.
Aqu, deje las opciones marcadas por defecto.
La pgina de restricciones permite aplicar restricciones suplementarias como la franja

horaria autorizada (en nuestro ejemplo).
Haga clic en Restricciones de da y hora y, a continuacin, marque la opcin Permitir

acceso solo en estos das y horas.
Haga clic en Editar y, a continuacin, rellene la informacin tal y como se muestra a
continuacin para autorizar los das entre semana de 9h a 18h.
Valide haciendo clic en Aceptar y, a continuacin, haga clic en Siguiente.
En esta ventana puede configurar los parmetros suplementarios para securizar la

conexin. En efecto, si la conexin responde a los criterios anteriores, a saber condiciones y
restricciones, es preciso aplicar parmetros suplementarios, que van desde la Proteccin de
acceso a redes (NAP), hasta el cifrado de la conexin, o incluso una restriccin sobre los
protocolos utilizados durante la conexin. En nuestro ejemplo, no especifique ningn
parmetro y haga clic en Siguiente.
En la ltima pgina del asistente, verifique bien la informacin y haga clic en Finalizar.
Su nueva directiva aparece con una cifra asignada automticamente para el orden de
procesamiento. A continuacin puede modificar este orden haciendo clic con el botn
derecho del ratn sobre la directiva y seleccionando una de las opciones, Aumentar o
Disminuir. Esto le permite definir su prioridad y, por consiguiente, el orden en el que se va
a verificar durante la peticin de conexin.
3. Administracin de la autenticacin RADIUS
En la seccin anterior hemos visto cmo configurar una directiva de conexin para el
acceso mediante VPN gracias a la consola NPS. Si bien es posible tcnicamente, se vuelve
rpidamente difcil de gestionar cuando tiene varios servidores de acceso a la red
(servidores VPN, accesos Wi-Fi, etc.).
Para centralizar la administracin de las reglas de acceso de la autenticacin necesita el

componente de servicio NPS (Network Policy Server). Este rol se conoca en las versiones
anteriores a Windows Server 2008 con el nombre de IAS (Internet Authentication Service).
Para centralizar la autenticacin, utilice la funcin RADIUS (Remote Authentication Dial-

In User Service) de su servidor NPS. El inters de la tecnologa RADIUS consiste en
centralizar la administracin de la seguridad de los equipos informticos que no son
Microsoft. En efecto, puede por ejemplo configurar un punto de acceso Wi-Fi para utilizar
el servidor NPS Windows Server 2012 para administrar la autenticacin.
He aqu las funciones que le ofrece el Servidor NPS en materia de seguridad:
Network Policy Server (NPS): autenticacin, autorizacin, servicios de acceso

remoto, VPN, punto de acceso Wi-Fi, puerta de enlace TS.
NPS Accounting (o registro): auditora y registro de las autenticaciones y las
peticiones de cuenta en una base de datos SQL o en un archivo local. Windows
Server 2008 R2 integra un nuevo asistente que le permite configurar fcilmente este
registro creando automticamente las bases de datos asociadas.
NPS RADIUS Proxy: permite encadenar mensajes entre los clientes RADIUS (los
servidores de acceso y los servidores RADIUS que se ocupan de la autenticacin).
NPS NAP: dirjase al captulo Implementar los servicios de red de la empresa -
Implementar la cuarentena de red.
NPS RADIUS server: gestiona la autenticacin, la autorizacin y el registro de las
peticiones de los clientes RADIUS.
NPS RADIUS client: servidor de acceso remoto que utiliza un servidor RADIUS
para realizar la autenticacin.
Los equipos cliente no son clientes RADIUS. Son los equipos a los que se conectan
(servidor VPN, punto de acceso Wi-Fi) los que lo son.
La configuracin de las directivas de acceso (horarios, usuarios, etc.) se realiza del mismo
modo que para un servidor VPN (visto anteriormente en este mismo captulo). En lo
sucesivo puede configurar su servidor NPS para que se comporte como un servidor
RADIUS o incluso como Proxy RADIUS.
Un servidor RADIUS permite realizar la autentificacin, la autenticacin y la gestin de los
clientes RADIUS. Un cliente RADIUS puede ser un servidor de acceso, tal como un
servidor de acceso remoto o un punto de acceso inalmbrico, o un proxy RADIUS.
Un proxy RADIUS asegura la distribucin de los mensajes RADIUS entre los clientes
RADIUS (servidores de acceso) y los servidores RADIUS que realizan la autenticacin de
los usuarios, su autorizacin y la gestin de cuentas durante los intentos de conexin.
Puede ser interesante utilizar un servidor proxy RADIUS en los siguientes casos:
Si quiere ofrecer una autenticacin para las cuentas que no sean miembro del
dominio del que forma parte el servidor NPS.
Si quiere ofrecer una autenticacin basada en una base de datos diferente a la de
Windows.
Si desea poder gestionar una gran cantidad de consultas de conexin. El proxy
RADIUS se comportar como un distribuidor de carga.
Si desea dotar de seguridad al acceso a su base de datos de usuarios situando un
proxy RADIUS en una DMZ.
Para que un dispositivo pueda acceder y utilizar su servidor como servidor RADIUS tendr
que haberlo autorizado previamente. Para ello, siga los siguientes pasos:
En la consola NPS, vaya a Clientes y servidores RADIUS.
Haga clic con el botn derecho del ratn en Clientes RADIUS y seleccione Nuevo.
Basta con declarar el dispositivo dndole un Nombre descriptivo y su Direccin IP.
Si fuera necesario, haga clic en la pestaa Opciones avanzadas y especifique:
El Nombre del proveedor (la lista desplegable ofrece muchos actores importantes
en el mundo informtico tales como Cisco, etc.).
Un secreto compartido que configurar tambin en el dispositivo de acceso.
Tambin puede elegir los protocolos de autenticacin y especificar si el cliente RADIUS es

compatible NAP o no.
Una vez declarado el dispositivo, puede habilitarlo o deshabilitarlo haciendo clic con el
botn derecho y marcando una opcin. Para ello, basta, en la seccin Clientes RADIUS, ir
a las propiedades del dispositivo que acaba de crear. Slo falta seleccionar entre Activado
o Desactivado.
A continuacin se muestra un ejemplo de uso de un servidor RADIUS.
Declarar su servidor como Servidor proxy RADIUS es, tambin, muy sencillo. En su
consola NPS basta con:
Navegar a Clientes y servidores RADIUS.

Hacer clic con el botn derecho en Grupos de servidores remotos RADIUS y, a
continuacin, Nuevo.
Indicar un nombre de grupo y, a continuacin, hacer clic en Agregar.
Informar el nombre o la direccin IP de un servidor RADIUS.
Especificar si el proxy RADIUS debe autenticarse mediante un secreto compartido
desde el servidor RADIUS, o incluso configurar el reparto de carga.
Agregar varios servidores RADIUS en un mismo grupo para asegurar su tolerancia
a fallos.
4. Implementacin de DirectAccess tras un Firewall
Con DirectAccess para Windows Server 2008 R2, era obligatorio poseer una direccin IP
pblica (y, por lo tanto, dos tarjetas de red: una pblica y una privada) sobre el servidor de
acceso remoto y DirectAccess no soportaba NAT. En lo sucesivo, es posible publicar un
servidor de acceso DirectAccess que posea una nica tarjeta de red y que se encuentre
detrs de un firewall.
Requisitos previos: ya ha instalado el rol Acceso remoto siguiendo el mtodo

descrito anteriormente en este captulo (VPN no se ha configurado mediante el
asistente para Administrar el acceso remoto, vase la seccin Administracin de la
seguridad de los accesos).
El dominio interno se llama MiEmpresa.Priv y el servidor DirectAccess (llamado
DC2012) est integrado en el dominio.
Dispone de un firewall cuya direccin IP interna es 172.16.0.254 y publica el puerto
TCP 443 hacia la direccin 172.16.0.1.
El servidor DirectAccess posee una interfaz privada con la direccin IP
172.16.0.1/24.
Se ha instalado un certificado de tipo Web sobre el servidor DirectAccess con un
nombre descriptivo: IP-HTTPS.
Se ha creado un grupo DA_Clientes en el dominio y la mquina cliente
DirectAccess en es miembro del mismo. Este grupo servir para definir las
mquinas autorizadas a conectarse mediante DirectAccess.
He aqu las etapas que debe seguir para instalar DirectAccess:

seleccione Administracin de acceso remoto.
En el panel de navegacin, en Configuracin, haga clic en DirectAccess y VPN.

En la parte central, haga clic en Ejecutar el Asistente para introduccin.
Haga clic en Implementar solo DirectAccess.
En la etapa Topologa de red, seleccione la opcin Tras un dispositivo perimetral (con

un solo adaptador de red).
Escriba el nombre pblico o la direccin IPv4 que utilizan los clientes para conectarse al
servidor DirectAccess.
Haga clic en Finalizar para aplicar la configuracin.
Dado que esta plataforma no dispone de una infraestructura de clave pblica (PKI) el
asistente generar automticamente un certificado autofirmado para HTTPS y habilitar el
proxy Kerberos. Tambin habilitar los protocolos de traduccin NAT64 y DNS64 en el
entorno. Preste atencin, este certificado se instalar sobre las mquinas cliente para que
DirectAccess funcione.
DirectAccess est, ahora, instalado. Basta con definir los equipos autorizados para
conectarse a este servicio.
Una vez aplicada la configuracin, haga clic en Cerrar.

En la parte central, en la seccin Paso 1 - Clientes remotos, haga clic en Editar.
Seleccione la opcin Implementar DirectAccess completo para acceso de clientes y

administracin remota y, a continuacin, haga clic en Siguiente.
Elimine el grupo Equipos del dominio (MIEMPRESA\Equipos del dominio) y agregue

el grupo DA_Clientes que ha creado en Active Directory como requisito previo a este
ejemplo.
Desmarque la opcin Habilitar DirectAccess solo para equipos mviles (en un mbito
profesional, y fuera del permetro de esta maqueta, es preferible dejar esta opcin marcada).

Escriba la direccin de correo electrnico del equipo de soporte tcnico y defina un
nombre de conexin DirectAccess.
Marque la opcin Permitir que los clientes de DirectAccess usen la resolucin local de
nombres y, a continuacin, haga clic en Finalizar.
Esta opcin permite al usuario utilizar los servidores DNS locales y, por tanto, que no todas
las consultas DNS se enven a los servidores DNS internos de la red de la empresa.
En la seccin bsica de la parte central, haga clic en Finalizar para aplicar la

configuracin.
Verifique los parmetros y haga clic en Aplicar.
Una vez aplicada la configuracin, haga clic en Cerrar.
En el panel izquierdo de la consola de administracin del acceso remoto, seleccione

Estado de las operaciones y espere a que el estado cambie a: funciona correctamente.
Slo queda probar desde un puesto cliente accediendo a un servidor Web interno o incluso
a la carpeta SYSVOL del dominio (\\miempresa.priv\sysvol).
Para verificar que se puede conectar mediante DirectAccess o, simplemente, que ha

configurado correctamente DirectAccess desde la red local, siga las etapas siguientes desde
un equipo con Windows 8:
En el rea de notificacin de Windows, haga clic en el smbolo de red .
Aparece la siguiente informacin:
Existe una gua de depuracin (disponible nicamente en ingls en el momento de escribir

estas lneas) en el sitio Web de Microsoft en la siguiente direccin:
http://technet.microsoft.com/en-us/library/ee624056(WS.10).aspx
Preste atencin, si desea trabajar con esta maqueta sobre un servidor Hyper-V, tendr que
configurar las tarjetas de red del servidor DirectAccess como tarjeta heredada (o Legacy) si
encuentra problemas de flujo.
5. Supervisin de las conexiones
Todas las soluciones de acceso remoto deben permitir saber qu usuario se conecta y qu
acciones realiza mientras est conectado. Si bien las herramientas DirectAccess de
Windows Server 2012 no permiten tener un nivel de informacin tan detallado como el que
ofrece un servidor Forefront TMG, s permiten supervisar mejor la actividad y el uso que
las versiones anteriores de Windows Server.
Windows Server 2012 incluye una nueva consola de supervisin que proporciona
informacin til acerca de los usuarios que se conectan de manera remota. La siguiente lista
presenta la informacin que puede obtenerse en esta consola (informacin que proviene, de
hecho, de los contadores de rendimiento de Windows Server).
Esta informacin est accesible desde la Consola de administracin de acceso remoto. A

continuacin, en el panel izquierdo, haciendo clic en Panel accede al siguiente informe:
Total de clientes activos: incluye a los clientes de DirectAccess y VPN. Permite

conocer cuntas conexiones simultneas estn en curso a travs de VPN o
DirectAccess.
Total de clientes de DirectAccess activos: permite conocer cuntas conexiones
simultneas estn en curso a travs de DirectAccess.
Total de clientes de VPN activos: permite conocer cuntas conexiones simultneas
estn en curso a travs de VPN.
Total de conexiones acumuladas: permite conocer el nmero de conexiones
remotas que se han realizado desde el ltimo reinicio del servidor.
Total de datos transferidos: permite conocer el volumen total de datos que han
transitado por el servidor de acceso remoto desde su ltimo reinicio.
Mximo de conexiones de cliente: permite conocer el nmero mximo de
conexiones simultneas que han tenido lugar despus del ltimo reinicio del
servidor de acceso remoto.
Tambin puede encontrar informacin individual detallada acerca de los clientes en el

men Estado de cliente remoto, siempre en la Consola de administracin de
acceso remoto.
Entre la informacin disponible, encontrar, por ejemplo:
Nombre de usuario.
Nombre de host.
Direccin del ISP.
Protocolo/Tnel.
Duracin de la conexin.
Conclusin
Acaba de ver en este captulo que, para proporcionar un acceso remoto a sus usuarios,
tendr que configurar un servidor de acceso remoto. Cuando sus usuarios se encuentren
fuera de la empresa podrn acceder a los recursos internos utilizando bien una conexin de
tipo Dial-up, una conexin VPN, o bien DirectAccess.
Windows Server 2012 R2 sabe cmo gestionar las tres soluciones. Permite, adems,
agrupar los servidores de VPN y DirectAccess sobre el mismo servidor, lo cual presentaba
problemas en ediciones anteriores de Windows Server.
Incluye toda una serie de mejoras en el servicio de enrutamiento y en el acceso remoto que
hace el despliegue de DirectAccess lo ms sencillo posible y fcil de integrar con una
solucin VPN clsica.
Windows Server 2012 R2 tambin le permite, gracias a las nuevas directivas de acceso,
definir de forma muy precisa quin se conecta, cundo y de qu manera.
Si desea centralizar la seguridad de las conexiones de sus equipos, Windows Server 2012 le
proporciona el rol de concentrador gracias a sus funciones RADIUS.
Trabajando junto a la ltima versin del OS cliente de Microsoft (Windows 8.1),

aprovechar tambin nuevas funcionalidades:
Auto-triggered (inicio automtico): permite a las aplicaciones predefinidas

conectarse automticamente a redes de empresa iniciando una conexin VPN.
Configuracin avanzada de clientes VPN en PowerShell: permite utilizar un juego
nico de comandos PowerShell para configurar las conexinoes VPN (mediante el
comando Add-VpnConnection).
Implementar un servidor Intranet/Internet

En este captulo aprender a instalar y configurar un servidor Web gracias al rol de servidor
IIS (Internet Information Services).
1. Presentacin de IIS 8
a. Presentacin general
IIS 8 (Internet Information Services) es la ltima versin del servidor Web de Microsoft. Se
incluye de forma completa con Windows Server 2012, y proporciona una plataforma segura
y fcil de administrar para albergar servicios Web y aplicaciones Web enriquecidas. Con
Windows Server 2012 R2, se proporciona la versin 8.5 de la aplicacin. IIS 8 es una
plataforma Web unificada que integra IIS, ASP.NET, PHP, servicios FTP y Windows
Communication Foundation (WCF: el modelo de programacin de WCF es una capa de
abstraccin que unifica y simplifica el mecanismo de integracin de los servicios Web,
.NET Remoting, Microsoft Transaction Server y Microsoft Message Queuing).
La compatibilidad hacia atrs de IIS 8.5 permite migrar con facilidad los sitios Web
hospedados en versiones anteriores de IIS sin encontrar problema alguno.
Como con IIS 6, IIS 7 e IIS 7.5, puede instalarse en el sistema operativo cliente (Windows
8) en su versin ligera. Windows 8 y Windows Server 2012 comparten el mismo ncleo,
por lo que es sencillo desplegar aplicaciones desde su puesto de trabajo para, a
continuacin, hospedarlas en un servidor.
Observe que Windows Server 2012 y Windows Server 2012 R2 no tienen una edicin Web,
puesto que la experiencia previa con los clientes de Microsoft indicaba que preferan
utilizar una versin estndar antes que verse limitados en trminos de funcionalidades.
IIS 8.5 puede, tambin, instalarse en la versin mnima (Core) de Windows Server 2012 R2
(Windows Server 2012 ya permita instalar IIS 8 en modo Core). Como con Windows
Server 2008 R2 y a diferencia de Windows Server 2008, Windows Server 2012 y Windows
Server 2012 R2 permiten instalar .NET Framework en modo core.
b. Arquitectura heredada
La arquitectura de IIS se ha repensado en IIS 7 para facilitar la implementacin de las

funcionalidades y tambin la extensin de las posibilidades del servidor. En IIS 6, la
estructura estaba compuesta por un nico bloque que obligaba a instalar todo para utilizar el
servidor Web. Con IIS 7 / 7.5, las funcionalidades se han desacoplado de forma que es
posible cargar los mdulos correspondientes a sus necesidades.
Estos mdulos estn desacoplados en cinco categoras para la parte Servidor Web.
Funcionalidades HTTP comunes (contenido esttico, documentos por defecto, etc.).

Desarrollo de aplicaciones (lenguajes incluidos: ASP.NET, ASP, CGI, etc.).
Integridad y diagnsticos (registro, visor de peticiones, seguimiento, etc.).
Seguridad (autenticacin bsica, autenticacin Windows, autorizacin Digest, etc.).
Rendimiento (compresin del contenido esttico o dinmico).
Para la parte de Herramientas de administracin, encontramos:
La consola de administracin de IIS.

Los scripts y herramientas de administracin de IIS.
El servicio de administracin.
La administracin de la compatibilidad con IIS 6.
El servicio FTP (File Transfer Protocol) est separado de la parte servidor Web puesto que
se trata, en lo sucesivo, de un servicio de rol aparte. Los mdulos Servidor FTP y Consola
de administracin FTP estn asociados a l.
c. Administracin
IIS 7 y 8 difieren de las versiones anteriores por la implementacin de una nueva

administracin. La nueva consola de administracin que centraliza la administracin del
conjunto de mdulos del servidor ya no es un simple mdulo. En efecto, se trata de una
consola completa que se conecta sobre el servicio de administracin
La configuracin tambin ha cambiado. En IIS 6, estaba almacenada en una metabase con

formato XML. IIS 7 / 7.5 facilitan la implementacin y sobretodo el mantenimiento de los
servidores, desagregando esta configuracin en varios archivos XML:
applicationhost.config: contiene la configuracin global (lista de sitios, pools de

aplicaciones, parmetros por defecto, etc.).
redirection.config: contiene la informacin de redireccin (utilizada por ejemplo
cuando el contenido del sitio se encuentra en otro servidor o incluso cuando parte
del sitio no debe estar disponible en caso de mantenimiento, etc.).
web.config: contiene la configuracin global ASP.NET del servidor (es posible
crear un archivo individual por cada sitio que necesite una configuracin especfica;
esto es til cuando debe especificar parmetros diferentes a los de la configuracin
global del servidor). Esto permite realizar una administracin ms precisa de los
parmetros de los sitios Web.
machine.config: contiene las propiedades requeridas por las funcionalidades del
Framework.
applicationHost.config y redirection.config se ubican en la ruta %windir%\system32\

inetsrv\config. Los archivos web.config y machine.config se encuentran en la carpeta
%windir%\Microsoft.NET\Framework\version_framework\CONFIG.
Existe una jerarqua entre los distintos archivos de configuracin. Define una herencia de
parmetros como pasara con los permisos de seguridad NTFS. Esta jerarqua comienza por
el archivo machine.config y sigue el orden siguiente: web.config (de primer nivel),
applicationHost.config y por ltimo un archivo web.config opcional situado en la ruta del
sitio o de la carpeta virtual. De este modo, se heredan las propiedades desde el archivo
machine.config hasta el ltimo archivo web.config del rbol.
El almacenamiento de la configuracin de sitios en archivos XML distintos (tambin

llamada configuracin distribuida) permite facilitar el despliegue o la copia de aplicaciones.
Podr copiar aplicaciones entre dos servidores frontales mediante un simple xcopy evitando
cualquier error debido a una replicacin o a cualquier sincronizacin.
En lo sucesivo es posible automatizar las tareas administrativas gracias, principalmente, a

PowerShell, a un nuevo proveedor WMI, a una nueva API.NET y sobre todo gracias a la
herramienta AppCMD. AppCMD.exe permite realizar la mayora de las tareas
administrativas con ayuda de una sintaxis muy simple.
La administracin tambin puede delegarse. Puede especificar cuales son las

funcionalidades que los usuarios no administradores deben gestionar. Esto permite por
ejemplo configurar los parmetros ASP.NET de un sitio sin tener que usar privilegios de
administrador.
d. Novedades aportadas por IIS 8 en Windows Server 2012
Como hemos visto antes, Windows Server 2012 y Windows Server 2012 R2 proporcionan,
respectivamente, las versiones 8 y 8.5 de IIS. Esta versin aporta un nmero de mejoras
esperadas respecto a la versin anterior, pero tambin algunas novedades.
Evolucin de la configuracin: los archivos de configuracin de IIS voluminosos

pueden, en lo sucesivo, gestionarse fcilmente. Se han aportado un gran nmero de
mejoras para optimizar el rendimiento de los servidores y las granjas de servidores
que hospedan una gran cantidad de sitios.
Evolucin SSL: en las versiones anteriores de IIS, soportar un gran nmero de
sitios web seguros mediante un certificado requera una direccin IP para cada sitio.
Adems, cuanto mayor era el nmero de sitios, ms memoria se necesitaba. Antes,
tras la primera visita, todos los certificados quedaban cargados. En lo sucesivo, los
certificados se cargan nicamente cuando se accede al sitio y, a continuacin, se
eliminan de la memoria tras un periodo de inactividad.
Centralizacin de certificados: provee un almacenamiento nico para los
certificados SSL de una granja y simplifica la gestin de enlaces SSL.
Server Name Indication (SNI): el nombre de dominio virtual se incluye, en
adelante, en la negociacin SSL de forma que ya no es necesario disponer de una
pareja direccin IP - puerto 443 para hospedar un sitio SSL y tener que dedicar una
direccin IP para dotar de seguridad a un sitio.
Restriccin de direcciones IP dinmicas: esta funcionalidad que permite bloquear
el acceso a los sitios desde ciertas direcciones IP ya exista en IIS 7 y las versiones
anteriores, aunque obligaba a los administradores a introducirlas de forma manual.
Con IIS 8, es posible bloquear estas direcciones IP en funcin de un nmero
mximo de consultas. En adelante, es posible configurar el servidor de modo que
bloquee la conexin de un usuario en lugar de mostrarle una pgina de tipo 403.6:
Acceso denegado: direccin IP rechazada.
Restricciones de intentos de conexin FTP: permite configurar el nmero de
intentos fallidos de realizar una conexin FTP antes de bloquear el acceso.
Inicializacin de aplicaciones: permite a los administradores configurar pginas
temporales hasta que una aplicacin haya terminado de iniciarse y se proporcione el
acceso al "verdadero" sitio.
Compatibilidad con dispositivos NUMA (Non Uniform Memory Access): esto
permite evitar una degradacin del rendimiento con la multiplicacin de los ncleos
del procesador y cuando no se ha optimizado la pareja ncleos/RAM del servidor.
CPU Throttling: limita la CPU, la memoria y el ancho de banda que utiliza un pool
de aplicaciones en un entorno. IIS 8 incluye ocho opciones adicionales.
Soporte Mixto ASP.NET 3.5 y 4.5: IIS 8 para Windows Server 2012 permite
ejecutar aplicaciones sobre todas las versiones del .NET Framework soportadas por
La consola MMC IIS resulta obsoleta con Windows Server 2012. Se eliminar en las
sucesivas versiones de Windows Server.
e. Novedades aportadas por IIS 8.5 en Windows Server 2012 R2
Tras su aparicin, Windows Server 2012 incluye numerosas mejoras en trminos de

seguridad, mientras que Windows Server 2012 R2 se centra en la evolucin y la
supervisin con las siguientes funcionalidades:
Registro global avanzado: muchos campos pueden seleccionarse para registrarse

gracias a los campos personalizados. Puede, de este modo, crear sus propios
criterios de registro gracias a los orgenes de encabezado de la consulta, de
encabezado de la respuesta o incluso de variables de servidor (por ejemplo:
HTTP_ACCEPT ; LOGON_USER ; etc.).
Registro en el registro de eventos Windows ETW (Event Tracing for
Windows): enviar los eventos de registro hacia el registro ETW permite, al
administrador, utilizar herramientas estndar de consulta o incluso distribuir vistas
personalizadas para seguir, en tiempo real, el registro en ETW. Puede, a
continuacin, consultar los eventos en el registro Microsoft-Windows-IIS-Logging.
Activacin dinmica de sitios Web: con IIS 8.5, cuando el nmero de sitios
configurados es importante (el valor por defecto es de 100), IIS no activa ningn
sitio para no consumir recursos intilmente. Cada sitio se inicia tras la primera
consulta. Esto permite reducir, de manera significativa, la cantidad de recursos de
sistema necesarios para su funcionamiento.
Pausa de los procesos inactivos: con IIS 8.5, el administrador tiene la posibilidad
de suspender un proceso de trabajo (worker process) inactivo en lugar de detenerlo.
Un proceso de trabajo suspendido sigue vivo, paginado en disco, lo cual reduce los
recursos de sistema que consume. Cuando algn usuario acceda de nuevo al sitio, el
proceso de trabajo volver a memoria y estar, rpidamente, disponible de nuevo.
2. Instalacin del rol Servidor Web (IIS) en modo Windows Server mnimo
a. Instalacin por defecto
Para realizar una instalacin por defecto en un servidor Windows Server 2012 R2 en modo
Core, utilice el comando PowerShell siguiente:
Install-WindowsFeature Web-Server
b. Instalacin completa
Para realizar una instalacin completa de IIS 8.5 (con todas las funcionalidades) sobre un
servidor Core Windows Server 2012 R2, utilice el siguiente comando PowerShell:
Install-WindowsFeature -Name Web-Server -IncludeAllSubFeatures
Puede verificar que el rol est bien instalado utilizando el comando Get-WindowsFeature.
Si lo ejecuta ver la lista de roles de servidor disponibles. Para cada uno de ellos ver una
indicacin Installed o Available. Para los servidores de rol instalados, se representa un sub-
rbol con el estado de la instalacin de cada servicio de rol.
3. Instalacin del rol Servidor Web (IIS) en modo grfico
A continuacin se muestran las distintas etapas a seguir para instalar el rol Servidor Web
(IIS) en modo grfico:
En la consola Administrador del servidor, haga clic en Administrar - Agregar roles y

caractersticas.
Seleccione la opcin Instalacin basada en roles o caractersticas y, a continuacin,

Seleccione su servidor en la lista (aqu DC2012) y, a continuacin, haga clic en Siguiente.
Marque la opcin Servidor web (IIS) como se muestra y, a continuacin, haga clic en
Siguiente.
En el cuadro de dilogo Agregar caractersticas requeridas para Servidor Web (IIS),
haga clic en Agregar caractersticas.
En la pantalla Caractersticas, haga clic en Siguiente.
Lea la descripcin del rol de Servidor Web y, a continuacin, haga clic en Siguiente.
En el ejemplo en curso, solamente utilizar las funciones bsicas de IIS. Deje marcadas las
opciones por defecto y, a continuacin, haga clic en Siguiente.
Verifique las opciones marcadas y, a continuacin, haga clic en Instalar.
Verifique que la instalacin se ha desarrollado correctamente y, a continuacin, haga clic
en Cerrar.
Para verificar que IIS 8.5 est operativo, abra Internet Explorer y, a continuacin, en la
barra de direcciones escriba la URL: http://localhost.
Debera aparecer la ventana siguiente:

Crear un sitio Web
Ahora que ha instalado su rol de Servidor Web (IIS), veremos cmo crear nuevos sitios y
administrarlos fcilmente. En este captulo configurar un sitio para su empresa (el
contenido del sitio ser mnimo, pues el objetivo de este libro no es formarle en los
lenguajes de desarrollo Web).
1. Creacin y configuracin de un sitio
En la consola Administrador del servidor, haga clic en Herramientas - Administrador

de Internet Information Services (IIS).
Por defecto la consola de administracin de IIS se conecta al servidor local. Esto le permite
cambiar la configuracin y los parmetros del servidor.
En el panel izquierdo, haga clic en el nombre de su servidor (aqu DC2012) para mostrar la
lista de funcionalidades disponibles.
La primera vez que se conecte, se abre un asistente que le permite instalar Microsoft Web
Platform. Microsoft Web Platform Installer es una herramienta gratuita que permite instalar
componentes, aplicaciones web o gestores de contenidos de manera gratuita y con un solo
clic. Puede hacer clic en S en la maqueta aunque no vayamos a utilizar esta funcionalidad
en las siguientes etapas.
Por defecto, la pgina muestra las funcionalidades agrupadas por rea. Puede cambiar esta
representacin mediante la lista desplegable ubicada en la seccin superior del panel
central. De este modo, es posible agrupar por rea (por defecto), por Categora o incluso
sin agrupar.
He aqu las distintas etapas para crear un nuevo sitio:
Requisitos previos: debe haber creado una carpeta Empresa en la carpeta

C:\inetpub\wwwroot.
Desde la consola Administrador de Internet Information Services (IIS), haga clic con
el botn derecho del ratn sobre el nombre de su servidor y, a continuacin, seleccione la
opcin Agregar sitio Web (es posible realizar esta misma operacin desde otros lugares.
Por ejemplo, directamente desde el rbol de Sitios).
Indique los datos como se muestra a continuacin:

El nombre del sitio es meramente informativo, los espacios en blanco no suponen ningn
problema.
En este ejemplo, no informe el nombre del host y deje los parmetros del enlace por
defecto. Estos parmetros de enlace sirven para definir sobre qu puerto y/o con qu
nombre va a acceder al sitio (encontrar ms detalles en la seccin Uso de los
encabezados host de este captulo).
Una vez haya completado los campos, haga clic en Aceptar. Aparece el siguiente mensaje:
La razn por la que aparece este mensaje es porque IIS ya hospeda un sitio que utiliza el
puerto 80 en la misma direccin IP. Se trata del sitio Web por defecto. No es posible, para
una nica direccin IP y un mismo puerto, tener varios sitios Web (salvo que utilicemos
encabezados HTTP; este punto se aborda en la seccin Uso de los encabezados host de este
captulo).
Si trata de levantar el sitio Web obtendr un mensaje de error. Para confirmarlo, siga los
siguientes pasos:
Haga clic en S en la ventana que presenta la advertencia del enlace duplicado.
En el panel central, seleccione su sitio Web y, a continuacin, en el panel derecho, haga

clic en Iniciar. Aparecer el siguiente mensaje.
En este ejemplo, cambiar el puerto sobre el que escucha el sitio Web.
En el panel izquierdo, extienda el rbol Sitios para mostrar el sitio que acaba de crear y, a
continuacin, seleccinelo.
En el panel derecho, en la seccin Acciones, haga clic en Enlaces.

Seleccione el enlace HTTP y, a continuacin, haga clic en Modificar.
Escriba 8080 en el campo Puerto y, a continuacin, haga clic en Aceptar para validar. A
continuacin, haga clic en Cerrar.
Este puerto se define de forma arbitraria puesto que no est siendo utilizado por los
servidores que sirven como ejemplo. Generalmente se utiliza para servidores de tipo proxy
como puerto estndar.
En el panel de acciones, haga clic en Iniciar.
Tendr que mostrar algn documento en su sitio web. Para crearlo, abra el Bloc de notas y,
a continuacin, escriba el cdigo siguiente:
<HTML>
<head>
<Title>Sitio web de mi Empresa</Title>
</head>
<body>
He aqu mi primer sitio Web en IIS 8.5
</body>
</HTML>
Gurdelo como archivo en la ubicacin: C:\inetpub\wwwroot\Empresa\default.htm
Para comprobar su funcionamiento, abra Internet Explorer y, a continuacin, escriba la

direccin: http://localhost:8080
2. Uso de los encabezados host
Si bien es posible utilizar puertos de escucha distintos para cada sitio Web, en la
prctica esto no resulta una solucin viable cuando varios sitios Web estn hospedados
sobre el mismo servidor. Este problema se presenta, en particular, para los sitios Web
pblicos. Los internautas no saben en qu puerto est configurado el servicio de su sitio
Web y, por lo tanto, no es factible demandarles que indiquen el puerto concreto al que
quieren conectarse para acceder a un sitio Web en Internet.
Una de las soluciones que permiten resolver este problema de puertos consiste en
configurar varias direcciones IP sobre su servidor Web. Cada IP se asocia, a continuacin,
con un sitio nico. Si bien esta solucin puede sacarnos del apuro en un uso interno, se
convierte en una solucin muy costosa para un uso pblico (las direcciones IP fijas en
Internet representan una inversin y se proporcionan de forma limitada).
Para poder administrar de forma ptima la ubicacin de varios sitios Web, tendr que
utilizar los encabezados host. Estos encabezados permiten utilizar varios nombres de host
para una nica direccin IP. IIS escuchar las solicitudes entrantes y revisar la
informacin enviada por el navegador. En funcin del nombre de host recibido, redirigir la
consulta del navegador hacia el sitio Web correspondiente.
En el siguiente ejemplo va a configurar el sitio creado en la etapa anterior para que escuche
en la direccin www.miempresa.es.
Requisitos previos: disponer de un servidor DNS funcional que hospede la zona

MiEmpresa.es. En esta zona debe existir un registro de tipo A llamado www que apunte a
la direccin IP 172.16.0.1 (direccin IP de su servidor Web).
Consulte el captulo Implementar los servicios de red de la empresa - Implementar los

sistemas de resolucin de nombres para obtener ms informacin acerca de la
configuracin DNS.

Despliegue el rbol Sitios para mostrar el sitio creado en la etapa anterior de este captulo
(sitio Web de mi empresa).
Seleccione su sitio y, a continuacin, en el panel derecho, haga clic en Enlaces.
En la ventana Enlaces de sitios, haga clic en Agregar.
Complete la informacin de los campos tal y como se muestra a continuacin:
Valide haciendo clic en Aceptar y, a continuacin, en Cerrar.

Tambin puede modificar el enlace existente para especificar estos parmetros. No
obstante, gracias a este ejemplo, comprobar que es posible asociar puertos distintos a un
mismo sitio incluso con nombres de host distintos.
Pruebe, a continuacin, la modificacin abriendo Internet Explorer y escribiendo la

direccin http://www.miempresa.es en la barra de direcciones.
Cada nombre de host que quiera utilizar en IIS debe existir. En un sitio Intranet, basta con
agregar registros en su zona DNS de dominio. Para un uso pblico, tendr que gestionar la
zona DNS pblica. O bien tiene acceso a una interfaz de administracin que se lo permite, o
bien solicita al administrador de su zona DNS crear los registros de acuerdo a las reglas.
3. Implementar una DMZ
Una DMZ (Demilitarized Zone) o Zona desmilitarizada es una zona de la red en la que los
usuarios de Internet pueden acceder a los servidores sin poner en peligro la seguridad de su
red local. El objetivo de esta zona es limitar la superficie de exposicin de sus redes.
Organizando los servidores de modo que aquellos que albergan aplicaciones pblicas estn
en la red perimtrica, no permitir el acceso a su red local desde Internet. De este modo,
reforzar la seguridad de su red local impidiendo la comunicacin con la misma.
Existen dos implementaciones tpicas de DMZ. La primera utiliza un firewall con tres
interfaces de red o ms (firewall multidominio).
La segunda utiliza dos firewalls. En el caso ideal, y para dotar de una mxima seguridad a
la infraestructura, es recomendable utilizar dos modelos de firewall distintos. En efecto, si
una persona malintencionada encuentra un fallo en el primero, ya tiene el trabajo
prcticamente hecho para llegar a abrir el segundo, si son idnticos.
A continuacin, slo le queda gestionar los flujos entre Internet y la DMZ, y entre la DMZ
y la LAN. En efecto, si sus servidores Web llaman a recursos de red, necesitarn un acceso
a la misma. Basta con autorizar a los servidores de la DMZ para comunicarse con la LAN
con los protocolos requeridos. A continuacin, podr restringir el acceso para mejorar la
seguridad tanto en la DMZ como en su red local.
Del lado del servidor, Windows Server 2012 configura automticamente las excepciones de
su firewall. Habiendo agregado el rol de servidor IIS, ya ha autorizado automticamente los
flujos http y HTTPS. Slo le falta gestionar los puertos abiertos en los equipos del firewall.
4. Implementacin del CPU Throttling
En un entorno multi-tenant (multicliente) es importante crear una maqueta ("sandbox" que

podramos considerar como un espacio dedicado) para cada cliente. Sin esta maqueta, un
cliente podra, de forma intencionada o no, impactar en los dems clientes de forma
negativa accediendo al contenido de los dems clientes o monopolizando recursos del
servidor como, por ejemplo, la memoria, la CPU o incluso el ancho de banda.
Desde IIS 8 para Windows Server 2012, esta maqueta se crea por pool de aplicaciones.
Ofrece, al mismo tiempo, un lmite a nivel de procesos Windows haciendo que cada cliente
se ejecute en entidades distintas y estableciendo un lmite en el uso de recursos para cada
proceso.
La funcionalidad de CPU Throttling no consiste en una reserva de recursos de CPU sino en

un lmite de uso mximo.
Para configurarlo en su sitio Web, creado en las etapas anteriores, siga los siguientes pasos:

En la seccin Conexiones, despliegue su servidor (DC2012) y, a continuacin, seleccione

Grupos de aplicaciones.
En el panel central, seleccione su pool de aplicaciones (Sitio Web de mi Empresa).
En el panel Acciones, haga clic en Configuracin avanzada....
Vaya a los parmetros de CPU:

Afinidad del procesador habilitada: permite especificar si los procesos de trabajo
que utiliza este pool de aplicaciones deben ejecutarse sobre procesos especficos.
Esta opcin permite utilizar eficazmente las cachs de los procesadores en
servidores multiprocesadores.
Lmite (1/1000 de %): indica que el uso mximo de CPU (este valor se define
como 1/1000 de un %: en resumen, para definir un uso mximo del 10 %, habr que
escribir 10000 para que tenga en cuenta el 1/1000 de 10000, o bien el valor 10) para
este pool de aplicaciones. SI hay varios procesos asociados a este pool, el lmite se
aplica a la suma total de los procesos.
Accin de lmite: indica la accin que se quiere realizar si se supera este lmite:
NoAction: no realiza ninguna accin.

KillW3wp: IIS se detendr.
Throttle: esta opcin reduce el uso de CPU al valor definido como lmite.
ThrottleUnderLoad: esta opcin reduce el uso de CPU al valor definido como
lmite aunque nicamente cuando se alcanza la carga de CPU mxima. El pool de
aplicaciones podr utilizar ms recursos siempre que el procesador est inactivo.
Ejemplo de configuracin de CPU Throttling
Escriba 30000 en el campo Lmite (1/1000 de %) para obtener un 30 % como umbral.
Seleccione el valor Throttle para la opcin Accin de lmite.
Simule una carga o utilice una herramienta como WCAT

(http://www.iis.net/downloads/community/2007/05/wcat-63-%28x64%29) para hacerlo.
Instalar un sitio FTP con aislamiento de

usuarios
Para proporcionar un espacio de almacenamiento en Internet a sus usuarios, o incluso a los
clientes para los que hospeda sitios Web, seguramente necesitar proporcionarles un acceso
FTP.
Para restringir su campo de accin y asegurar que no ven las carpetas de otras personas,
tendr que configurar el aislamiento de usuarios.
Requisitos previos: disponer de una instalacin bsica de IIS; haber creado las cuentas
usuario1 y usuario2 en Active Directory.
1. Instalacin del rol Servidor FTP

caractersticas.
Seleccione la opcin Instalacin basada en un rol o una funcionalidad y, a

Seleccione su servidor y, a continuacin, haga clic en Siguiente.
Despliegue el rbol Servidor Web (IIS).
Marque la opcin Servidor FTP y, a continuacin, haga clic en Siguiente.
En la pgina que permite seleccionar las funcionalidades, haga clic en Siguiente.
Verifique las opciones de seleccin y, a continuacin, haga clic en Instalar.
Una vez terminada la instalacin, haga clic en Cerrar.
2. Configuracin del aislamiento de usuarios
Antes de pasar a la configuracin del servicio FTP, va a crear datos que permitirn
visualizar la correcta implementacin del aislamiento de usuarios.
Abra una ventana de comandos y escriba el siguiente comando:
CACLS "C:\inetpub\ftproot" /G IUSR:R /T /E
Este comando permite dar permisos de lectura a la cuenta annima IIS sobre la carpeta
ftproot.
Cree una carpeta LocalUser en la carpeta ftproot y, en esta nueva carpeta, cree la carpeta
Public. Esta carpeta servir para almacenar el contenido que se provee a los usuarios
annimos.
Cree un archivo de texto llamado archivopublico.txt en la carpeta Public.
Cree una carpeta MIEMPRESA (nombre NetBIOS de su dominio) en la carpeta ftproot.
Preste atencin, es importante que nombre esta carpeta con el nombre de su dominio. Si
no respeta esta condicin, el aislamiento de usuarios no funcionar correctamente y sern
incapaces de encontrar su carpeta raz.
Cree las carpetas usuario1 y usuario2 en la carpeta MIEMPRESA.
Cree un archivo de texto llamado archivousuario1.txt en la carpeta usuario1 y haga lo

mismo con un archivo llamado archivousuario2.txt en la carpeta usuario2.

En el panel Conexiones, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, seleccione Agregar sitio FTP....
Rellene la informacin tal y como se describe ms abajo y, a continuacin, haga clic en

Siguiente.
Seleccione Sin SSL en la seccin SSL y, a continuacin, haga clic en Siguiente.
En este ejemplo, configurar el servidor FTP para que no exija el protocolo SSL. En la
prctica, como utiliza una cuenta de dominio, convendr dotar de seguridad a la
autenticacin. De este modo, tendr que adquirir un certificado SSL (o entregarlo mediante
una entidad emisora de certificados) y exigir SSL de forma que la informacin est cifrada
y evitar, de este modo, cualquier intercepcin de las credenciales.
Marque la opcin Annima, en la lista Autorizacin seleccione Usuarios annimos y
marque la opcin Leer.
Haga clic en Finalizar.
En la consola Administrador de Internet Information Services (IIS), en el panel

Conexiones, despliegue el rbol DC2012 - Sitios - Mi Sitio FTP.
En el panel central, haga doble clic en Autenticacin FTP.
En el panel central, haga clic con el botn derecho en Autenticacin bsica y, a

continuacin, seleccione Habilitar.
Vuelva a su sitio FTP y, a continuacin, haga doble clic en Reglas de autorizacin de

FTP en el panel central.
En la seccin Acciones, haga clic en Agregar regla de permiso....
Las reglas de autorizacin permiten autorizar o denegar el acceso a los usuarios. Es posible
precisar si un usuario tiene permisos de escritura o, simplemente, de lectura.
Seleccione Todos los usuarios y marque las opciones Leer y Escribir y, a continuacin,
valide haciendo clic en Aceptar.
Vuelva a su sitio FTP y, a continuacin, haga doble clic en Aislamiento de usuarios FTP.
Seleccione Directorio de nombres de usuario (deshabilitar los directorios virtuales

globales).
Esta opcin permite restringir el acceso de los usuarios a la carpeta fsica o virtual del FTP
que tiene el mismo nombre que su cuenta FTP. No podrn subir en la arborescencia FTP.
Las carpetas virtuales globales raz se ignoran (una carpeta virtual global sirve como acceso
directo hacia una carpeta fsica definida; esto permite dar acceso a una carpeta con un
nombre diferente o simplificando la ruta de acceso; esto permite tambin definir
autorizaciones de acceso distintas), los usuarios slo podrn acceder a las que estn
definidas explcitamente en su arborescencia.
Las otras posibilidades son:
Directorio fsico de nombres de usuario (habilitar los directorios virtuales globales):

esta opcin asla a los usuarios en la carpeta fsica que lleva el mismo nombre que su
cuenta FTP. Las carpetas virtuales globales estn accesibles en la medida en que el usuario
tenga las autorizaciones asociadas.
Directorio particular de FTP configurado en Active Directory: los usuarios estn

aislados en una carpeta base definida en las propiedades de su cuenta Active Directory.
En el panel de acciones haga clic en Aplicar.
Es momento de verificar el aislamiento de usuarios.
Abra el navegador Internet Explorer.
Escriba, en la barra de direcciones: ftp://dc2012.
Debera obtener el siguiente resultado:

Se trata del resultado esperado puesto que est habilitado el acceso annimo y no ha
especificado credenciales algunas.
Abra el explorador de Windows y escriba la direccin ftp://usuario1@dc2012 en la barra

de direcciones. A continuacin, valide.
Obtiene una ventana de identificacin, escriba el nombre de usuario usuario1 y su

contrasea asociada. A continuacin, haga clic en Iniciar sesin.
Comprobar que solamente ve el contenido de la carpeta individual de usuario1.

En este ejemplo, ha utilizado un dominio y, por tanto, creado una carpeta correspondiente
al nombre de dominio en ftproot. En el caso de que se utilice un servidor ftp autnomo,
utilice el nombre de la carpeta LocalUser para crear carpetas de usuario.
3. Configuracin de la restriccin de intentos de conexin
Una posible vulnerabilidad en un servidor consiste en un ataque del tipo "fuerza bruta" (un
ataque por fuerza bruta consiste en un mtodo utilizado para encontrar una contrasea o una
clave. Se trata de probar, una a una, todas las combinaciones posibles. Este mtodo de
bsqueda exhaustiva tiene xito en aquellas ocasiones en que la contrasea que se busca
est formada por pocos caracteres) mediante los servicios FTP. Partiendo del principio de
que las cuentas que utiliza FTP son, a menudo, cuentas de usuario fsicas del sistema
operativo resulta, tericamente, posible adivinar la cuenta de administrador una vez conoce
la versin del servidor FTP (por ejemplo: Administrador para un servidor Windows y root
para un servidor Linux).
Con IIS 8 y Windows Server 2012, Microsoft incluye la funcionalidad de dotar de

seguridad integrada con el objetivo de prevenir ataques de tipo "fuerza bruta" sobre el
servidor FTP. Observe que esta funcionalidad no se activa en el sitio FTP sino a nivel de
servidor.
Para implementarla, siga los pasos siguientes:

En el panel izquierdo, seleccione su servidor (DC2012).
En el panel de funcionalidades, seccin FTP, haga doble clic en Restricciones de intento

de inicio de sesin de FTP.
Marque la opcin Habilitar restricciones de intento de (opcin que no ha sido del todo
bien traducida al castellano).
Defina el nmero mximo de intentos de conexin fallidos as como el periodo de tiempo

entre cada intento.
Deje marcada la opcin Denegar direcciones IP basndose en el nmero de intentos

fallidos de inicio de sesin.
Haga clic en Aplicar en el panel Acciones.
Conclusin
Acaba de ver en este captulo que para administrar sitios Internet y/o Intranet debe utilizar
el rol Servidor Web (IIS).
IIS 8 e IIS 8.5 conservan la arquitectura de su predecesor, as como las mejoras que se han
aportado en trminos de seguridad y de modularidad. Aportan, no obstante, varias mejoras
dedicadas a hospedar sitios Web y a la gestin multicliente.
La seguridad sigue siendo el ncleo principal de mejora. En particular, las restricciones

dinmicas de direcciones IP as como las restricciones de intentos de conexin FTP.
Se ha evolucionado tambin la gestin de SSL y, en particular, el hecho de que el dominio

virtual forme parte, en adelante, de la negociacin SSL. La gestin centralizada de
certificados permite, en s misma, simplificar la renovacin de los certificados; el nombre
DNS de los certificados se lee y asocia directamente al sitio correspondiente gracias a su
encabezado de host. Es, tambin, posible almacenar los archivos de certificados en un
recurso compartido de archivos en la red, en lugar de hacerlo de manera local sobre cada
servidor web para simplificar la administracin de certificados.
La diferencia entre IIS 8 e IIS 8.5 se pone de manifiesto principalmente en la optimizacin
del funcionamiento, aportando importantes mejoras, principalmente en lo relativo a
proveedores de soluciones Cloud.
Introduccin
Este captulo est dedicado a la securizacin de Windows Server 2012 R2. La seguridad se
encuentra en el ncleo de este sistema operativo, cuya implantacin ms evidente es la
instalacin llamada "mnima", de ah el nombre ingls "Core" para nombrarla. En este
captulo descubrir cmo administrar esta versin tan particular y tan til en un entorno
hostil.
Principios del servidor Core

Esta seccin presenta las principales caractersticas del servidor Core, los dominios para los
que ha sido previsto su uso, as como aquellos para los que no es posible utilizarlo.
1. Restricciones ligadas a una instalacin mnima
Con la opcin de instalacin mnima, la interfaz estndar de usuario (a saber, el intrprete

de comandos grfico de servidor) no est instalado. Por ello, las tareas de gestin del
servidor se realizan mediante herramientas de interfaz de usuario remotas (RSAT),
Windows PowerShell o, si tiene lugar, de forma local por lnea de comandos (o Windows
PowerShell).
Por analoga, esta instalacin mnima sigue llamndose Core, como en Windows 2008
Server y 2008 R2 Server, por parte de los usuarios.
El inters de una instalacin Core consiste en reducir la superficie de ataque, lo cual tiene
un impacto en los roles que pueden instalarse en el servidor. La aplicacin de las
actualizaciones tambin se ha visto reducida, lo que facilita el ciclo de vida del servidor.
Desde Windows Server 2008 R2, se incluye el Framework .NET en la edicin Core, lo cual
abre nuevos usos (PowerShell, sitios IIS...).
Es posible instalar los siguientes roles en un servidor Windows Server 2012 R2:
Controlador de dominio (tpicamente un RODC).

Servicios de Certificados de Active Directory.
Servicios AD LDS (Active Directory Lightweight Directory Services).
Servidor DHCP y DNS.
Servidor de archivos (y Administrador de recursos del servidor de archivos).
Hyper-V (una de sus especialidades).
Acceso remoto.
Servicios de impresin y de digitalizacin de documentos.
Servidor Web IIS (parte de ASP.NET):
BranchCache (retransmisin).
Servidor multimedia.
Servicios WSUS (Windows Server Update Services).
2. Instalacin mnima
La instalacin Core es sucinta, lo cual se pone de manifiesto desde la instalacin! Slo se

necesitan 5 minutos, aproximadamente, desde que se inserta el DVD de instalacin hasta
que aparece el prompt de autenticacin, incluso sin haber automatizado la instalacin
En esta etapa, nada indica que se trata de una instalacin mnima. Es una vez autenticados
cuando la diferencia se hace patente.
No se trata de una captura de pantalla parcial, sino de la pantalla completa. No hemos

ocultado Explorer en ningn sitio, su archivo ejecutable est completamente ausente en el
disco duro! El objetivo consiste en reducir al mximo los componentes y recursos, para
adecuarlos en trminos de seguridad y para las mquinas virtuales.
Desde el punto de vista de la seguridad, cuantos menos elementos instalados, ejecutndose
o accesibles haya, mayor ser el nivel de seguridad. Por ejemplo, y puesto que no es posible
disponer de Explorer.exe, cualquier fallo de seguridad que afecte a este componente no
tendr el ms mnimo efecto en un servidor Core. Ms all del hecho de que el fallo no sea
explotable, no es necesario instalar cualquier hotfix que lo corrija ms adelante. Si bien ya
exista una versin Core de Windows Server 2000, se ha reducido en torno al 60% el
nmero de actualizaciones a instalar, y en torno al 40% respecto a Windows Server 2003.
El impacto del sistema operativo se ha reducido considerablemente:
Tras el arranque, con una nica sesin abierta, se utilizan 300 MB de memoria
frente a los ms de 500 MB en una instalacin completa.
Se necesitan 6,3 GB de espacio en disco, frente a los casi 11 GB para una
instalacin completa. Windows Server 2012 R2 incluye, sistemticamente, una
particin de unos 350 MB.
Observe tambin que, con Windows Server 2012 R2, Windows Defender se instala
automticamente con la versin Core.
Configurar de manera local un servidor

Core
La ausencia de consolas de administracin no incita a administrar de forma local un
servidor Core, lo cual forma parte del objetivo. Una vez se ha realizado la configuracin
mnima, basta con conectarse desde un host de remoto que posea consolas de
administracin que permitan superar estas restricciones. Esta seccin cubre la
configuracin inicial para autorizar una administracin descentralizada.
Con Windows Server 2012 R2, tambin es posible utilizar la consola Administrador del
servidor para administrar un servidor Core (habilitando winrm en el servidor Core
previamente).
En el modo Core, cuando se abre una sesin, se utiliza la lnea de comandos como interfaz,
y sta se abre de forma automtica. Para que PowerShell sea la lnea de comandos por
defecto en Windows Server 2012 R2, ejecute el siguiente comando en una ventana
PowerShell:
$RegPath = "Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon"
Set-ItemProperty -Confirm -Path $RegPath -Name Shell -Value

PowerShell.exe -noExit -Command "$psversiontable
Restart-Computer
1. Sconfig
Para simplificar la configuracin inicial de un Servidor Core, a partir de Windows Server

2008 R2 se incluye una nueva herramienta: sconfig. Esta consola permite configurar los
siguientes elementos desde su men interactivo:
Unirse a un dominio o grupo de trabajo.

Cambiar el nombre del equipo.
Agregar un administrador local.
Configurar la administracin remota.
Conectarse a Windows Update.
Definir la configuracin de red.
Configurar la fecha y hora.
Abrir esta herramienta es tan sencillo como escribir su nombre en una ventana de
comandos: sconfig.
Habr comprendido, si tiene la suerte de poseer Windows Server 2012 R2, que no ser
necesario realizar la mayor parte de las configuraciones que siguen. No obstante, siempre
es interesante conocer los distintos mtodos que se ofrecen.
2. Configurar la fecha y la hora
Ciertas acciones, evidentes sobre un servidor clsico, pueden resultar desconcertantes en

esta versin depurada. Una de las primeras a realizar sobre un servidor consiste en
configurar la fecha y la hora. Incluso si se va a unir a un dominio, debe tener, por defecto,
un desfase menor a 5 minutos respecto a la fecha y hora del dominio para que Kerberos
funcione correctamente y permita su unin al dominio.
Existen varias soluciones (los comandos time y date siguen existiendo), aunque a
continuacin se presenta cmo abrir la interfaz grfica en un servidor Core:
Desde una lnea de comandos, ejecute controltimedate.cpl:
3. Parmetros regionales
Si desea modificar los parmetros regionales, puede utilizar el comando control intl.cpl.
4. Resolucin de pantalla
Para cambiar la resolucin de la pantalla ya no es preciso, como en la versin anterior,

utilizar la base de registro. Microsoft ha incorporado el comando Set-DisplayResolution.
Utilice, por tanto, el siguiente comando:
Set-DisplayResolution [-Width] <valorEnPixels> [-Height]

<valorEnPixels>
5. Salvapantallas
Tambin es posible modificar el salvapantallas por lnea de comandos. Para ello, abra el
editor regedit desde la lnea de comandos abierta en pantalla.
Navegue, en la arborescencia, hasta la ruta: HKEY_CURRENT_USER\Control

Panel\Desktop
Existen cuatro claves que le permiten administrar el nombre del salvapantallas, el

bloqueo automtico de la sesin tras el inicio del salvapantallas y el tiempo de espera antes
de su ejecucin:
ScreenSaveActive: permite habilitar o deshabilitar el salvapantallas de forma

global. Puede tomar los valores 1 (activo) o 0 (deshabilitado).
SCRNSAVE.EXE: indica la ruta del salvapantallas que se quiere utilizar. El
parmetro por defecto es C:\Windows\system32\logon.scr. El salvapantallas
scrnsave.scr est disponible en el servidor y evita un consumo del procesador
intil, especialmente en un entorno virtual.
ScreenSaverIsSecure: permite habilitar o no el bloqueo de la sesin tras la
ejecucin del salvapantallas. Su valor por defecto es 1, que habilita esta proteccin.
ScreenSaveTimeOut: nmero de segundos antes de que se ejecute el
salvapantallas. Por defecto, el valor est fijado a 600 segundos.
Con la instalacin slo est disponible la clave ScreenSaveActive. Las otras tres se crean
manualmente como "valores cadena" (REG_SZ).
En el marco de un dominio Active Directory, estos parmetros se administran mediante las

directivas de grupo de forma centralizada.
6. Nombre del servidor
Por defecto, al servidor se le asigna un nombre de mquina aleatorio, siempre con el prefijo
WIN-.
Para conocer el nombre actual, ejecute el siguiente comando desde la lnea de

comandos: hostname
Para cambiar el nombre del servidor, ejecute el comando siguiente desde la lnea de
comandos:
netdom renamecomputer <nombredesuservidor> /NewName:DC2012
Es preciso reiniciarlo para que se tenga en cuenta el cambio:
Por lnea de comandos:

shutdown /r /t 0 /C "renombrado del servidor"
Restart-Computer
7. Administracin de controladores
Es posible administrar los controladores por lnea de comandos gracias a la herramienta

pnputil.
Puede enumerar los controladores instalados y que se estn ejecutando mediante el

comando:
Pnputil -e
Para agregar e instalar controladores suplementarios, hay que utilizar los parmetros -a y -i
y precisar la carpeta donde se encuentran:
Pnputil -a -i c:\miscontroladores\*.inf
Para obtener la lista de controladores habilitados, utilice el siguiente comando (no olvide el
espacio tras el signo =):
-sc query type= driver
8. Configuracin de red
El servidor utiliza, por defecto, un direccionamiento DHCP sobre todas las interfaces. Para
cambiar a un direccionamiento por IP esttica, tiene que utilizar el comando PowerShell
Set-NetIPAddress. Cada tarjeta de red posee un nmero atribuido que se utiliza en el
comando Get-NetIPInterface para determinar la tarjeta de red a la que se desea aplicar los
cambios. Para enumerar las tarjetas de red y ver los identificadores atribuidos por
Windows, ejecute el siguiente comando desde la lnea de comandos PowerShell:
Get-NetIPInterface
Por ejemplo, si desea configurar la tarjeta de red con un identificador 12 con un

direccionamiento por IP esttica, ejecute:
Set-NetIPAddress -InterfaceIndex 12 -IPAddress 172.16.0.1

-PrefixLength 16
Donde:
InterfaceIndex es el valor de la columna IfIndex detallada en la etapa 2 (en este

ejemplo, 12).
IPAddress es la direccin IP esttica que se quiere definir (en este ejemplo,
172.16.0.1).
PrefixLength es la longitud del prefijo (otra forma de mscara de subred) de la
direccin IP que ha definido (en este ejemplo, 16).
Para configurar la direccin 172.16.0.2 como servidor DNS primario, ejecute el siguiente
comando:
Set-DNSClientServerAddress -InterfaceIndex 12 -ServerAdresses 172.16.0.2
Debera obtener un resultado equivalente al siguiente:

Para configurar el sufijo DNS por defecto, hay que modificar la base de registro. Para ello,
ejecute desde la lnea de comandos:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "NV

Domain" /d "MiEmpresa.Priv" /f
9. Activacin de Windows
La activacin de la licencia de Windows puede administrarse por lnea de comandos. El

script slmgr.vbs se instala con Windows en la ruta %systemroot%\System32 para ello.
Recuerde que, a diferencia de las versiones anteriores de Windows, la activacin es
obligatoria, incluso con una licencia por volumen. Este script funciona, tambin, con KMS
(Key Management Service).
Para verificar el estado de activacin actual, ejecute el comando:
cscript %systemroot%\System32\slmgr.vbs /dlv

En este ejemplo, la licencia expira en 180 das. Se trata de una versin de evaluacin de
Windows no registrada.
Si simplemente quiere conocer la fecha en la que expira la licencia, ejecute el script con el
parmetro /xpr.
cscript %systemroot%\System32\slmgr.vbs/xpr
Por defecto, el servicio KMS se encuentra automticamente en su dominio Active

Directory con la consulta DNS siguiente: _vlmcs._tcp.miempresa.local.
Si existe esta entrada DNS, el servidor intentar conectase al puerto TCP 1688. Puede, de
este modo, indicar manualmente el nombre del servidor KMS con el parmetro -skms.
Para iniciar manualmente la activacin de Windows, ejecute el comando:
cscript %systemroot%\System32\slmgr.vbs /ato

10. Gestin del informe de errores
El servicio de informe de errores puede configurarse por lnea de comandos.
Para verificar la configuracin actual, ejecute el comando: serverWerOptin /query
Para activar el informe de errores simple: serverWerOptin /summary
Para activar el informe de errores detallado: serverWerOptin /detailed
Para desactivar el informe de errores: serverWerOptin /disable
11. Configurar el archivo de paginacin
El archivo de paginacin (PageFile) se gestiona, automticamente, por defecto. Para

conocer la configuracin actual, puede utilizar el comando: wmic pagefile list /format:list
Antes de configurar manualmente el PageFile, es preciso deshabilitar la administracin
automtica:
wmic computersystem where name="%computername%" set

AutomaticManagedPagefile=False
Para forzar un tamao de PageFile de 2 GB:
wmic pagefileset where name="C:\\pagefile.sys" set InitialSize=2048,

MaximumSize=2048
Es necesario reiniciar el servidor para que el cambio tenga efecto.
12. Unirse a un dominio
El comando netdom permite unirse a un dominio Active Directory existente. Ejecute, desde
la lnea de comandos:
netdom join <nombredemiservidor> /domain:<miDominioAD>

/userd:<CuentaConPermisos> /password:*
El smbolo * indica que debe solicitarse la contrasea, evitando tener que escribirla en claro
en la consola.
El mismo comando permite sacar un equipo de un dominio Active Directory: netdom

remove
Igual que con Windows Server 2008 R2 y Windows Server 2012, es posible unirse a un
dominio sin estar conectado a la red del dominio en ese preciso momento. El captulo
Despliegue de servidores y puestos de trabajo cubre con detalle esta operativa (seccin
Unirse al dominio sin red).
13. Administrar el registro de eventos
Si bien la consola Visor de eventos permite visualizar los registros de un servidor remoto,
puede gestionarlos de forma local desde el servidor Core. Es posible mostrar la lista de los
registros de eventos en la consola mediante el comando: wevtutil el
La ventana Lnea de comando, sin ser ideal para una visualizacin masiva, ni muy rpida,
puede filtrar los resultados de salida especificando el nmero de eventos que se quiere
mostrar. Por ejemplo, para mostrar nicamente los cinco ltimos eventos: wevtutil qe
System /c:5 /f:Text
Tambin es posible visualizar solamente los cinco ltimos errores agregando el parmetro
"/q:*[System[(Level=1 or Level=2)]]".
El nivel 1 se corresponde con los eventos "crticos".
El nivel 2 se corresponde con los eventos de "error".
El nivel 3 se corresponde con los eventos de "advertencia".
El nivel 4 se corresponde con los eventos de "informacin".
El siguiente comando permite guardar el registro abierto en un archivo y comenzar as un

nuevo registro:
wevtutil cl system /bu:c:\MisDocumentos\syslog.evtx
Administracin remota
1. Activacin del Escritorio remoto
Como con la versin completa de Windows Server 2012, el acceso remoto no est activado
por defecto. Puede verificar el estado de su activacin con el siguiente comando:
cscript.exe c:\windows\system32\scregedit.wsf /AR /v
Como se explica en el captulo Servicios de Escritorio remoto, la clave fDeny-

TSConnections deshabilita el control remoto cuando su valor es 1, como es el caso por
defecto. El mismo script permite cambiar la clave a cero y autorizar las conexiones:
cscript.exe c:\windows\system32\scregedit.wsf /AR 0
En este estado, slo los clientes que ejecuten al menos Windows Vista o Windows Server
2008 podrn conectarse. Para autorizar la conexin de clientes de versiones anteriores:
cscript.exe c:\windows\system32\scregedit.wsf /cs 0
La siguiente captura de pantalla muestra los comandos descritos anteriormente y permite,

mediante el comando netstat y su filtro sobre el valor 3389 (puerto TCP de los servicios de
Escritorio remoto) darse cuenta de que el servicio Escritorio remoto no estaba habilitado
antes de ejecutar estos comandos.
2. Activacin de WinRM
WinRM es la implementacin de Microsoft del protocolo WS-Management. El objetivo

consiste en poder comunicar dos sistemas del sistema de informacin, pudiendo atravesar
correctamente los firewalls. Para instalar WinRM, ejecute el siguiente comando desde la
lnea de comandos: WinRM quickconfig.
Para verificar que WinRM est activo y escuchando ejecute el comando:
winrm enumerate winrm/config/listener
Quickconfig se encarga de agregar la excepcin sobre el firewall para que el servicio est
accesible a travs de la red.
Por defecto, WinRM utiliza el protocolo HTTP. Es posible utilizar HTTPS, con la
condicin de tener instalado un certificado vlido (que no haya expirado, y que no sea auto-
firmado). Para ello, basta con especificar el transporte HTTPS: WinRM quickconfig -
transport:https
Si desea utilizar WinRM para acceder a un servidor que no est en su dominio Active
Directory, debe utilizar un certificado SSL, o bien utilizar la lista de equipos aprobados.
Esta lista est situada del lado del cliente, y puede administrarla potencialmente mediante
una directiva de grupo, facilitando as las altas y las bajas de servidores en esta lista.
Si desea administrar localmente esta lista, puede utilizar el comando siguiente para agregar
servidores:
winrm set winrm/config/client @{TrustedHosts="<miLista>"}
Ser preciso reemplazar miLista por uno o varios elementos separados por comas. Es
posible utilizar direcciones IP y nombres DNS.
Para obtener la lista actual de hosts aprobados:
winrm get winrm/config/client
Si sus servidores pertenecen a un dominio Active Directory, puede administrar WinRM

desde las directivas de grupo:
Sera una pena mostrar este protocolo sin hablar, por ejemplo, de sus capacidades. He aqu
algunas posibilidades que ofrece WinRM.
Mostrar el resultado del comando ipconfig /all de un servidor remoto:
winrs -r:NombreDelServidor ipconfig /all
Especificar una cuenta de usuario y una contrasea (la contrasea se solicita a

continuacin):
winrs -r:NombreDelServidor -u miotracuenta ipconfig /all
Ejecutar una consulta WMI:
winrm get wmicimv2/win32_service?name=W32Time -r :NombreDelServidor
WinRM est, tambin, disponible en las versiones anteriores de Windows (XP, 2003) como
componente suplementario. Puede acceder a l descargndolo de la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=8
45289ca-16cc-4c73-8934-dd46b5ed1d33
Dotar de seguridad al servidor Core

1. Administracin del firewall
Como en la versin completa, el firewall de Windows est habilitado por defecto en la

edicin mnima. Esto resulta bien visible pues el servidor no responde al comando ping,
mientras que la direccin MAC correspondiente a la IP est visible con el comando arp -a.
La gestin de las reglas de firewall puede volverse compleja, por lo que resulta til poder
administrarlas a distancia. Esto puede realizarse mediante las directivas de grupo, pero
tambin utilizando la consola adecuada de forma remota. Antes de ello, es necesario haber
autorizado la administracin de las reglas de firewall a distancia sobre el servidor,
ejecutando el siguiente comando:
netsh advfirewall set currentprofile settings remotemanagement enable
La consola Firewall de Windows con seguridad avanzada no permite seleccionar

directamente un equipo remoto. Para ello, es necesario ejecutar el administrador de consola
mmc y, a continuacin, agregar la consola Firewall de Windows con seguridad
avanzada y, a continuacin, tendr la posibilidad de seleccionar el equipo concreto.
Encontrar ms informacin acerca de la configuracin del firewall en modo grfico en el
captulo Securizar su arquitectura.
Las dems consolas mmc pueden estar autorizadas sobre el firewall para poder utilizarse de
forma remota. He aqu una lista de los elementos que se pueden visualizar con los nombres
correspondientes en las reglas:
Servicios: Administracin remota de los servicios.

Programador de tareas: Administracin remota de las tareas programadas.
Visor de eventos: Administracin remota de los visores de eventos.
Monitor de confiabilidad y rendimiento: Registro de alertas de rendimiento.
Administracin de almacenamiento y recursos compartidos: Comparticin de
archivos e impresoras.
Netsh advfirewall firewall set rule group="nombre_de_las_reglas"

new enable=yes
Para administrar IPsec de manera remota, es necesario habilitar, en primer lugar, su

administracin remota:
cscript \windows\System32\scregedit.wsf /im 1
Para que la administracin remota de volmenes funcione, es necesario iniciar,

previamente, el servicio de disco virtual: net start vds
2. Administracin automtica de las actualizaciones
La activacin o desactivacin de actualizaciones automticas puede administrarse de forma

local. Si el servidor forma parte de un dominio Active Directory, debera administrar
preferentemente esta configuracin mediante las directivas de grupo.
Para saber si estn habilitadas las actualizaciones:

cscript C:\Windows\System32\Scregedit.wsf /au /v
Para habilitar las actualizaciones:
cscript C:\Windows\System32\Scregedit.wsf /au 4
Si obtiene el siguiente mensaje de error: Scregedit.wsf(777, 3) (null): 0x80240037, elimine

la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Para deshabilitar las actualizaciones :
cscript C:\Windows\System32\Scregedit.wsf /au 1
Puede forzar la verificacin inmediata de las actualizaciones ejecutando el comando:

wuauclt /detectnow
Puede forzar la instalacin inmediata de las actualizaciones ejecutando el comando:

wuauclt /install
A pesar de estos comandos, el servicio de actualizaciones almacena la fecha y hora de la

ltima verificacin. Tambin, despus de la peticin inicial, se impone un tiempo de espera.
Para acelerar el proceso puede suprimir la clave del registro que contiene la fecha y hora de
la ltima y de la prxima verificacin:
net stop wuauserv

reg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\ Auto Update" /f
net start wuauserv
wuauclt /detectnow
Sigue existiendo un retardo de varios minutos.
Para consultar la lista de actualizaciones instaladas, utilice el comando siguiente:
wmic qfe list
3. Hacer una copia de seguridad del servidor
La instalacin Core se utiliza a menudo en un entorno hostil, de modo que es til poder
realizar al menos copias de seguridad locales del sistema. La administracin de las copias
de seguridad se realiza instalando la funcionalidad Windows Server Backup mediante
PowerShell:
Add-WindowsFeature Windows-Server-Backup
Para iniciar manualmente una copia de seguridad, es preciso utilizar el comando wbadmin.
En nuestro ejemplo, vamos a realizar una copia de seguridad del lector C:\ en la carpeta
compartida \\otroservidor\carpetascompartidas\copiasdeseguridad:
wbadmin start backup

-backuptarget :\\otroservidor\carpetascompartidas\copiasdeseguridad
-include:c: -allcritical -vssfull -quiet
Las rutas UNC pueden utilizarse directamente como destinos de la copia de seguridad. Se
crear una carpeta llamada "WindowsImageBackup". A continuacin se crear
automticamente una carpeta con el nombre del servidor. Cualquier copia de seguridad
anterior se borrar de forma automtica. La restauracin completa puede hacerse utilizando
el DVD de instalacin (opcin restauracin).
Para obtener ms informacin acerca del uso de Windows Server Backup, consulte el
captulo El ciclo de vida de su infraestructura.
Implementar un servidor Core y sus

aplicaciones asociadas
1. Instalacin de roles y caractersticas
Los comandos oclist y ocsetup presentes en Windows Server 2008/2008 R2 han dado paso,
en lo sucesivo, a los comandos PowerShell Get-WindowsFeature y Add-WindowsFeature
desde Windows Server 2012. El primero enumera los roles instalados o no, y el segundo
permite instalarlos. Para eliminar un rol o una caracterstica, ser preciso utilizar el cmdlet
PowerShell Remove-WindowsFeature.
Un ejemplo de salida por pantalla del comando Get-WindowsFeature es:
a. Roles de red
La instalacin de roles de red se limita a un simple comando. He aqu los comandos que
permiten realizar la instalacin de los distintos roles de red disponibles. Estos roles
consumen pocos recursos de sistema pero son necesarios permanentemente. Utilizar una
instalacin mnima permite dotarlos de seguridad y limitar los cortes de servicio gracias a la
reduccin del nmero de actualizaciones de seguridad a instalar.
Instalar el rol DHCP Server
Para instalar el rol DHCP Server, utilice los siguientes comandos:
Add-WindowsFeature DHCP
Para autorizar el servidor DHCP, ejecute:

Add-DhcpServerInDC -DnsName dc2012.MiEmpresa.Priv
Si el servidor se convierte, a continuacin, en controlador de dominio habr que autorizarlo

de nuevo.
Para crear un mbito sobre el servidor DHCP que incluye el rango de direcciones
172.16.0.100 a 172.16.0.250:
Add-DhcpServerv4Scope -Name "mbito de mi empresa" -StartRange

172.16.0.100 -EndRange 172.16.0.250 -SubnetMask 255.255.255.0
Para definir un rango de exclusin:
Add-DHCPServerV4ExclusionRange -ScopeId 172.16.0.0 -StartRange

172.16.0.100 -EndRange 172.16.0.120
Para proveer una direccin IP de la puerta de enlace por defecto y los servidores DNS en
los contratos DHCP:
Set-DhcpServerv4OptionDefinition -OptionId 3 -DefaultValue 172.16.0.254

Set-DhcpServerv4OptionDefinition -OptionId 6 -DefaultValue 172.16.0.1
Para proveer el sufijo DNS en el contrato DHCP:
Set-DhcpServerv4OptionDefinition -OptionId 15 -DefaultValue

MiEmpresa.Priv
Para habilitar el mbito:
Set-DhcpServerv4Scope -ScopeId 172.16.0 -Name "mbito de mi empresa"

-State Active
El comando netsh sigue existiendo, si no quiere utilizar PowerShell. Puede consultar la lista
de argumentos utilizando el comando netsh dhcp /?. A continuacin, puede obtener la
misma sintaxis para obtener ayuda sobre un argumento. Por ejemplo: para obtener ayuda
sobre la forma de agregar un mbito: netsh dhcp server add /?
Instalar el rol DNS server
Para instalar el rol DNS Server, utilice el comando siguiente:
Add-WindowsFeature DNS
Para agregar una zona DNS primaria local sobre el servidor:
Add-DnsPrimaryZone -Name MiEmpresa.Priv -Filezone MiEmpresa.Priv.dns

Es muy sencillo agregar entradas de forma manual. Por ejemplo, para declarar un segundo
servidor DNS para la zona:
Add-DnsServerResourceRecord -ZoneName MiEmpresa.Priv

-Name NombreDelServidor -A -IPV4Address 172.16.0.2
Add-DnsServerResourceRecord -ZoneName MiEmpresa.Priv -NS
-Name MiEmpresa.Priv -NameServer NombreDelServidor.MiEmpresa.Priv
La zona no acepta, por defecto, actualizaciones dinmicas. Para autorizarlas, es necesario

utilizar el comando:
Set-DnsServerPrimaryZone -Name MiEmpresa.Priv -DynamicUpdate

NonSecureAndSecure
Puede ver todas las entradas de una zona por lnea de comandos:
Get-DnsServerResourceRecord -Name MiEmpresa.Priv
Para enumerar todas las zonas declaradas en el servidor:
Get-DnsServerZone
Windows Server 2008 R2 incluye la securizacin del DNS (DNSSEC), lo que permite
verificar que la fuente es digna de confianza para la resolucin y la transferencia de zonas.
Una infraestructura de tipo PKI permitir proteger las entradas DNS.
b. El rol servidor de archivos
A diferencia de los roles de red, se proporcionan varios roles en funcin de sus necesidades.
Puede seleccionar instalar o no FRS, RFRS, DFS, SIS e incluso NFS. El captulo
Arquitectura distribuida de acceso a los recursos de este libro cubre con detalle la
administracin distribuida de recursos mediante DFS, por lo que aqu nos interesaremos por
las especificidades ligadas a la instalacin Core. Este tipo de instalacin es adecuado para
este rol, pues la disponibilidad es vital para la mayora de usuarios. Podr utilizarse una
mayor cantidad de memoria gracias al bajo perfil de consumo del sistema operativo, y la
reduccin del nmero de actualizaciones reduce los cortes del servicio.
Instalacin del servicio de comparticin de archivos con PowerShell:
Add-WindowsFeature FS-FileServer
Instalacin del servicio DFS:
Add-WindowsFeature FS-DFS-Namespace
Instalacin del servicio Replicacin DFS:

Add-WindowsFeature FS-DFS-Replication
Instalacin del servicio NFS:
Add-WindowsFeature FS-NFS-Service
Windows Server 2012 incluye el servicio FSRM (File Server Resource Manager) en su
edicin Core. Esto permite administrar el almacenamiento burocrtico (gestin de cuota,
bloqueo de archivos por extensin e informes sobre el consumo de espacio en disco) as
como tener en cuenta el control de acceso dinmico, que se aborda en el captulo Securizar
su arquitectura.
Para instalar FSRM:
Add-WindowsFeature FS-Resource-Manager
La consola Administrador de recursos del servidor de archivos debe estar instalada en el

equipo utilizado para administrar FSRM:
Import-module servermanager
Add-WindowsFeature RSAT-FSRM-Mgmt
Basta, a continuacin, con agregar las excepciones sobre el firewall para administrar de
manera remota los recursos compartidos (sobre el servidor Core en entrada y sobre el
equipo que ejecuta el administrador del servidor):
netsh advfirewall firewall set rule group="Administracin remota de

recursos
del servidor de archivos" new enable="yes"
netsh advfirewall firewall set rule group="Administracin remota
de volmenes"
new enable="yes"
c. El rol servidor de impresin
El rol de servidor de impresin se instala por lnea de comandos PowerShell:
Add-WindowsFeature Print-Services
Agregar una impresora al servidor:
Desde un equipo Windows 8 u otro Windows Server 2012 R2 que no sea la edicin Core,
abra la consola administracin de impresin. Si no se encuentra en un servidor Windows
Server 2012 R2, puede agregarla independientemente utilizando el comando:
Add-WindowsFeature RSAT-Print-Services
A continuacin, basta con administrar el rol igual que en la edicin completa.
2. Servicio de directorio (AD)
El despliegue y la configuracin de los servicios de directorio se han simplificado con

Windows Server 2012, y esta simplificacin tambin se encuentra en la edicin mnima. En
efecto, si antes era necesario proporcionar los archivos de respuesta para el despliegue, en
lo sucesivo tiene a su disposicin un conjunto de comandos PowerShell para realizar el
despliegue. Para empezar, hay que instalar el servicio de rol Active Directory (AD DS):
Add-WindowsFeature AD-Domain-Services
A continuacin, es necesario desplegar un nuevo bosque:
Install-ADDSForest -DomainName "MiEmpresa.Priv" -DomainNetBIOSName

MIEMPRESA
El rol servidor DNS se instala de manera automtica y, una vez finalizada la instalacin y la
creacin del bosque, el servidor reinicia.
La instalacin de un nuevo dominio hijo o dominio en la arborescencia se realiza mediante

Windows PowerShell:
Install-ADDSDomain -NewDomainName hijo -ParentDomainName MiEmpresa.Priv
La instalacin de un controlador de dominio suplementario (rplica) mediante Windows

PowerShell se realiza mediante el siguiente comando:
Install-ADDSDomainController -DomainName miempresa.priv
3. Ejecutar aplicaciones de 32 bits
Windows Server 2012 es un sistema operativo que existe, nicamente, en 64 bits. No

obstante, las aplicaciones de 32 bits pueden ejecutarse gracias a una emulacin (Wow64
por Windows On Windows). Siendo el objetivo principal de un servidor Core reducir la
superficie de ataque y, en particular, evitar que los virus de 32 bits puedan funcionar, se le
aconseja desactivar la emulacin WoW64 si no tiene aplicaciones que la necesiten. Para
ello, basta con eliminar el paquete ServerCore-WOW64 mediante PowerShell:
Remove-WindowsFeature Wow64-Support
Flexibilidad de la administracin con el

modo Core
La instalacin mnima es la opcin por defecto desde Windows Server 2012. Windows
Server 2012 R2 ofrece la posibilidad de modificar ambas opciones en cualquier momento
una vez realizada la instalacin. En consecuencia, puede seleccionar, inicialmente, una
opcin de instalacin completa para poder configurar el servidor mediante las herramientas
grficas y, ms adelante, pasar a una opcin de instalacin mnima. La interfaz grfica ya
no est vinculada al modo de instalacin, aunque se considera una funcionalidad completa
del sistema operativo.
Es, tambin, interesante saber que existe un modo intermedio llamado Servidor con
Interfaz bsica. Este modo se sita entre los dos anteriores por el motivo siguiente: el
intrprete grfico de comandos es, en lo sucesivo, una caracterstica. Si bien la interfaz de
administracin grfica habitual (explorador de Windows, barra de herramientas, etc.) se
elimina y nos deriva a un modo Core, s tiene, en cualquier momento, la posibilidad de
abrir herramientas de gestin grfica tales como una consola MMC.
Para cambiar a este modo intermedio puede utilizar el siguiente comando PowerShell:
Uninstall-WindowsFeature Server-Gui-Shell -Restart, o bien utilizar la consola
Administrador del servidor y eliminar la caracterstica Interfaz grfica del servidor.
1. Paso del modo GUI al modo Core
Si la idea de utilizar una lnea de comandos para instalar las funcionalidades de Windows
no le agrada, o simplemente por sus aspectos prcticos prefiere instalar inicialmente su
servidor en modo grfico, configurar los distintos servicios de rol y, a continuacin, pasar a
un modo de servidor mnimo para dotarlo de seguridad, puede pasar del modo GUI al modo
Core ejecutando el siguiente comando desde una lnea de comandos Windows PowerShell
con privilegios de administrador:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -Restart
Esta misma operacin puede realizarse desde la consola Administrador del servidor:
Haga clic en Administrar - Eliminar roles o caractersticas.
En la etapa Roles del servidor haga clic en Siguiente.
En la lista de caractersticas, desmarque Infraestructura e interfaces de usuario.

En el cuadro de dilogo, haga clic en Quitar caractersticas.
Haga clic en Eliminar para confirmar su eleccin.
Una vez realizada la modificacin, haga clic en Cerrar.
Reinicie su servidor para que se tengan en cuenta los cambios.
2. Paso del modo Core al modo GUI
En ciertas situaciones, puede necesitar utilizar las interfaces de usuario grficas que estn
disponibles en los servidores en modo grfico. Puede pasar de un servidor en instalacin
mnima a un servidor en modo grfico realizando las siguientes etapas (debe reiniciar el
equipo).
Para pasar de un servidor en modo de instalacin mnima al modo grfico cuando el

servidor se ha instalado, originalmente, en modo de instalacin mnima, los archivos
binarios correspondientes a la funcionalidad de consola grfica no estn presentes. Puede
utilizar los archivos fuentes de instalacin para realizar este cambio. Es necesario, para esta
operacin, crear un punto de montaje siguiendo los pasos que se describen a continuacin:
Cree una carpeta de montaje mediante el comando:
mkdir MountDir
Introduzca el DVD de instalacin de Windows Server 2012 (x: se corresponde con su

lector de DVD).
Las opciones de instalacin (mnima, grfica, Datacenter, Standard) poseen un ndice

asociado. Determine el ndice asociado a una imagen de servidor en modo grfico (por
ejemplo, SERVERDATACENTER, y no SERVERDATACENTERCORE) gracias al
comando.
Get-WindowsImage -ImagePath x:\sources\install.wim
Anote el nmero de ndice correspondiente a esta versin (4 en este ejemplo).
Ejecute:
Dism /mount-wim /WimFile:X:\sources\install.wim /Index:4 /MountDir:

c:\mountdir /readonly
Ejecute:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart -Source c:\mountdir\windows\winsxs
O, si prefiere utilizar Windows Update como origen, en lugar del archivo WIM, ejecute el
siguiente comando Windows PowerShell:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart
Una vez terminadas las tareas de administracin, puede volver al modo de instalacin
mnima si lo necesita (debe reiniciar el equipo) utilizando el siguiente comando Windows
PowerShell:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -restart
3. Uso de funcionalidades bajo demanda
En las versiones anteriores de Windows, cuando un rol o una caracterstica del servidor no
estaba habilitado, los archivos binarios correspondientes se conservaban en disco, lo cual
consuma un espacio de disco innecesario. En Windows Server 2012 R2, cuando
deshabilita un rol o una caracterstica, tiene la posibilidad de eliminar completamente los
archivos correspondientes, lo que se corresponde con el estado "eliminado" (removed) en el
Administrador del servidor o "deshabilitado con eliminacin de la carga" en Dism.exe.
Para eliminar completamente un rol o una caracterstica, ejecute, en Windows

PowerShell, el cmdlet Uninstall-WindowsFeature con el parmetro -Remove.
Por ejemplo, para eliminar completamente el Explorador de Windows, Internet

Explorer y los componentes relacionados, ejecute el siguiente comando Windows
PowerShell:
Uninstall-WindowsFeature Server-Gui-Shell -remove
Para reinstalar un rol o una caracterstica que haya sido completamente eliminado, debe
utilizar los archivos fuente de instalacin.
Para instalar un rol o una caracterstica habindolo eliminado completamente,

utilice el comando Install-WindowsFeature con el parmetro -Source. La opcin -
Source define una ruta de acceso a una imagen WIM y el nmero de ndice de la
imagen. Si no indica la opcin-Source, Windows utiliza Windows Update por
defecto.
Para instalar un rol o una caracterstica que se ha eliminado mediante una imagen
WIM, utilice el procedimiento y los comandos Windows PowerShell siguientes:
Get-WindowsImage -imagepath <ruta de acceso a wim>\install.wim
y, a continuacin, indique el ndice de la imagen de instalacin en modo grfico de
Install-WindowsFeature <nombre_caracterstica> -Source

wim:<ruta>:<ndice>
donde:
o nombre_caracterstica se corresponde con el nombre del rol o de la

caracterstica objeto de Get-WindowsFeature.
o ruta es la ruta de acceso al punto de montaje WIM.
o ndice es el ndice de la imagen de servidor que figura en la etapa en que ha
utilizado el comando Get-WindowsImage.
Por ejemplo, si la imagen de instalacin en modo grfico se encuentra en

D:\sources:
Install-WindowsFeature <nombre_caracterstica> -Source

wim:d:\sources\
install.wim:4
Puede, a su vez, especificar una fuente para los servidores que son miembros del
dominio mediante una directiva de grupo. Acceda a Configuracin del equipo -
Plantillas administrativas - Sistema - Especificar parmetros para desinstalar
componentes opcionales y reparar componentes.
4. Novedades aportadas a PowerShell
Ya lo conoce, a menos que no utilice las herramientas de gestin remota del servidor
(RSAT: Remote Server Administration Tools), pero puede utilizar PowerShell para
administrar su servidor de manera local. Windows PowerShell 4.0 se incluye con Windows
Server 2012 R2 y aporta un gran nmero de funcionalidades que extienden su uso,
mejorando su experiencia y permitiendo gestionar de forma mucho ms sencilla y eficaz los
entornos Windows. Entre las novedades, encontrar:
Windows PowerShell Desired State Configuration (DSC): se trata de un nuevo

sistema de gestin que permite desplegar y gestionar las configuraciones que se
aplican a los entornos. Por ejemplo, DSC permite instalar o eliminar roles y
caractersticas en los servidores, gestionar bases de registro, archivos y carpetas e
incluso grupos y usuarios locales. Encontrar ms detalles acerca de sus
caractersticas y cmo crear una configuracin en el blog technet siguiente:
http://blogs.technet.com/b/privatecloud/archive/2013/08/30/introducing-powershell-
desired-state-configuration-dsc.aspx
La directiva por defecto para ejecutar scripts est, ahora, fijada como
RemoteSigned (antes el valor por defecto era Restricted, impidiendo as la
ejecucin de scripts no firmados).
Se han aportado mejoras, tambin, a PowerShell Web Access, PowerShell Web
Services, PowerShell Workflow y PowerShell ISE. Encontrar la descripcin del
conjunto de actualizaciones en la siguiente direccin:
http://technet.microsoft.com/en-us/library/hh857339.aspx
Conclusin
Gracias a todas las etapas de configuracin seguidas anteriormente, usted dispone, ahora,
de un servidor Core completamente funcional en su entorno. Se han presentado algunos de
sus uso principales, y otros, como Hyper-V, se han descrito en el captulo Consolidar sus
servidores.
La opcin de instalacin mnima requiere menos espacio en disco, disminuye la superficie

expuesta a los atacantes y facilita considerablemente las operaciones de mantenimiento y de
reinicio del servidor. Por todos estos motivos, se recomienda escoger una instalacin
mnima siempre que no necesite utilizar los elementos de la interfaz de usuarios y las
herramientas de administracin grfica suplementarias en la opcin Servidor con una GUI
y si los roles y/o caractersticas que faltan en esta versin no le son imprescindibles.
Esta edicin se ha visto reforzada con, por ejemplo, la posibilidad de instalar SQL 2012
sobre un servidor Core: http://msdn.microsoft.com/en-us/library/hh231669.aspx
Las ventajas de esta instalacin mnima son reales, y la principal dificultad consiste en
acostumbrarse a su administracin cotidiana. Supone el Server Core el final de la divisin
entre la interfaz Windows y el shell de Unix?
Introduccin
Este captulo est dedicado a la solucin de virtualizacin de Microsoft, Hyper-V. A
diferencia de los productos anteriores de Microsoft sobre la materia, como Virtual Server,
la virtualizacin se ha pensado desde el diseo de un sistema operativo. Este verdadero
hipervisor est disponible de forma gratuita (sin compra de licencia Windows Server 2012
R2) con el nombre Microsoft Hyper-V Server 2012 R2 y puede descargarse del sitio de
Microsoft (http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx). En
este captulo, descubrir cmo rentabilizar la infraestructura existente y volverla ms
flexible de cara a los cambios.
Por qu consolidar?
La virtualizacin est cada vez ms extendida en las empresas. Aun as, no debera
implementarse como algo sistemtico. Antes de iniciar un proyecto de virtualizacin,
debera medir bien todas las consecuencias, as como las potenciales ventajas. Como ocurre
con muchas otras cosas, se recomienda pensar a lo grande pero comenzar dando pequeos
pasos.
1. Virtual frente a Fsico
En un primer enfoque, virtualizar permite superar ciertas restricciones relativas al

hardware, permitiendo obtener un mejor rendimiento. El enfoque de uso de servidores
fsicos es ms sencillo para comenzar, aunque se complica con el nmero de servidores.
Adems del mantenimiento de los sistemas operativos y sus aplicaciones es necesario
gestionar el ciclo de vida del material:
Fallos de hardware.
Actualizaciones de la BIOS, firmwares, controladores.
Ciclos de amortizacin.
En efecto, las soluciones a estos problemas son conocidas y pueden gestionarse sin
problemas en base a la metodologa de trabajo actual. No obstante, siempre existe el riesgo
de que aparezca un nuevo modelo de servidor que reemplace al anterior para el que su
imagen de instalacin de Windows no contenga el controlador adecuado. La virtualizacin
le proporciona los medios para enmascarar esta administracin y as poder dedicarse
plenamente a tareas de mayor valor aadido.
a. Optimizacin de los costes
Uno de los objetivos de la virtualizacin es la reduccin de costes en infraestructura. Para

ello, uno de los grandes ejes es la optimizacin de los recursos disponibles. La capacidad de
los servidores sigue creciendo de forma exponencial, aunque las necesidades de las
aplicaciones no siempre siguen la misma progresin. Incluso el servidor ms barato
disponible en los fabricantes de hardware tiene como mnimo un procesador con dos o
cuatro ncleos, algunos gigabytes de memoria RAM y almacenamiento SAS acorde. Si
algn servidor alberga una o incluso varias aplicaciones, seguramente no utilizar ms que
un modesto porcentaje de los recursos. La mayora de fabricantes de software siguen, por
otro lado, solicitando un servidor dedicado para asegurar el soporte para sus programas.
Como resultado se tienen salas de servidores con muchos equipos, aunque ninguno de ellos
est utilizado por encima del 10% de su capacidad. La virtualizacin permite mantener una
divisin lgica, en un sistema operativo dedicado, consolidando la infraestructura de
hardware. Esta consolidacin fsica ya tiene un impacto importante sobre los costes:
Reduccin del conjunto de los costes vinculados con la sala de servidores: elctrico,
climatizacin, cableado, alquiler del suelo...
Reduccin de costes de mantenimiento, proporcional al nmero de servidores
fsicos que se ahorren.
La virtualizacin tambin reduce los costes ligados a la inclusin de un nodo en la

infraestructura. La generacin de una mquina virtual no supone ningn coste de cableado
informtico, de puesta en rack... Este ahorro cobra todo el sentido en un entorno donde el
nmero de peticiones sea importante, como por ejemplo en entornos de desarrollo o de
pruebas. La solucin SCVMM (System Center Virtual Machine Manager) permite incluso
implementar un portal de autoservicio para la creacin de mquinas virtuales a la carta.
Un uso menos convencional consiste en utilizar la virtualizacin para mantener en

funcionamiento los sistemas obsoletos, donde el material ya no est en mantenimiento o
pueda mantenerse. La mayora de Sistemas de Informacin poseen algunos equipos
obsoletos, con aplicaciones para las que ya no existe documentacin ni fuentes. Migrarlas a
mquinas virtuales permite mantenerlas en el Sistema de Informacin evitando problemas
de hardware.
b. Lmites de la virtualizacin
No todos los equipos son buenos candidatos para la virtualizacin. La solucin Hyper-V no
soporta, por ejemplo, el conjunto de sistemas operativos Microsoft. En el momento de
escribir este libro, se soportan las versiones siguientes:
Tipo servidor:
Windows Server 2012 R2, Windows Server 2012.

Windows Server 2008 (en 32 y 64 bits) SP2, 2008 R2 SP1.
Windows 2003 SP2, 2003 R2 SP2 en 32 y 64 bits.
Windows Home Server 2011, Windows Small Business 2011.
CentOS 5.7 a 6.4.
Red Hat Enterprise Linux 5.7 a 6.4.
SUSE Linux Enterprise Server 11 SP 2 y SP3, en 32 y 64 bits.
OpenSUSE 12.1.
Ubuntu Server 12.04 LTS, 12.10, 13.04 y 13.10.
Debian 7.0
FreeBSD 8.2, 8.3 et 9.0.
Oracle Linux 6.4 (solo un kernel compatible con Red Hat).
Tipo cliente:
Windows 7, Windows 8 y Windows 8.1 en 32 y 64 bits.

Windows XP SP3, XP x64 SP2, Vista SP2.
CentOS 5.7 a 6.4.
Red Hat Enterprise Linux 5.7 a 6.4.
OpenSUSE 12.1.
Ubuntu 12.04, 12.10, 13.04 y 13.10.
Oracle Linux 6.4 (solo con un kernel compatible con Red Hat).
Como cualquier sistema operativo instalado sobre un servidor fsico, donde es necesario
instalar controladores para reconocer el hardware, los sistemas operativos instalados en las
mquinas virtuales necesitan, a su vez, controladores que les permitan reconocer el
hardware. Todo hipervisor posee controladores virtuales. Con Microsoft Hyper-V se llaman
Servicios de integracin.
En VMware ESX, son las VMware Tools.
Salvo para Windows Server 2012 R2 y Windows 8.1, todos los dems sistemas operativos
necesitan que se instalen (o actualicen) los servicios de integracin. Para sistemas
operativos como SUSE Linux, OpenSUSE, Ubuntu y Oracle Linux, no se requieren estos
servicios puesto que ya estn integrados en estos sistemas, como con Windows Server 2012
R2 y Windows 8.1. Para CentOS (distinto a 5.9 y 6.4) y Red Hat (distinto a 5.9 y 6.4),
tendr que descargar e instalar los servicios de integracin 3.4:
http://www.microsoft.com/en-us/download/details.aspx?id=34603
Encontrar en el sitio Web Windows Server Catalog la lista de dispositivos y aplicaciones

homologados para Hyper-V, en la siguiente direccin:
http://www.windowsservercatalog.com/svvp.aspx
Incluso aunque no estn oficialmente soportados, algunos otros sistemas operativos

funcionan sin problema sobre Hyper-V, tales como MS-DOS, Windows NT4, Windows
2000 Server, algunas distribuciones de Linux o incluso Sun Solaris 10, por ejemplo.
Ciertos elementos de la arquitectura no deben coexistir en la misma infraestructura, a

efectos de disponibilidad. Por ejemplo, no deberan existir dos servidores DNS o DHCP en
el mismo servidor Hyper-V. En caso contrario, si se produce un fallo en el servidor, ambos
servicios quedarn indisponibles al mismo tiempo aunque estn disponibles dos veces en la
misma red para prestar alta disponibilidad. Servicios diferentes que tengan una fuerte
actividad al mismo tiempo deberan estar situados sobre servidores Hyper-V distintos, con
el objetivo de no cargar negativamente la infraestructura virtual. Debera, por tanto, definir
reglas de afinidad y anti-afinidad. Por ltimo, las soluciones que necesiten tarjetas hardware
especiales (tarjetas digitales, acceso primario) o las soluciones que utilizan dispositivos
fsicos son difciles de migrar a un entorno virtual. Los puertos COM del servidor fsico no
estn accesibles desde las mquinas virtuales, as como el lector de disquetes.
2. Nuevas problemticas
Sera ilusorio pensar que la virtualizacin slo aporta ventajas y ningn inconveniente.
Como cualquier solucin tcnica, lo importante es dominarla para sacarle partido. Existen
dos cuestiones que precisan una atencin particular: los impactos de la consolidacin y la
copia de seguridad.
a. Entorno consolidado
La consolidacin es un eje clsico de rentabilizacin, aunque se vuelve mucho ms sensible

con la virtualizacin, pues la lleva al extremo. Parte de la base de que la mayora de
sistemas slo consumen una parte de los recursos de hardware que estn disponibles y los
consolidan para rentabilizarlos. Aun as raramente podemos predecir la carga que van a
generar los usuarios sobre el conjunto de sistemas virtuales en un momento dado. Puede
ocurrir que varias VM quieran consumir repentinamente lo mximo disponible,
perturbando as a las dems VM. El rendimiento puede convertirse rpidamente en un freno
a la virtualizacin si no est administrada correctamente.
Lo ms tpico es que los usuarios experimenten un mal rendimiento, que asocian

inmediatamente al hecho de que se trata de una mquina virtual. Se vuelven as reacios a su
uso, pensando que es la nica causa de este mal rendimiento.
Este tipo de problema puede aparecer incluso de forma insidiosa con el tiempo. Esta
lentitud en el uso tambin aparece cuando, al contrario, el resultado es bueno y el xito de
la solucin incita a instalar todava ms mquinas virtuales de las que el dimensionamiento
de la infraestructura prev.
Todo proyecto de virtualizacin debera tener un plan de capacidad, actualizado

permanentemente. Si el sistema que se quiere virtualizar ya est en uso, obtenga un registro
previo del uso de los recursos. Esto permitir predecir su impacto en la infraestructura
Hyper-V as como los recursos necesarios. Hyper-V permite limitar el consumo de cada
mquina virtual, con el objetivo de garantizar una cantidad de recursos en cada instante. La
reserva de recursos tiene el inconveniente de bloquearlos, incluso si la mquina virtual no
se utiliza. El lmite permite restringir una mquina virtual que no sea crtica, como una
mquina de pruebas, o una mquina que consuma todos los recursos disponibles, como un
servidor de procesamientos masivos.
Tambin puede asignar un peso a cada mquina virtual, permitiendo as priorizar el acceso
a los recursos disponibles que no estn reservados. Si por ejemplo dos mquinas virtuales
piden ms recursos de procesador al mismo tiempo, la que tiene un peso mayor ser
prioritaria. Puede asignar de 1 a 64 procesadores virtuales a cada mquina virtual
(dependiendo del sistema operativo hospedado), siempre que disponga de los ncleos
fsicos correspondientes. En un servidor fsico de cuatro ncleos, cada VM puede tener
como mximo cuatro procesadores lgicos. Los servidores actuales tienen por lo general al
menos dos o cuatro ncleos, lo cual resulta muy rentable en trminos de virtualizacin. Si
asigna a cada VM dos procesadores lgicos, esto permite mantener un tiempo de respuesta
correcto en una VM, incluso si un procesador lgico est consumido por completo por un
programa o un proceso. Si slo asigna un procesador lgico y un thread consume todos los
ciclos en bucle, le ser complicado incluso acceder al sistema para parar este proceso. Este
fenmeno tambin es cierto sobre una mquina fsica con un nico ncleo, pero la
virtualizacin acenta este efecto que no est presente en la mente de los usuarios que
tienen por lo general dos ncleos en sus equipos (Hyper Threading o dual core).
La prdida de un servidor fsico Hyper-V tiene consecuencias mucho ms graves que si se

trata de un servidor sin virtualizacin. En efecto, este tipo de servidores alberga
potencialmente varias VM (una decena, quizs?), y quedarn todas ellas indisponibles al
mismo tiempo. Es preciso prepararse para este escenario, para poder tomar las decisiones
correctas, como el orden en el que se va a volver a poner en servicio estas VM. Se
recomienda desplegar al menos dos servidores Hyper-V, con el objetivo de tener un plan de
recuperacin rpido en caso de que ocurra un fallo grave en uno de los dos servidores.
b. Copia de seguridad
La copia de seguridad de una infraestructura virtual es una cuestin que merece una
atencin particular. Existen varias implementaciones posibles, y debera encontrar la que le
aporte mayor flexibilidad, limitando las restricciones y los costes asociados. Su objetivo
debera ser poder responder a sus necesidades de una forma lo ms adaptada posible al
contexto, respetando los compromisos de servicio con sus clientes.
Existen tres grandes ejes de copia de seguridad:
Considerar las mquinas virtuales como si se tratara de servidores estndar,

instalando el agente de copia de seguridad tradicional en cada mquina virtual..
Implementar una copia de seguridad utilizando las posibilidades ofrecidas por la
infraestructura virtual.
Realizar una copia de seguridad de los discos virtuales de las VM en fro, es decir
con las VM paradas.
La primera solucin tiene la ventaja de ser muy clsica, aunque tambin es seguramente la
ms costosa, pues no aporta ningn ahorro ligado a la virtualizacin. Ciertos fabricantes de
software de copia de seguridad proporcionan no obstante un precio por agente inferior
cuando se trata de mquinas virtuales.
Nos ceiremos a las soluciones de copia de seguridad que tengan en cuenta las
funcionalidades ofrecidas por la virtualizacin. Una mquina virtual puede tener varios
estados:
Encendida o Apagada.
En pausa.
Con uno o varios puntos de control (antes llamados "instantneas").
Los puntos de control (antes llamados "instantneas") permiten tomar una "foto" de la VM
en un momento dado. Para ello, Hyper-V crea un nuevo disco virtual (*.avhd) que
contendr todas las diferencias generadas tras este punto de control. Esto no constituye en
s mismo un mecanismo de copia de seguridad. El archivo maestro es indispensable para su
funcionamiento, y no puede estar fuera de la VM. Esta funcionalidad no est disponible
para los discos fsicos ligados directamente a la VM (pass-through). Para ciertos roles,
como el controlador de dominio, esta funcionalidad no est soportada por Microsoft. En
cambio, esta funcionalidad es un verdadero "must" para realizar el mantenimiento, pues
permite instalar una nueva aplicacin o las actualizaciones del sistema y poder hacer la
marcha atrs si algo no funciona. Si todo funciona correctamente, slo tendr que eliminar
el punto de control, que se fusionar automticamente con el archivo .VHD o .VHDX de su
mquina virtual. El nmero mximo de puntos de control es de 50 por mquina virtual.
Las copias de seguridad en fro son la solucin ms sencilla, aunque implican un periodo de
parada que no siempre es posible. Un reinicio del sistema operativo puede generar prdidas
de rendimiento si se utiliza una cach en memoria (SQL Server...).
Es posible que su solucin de copia de seguridad proporcione un agente para Hyper-V. Este
mecanismo utiliza la tecnologa VSS (Volume Shadowcopy Service). De este modo
obtendr copias autnomas de las mquinas virtuales, que podr copiar y conservar en una
cinta magntica. La solucin de copia de seguridad Microsoft SCDPM (System Center
Data Protection Manager) as como la solucin de copia de seguridad nativa de Windows
Server 20012 R2 son compatibles con este tipo de copia de seguridad. Para que este tipo de
solucin funcione, es necesario cumplir ciertos requisitos previos:
Las herramientas Servicios de sistemas invitados virtuales deben estar instaladas,

y el servicio Backup integration debe estar activo.
Todos los volmenes utilizados por la VM deben estar en modo bsico y con
formato NTFS.
El servicio Windows VSS debe estar habilitado en todos los volmenes y cada
volumen debe disponer de su propio almacenamiento VSS.
Si no puede realizarse una copia de seguridad en lnea, entonces se realizar una copia de
seguridad en fro del equipo. Para ello, su estado ser en copia y, una vez terminada la
copia de seguridad, la VM se situar en el estado inmediatamente anterior a la copia de
seguridad. Este tipo de copia de seguridad permite restaurar por completo una mquina
virtual, aunque no parte de la misma (como por ejemplo un archivo del disco C:\ en este
equipo). No es apropiado ejecutar una copia de seguridad o su restauracin a la vez sobre
una mquina virtual y sobre la particin raz. Puede generar conflictos si cada instancia
intenta bloquear el registro VSS.
He aqu un comando til para realizar la copia de seguridad integral de un servidor Hyper-
V as como el conjunto de sus mquinas virtuales en caliente:
wbadmin start backup -backuptarget:\\

otroservidor\compartidos\copiasdeseguridad -include:c:,d:
-allcritical -vssfull -quiet
3. Preparar el despliegue
Para poder tener el rol Hyper-V, un servidor fsico debe tener las funcionalidades de
virtualizacin (Intel-VT o AMD-V), funcionalidades de prevencin de ejecucin de datos
(DEP) y de seguridad (Intel XD o AMD NX), todas ellas habilitadas. Esto como
complemento a las instrucciones de 64 bits, imprescindibles en Windows Server 2012 R2 y
para Hyper-V en trminos generales. Hyper-V soporta hasta 320 procesadores sobre el
servidor fsico (y no 16 como era el caso con Windows Server 2008), que provengan de
ncleos fsicos o lgicos gracias a la tecnologa Hyper Threading.
Windows Server 2012 R2 tambin es capaz de sacar partido de las funcionalidades de

parada de ncleo (Core Parking) y de un segundo nivel de traduccin, Extended Page
Tables (EPT) para Intel, Nested Page Tables (NPT) para AMD. El primero permite reducir
el consumo elctrico parando los ncleos que no estn utilizndose. El segundo permite
ahorrar en torno al 2% del tiempo de procesador y 1 MB por mquina virtual.
Se recomienda realizar una instalacin mnima (Core). El captulo Reducir la superficie de

ataque de este libro cubre este tipo de instalacin.
Windows Server 2012 R2, edicin Estndar y Datacenter, as como Hyper-V Server 2012
R2 permiten utilizar como mximo 4 TB de memoria en el servidor host, es decir el
servidor fsico (tambin llamada particin raz) y hasta 1 TB de memoria en cada mquina
virtual.
El tamao mximo para un disco duro virtual depende de su tipo, y ser de 2040 GB para
un disco .VHD (antes esta limitacin era de 127 GB para Windows Server 2012) y de 64
TB para un disco .VHDX, formato de disco duro virtual aparecido con Windows Server
2012.
Se recomienda disponer de al menos dos tarjetas de red fsicas en el host fsico (vase ms
adelante la seccin Respetar las buenas prcticas). Cada mquina virtual de primera
generacin puede tener hasta 12 tarjetas de red virtuales (8 reales (tarjetas de red virtuales
que requieren la instalacin de servicios de integracin) + 4 emuladas), hasta 8 tarjetas de
red virtuales para mquinas de segunda generacin (pues las tarjetas de red heredadas no
estn soportadas), cada una con una direccin MAC esttica o dinmica. Para las mquinas
de primera generacin, las tarjetas de red reales estn disponibles una vez instalados los
servicios de invitado virtual y los controladores adecuados. Esto significa que no pueden
hacer boot en la red. Las tarjetas de red emuladas tienen peores rendimientos, 100 Mb/s
frente a 10 Gb/s para las tarjetas reales. Utilizan un controlador estndar que no necesita
controladores Hyper-V, aunque permiten el boot PXE. Esto acenta la importancia de
instalar nicamente sistemas operativos soportados por Hyper-V para tener una red virtual
con un buen rendimiento.
La tecnologa VLAN est soportada por las tarjetas de red virtuales.
Un lector de DVD virtual puede utilizar imgenes ISO o el lector fsico del servidor en el
caso de una mquina virtual de primera generacin. Sin embargo, slo una mquina virtual
puede acceder al lector fsico al mismo tiempo. Se recomienda convertir los CD y DVD
necesarios en imgenes ISO. Adems, el uso de imgenes ISO mejora el rendimiento de
uso; en efecto, las imgenes ISO, que se almacenan en el disco duro, aprovechan una tasa
de transferencia de lectura superior. Una mquina virtual de segunda generacin utiliza,
exclusivamente, imgenes ISO.
b. Metodologa de trabajo
La metodologa es un aspecto fundamental en un proyecto de virtualizacin. Ciertas

cuestiones, tales como la copia de seguridad, deben tratarse cuidadosamente antes del paso
a produccin. Es posible aplicar las fases clsicas de un proyecto de infraestructura con
algunas especificidades:
Determinar el alcance (entornos, sistemas operativos...).
Comenzar la bsqueda de los mejores candidatos para la virtualizacin
implementando herramientas de medida (vase la seccin siguiente).
Determinar el nivel de servicio que se desea proporcionar en el permetro (SLA).
Montar una maqueta/POC (Proof Of Concept).
Utilizar la infraestructura de almacenamiento presente (interna, SAN, iSCSI,
comparticin de archivos...).
Medir la integracin en la arquitectura de red existente (VLAN, filtrado por
direccin MAC, proteccin en los conmutadores).
Implementar, al menos, un ejemplo de cada tipo de VM en el alcance (una VM de
cada OS y cada aplicacin).
Asegurar la capacidad para realizar la copia de seguridad y restaurar cada una de las
VM.
Generar la misma carga que en produccin con las mismas restricciones
(procesamientos, ventanas de copia de seguridad...).
Implementar una solucin de supervisin teniendo en cuenta la virtualizacin
(medir el uso de los procesadores disponibles en Hyper-V as como el consumo por
VM...).
Evaluar el inters de SCVMM en su contexto de trabajo.
Medir el impacto en la gestin de las actualizaciones de Windows (uso de Offline
Virtual Machine Servicing Tool como se explica en la seccin Configurar el
almacenamiento).
Medir el impacto en los procedimientos de explotacin (procedimientos de
parada/arranque...).
Evaluar el impacto en el coste.
Implementar un piloto, que supondr la puesta en produccin de una muestra del
permetro, para verificar las hiptesis.
Extender el piloto al conjunto de manera progresiva.
La prueba de concepto es decisiva, pues permite evaluar las nuevas funcionalidades, en

ocasiones importantes, de esta versin y verificar que la arquitectura actual soportar la
carga. Menospreciar esta fase conlleva el riesgo de fracasar una vez en produccin. La
duracin de esta fase debera permitir evaluar los impactos de la virtualizacin, as como
las optimizaciones que es necesario realizar, bien en Hyper-V, en las mquinas virtuales o
en los dems bloques del sistema de informacin. Con la prueba de concepto, todos los
participantes podrn tener una visin clara de las ventajas y los inconvenientes de la
virtualizacin para poder hacer una evaluacin completa. El piloto debe confirmar sin
reservas esta evaluacin antes de generalizar el despliegue.
c. Determinar los servidores y las aplicaciones adecuados para la virtualizacin
Microsoft proporciona de forma gratuita una herramienta que le permite preparar y acelerar
su proyecto de virtualizacin: Microsoft Assessment and Planning Toolkit. Est disponible
para su descarga en la siguiente direccin: http://www.microsoft.com/en-
us/download/details.aspx?id=7826
De este modo podr, fcilmente:
Realizar un inventario de los servidores.

Recoger datos sobre el consumo de recursos sobre estos servidores.
Generar informes Office con recomendaciones basadas en los datos recogidos.
Debe instalarse preferentemente en un puesto de trabajo, pues necesita Microsoft Office

(2003 o 2007), y una instancia de SQL Server o SQL Express (2008, 2008 R2 o 2012). La
instalacin de esta ltima puede evitarse si ya est presente, creando preferentemente una
instancia llamada "MAPS".
Una vez instalada la aplicacin, deber:
Crear una base de datos para el proyecto haciendo clic en Select a database.
Crear manualmente un archivo de texto que contenga la lista de los servidores que
quiera examinar para su proyecto de virtualizacin (candidatos potenciales). Por
ejemplo, el siguiente script PowerShell exporta el nombre DNS de todos los
servidores de Active Directory en el archivo miextraccion.txt:
$buscar = New-Object
DirectoryServices.DirectorySearcher("[ADSI]")
$buscar.SizeLimit = 10000
$buscar.PropertiesToLoad.Add("dNSHostName")
$buscar.Filter =
"(&(objectClass=Computer)(operatingSystem=*Serve*r*))"
$buscar.FindAll() | foreach-object
{$objet=$_.GetDirectoryEntry();$objet.dNSHostName;} >>
miextraccion.txt
En el panel de navegacin, haga clic en Server Virtualization y, a continuacin, haga clic

en Collect performance data.
Indique el archivo de texto creado anteriormente.
Especifique una o varias cuentas con permisos de administrador local sobre los servidores
de destino.
Indique una fecha de fin para la recogida de datos. La estacin que realiza la recogida de
datos debe permanecer encendida todo el tiempo de la colecta.
A continuacin, puede generar los informes.
d. Respetar las buenas prcticas
He aqu algunas reglas consideradas como buenas prcticas que deberan respetarse por
defecto, salvo en casos muy concretos.
De forma general, en Hyper-V:
Prevea al menos dos tarjetas de red fsicas sobre el servidor, aunque lo

conveniente es:
una para la administracin del hipervisor,

una o varias dedicadas a las mquinas virtuales,
una o varias para el iSCSI, si lo implementa,
una para las migraciones rpidas (live migration), si las implementa.
Conecte la tarjeta de red dedicada a la gestin del hipervisor a su red de

administracin.
Exponga nicamente las mquinas virtuales a la red Internet.
Incluya una excepcin en el antivirus para los archivos *.vhdx, *.avhdx, *.vhd y
*.avhd.
El lector de DVD no puede estar compartido por varias mquinas virtuales. D
prioridad a las imgenes ISO en su lugar.
De manera general, sobre las mquinas virtuales:
Instale, siempre que sea posible, las herramientas de administracin Servicios de

sistemas invitados virtuales.
Deshabilite el salvapantallas.
Defragmente siempre el disco fsico antes de crear un disco duro virtual.
Si migra las mquinas virtuales utilizando otras soluciones de virtualizacin, como
Virtual PC, Virtual Server, VMware, desinstale las VMadditions o las VMware
Tools. Elimine los puntos de control y comprima el disco duro virtual antes de
desplazarlo al Hyper-V.
Asegrese de que la visualizacin est optimizada para un buen rendimiento, y as
aprovechar la aceleracin de hardware.
Utilice, preferentemente, el nuevo formato de disco virtual de tipo *.vhdx de
tamao dinmico. El rendimiento es superior al de los discos *.vhd de tamao fijo.
Si utiliza discos dinmicos *.vhd, convirtalos en discos virtuales de tamao fijo, el
sistema estar menos fragmentado, la gestin del espacio ser mucho ms sencilla y
el rendimiento mejor respecto a los discos de tamao dinmico.
Cree discos virtuales de tamao fijo. El rendimiento es superior, el sistema de
archivos estar menos fragmentado, y la administracin del espacio ser ms
sencilla.
Si crea una VM Windows Server 2003, asgnele dos procesadores virtuales para
tener un HAL multiprocesador.
Utilice, en la medida de lo posible, controladores reales una vez instalados los
servicios de sistemas invitados virtuales, para mejorar el rendimiento.
Puede instalar un controlador de dominio Active Directory en el interior de una mquina

virtual Hyper-V. No obstante, se recomienda observar las siguientes reglas:
Las buenas prcticas de Active Directory indican que es necesario disponer, como
mnimo, de dos controladores de dominio. Ambos controladores deberan residir en
hosts distintos.
Seleccione cmo sincronizar el tiempo. Es crucial que el conjunto del dominio
utilice la misma hora. Por defecto, Kerberos no soporta un desfase superior a los 5
minutos. Puede o bien sincronizarlos en base al reloj del hardware del servidor a
travs de los servicios de sistemas invitados virtuales, o bien sincronizarlos a travs
de la red del dominio.
Si su nico controlador de dominio es una mquina virtual en Hyper-V, la particin
raz (hipervisor) no debe unirse a este dominio. Cuando reinicie el servidor, la
particin raz buscar un controlador de dominio que no podr encontrar pues la
mquina no estar todava levantada.
Windows Server 2012 R2 conserva la funcionalidad que permite clonar controladores de

dominio virtualizados, introducida con Hyper-V 3 para Windows Server 2012. Esta
funcionalidad se explica con detalle en el captulo Dominio Active Directory.
Puede implementar SQL Server en una mquina virtual. El almacenamiento es un elemento

crtico en una base de datos, y la virtualizacin no cambia nada. El almacenamiento sobre
el que residirn los datos y los registros debe proporcionar un rendimiento adecuado. Para
no disminuir este rendimiento con la virtualizacin, debera utilizar nicamente discos
virtuales de tamao fijo, utilizando un controlador SCSI virtual. La otra alternativa es
utilizar volmenes directamente en modo pass-through.
Puede implementar Exchange Server 2010 o Exchange Server 2013 en una mquina virtual.
En este caso, debe observar las siguientes recomendaciones:
Para que la configuracin est soportada por Microsoft, instale el Service Pack 1
para Exchange 2010, Exchange 2013 RTM o superior.
El uso de discos virtuales de tamao dinmico est soportado nicamente con
VHDX, aunque se recomienda utilizar discos virtuales de tamao fijo.
El uso de funciones de puntos de control y diferenciales sobre los discos virtuales
no est soportado.
En lo relativo a la seguridad, jams debera proporcionar permisos sobre la particin raz a

los administradores de las mquinas virtuales. Para respetar el clebre principio de otorgar
siempre el menor nivel de privilegios posible, debera darles acceso a lo estrictamente
necesario. Administrar esta seguridad puede convertirse en una tarea compleja, para la que
tambin puede utilizar la nocin de roles para clasificar los accesos.
Desplegar Hyper-V
1. Instalacin
a. Instalacin del rol Hyper-V
La instalacin es tan sencilla como agregar el rol en el servidor mediante el Administrador

del servidor, a partir de su interfaz grfica. Si est trabajando con una instalacin Core,
ejecute el siguiente comando PowerShell:
Install-WindowsFeature Hyper-V
Ser necesario reiniciar para que se apliquen los cambios y poder utilizar este rol.
b. Configuracin del rol
La configuracin del rol cubre diferentes aspectos:
creacin y configuracin de las redes virtuales;

preparacin de las imgenes ISO para las distintas instalaciones.
La consola permite administrar los servidores Hyper-V as como las mquinas virtuales que
las albergan. Abra la consola Administrador de Hyper-V disponible en la pantalla de
inicio de Windows, Herramientas administrativas y, a continuacin, Administrador de
Hyper-V.
c. Configuracin de las redes virtuales
En Hyper-V, la administracin de las redes se realiza mediante el Administrador de Hyper-

V o mediante PowerShell. Existen tres tipos de redes, tambin llamadas switchs virtuales:
El switch virtual externo: vinculado con una tarjeta de red real sobre el host, este
tipo de switch virtual permite a las VM conectadas a l acceder a la red externa y,
por lo tanto, dialogar con el exterior. Es posible crear y asociar una tarjeta de red
virtual con un host vinculado a este tipo de switch virtual.
El switch virtual interno: este tipo de switch virtual permite realizar una
comunicacin entre las VM vinculadas a este switch, as como al host que posee,
automticamente, una tarjeta de red virtual sobre este mismo switch.
El switch virtual privado: las VM conectadas a este switch slo pueden
comunicarse entre ellas.
Windows Server 2012 R2 soporta las tecnologas de red siguientes:
La tecnologa PVLAN (Private Virtual Local Area Network), que permite aislar las
mquinas virtuales sobre una misma red local privada virtual aunque se hospeden en
hosts diferentes. Resulta muy prctica para servidores hospedados en Datacenters.
La tecnologa SR-IOV, que permite a la tarjeta de red enviar directamente los
paquetes de red en el espacio de memoria de la VM, sin pasar por la particin raz.
Es necesario que la tarjeta de red del servidor fsico gestione esta funcionalidad y es
posible que haga falta instalar controladores suplementarios en la mquina virtual.
Observe que el soporte de SR-IOV para el switch virtual se define durante la
creacin de dicho switch virtual, no ser posible modificar este parmetro tras una
ruptura (salvo creando otro switch virtual).
El NIC Teaming, o agregacin de varias tarjetas de red, que se gestiona de forma
nativa en los sistemas operativos. Un switch virtual puede vincularse a un equipo
para aumentar las tasa de transferencia y la tolerancia a fallos.
Los switchs virtuales extensibles (Extensible vSwitch), que permiten agregar
extensiones al switch virtual. Algunos fabricantes de switch ya han anunciado
extensiones que permitirn soportar su tecnologa en los switchs virtuales.
Las tarjetas de red inalmbricas estn soportadas, y es posible vincularlas con un
switch virtual externo. Resultan muy tiles en la versin de Hyper-V para Windows
8/8.1.
La tecnologa Jumbo Frames para las mquinas virtuales. Esta tecnologa permite
aumentar la MTU (Maximum Transmission Unit) de 1500 (Ethernet) a 9014. La
misma cantidad de datos puede, de este modo, transmitirse con seis veces menos
intercambios de paquetes. Esto implica que todos los equipos de red soporten las
Jumbo Frames.
La tecnologa VMQ (Virtual Machine Queue), que permite a la tarjeta de red alojar,
en su propia memoria interna, un espacio dedicado a cada VM. Los datos se envan,
a continuacin, directamente sobre el puerto conectado al VMBus del switch virtual
que permiten alcanzar la VM. Una especie de pre-enrutamiento interno en la tarjeta
de red. Esto evita, tambin, tener que verificar el enrutamiento en los switch
virtuales mediante los VMQ Queue ID. El objetivo es una mejora en el rendimiento
reduciendo el nmero de operaciones en las comunicaciones de red. Es necesario,
no obstante, que la tarjeta de red del host gestione esta funcionalidad.
El TCP Offload permite descargar la gestin del trfico TCP/IP de las mquinas
virtuales sobre una tarjeta fsica del servidor. Esta descarga aumenta el rendimiento
y reduce el consumo de procesador del servidor fsico. La migracin en caliente de
VM puede aprovechar esta funcionalidad.
d. Configuracin del almacenamiento
Con la virtualizacin, el almacenamiento es el centro de la cuestin. Esto es todava ms

cierto si los servicios ofrecidos por las mquinas virtuales consumen muchos recursos de
entrada/salida de disco. Para poder reducir costes, es interesante utilizar almacenamiento
"low cost", aunque existe el riesgo de sufrir un mal rendimiento en las mquinas virtuales.
Ser preciso encontrar el justo equilibrio entre una solucin SAN y una carpeta compartida
de red.
Hyper-V soporta una gran variedad de soluciones para el almacenamiento de las mquinas
virtuales:
Almacenamiento local del servidor (IDE/SATA/ESATA/USB/Firewire/SAS/SCSI).
Almacenamiento en una SAN (con almacenamiento en clster en modo Cluster
Shared Volumes).
Almacenamiento mediante iSCSI o FCoE.
Almacenamiento sobre una carpeta compartida de archivos.
Almacenamiento en modo pass-through.
Puede incluso almacenar las VM en una llave USB, a condicin de que tenga formato en
NTFS. Por defecto, debera utilizar discos virtuales. Existen no obstante ciertos casos
donde debera utilizar un almacenamiento en modo pass-through. Este mtodo proporciona
a la VM acceso directo a una zona de almacenamiento, como si fuera una mquina fsica.
Una de las ventajas es que se obtiene un mejor rendimiento, ligado a la ausencia de la capa
de virtualizacin. He aqu algunas consideraciones a propsito del modo pass-through:
Los volmenes en modo pass-through no se incluyen en la copia de seguridad por

los mecanismos de Hyper-V. Necesitar realizar estas copias de seguridad
utilizando algn otro medio.
El mecanismo de puntos de control no est disponible en este tipo de volumen
Si elige almacenar las VM en una carpeta compartida de archivos o un almacenamiento

compartido con formato SMB 3.0, se recomienda configurar este recurso compartido con
alta disponibilidad.
El almacenamiento mediante ISCSI puede realizarse de dos maneras, desde la particin

raz, o desde la mquina virtual. Esta eleccin tiene varias consecuencias:
Si al almacenamiento ISCSI se accede desde la particin raz, el rendimiento es

mejor que desde la VM, y la copia de seguridad a travs del registro VSS est
soportado.
Las mquinas virtuales no pueden iniciarse desde un almacenamiento ISCSI
(administrado desde las VM en lugar de la particin raz). El almacenamiento ISCSI
que se accede desde las VM no puede incluirse en las copias de seguridad a travs
de VSS Hyper-V.
Otra decisin que hay que tomar atae a la naturaleza de los controladores virtuales para las
mquinas virtuales. Pueden ser IDE o SCSI. El rendimiento no juega, de momento, un
papel importante cuando se instalan los servicios de sistemas invitados virtuales. Las
diferencias se centran en la volumetra, el nmero de discos virtuales asociados a la VM y
las funcionalidades propuestas (como el Shared VHDX).
El controlador SCSI permite tener hasta 256 dispositivos de almacenamiento (4

controladores * 64 dispositivos). No obstante, permite arrancar nicamente en una mquina
virtual de segunda generacin. Los volmenes ligados al controlador IDE pueden ser 4
como mximo (contando el lector CD/DVD virtual), tienen un tamao mximo de 2040
gigabytes, aunque estn disponibles nicamente en una mquina virtual de primera
generacin.
El almacenamiento sobre una infraestructura SAN es generalmente la solucin competente,
y tambin la ms costosa. La tecnologa NPIV est disponible en las tarjetas HBA, lo que
permite respetar las buenas prcticas en lo que respecta al almacenamiento SAN (zoning...).
Para ello debera activar las WWN (World Wide Names) virtuales para las mquinas
virtuales. He aqu algunas consideraciones para el almacenamiento sobre una SAN:
Es necesario tener un controlador MPIO (multipuerto), incluso con una nica HBA.
Deshabilite el montaje automtico de volmenes.
Deje los discos en modo bsico y no dinmico.
Todos los archivos de VM deben estar en un nico volumen.
Agregue las LUN como recursos de disco al clster antes de crear las VM.
Windows Server 2012 R2 incluye los Cluster Shared Volumes, que permiten tener
varias VM por LUN, teniendo estas VM en hosts diferentes.
Si las VM estn almacenadas en modo pass-through sobre la SAN, se necesitan dos LUN,
una para el disco de inicio y otra para la configuracin.
2. Mquinas virtuales de nueva generacin
Windows Server 2012 R2 incluye un nuevo formato de mquina virtual, hablamos de

mquina virtual de generacin 2. Las mquinas virtuales de primera generacin siguen
estando soportadas, y ambas generaciones de mquina virtual pueden convivir en el mismo
servidor host. La generacin de la mquina virtual determina el tipo de componentes de
hardware y algunas funcionalidades de la mquina virtual.
Las mquinas virtuales de generacin 2 incluyen un modelo de hardware simplificado, pues

cierto nmero de componentes se han suprimido, como los controladores IDE y los
perifricos emulados (disquetera, tarjeta de red heredada). Adems, esta nueva
generacin de mquinas virtuales soporta, tambin, UEFI (Unified Extensible Firmware
Interface) en comparacin con el anterior tipo de BIOS.
En el momento de escribir estas lneas, slo Windows Server 2012 / 2012 R2 as como las
versiones de 64 bits de Windows 8/8.1 estn soportadas como sistema operativo invitado.
He aqu una tabla con las diferencias de hardware entre ambas generaciones de mquina
virtual.
Generacin 1 Generacin 2
BIOS
Tipo Hyper-V BIOS-Based Hyper-V UEFI
Arranque sobre IDE CD, IDE HD, tarjeta de Tarjeta de red, SCSI HD,
red heredada y disquetera SCSI CD
Memoria RAM
Mximo 1 TB 1 TB
Memoria dinmica Windows Server 2012/ 2012 Windows Server 2012/
R2, Windows 8/8.1, y algunas 2012 R2, Windows 8/8.1
distribuciones de Linux
Procesador
Nmero mximo 64 64
Controlador IDE S No
Bootable S
Nmero mximo de 2
controladores IDE
Nmero mximo de 2
perifricos por
controlador
Tipo de disco VHD, VHDX, Pass-Through
soportado
Nmero mximo de 4 (si no tiene CD)
discos
Tamao mximo por 2040 GB
disco
Tipo de CD ISO, Lector host
Nmero mximo de 4 (aunque 3, pues hace falta 1
CD HD para poder arrancar)
Controlador SCSI S S
Bootable No S
Nmero mximo de 4 4
controladores SCSI
Nmero mximo de 64 64
dispositivos por
controlador
Tipo de disco VHD, VHDX, Pass-Through VHDX, Pass-Through
soportado
Nmero mximo de 256 256 (si no tiene CD)
discos
Tamao mximo por 2040 GB en VHD o 64 TB en 64 TB
disco VHDX
Tipo de CD No soportado ISO
Nmero mximo de 256 (aunque 255, pues
CD hace falta 1 HD para
poder arrancar)
Tarjeta de red sinttica S S
Nmero mximo 8 8
Bootable No S
Tarjeta de red heredada S No
Nmero mximo 4 0
Bootable S
Adaptador Fibre
Channel
Nmero mximo 4 4
Tarjeta de vdeo 3D
RemoteFX
Nmero mximo 1 0
Puerto Com
Nmero mximo 2 0 (1 mediante cmdlets
PowerShell)
Disquetera S No
Nmero mximo 1 0
Observe que Remote FX no est soportado en las mquinas virtuales de generacin 2,

mientras que s lo est con las de generacin 1.
Puede vincular discos virtuales VHDX de generacin 1 a una mquina virtual de

generacin 2, y a la inversa. Si el disco virtual de generacin 1 es un VHD, tendr que
convertirlo al formato VHDX; en efecto, las mquinas virtuales de generacin 2
soportan nicamente discos con formato VHDX. Es posible realizar esta accin mediante la
consola de Hyper-V, con el asistente Editar disco que se encuentra en el panel de
Acciones, o mediante el cmdlet PowerShell Convert-VHD. Observe que el cmdlet
PowerShell Convert-VHD permite convertir un VHD en VHDX, y a la inversa.
No es posible convertir el disco virtual bootable de una mquina virtual de generacin 1 a

uno de generacin 2, es obligatorio partir de una nueva instalacin. Igual que un disco
bootable con formato VHDX instalado desde una generacin 2 no permitir arrancar una
mquina virtual de generacin 1.
En una infraestructura virtual de alta disponibilidad (clster de servidores Hyper-V, Live

Migration), las mquinas virtuales de generacin 2 estn soportadas nicamente en
Windows Server 2012 R2 y Microsoft Hyper-V 2012 R2, y no podrn migrarse a hosts
Windows Server 2012 R2 o Microsoft Hyper-V 2012 R2.
Puede conocer la generacin de una mquina virtual de varias maneras. La primera consiste
en utilizar, sencillamente, el Administrador de Hyper-V y consultar el valor del campo
Generacin presente en el panel de informacin de una mquina virtual.
Una segunda forma de verificar la generacin de una mquina virtual consiste en editar sus
propiedades. En efecto, si observa la presencia de controladores IDE, se trata de una
mquina virtual de generacin 1. La ausencia de controladores IDE pone de manifiesto una
mquina virtual de generacin 2 .Otra forma de conocer la generacin de una mquina
virtual consiste en utilizar el cmdlet de PowerShell Get-VM con una visualizacin de tipo
lista:
Get-VM -Name VM-Gen2 | fl

3. Creacin y configuracin de una mquina virtual
La creacin de una mquina virtual se realiza mediante el Administrador de Hyper-V, en

el panel accin, mediante el men Nueva y seleccionando Mquina virtual.... Le bastar
con seguir el asistente Nueva mquina virtual que le solicitar la generacin de la
mquina virtual que desea crear, as como alguna informacin bsica (el nombre, la
cantidad de memoria, la conexin de red de la primera tarjeta de red y el disco duro
virtual).
Tambin puede utilizar PowerShell:
New-VM -Name MaquinaVirtual01
Este comando crear, simplemente, una mquina virtual de primera generacin con el
mnimo imprescindible: 1 procesador y 512 MB de memoria RAM, sin ningn disco duro y
con una tarjeta de red real no conectada.
New-VM -Name MaquinaVirtual02 -Generation 2
Este comando crear una mquina virtual de generacin 2 con el mnimo vital, 1
procesador, 512 MB de memoria, aunque sin disco y una tarjeta de red sinttica no
conectada.
Observe que no podr cambiar la generacin de la mquina virtual una vez creada.
Para acceder a la configuracin de la mquina virtual, en el Administrador de Hyper-V,
basta con hacer clic con el botn derecho sobre la mquina virtual y seleccionar
Configuracin en el men contextual.
En esta ventana, puede administrar la configuracin del hardware de la mquina virtual, y

tambin las interacciones de los servicios de integracin con la mquina virtual, as como
las acciones que quiere llevar a cabo si debe detener el host. Todos estos parmetros estn
accesibles, tambin, mediante PowerShell, aunque la lista de comandos es muy extensa.
a. Dynamic Memory
Incluida con Windows Server 2008 R2 SP1, la administracin de la memoria dinmica

(Dynamic Memory) sigue estando presente. Esta tecnologa permite, al servidor Hyper-V,
alojar dinmicamente la memoria RAM de las mquinas virtuales segn las necesidades de
stas en funcin de los parmetros que defina.
Con Hyper-V para Windows Server 2012 R2 y Microsoft Hyper-V Server 2012 R2, es
posible definir la cantidad de memoria de arranque, adems de la memoria mnima y
mxima. Esta memoria de arranque se utilizar en la mquina virtual durante sus
arranques, reinicios, o vuelta a la actividad tras una suspensin.
Si una mquina virtual ejecuta un procesamiento especfico que utiliza ms memoria de la

que se le haba asignado en un principio, Hyper-V podr aumentar, momentneamente, la
cantidad de memoria RAM asignada a esta mquina virtual bien directamente a partir de la
memoria libre del servidor Hyper-V o bien a partir de la memoria inutilizada en las dems
mquinas virtuales presentes en el mismo servidor.
Una vez finalice el proceso intensivo en memoria, sta se libera si alguna otra mquina
virtual la solicita o tiene necesidad de ella.
La memoria se considera, de este modo, como un recurso compartido entre las mquinas
virtuales. Su asignacin ya no requiere una parada de la mquina virtual para que se tenga
en cuenta la nueva capacidad de memoria.
Los sistemas operativos de Microsoft que soportan la memoria dinmica son:
Windows Server 2012/2012 R2.

Windows Server 2008 SP2 (32 y 64 bits) / 2008 R2 SP1.
Windows Server 2003 SP2 (32 y 64 bits) / 2003 R2 SP2 (32 y 64 bits).
Windows 8/8.1 (32 y 64 bits).
Windows 7 SP1 (32 y 64 bits).
Windows Vista SP2 (32 y 64 bits).
Distribuciones de Linux recientes, con los ltimos servicios de integracin.
b. Resource Metering
Windows Server 2012 incluye la posibilidad de recuperar distintas estadsticas de cada

mquina virtual iniciada sobre un host con el rol Hyper-V instalado. Estas estadsticas
podrn utilizarse para gestionar una solucin de alta disponibilidad mediante SCOM 2012 o
SCVMM 2012, o simplemente para realizar una refacturacin de servicios en el caso de un
proveedor de infraestructura.
Las estadsticas que pueden recuperarse son:
Media de uso del procesador: en mega hertzios, durante un periodo de tiempo

determinado.
Media de uso de la memoria fsica: en megabytes.
Picos mnimo / mximo de memoria fsica utilizada: en megabytes.
Espacio de disco asignado a la mquina virtual.
Trfico total de red entrante: en megabytes.
Trfico total de red saliente: en megabytes.
La configuracin y la recuperacin de las estadsticas se realizan mediante PowerShell. He

aqu algunos ejemplos de cmdlets PowerShell tiles:
Para habilitar el Resource Metering en una mquina virtual:
Enable-VMResourceMetering -VMName NombreDeLaMaquinaVirtual
Para habilitar el Resource Metering en todas las mquinas virtuales de un host:
Get-VM -ComputerName NombreDelServidorHost | Enable-VMResourceMetering
Para configurar la frecuencia de muestreo, los valores admisibles estn

comprendidos entre 1 hora y 24 horas. El valor por defecto es de 1 hora. Por
ejemplo, para una muestra cada 2 horas:
Set-VMHost -ComputerName NombreDelServidorHost
-ResourceMeteringSaveInterval 02:00:00
Para ver las estadsticas de una mquina virtual en particular:
Measure-VM -Name NombreDeLaMaquinaVirtual
# O para obtener informacin ms detallada

Measure-VM -Name NombreDeLaMaquinaVirtual | fl
Para ver las estadsticas de todas las mquinas virtuales:
Get-VM -ComputerName NombreDelServidorHost | Measure-VM
Para reiniciar las estadsticas de una mquina en concreto:
Reset-VMResourceMetering -VMName NombreDeLaMaquinaVirtual

Para deshabilitar Resource Metering en una mquina virtual:
Disable-VMResourceMetering -VMName NombreDeLaMaquinaVirtual
c. Redimensionamiento del disco duro virtual en caliente
Windows Server 2012 R2 le permite, ahora, redimensionar sus discos duros virtuales en
caliente, lo que permite evitar tener que reiniciar la mquina virtual para realizar este tipo
de mantenimiento en el servidor.
El nico requisito previo es que sus discos duros virtuales tengan el formato VHDX, que
estn conectados a un controlador SCSI, y que el sistema operativo alojado lo soporte.
Le bastar con utilizar el Asistente para editar discos duros virtuales, mediante el
Administrador de Hyper-V, para extender el disco duro virtual. Es, tambin, posible
realizar esta accin mediante el cmdlet PowerShell Resize-VHD.
Para terminar, bastar con utilizar el espacio que acaba de configurar, mediante el
Administrador de discos en su mquina virtual, siempre que la manipulacin haya
consistido en extender el disco y no en reducirlo.
Puede llegar a ocurrir, en algunos sistemas operativos, que no se analicen bien los discos
disponibles y se muestren las modificaciones, como ocurre con algunas distribuciones de
Linux, por ejemplo.
d. Gestin de la QoS en el almacenamiento de una mquina virtual
Windows Server 2012 R2 incluye la posibilidad de gestionar la calidad de servicio acerca

del uso de discos duros virtuales (Storage QoS). Esta funcionalidad permite limitar, o
contener, las entradas y salidas por segundo (E/S) en los discos duros de las mquinas
virtuales.
Por ejemplo, en el caso de una mutualizacin de los recursos, como con un servidor host,
puede resultar prctico limitar los recursos de uso de disco. Otro ejemplo, si tiene una
aplicacin que requiere una gran tasa de lectura/escritura en disco (como una base de datos
SQL), puede querer asignar un mnimo de E/S sobre el disco donde se almacenan los datos.
De este modo, la aplicacin tendr, en cualquier caso, una tasa de acceso a disco
garantizada.
Para configurar la calidad de servicio para un disco virtual, acceda a las Propieades de la
mquina virtual y, a continuacin, en el disco duro afectado, haga clic en el sigo "+" y en
Caractersticas avanzadas.
Marque la opcin Habilitar la administracin de calidad de servicio, e indique el valor

deseado, que debe estar comprendido entre 0 y 1000000000 (mil millones). Slo queda
aplicar las modificaciones.
Tambin puede modificar estos parmetros mediante PowerShell:
# Para configurar el Storage QoS en el disco IDE 0 del controlador

# IDE 0 de una mquina virtual.
Set-VMHardDiskDrive -VMName VM-Gen1 -ControllerType IDE
-ControllerNumber 0 -ControllerLocation 0 -MinimumIOPS 8
-MaximumIOPS 1000
Observe que no es posible utilizar la calidad de servicio sobre el almacenamiento con

discos virtuales compartidos.
e. Activacin automtica de mquinas virtuales
Windows Server 2012 R2 edicin Datacenter incluye una funcionalidad de activacin

automtica de mquina virtual (AVMA, Automatic Virtual Machine Activation), que
resulta muy til en una infraestructura virtual, con la condicin de que est compuesta por
varios servidors host Hyper-V, instalados con esta edicin. En efecto, no debe olvidar que
la edicin Windows Server 2012 R2 Datacenter le permite ejecutar un nmero ilimitado de
mquinas virtuales Windows, que estn cubiertas con la licencia de esta edicin Datacenter.
La nica limitacin verdadera es la que imponga el hardware, en trminos de rendimiento.
Hasta Windows Server 2012, en este tipo de casos, tena que activar sus mquinas virtuales
mediante la clave de licencia del host "Datacenter", dentro de sus mquinas virtuales, para
activarlas. Qu ocurra con Live Migration? Cmo era posible gestionar varias mquinas
virtuales alojadas en otro host? Adems, la activacin del sistema operativo invitado tena
que realizarse bien manualmente (por Internet o por telfono), o bien gracias a un servidor
KMS, o incluso, desde Windows Server 2012, mediante la funcionalidad de activacin
basada en Active Directory (ADBA, Active Directory-Based Activation).
Con Windows Server 2012 R2 Datacenter, si el servidor host est activado, las mquinas
virtuales que contiene se activarn automticamente gracias al hipervisor, mediante el
VMBus, incluso aunque no formen parte del dominio o no tengan ninguna conexin a
Internet.
Para implementar esta funcionalidad, basta con que el host sea un servidor Windows Server
2012 R2 "activado" (mediante una clave KMS o ADBA, Open Licence u OEM), y que el
sistema operativo de la mquina virtual sea Windows Server 2012 R2 (Datacenter,
Standard o incluso Essentials) con una clave AVMA. Las claves AVMA son pblicas y
estn disponibles en la direccin: http://technet.microsoft.com/en-us/library/dn303421.aspx
Una vez posea la clave correspondiente a su edicin, conviene inscribirla en la mquina

virtual. Para ello, en la mquina virtual, abra una lnea de comandos (con elevacin de
privilegios de Administrador) e introduzca el siguiente comando:
slmgr /ipk <Clave_AVMA_DeSuEdicion>

slmgr /ato
La mquina virtual se activar automticamente por una duracin de 7 das, tras los que la
mquina virtual validar automticamente su activacin por otros 7 das. Ocurrir de este
modo mientras la mquina virtual resida sobre un host Windows Server 2012 R2
DataCenter.
Observe que es posible utilizar una clave AVMA en un archivo de respuesta de instalacin
de Windows o en las plantillas de mquinas virtuales con SCVMM o SCCM.
f. Exportacin de mquinas virtuales en caliente
Windows Server 2012 R2 incluye la posibilidad de exportar una mquina virtual, o uno de
sus puntos de control, en caliente sin tener que detener la mquina virtual. Esto permite
duplicar la mquina virtual para realizar pruebas, sin tener que detener el servidor de
produccin, o incluso probar la migracin de mquinas virtuales entre la Cloud privada y la
Cloud interna, siempre sin detener los servidores de mquinas virtuales de produccin.
Adems, cualquier exportacin de una mquina virtual que est en funcionamiento
exportar su estado de memoria.
Puede realizar una exportacin de la mquina virtual mediante la consola de

Administracin de Hyper-V o mediante PowerShell con el siguiente comando:
# Para exportar una mquina virtual llamada VM-Gen1 a la carpeta

# D:\ExportVM.
Export-VM -Name VM-Gen1 -Path D:\ExportVM
# Para exportar todas las mquinas virtuales a la carpeta

# D:\ExportVM.
Get-VM | Export-VM -Path D:\ExportVM
# Para exportar un punto de control, llamado VM-Gen1-chk1 de una mquina

# virtual llamada VM-Gen1, bajo la forma de una nueva mquina
# virtual, a la carpeta D:\ExportVM.
Export-VMSnapshot -Name VM-Gen1-chk -VMName VM-Gen1 -Path D:\ExportVM
g. Mejora de VM Connect (RDP over VMbus)
Con las versiones anteriores de Windows Server e Hyper-V Server (versiones 2008 a
2012), VM Connect utilizaba una redireccin bsica de pantalla, teclado y ratn cuando se
conectaba a una mquina virtual.
Para disponer de funcionalidades avanzadas (tales como la comparticin de datos entre el

cliente y la mquina virtual), es preciso disponer una conectividad de red entre la mquina
virtual y el cliente, adems de utilizar el cliente de Escritorio remoto estndar (cliente
RDP).
Esto permite disponer de todas las ventajas del protocolo RDP (redireccin de lectores,
impresoras), pero obliga a la mquina virtual a tener conectividad de red. Otra
posibilidad consiste en compartir una carpeta entre el host y la mquina virtual mediante un
vswitch de tipo externo (el host y la mquina virtual pueden comunicarse mediante un
vswitch externo, pues el host posee una tarjeta de red virtual).
Con Windows Server 2012 R2 y Windows 8.1, Microsoft incluye una funcionalidad
avanzada al cliente de conexin a un equipo virtual Hyper-V (vmconnect.exe) para que
soporte, de forma nativa, el protocolo RDP sobre el VMbus de Hyper-V. Como resultado,
cuando se habilita esta funcionalidad (lo cual se aborda ms adelante), se tiene una
conexin de tipo RDP con la mquina virtual. Esta conexin permite obtener las mismas
ventajas que una conexin RDP:
Configuracin avanzada de la visualizacin (soporte multi-pantlalla y pantalla

multi-touch).
Soporte del cortapapeles entre el cliente y la mquina virtual.
Redireccin del lector de tarjetas smartcard (con posibilidad de autenticacin).
Redireccin del audio.
Redireccin de impresoras.
Redireccin de lectores.
Redireccin de dispositivos USB.
Soporte de dispositivos Plug-and-Play.
Resulta muy sencillo compartir datos entre el cliente y la mquina virtual, incluso sin una
conexin de red. Observe, no obstante, que slo los hosts Windows Server 2012 R2,
Hyper-V Server 2012 R2 y Windows 8.1 soportan esta mejora. En el momento de escribir
estas lneas, los nicos sistemas operativos invitados que soportan esta funcionalidad son
Windows Server 2012 R2 (todas las versiones) y Windows 8.1 (tambin todas las
versiones). Adems, deben disponer del servicio Servicios de Escritorio remoto iniciado y
la cuenta de usuario que se utiliza para conectarse a la mquina virtual debe formar parte
del grupo Usuarios de Escritorio remoto o Administradores locales en la mquina
virtual.
Para terminar, sepa que no necesita comprar una licencia de acceso a los Servicios de
Escritorio remoto (RDS CAL, Remote Desktop Services Client Access License). En efecto,
Microsoft incluye este tipo de conexiones directamente en el contrato de licencia de
Windows Server 2012 R2 y Windows 8.1, con una nica conexin por mquina virtual.
He aqu los pasos a seguir para activar esta funcionalidad en el servidor host:
En el host Windows Server 2012 R2, abra el Administrador de Hyper-V y, a

continuacin, en el panel Acciones, haga clic en Configuracin de Hyper-V.
En la ventana de Configuracin de Hyper-V, vaya a la seccin Directiva de modo de

sesin mejorada, y habilite la opcin Permitir modo de sesin mejorada.
Aplique los parmetros y cierre la ventana de configuracin de Hyper-V.
Es todo. Simple, no?
Set-VMHost -Name rdvh1.miempresa.priv -EnableEnhancedSessionMode $true
Slo queda conectarse a una mquina virtual, con un sistema operativo Windows
Server 2012 R2 o Windows 8.1, mediante el Administrador de Hyper-V de Windows
Server 2012 R2 o el cliente Hyper-V de Windows 8.1 (o mediante el comando
vmconnect.exe de estas mismas versiones de sistemas operativos). Se abrir una nueva
ventana de conexin que le proporcionar la opcin de ajustar la resolucin de pantalla, as
como la posibilidad de utilizar todas las pantallas disponibles.
Haciendo clic en Mostrar (opciones avanzadas) en la esquina inferior izquierda, accede a
las opciones de redireccin de recursos, similares a las del protocolo RDP.
En la seccin Recursos locales, observar que la impresora principal del equipo cliente se
ha redirigido hacia la mquina virtual, as como el recurso compartido del portapapeles.
Haciendo clic en el botn Ms. tendr la posibilidad de redirigir las unidades locales as
como los dispositivos USB y Plug-and-Play. En este ejemplo, hemos optado por hacer
disponible el lector E:\ de nuestro equipo cliente en la mquina virtual.
Una vez conectado a la mquina virtual, encontrar el lector presente en el explorador de
Windows.
Para terminar, volviendo a la primera pestaa Mostrar de la conexin, ver una

opcin para Guardar mi configuracin para conexiones futuras en esta mquina
virtual.
Esta opcin guardar los parmetros de la conexin (desde el equipo cliente hacia esta
mquina virtual nicamente) en la carpeta %AppData%\Roaming\Windows\Hyper-
V\Client\1.0\ de su perfil de usuario en el equipo cliente.
4. Gestin de la alta disponibilidad con Hyper-V
a. Live Migration
La migracin en caliente (Live Migration) permite desplazar una mquina virtual de un

servidor a otro sin prdida en el servicio (prdida de la conexin de red).
Es posible utilizar la migracin en caliente de tres formas:
Sin un almacenamiento comn, los archivos de la VM se almacenan en discos

internos del servidor host. En este caso, la migracin en caliente ser mucho ms
lenta debido al tiempo de copia de los archivos de disco duro virtuales (archivos
VHD y VHDX).
Con un recurso compartido SMB 3.0, en este caso, slo se migrarn los archivos de
memoria virtual a travs de la red. Los archivos con los discos duros siguen
almacenados en el recurso compartido SMB.
Con un almacenamiento basado en un array de discos, generalmente conectada en
forma de LUN. Slo se migran los archivos correspondientes a la memoria virtual,
los archivos de disco duro virtual siguen en la LUN del array de almacenamiento.
Es la solucin de migracin en caliente ms segura y la nica que no entraa
ninguna interrupcin en el servicio.
Windows Server 2012 R2 soporta Live Migration entre hosts Windows Server 2012/2012
R2 as como Microsoft Hyper-V 2012/2012 R2. Windows Server 2008/2008 R2 o
Microsoft Hyper-V Server 2008/2008 R2 no estn soportados para Live Migration con
Windows Server 2012 R2. Windows Server 2012 R2 incluye una optimizacin de
rendimiento tras la migracin de una mquina virtual optimizando el desplazamiento de la
memoria de la mquina virtual.
La primera posibilidad, TCP/IP, copiar los archivos de memoria virtual directamente sobre
la red a travs de una conexin TCP/IP.
La segunda posibilidad difiere de la primera en el sentido de que los archivos de la

memoria virtual se comprimen antes de enviarse sobre la red en la que se transitan gracias a
una conexin TCP/IP.
La ltima posibilidad permite copiar archivos de memoria virtual sobre la red mediante una
conexin SMB 3.0. Se utiliza SMB Direct si las funcionalidades de acceso directo a la
memoria remota (RDMA, Remote Direct Access Memory) estn habilitadas en las tarjetas
de red de origen y de destino. Esto permite obtener cieta mejora en la rapidez de hasta x10,
frente al x2 que se alcanza con una compresin sencilla mediante la opcin SMB
Multichannel incluido en SMB 3.0.
El principio de funcionamiento de una migracin requiere varias etapas:
Creacin de la VM en el destino.
Copia de las pginas de memoria desde el origen hasta el destino. Las pginas
modificadas durante la transferencia se envan de nuevo (se marcan como "dirty"),
hasta 10 veces.
La mquina virtual se pone en pausa en el origen.
El acceso al almacenamiento (el disco virtual de la VM) se asigna al servidor de
destino.
La mquina virtual se pone en funcionamiento de nuevo.
El Clustered Shared Volume (que se aborda en el captulo dedicado a la Alta

disponibilidad) permite a varios servidores acceder a los archivos en el interior de una
LUN. Un nodo es propietario del espacio de nombres y sigue siendo el maestro a la hora de
crear/eliminar los metadatos (carpetas...). No obstante, distintos nodos pueden acceder a
distintos archivos sobre la misma LUN de manera simultnea, en particular a los archivos
VHD y VHDX. Esto permite, por lo tanto, almacenar todos los archivos VHD y VHDX en
una nica LUN. Todos los nodos pueden acceder al conjunto de archivos, de modo que ya
no es necesario modificar el propietario de la LUN.
Las LUN pueden, tambin, cambiar su propietario sin interrupcin, puesto que los
descriptores son persistentes.
Los servidores de origen y de destino deben utilizar procesadores del mismo fabricante. Si
los modelos de procesador no son estrictamente idnticos, Hyper-V puede enmascarar las
funciones que no sean comunes al conjunto de la plataforma. La opcin Migrar a un
equipo fsico con una versin de procesador distinta lo permite. Esta opcin debe
configurarse en la configuracin del procesador de la mquina virtual que se desea migrar.
b. Rplicas Hyper-V
Las Rplicas Hyper-V, incluidas con Windows Server 2012 e Hyper-V Server 2012,
permiten realizar una replicacin sncrona de las mquinas virtuales entre dos servidores
host Hyper-V en el marco de un plan de recuperacin de actividad. Esto permite, si
ocurriera algn incidente importante en el sitio principal, y gracias a la infraestructura
virtual replicada en el sitio secundario, retomar la carga de trabajo con una interrupcin
mnima del servicio.
Las Rplicas Hyper-V son independientes del hardware. La infraestructura del servidor
fsico no tiene por qu ser idntico en el sitio secundario, aunque el espacio de
almacenamiento del sitio secundario debe ser, al menos, equivalente al del sitio principal, y
tener un ancho de banda de red adecuado para soportar el trfico ligado a la replicacin.
Un servidor host que se comporte como servidor de rplica puede sincronizar las VM que
provengan de varios sitios primarios, y puede replicar una mquina virtual recibida en un
servidor primario hacia un servidor secundario de rplica una vez terminada la replicacin
inicial (Tiers Replica).
Debe realizarse una sincronizacin inicial. sta puede realizarse mediante:
La red de replicacin de rplicas Hyper-V.

EL uso de una copia de seguridad del servidor primario.
La exportacin y la importacin de la VM y su transporte mediante un disco USB
externo, por ejemplo.
La configuracin de las Rplicas Hyper-V se realiza en dos etapas, aunque es muy sencilla.
La primera etapa consiste en configurar los servidores para que acepten la replicacin. Para
ello, mediante el Administrador de Hyper-V, acceda a las propiedades del servidor y vaya
a la seccin Configuracin de la replicacin. Observe que es preciso configurar todos los
servidores Hyper-V que participan en la rplica
Es posible utilizar el protocolo HTTP con autenticacin Kerberos o HTTPS con
autenticacin basada en certificados. El primer mtodo, la combinacin de HTTP/Kerberos,
puede utilizarse entre servidores Hyper-V del mismo dominio o de dominios relacionados.
Observe que esta combinacin HTTP/Kerberos no encripta los datos, de modo que slo
debe utilizarse en una red de rea local, una red extendida dedicada y dotada de seguridad o
bien ser preciso encriptarla mediante IPsec. El segundo mtodo, la combinacin de
HTTPS/Certificado para una replicacin entre el servidor Hyper-V de dominio no aprobado
o en workgroup.
Si quiere utilizar HTTPS, tendr que utilizar un certificado vlido que debe tener el atributo
de uso mejorado de la clave (EKU) de autenticacin de cliente y servidor con clave privada,
el nombre FQDN del servidor debe estar presente como nombre principal o nombre
alternativo. Adems, el certificado de la entidad emisora de certificados debe ser conocido
y vlido.
Puede autorizar la replicacin a partir de todos los servidores autenticados o especificar el o

los servidores de origen. En el ltimo caso, ser posible definir carpetas de almacenamiento
diferentes para las mquinas virtuales.
Si el firewall de Windows est habilitado, tendr que activas las reglas Escucha HTTP de
rplica de Hyper-V (TCP de entrada) y/o Escucha HTTP de rplica de Hyper-V (TCP de
entrada) en el firewall con opciones de seguridad avanzadas. Adems, si replica las
mquinas virtuales hacia o desde el exterior de su red piense en abrir, y redirigir, el puerto
HTTPS (TCP 443) de su firewall.
La segunda etapa consiste en habilitar la replicacin en las mquinas virtuales afectadas.
Desde el Administrador de Hyper-V, haga clic con el botn derecho en la mquina virtual
y seleccione la opcin Habilitar replicacin en el men contextual.
He aqu la informacin solicitada en el asistente Habilitar replicacin:
El nombre del servidor de destino.

El tipo de autenticacin HTTP/Kerberos o HTTPS/Certificado.
Los discos virtuales que desea replicar.
El nmero del punto de recuperacin.
El mtodo para la replicacin inicial, con posibilidad de planificacin.
Una vez realizada la sincronizacin inicial, se realiza una replicacin continua asncrona
para replicar las modificaciones de la VM. Esta replicacin tiene lugar, por defecto, cada 5
minutos y este valor puede modificarse entre tres valores: 30 segundos, 5 minutos o 15
minutos.
c. Comparticin de discos virtuales (Shared VHDX)
Windows Server 2012 R2 presenta la funcionalidad de comparticin de discos virtuales con

formato VHDX (Shared VHDX), que permite compartir un disco duro virtual entre varias
mquinas virtuales. Esto permite crear un clster de disco nico para el qurum con
mquinas virtuales, o incluso un clster s SQL Server basado en mquinas virtuales, por
ejemplo.
Los requisitos previos son los siguientes:
Disponer, al menos, de dos servidores con Windows Server 2012 R2 (o Microsoft

Hyper-V Server 2012 R2).
Los servidores host deben estar en el mismo dominio de Active Directory.
Los servidores host deben tener los roles Hyper-V y Failover Clustering instalados.
Los servidores host deben poder acceder a un sistema de almacenamiento a nivel de
bloque, de tipo CSV o SoFS. Este almacenamiento puede estar alojado en zonas
ISCSI, Fibre Channel, Direct Attached (SAS) o en espacios de almacenamiento en
clster (Clustered Storage Space).
Las mquinas virtuales deben estar instaladas con Windows Server 2012 R2.
La funcionalidad de comparticin de disco duro virtual soporta nicamente discos virtuales

en formato VHDX de tamao fijo o dinmico. Los archivos VHDX a compartir deben
estar, obligatoriamente, almacenados en un CSV (Cluster Shared Volume) o en una
particin SoFS (Scale-Out File Server con SMB 3.0). Los discos duros virtuales
estn disponibles para las mquinas virtuales de generacin 1 y de generacin 2, siempre
que se cumplan los requisitos previos y el disco duro virtual compartido est asociado a un
controlador SCSI en el seno de las mquinas virtuales.
Para poder utilizar un disco virtual compartido, conviene, en primer lugar, crear un clster
de servidores Hyper-V, con Windows Server 2012 R2 o Hyper-V Server 2012 R2, con un
almacenamiento CSV o SoFS. Para ello, consulte el captulo que trata sobre la Alta
disponibilidad.
Una vez instalado el clster, tendr que crear un disco duro virtual, con formato VHDX y
almacenado en CSV o SoFS, y asociar las mquinas virtuales correspondientes. La creacin
del disco duro virtual es sencilla:
Abra la consola Administrador de Hyper-V y, en el panel Acciones, haga clic en Nuevo

y Disco duro y, a continuacin, haga clic en Siguiente para pasar la primera pantalla del
asistente de creacin de un disco virtual.
Los discos virtuales compartidos se soportan nicamente con formato VHDX, seleccione
VHDX y haga clic en Siguiente.
Los discos virtuales compartidos no soportan los discos de diferenciacin.
Un disco duro virtual de diferenciacin requiere la presencia de un disco duro virtual padre
que sirva como base, y contiene todas las diferencias que posea con su padre. Del mismo
modo que un disco AVHDX necesita un punto de control.
Seleccione el tipo de disco duro entre Tamao fijo o Tamao dinmico y, a

Indique el nombre del archivo as como su ubicacin. Esta puede tener el formato
"D:\SharedVD\" si se trata de un CSV, o formato UNC (en nuestro ejemplo
\\rdvh1\SharedVD\) con un SoFS. Haga clic en Siguiente para definir el tamao del disco
virtual y, a continuacin, haga clic de nuevo en Siguiente y en Finalizar.
He aqu la misma operacin con PowerShell mediante el comando New-VHD:
# Para un disco virtual de 40 GB de tipo dinmico almacenado en el

# recurso compartido\\rdvh1\SharedVD\.
New-VHD -Dynamic -Path \\rdvh1\SharedVD\SharedVolume.vhdx -SizeBytes 40GB
Tan slo queda asociar este disco virtual a las mquinas virtuales a las que est destinado, y
habilitar el recurso compartido. Para ello, mediante el Administrador de Hyper-V, edite los
parmetros de una de las mquinas virtuales y agregue el disco creado al controlador SCSI.
Haga clic en el pequeo icono "+" correspondiente al disco agregado y seleccione
Caractersticas avanzadas.
Marque la opcin Activar uso compartido de discos duros virtuales y, a continuacin,
haga clic en Aplicar y Aceptar.
Puede, tambin, crear un disco compartido con PowerShell mediante el cmdlet ADD-
VMHardDiskDrive:
# Para vincular un disco virtual en posicin (SCSI 0, Disk 1) con el

# parmetro "Compartir disco duro virtual", que se encuentra en el
# recurso compartido de tipo SoFS, a una mquina virtual
# llamada VM-Gen1.
Add-VMHardDiskDrive -VMName VM-Gen1 -ControllerType SCSI
-ControllerNumber 0 -ControllerLocation 1 -Path
\\rdvh1\SharedVD\SharedVolume.vhdx
-SupportPersistentReservations
# Observe que puede, tambin, utilizar el parmetro

# -ShareVirtualDisk que es un alias de
# -SupportPersistentReservations .
Slo queda asociar, del mismo modo, su disco duro compartido a otras mquinas virtuales,
y crear un clster compuesto de sus mquinas virtuales, por ejemplo.
5. SCVMM 2012 R2
SCVMM 2012 R2 (System Center Virtual Machine Manager) es necesario para administrar
los servidores Hyper-V con Windows Server 2012 R2. La instalacin del mdulo
complementario SCVMM 2012 R2 es muy sencilla y rpida de realizar. No cabe, por lo
tanto, sobrevalorar su aporte funcional en la administracin de la infraestructura. No
obstante, tendr que instalar previamente Windows ADK 8.1 (Windows Assessment and
Deployment Kit), puesto que es un requisito previo indispensable.
Las principales funcionalidades son:
Soporte de las caractersticas de Windows Server 2012 (mquina virtual de

generacin 2, redimensionamiento de disco en caliente, exportacin y clonado de
mquinas virtuales en caliente, etc.).
Centralizacin del despliegue y de la gestin de las mquinas virtuales para Hyper-
V, Virtual Server y VMware ESX.
Conversin P2P y P2V rpida y fiable, sin ninguna herramienta suplementaria.
Integracin con SCOM para la supervisin.
Optimizacin de los recursos y del rendimiento proporcionando desplazamientos y
una ubicacin de las mquinas virtuales teniendo en cuenta las funciones de red
TCP Chimney Offload y VMQ en las propuestas de ubicacin.
Administracin centralizada de una librera de componentes para las mquinas
virtuales.
Delegacin de ciertas tareas de administracin.
Integracin con los clsteres.
Automatizacin e industrializacin mediante scripts de PowerShell. SCBMM 2012
es completamente scriptable con PowerShell 4.0 (incluido en Windows Server 2012
R2). Los scripts PowerShell 3.0 estn soportados con ms del 90% de los cmdlets
de PowerShell en comn con PowerShell 4.0. En lo relativo a los scripts PowerShell
2.0, tendr que instalar la funcionalidad complementaria "Motor de Windows
PowerShell 2.0". Adems, sepa que dado que algunos cmdlets estn restringidos en
PowerShell 2.0, es preferible utilizar scripts PowerShell 3.0 o 4.0.
Administracin de varias soluciones de virtualizacin Microsoft (Virtual Server,
Hyper-V 1.0/2.0/3.0) y no Microsoft (Vmware ESX 3.5/4/5 a travs de Virtual
Center).
Generacin de informes acerca del estado de la infraestructura virtual.
Soporte de las migraciones de las VM ubicadas fuera de un clster hacia un clster,
y viceversa. Soporte de la migracin en caliente (live migration).
Soporte del almacenamiento dinmico en las VM en caliente (Windows
Server 2008 R2 como mnimo).
Soporte de las redes virtuales VMware ESX y de los grupos de puertos virtuales
(Windows Server 2008 R2 como mnimo).
Soporte del modo de mantenimiento (Windows Server 2008 R2 como mnimo). La
implementacin del mantenimiento de un host hace que las VM que hospeda se
pongan en pausa, impide la creacin de VM sobre el propio host, o el
desplazamiento de VM hacia el mismo.
No obstante, no es posible instalarlo sobre una edicin Core. Las nicas opciones reales que
tiene durante la instalacin son las relativas a la base de datos de SCVMM 2012 R2 y las
cuentas sobre las que se ejecutar el servicio SCVMM. Ya no es posible utilizar un motor
SQL Express 2008/2008 R2/2012, sino que tendr que utilizar, obligatoriamente, un
servidor SQL 2008 R2 SP2 o 2012:
Tiene dos posibilidades para administrar su entorno virtual con SCVMM 2012 R2:
Mediante su interfaz grfica, la Consola Virtual Machine Manager.

Mediante la extensin de PowerShell.
Antes de aprovisionar las mquinas virtuales, debera:
Declarar los servidores Hyper-V que quiere administrar (al menos uno).
Declarar las redes virtuales.
Crear las plantillas de los perfiles para las mquinas virtuales.
Agregar las imgenes ISO a la biblioteca.
Crear plantillas de discos duros virtuales.
La declaracin de redes virtuales se realiza desde las propiedades del servidor virtual:
De cara a simplificar y automatizar el despliegue de nuevas mquinas virtuales, es

posible definir distintos tipos de perfil: perfil de aplicacin, perfil de sistema operativo
invitado o incluso perfil SQL Server. Los perfiles de hardware permiten utilizar las
plantillas de configuracin en lugar de configurar manualmente los recursos para cada VM.
Ms all de la ganancia en eficacia a la hora de crear una VM, esto permite mantener una
consistencia en la configuracin entre dos mquinas virtuales, ganando, as, en calidad.
Para gestionar los perfiles de hardware, vaya a Biblioteca y, a continuacin, Perfiles.
Un perfil incluye los siguientes parmetros:

Agregar imgenes ISO consiste simplemente en copiar archivos ISO en la carpeta
compartida de la biblioteca SCVMM.
Tras una actualizacin de la biblioteca, Virtual Machine Manager indexa los archivos
registrados en las carpetas compartidas de la biblioteca, y a continuacin actualiza la vista
Biblioteca y la lista de recursos. No todos los archivos estn indexados y no todos los
archivos aparecen en la vista Biblioteca. El contenido de la biblioteca se refresca
automticamente por defecto cada hora. El tipo de contenido que se indexa es el siguiente:
discos duros virtuales: .vhdx y .vhd (Hyper-V, Virtual Server), .vmdk (VMware).
disquetes virtuales: .vfd (Virtual Server), .flp (VMware).
Imgenes ISO: .ISO.
archivos de respuesta: .ps1 (Windows PowerShell); .inf o .xml.
plantillas VMware: .vmtx.
Los siguientes tipos de archivos de configuracin tambin se indexan, aunque no se

agregan a la biblioteca como recursos:
Hyper-V: .exp (formato para exportar), .vsv (estado almacenado), .bin.

Virtual Server: .vmc (configuracin de la mquina virtual), .vsv (estado
almacenado).
VMware: .vmtx (configuracin de la mquina virtual), .vmx (formato de
exportacin).
Los discos duros virtuales, imgenes ISO y disquetes virtuales asociados a un
equipo virtual.
La administracin de las mquinas virtuales puede realizarse mediante PowerShell, lo que

abre las puertas necesarias a las planificaciones, automatizaciones y procesamientos
masivos.
He aqu algunos ejemplos de comandos PowerShell:
Recuperar una cuenta de acceso:
$Credential = get-credential
Recuperar el identificador del grupo "Todos los equipos host":
$VMHostGroup = Get-VMHostGroup -VMMServer localhost | where

{$_.Path -eq "Todos los equipos host"}
Agregar el recurso Hyper-V:
Add-VMHost -VMMServer localhost -ComputerName

"hyperv.miempresa.priv" -Description "" -Credential
$Credential -RemoteConnectEnabled $true -VmPaths "E:\VMDATA"
-Reassociate $false -RunAsynchronously -RemoteConnectPort
2179 -VMHostGroup $VMHostGroup
Declarar un nuevo adaptador de red virtual:
New-VirtualNetworkAdapter -VMMServer localhost -JobGroup

e4c2dfd1-0091-4a2a-992f-3406cfe833eb -PhysicalAddressType
Dynamic -VirtualNetwork "Net_LAN" -VLanEnabled $false
Declarar un nuevo lector de DVD virtual:
New-VirtualDVDDrive -VMMServer localhost -JobGroup e4c2dfd1-

0091-4a2a-992f-3406cfe833eb -Bus 1 -LUN 0
Utilizar un tipo de procesador ya existente:
$CPUType = Get-CPUType -VMMServer localhost | where {$_.Name

-eq "3.07 GHz Xeon"}
Declarar un nuevo perfil de hardware para las VM:
New-HardwareProfile -VMMServer localhost -Owner

"MIEMPRESA\administrador" -CPUType $CPUType -Name
"Profil11d45f28-11b9-414b-aca0-ce8fbf6b9081"
-Description "Configuracin de hardware para
crear una mquina virtual/plantilla" -CPUCount 2
-MemoryMB 512 -RelativeWeight 100 -HighlyAvailable $false
-NumLock $false -BootOrder "CD", "IdeHardDrive",
"PxeBoot", "Floppy" -LimitCPUFunctionality $false
-JobGroup e4c2dfd1-0091-4a2a-992f-3406cfe833eb
Recuperar un perfil de hardware existente:
$HardwareProfile = Get-HardwareProfile -VMMServer

localhost | where {$_.Name -eq "Profil11d45f28-11b9-
414b-aca0-ce8fbf6b9081"}
Declarar un nuevo disco virtual:
New-VirtualDiskDrive -VMMServer localhost -IDE -Bus 0

-LUN 0 -JobGroup e4c2dfd1-0091-4a2a-992f-3406cfe833eb
-Size 40960 -Dynamic -Filename "PRD-DOM-WEB01_disco_1"
Recuperar un sistema operativo existente:
$OperatingSystem = Get-OperatingSystem -VMMServer

localhost | where {$_.Name -eq "64-bit edition of
Windows Server 2008 Standard"}
Recuperar un servidor Hyper-V:
$VMHost = Get-VMHost -VMMServer localhost | where

{$_.Name -eq "hyperv.miempresa.priv"
Declarar una nueva mquina virtual:
New-VM -VMMServer localhost -Name "PRD-DOM-WEB01"

-Description "Servidor WEB IIS en el dominio" -Owner
"MIEMPRESA\administrador" -VMHost $VMHost -Path "E:\VMDATA"
-HardwareProfile $HardwareProfile -JobGroup e4c2dfd1-
0091-4a2a-992f-3406cfe833eb -RunAsynchronously
-OperatingSystem $OperatingSystem -RunAsSystem
-StartAction TurnOnVMIfRunningWhenVSStopped -DelayStart 0
-StopAction ShutdownGuestOS
Los comandos New-HardwareProfile y New-VM ejecutan el grupo de comandos que

poseen el mismo JobGroup. Si desea ms informacin acerca de los JobGroups consulte la
siguiente pgina: http://technet.microsoft.com/es-es/library/hh875035.aspx
Si desea administrar clsteres Hyper-V con SCVMM, he aqu algunas consideraciones:
Si agrega almacenamiento sobre un clster e inmediatamente desea agregar

mquinas virtuales sobre este almacenamiento, asegrese previamente de que el
clster se ha refrescado en SCVMM para tener en cuenta este nuevo
almacenamiento.
La creacin/supresin de los clsteres no puede hacerse en SCVMM.
Los clsteres que no estn en un dominio de confianza no pueden administrarse con
SCVMM.
La optimizacin de los recursos puede administrarse en funcin de los siguientes

parmetros:
Este conjunto de criterios se utiliza a continuacin para sugerir el lugar donde almacenar y
desplazar las mquinas virtuales a travs de una configuracin en estrella.
SCVMM permite a su vez administrar la asignacin de direcciones MAC a las mquinas

virtuales. Por defecto, se define un rango, aunque puede modificarse en caso de problema:
Esto no es sino una pequea introduccin de las posibilidades de System Center - Virtual
Machine Manager 2012, este producto necesitara un libro entero para poder dominarlo con
destreza.
6. Actualizaciones de Windows
Con el objetivo de facilitar la instalacin de las actualizaciones de Windows, Microsoft

proporciona una herramienta complementaria a SCVMM, el Offline Virtual Machine
Servicing 2012. El objetivo de esta herramienta es iniciar las mquinas virtuales sobre una
red aislada (preferentemente), iniciar las actualizaciones de Windows, y apagar la mquina
virtual, incluyndola de nuevo en la biblioteca. Necesita por un lado SCVMM, y por otro
un servidor WSUS local (gratuito) o SCCM 2012 R2. Puede descargarse en la siguiente
direccin: http://www.microsoft.com/en-us/download/details.aspx?id=30470
Esta herramienta se proporciona para 32 y 64 bits.
Se recomienda su uso en infraestructuras virtuales consecuentes con un nmero importante

de mquinas virtuales detenidas, o para entornos donde la seguridad es un factor
importante. Antes de decidir utilizar o no esta herramienta, he aqu algunos puntos que
debera considerar:
Las VM deben estar configuradas para utilizar el servidor WSUS mediante GPO u
otro (no considerado en esta herramienta), o tener el cliente SCCM instalado y
configurado.
WSUS o SCCM deben estar configurados previamente para que las actualizaciones
estn aprobadas en el despliegue de estas VM.
Las VM deben estar en DHCP, o tener una configuracin de red funcional en la red
de actualizaciones.
Si se van a actualizar ms de 20 mquinas virtuales con esta herramienta, se
recomienda que la infraestructura en torno a la misma sea fsica y no virtual
(servidor WSUS, SCVMM...).
Funciona a la vez sobre una infraestructura Hyper-V y Virtual Server 2005.
Todos los servidores fsicos y las mquinas virtuales deben formar parte del
dominio Active Directory, con el servicio DNS instalado y configurado.
He aqu un ejemplo de arquitectura:

Conclusin
Para concluir, ahora conoce qu puede aportarle la virtualizacin, con la condicin de tener
en cuenta sus especificidades. Si, como ocurre cada vez con ms administradores, observa
una ventaja clara al virtualizar, debe realizar una prueba de concepto para validar sus
hiptesis. Segn su contexto, la complejidad de este tipo de proyecto puede variar de forma
importante y debe estar preparado en consecuencia. Como se indica en la introduccin,
piense a lo grande pero comience dando pequeos pasos para poder tener un aumento de
carga controlado.
Introduccin
Este captulo est dedicado al despliegue de servidores y puestos de trabajo. Contar con una
plantilla de instalacin automatizada supone una ganancia importante en la productividad y
en la calidad. La instalacin de servidores tiene poco valor aadido aunque debe hacerse
siempre de la misma forma, con las mismas versiones de componentes, para tener
coherencia entre todos los sistemas. Un despliegue comprende como mnimo el sistema
operativo, pero tambin generalmente el conjunto de controladores, herramientas del
sistema, o incluso el conjunto de aplicaciones necesarias.
La automatizacin de este proceso cobra mayor sentido con la virtualizacin, y los entornos
"a la carta". La preparacin de este despliegue es un aspecto muy importante para el xito
de su proyecto. La tecnologa no supone ningn inconveniente, no hay ningn motivo para
no usarla!
Preparar bien el despliegue planteando

una buena estrategia
La preparacin es la fase crtica del proyecto. Para no olvidar nada y acelerar su despliegue,
Microsoft proporciona diferentes herramientas adaptadas a su contexto. Al finalizar esta
etapa, usted habr determinado el permetro, el tipo de licencias y ediciones de Windows, el
plan de despliegue as como la infraestructura necesaria para conseguirlo.
1. Definir el permetro
Como en todo proyecto, el permetro es aqu un elemento clave. Debera definir lo que es
"obligatorio" y lo que es "opcional". Para llevar a cabo esta reflexin, he aqu una lista de
elementos que pueden integrarse en su proyecto:
Slo servidores o tambin puestos cliente?

Qu versiones y ediciones de Windows se desea incluir?
Hace falta gestionar varios idiomas?
Qu nomenclatura desea adoptar para los sistemas desplegados?
Quin va a desplegar estas imgenes? La implementacin debera estar
completamente automatizada?
Qu hardware (y controladores) desea incluir?
Qu actualizaciones deben/pueden estar presentes tras el despliegue?
Qu herramientas o aplicaciones forman parte del ncleo comn y pueden estar
presentes tras el despliegue? Puede hacer una instalacin genrica y automatizada
de estas aplicaciones?
Es necesario crear varias imgenes de despliegue con distintas opciones o basta
con una sola? Hace falta una imagen especfica para los entornos virtuales?
Todos los equipos a desplegar estn sobre la red local y en el dominio? Hace falta
poder instalar una imagen desde un DVD?
Ya utiliza SCCM 2012 SP1 CU3 o SCCM 2012 R2 (System Center Configuration
Manager)?
Cmo piensa administrar las licencias asociadas a los sistemas operativos? Utiliza
licencias por volumen?
La respuesta a esta lista de preguntas cubre gran parte del permetro. Las decisiones que
ms impactarn al proyecto de despliegue son:
el uso de SCCM 2012 SP1 o SCCM 2012 R2, que permiten realizar un despliegue
"zero touch";
la integracin de aplicaciones en la imagen;
la eleccin del modo de transporte para el despliegue (red u otro).
El hecho de incluir ms o menos tipos de hardware slo tiene impacto en el tiempo

necesario para incluir los controladores adecuados. Se habr dado cuenta de que se ha
empleado el trmino "imagen" para designar al mtodo de despliegue. Se trata, en efecto,
de construir un modelo de servidor que se va a capturar en forma de imagen y a volver
genrico. Esto hace que la integracin de las aplicaciones en el despliegue sea una tarea
muy sencilla, siempre y cuando su instalacin sea genrica. Esta imagen puede desplegarse
a continuacin mediante diversos medios, a travs de la red o mediante un DVD.
2. Administracin de las licencias
Presentado con Windows Vista y Windows Server 2008, Windows 8.1 y Windows
Server 2012 R2 pueden utilizar el servicio de administracin de licencias por volumen:
KMS (Key Management Service) para la activacin de Windows. Se trata de un servicio de
infraestructura que debe implantar en su red para administrar las licencias de sus servidores
y puestos de trabajo. Si no implementa este servicio, cada equipo tendr que conectarse de
forma individual a Microsoft a travs de Internet para activarse. La activacin mediante del
servicio KMS permite no tener que conectarse a Microsoft para activar Windows, y esta
activacin es vlida por 6 meses. Pasado este periodo, el sistema tiene que activarse de
nuevo por un periodo de 180 meses ms conectndose a su red. KMS puede implementarse
a partir de 25 licencias Windows 8.1 o 5 licencias Windows Server 2012 R2. El servicio
KMS puede, tambin, activar Microsoft Office 2010 y 2013.
La instalacin de KMS es tan sencilla como introducir la clave KMS, pues el servicio de
Windows asociado ya est instalado y activo por defecto (se trata del Servicio de licencias
de software):
cscript C:\windows\system32\slmgr.vbs /ipk claveKMS
A continuacin, el servidor debe validar esta clave con Microsoft. Este proceso tiene lugar
una sola vez cada vez que se agrega una clave. Si el servidor tiene acceso a Internet:
cscript C:\windows\system32\slmgr.vbs /ato
En caso contrario, podr realizar la activacin telefnicamente ejecutando el comando

slui.exe 4.
Para detectar el servidor KMS, Windows utiliza el DNS, un recurso SRV en particular. Si
las actualizaciones dinmicas de DNS estn autorizadas, el servicio crea automticamente
los registros DNS adecuados. Si su entorno no las autoriza, podr configurar KMS para que
deje de intentar crear el registro SRV ejecutando el comando:
cscript %systemroot%\system32\slmgr.vbs /cdns
El recurso SRV puede crearse de forma manual con los siguientes parmetros:
Servicio: _VLMCS
Protocolo: _TCP
Puerto: 1688
Host que ofrece el servicio: FQDN del host
Si el servicio DNS no est disponible desde el cliente, podr especificar de forma manual la
direccin IP del servidor KMS que desee utilizar mediante el comando:
cscript %systemroot%\system32\slmgr.vbs /skms X.X.X.X:1688
Si existe un firewall entre los equipos a activar y el servidor KMS, el puerto TCP 1688 (por
defecto) tiene que estar abierto (del lado cliente nicamente).
Si desea cambiar el puerto TCP es preciso modificar la siguiente clave tanto en el servidor
KMS como en los clientes:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL
Nombre: KeyManagementServicePort
Tipo: REG_SZ
Valor: XXXX (valor que representa el nuevo puerto de escucha TCP).
Para conocer el nmero de licencias que actualmente se estn utilizando en su KMS, puede
ejecutar el siguiente comando:
cscript %systemroot%\system32\slmgr.vbs /dli
Si no desea utilizar KMS sino que prefiere activar de forma masiva sus sistemas Windows,
puede utilizar VAMT (Volume Activation Management Tool). Puede descargar esta
herramienta desde MDT 2012, en el nodo Componentes.
3. Seleccionar la edicin y el tipo de instalacin
A diferencia de Windows Server 2008/2008 R2, donde cada pareja edicin/tipo de

instalacin (completa o mnima) requera una nueva imagen de despliegue, Windows
Server 2012 R2 slo necesita dos. Una para la edicin Estndar y otra para la edicin
Datacenter. Los servidores virtuales se instalarn, generalmente, con ediciones Estndar de
Windows Server.
El primer motivo es que la interfaz grfica puede, ahora, instalarse o desinstalarse con total
sencillez. Se ha convertido en una caracterstica ms. Ya no hay, por lo tanto, necesidad de
tener una imagen particular para una instalacin mnima.
El segundo motivo reside en el hecho de que ya no existe ninguna diferencia entre la

edicin Estndar y Datacenter con Windows Server 2012 R2. Ya no es preciso tener que
recurrir a la edicin Enterprise (que no existe con Windows Server 2012) o a la edicin
Datacenter para aprovechar la funcionalidad de Failover Clustering, por ejemplo, como era
el caso con Windows Server 2008/2008 R2.
Existe, en resumen, una menor cantidad de imgenes que gestionar, lo cual supone una
buena noticia.
Crear y ejecutar el despliegue

Esta seccin cubre la creacin y el despliegue de los sistemas operativos, tanto de clientes
como de servidores. Microsoft Deployment Toolkit es la herramienta central, que enriquece
las herramientas nativas mediante una interfaz amigable y un emplazamiento nico donde
alojar todos los datos necesarios para los despliegues. Proporciona dos mtodos: Lite Touch
y Zero Touch
1. Microsoft Deployment Toolkit (MDT 2013)
Microsoft pone a su disposicin de forma gratuita una herramienta que le permitir acelerar
su proyecto de despliegue, MDT 2013. ste soporta Windows 7 y Windows Server 2012
R2, gracias a WADK para Windows 8.1. MDT 2013 soporta, tambin, Office 2010, Office
365 y Zero-Touch Integratio (ZTI) con System Center 2012 R2. Observe que MDT 2013
no permite instalar Windows XP, Windows Vista, Windows Server 2003/2003 R2 o
incluso Windows Server 2008, para trabajar con estos sistemas operativos tendr que
utilizar MDT 2012 SP1 CU2 con WADK para Windows 8 o WAIK para Windows 7.
MDT utiliza varios componentes, como WADK para Windows 8.1 (Windows Assessment
and Deployment Kit), que soporta desde Windows 7 SP1 y Windows Server 2008 R2 hasta
Windows 8.1 y Windows Server 2012 R2. WADK para Windows 8.1 necesita,
obligatoriamente, MDT 2013 para funcionar. Est disponible en la siguiente direccin:
http://www.microsoft.com/es-es/download/details.aspx?id=39982
WADK y WAIK son dos componentes bastante similares. Contienen un conjunto de

herramientas que permiten personalizar y desplegar Windows a gran escala. Sus verdaderas
diferencias son:
las versiones de Windows soportadas, de Windows XP SP3 a Windows 7 para

WAIK, y de Windows 7 a Windows 8.1 para WADK.
la versin de MDT soportada, MDT 2012 sp1 para WAIK, y MDT 2013 para
WADK.
He aqu una lista no exhaustiva de las herramientas que contienen WAIK y WADK:
User State Migration Tool (USMT): esta herramienta permite migrar datos de un
perfil de usuario a otro.
Application Compatibility Toolkit (ACT): aplicacin que permite detectar
eventuales problemas de compatibilidad de sus aplicaciones y drivers antes de
realizar una actualizacin de Windows.
Volume Activation Management Tool (VAMT): herramienta que permite
gestionar y centralizar la activacin de Windows en la red.
Herramientas de modificacin de imagen: ImageX, que permite capturar y aplicar
las imgenes WIM, DISM, que permite modificar una imagen WIM...
Windows Preinstallation Environment (Windows PE): ofrece un entorno
personalizable de instalacin de Windows.
Una vez instalados MDT 2013 y WADK, la interfaz de administracin se encuentra en la

pantalla de inicio de Windows, Deployment Workbench. Los componentes
complementarios pueden descargarse desde la misma consola en la pestaa Components:
Es preciso descargar, al menos, el componente Windows Assessment and Deployment
Kit para Windows 8.1 (tambin llamado WADK), en 32 o 64 bits dependiendo de su
entorno de trabajo. MDT est disponible nicamente en ingls, y descargar dicho
componente en ingls. Para descargar la edicin espaola, basta con ir a la siguiente
direccin: http://www.microsoft.com/es-es/download/details.aspx?id=39982
Cuando alguno de los componentes no est presente, no funcionar ninguna de las

funcionalidades del rbol Deployment Share. MDT controla WADK para asistirle en la
implementacin y no puede funcionar sin l. Descargndolo, obtiene tambin Windows PE.
Una vez instalado WADK, el rbol Deployment Shares permite crear un espacio de
trabajo. Para ello, basta con hacer clic con el botn derecho, seleccionar la opcin New
Deployment Share. La ubicacin seleccionada debe tener suficiente espacio para contener
las fuentes y las imgenes generadas.
A continuacin, podemos alimentar cada mdulo de este espacio de trabajo:
Applications: contendr las aplicaciones incluidas en el despliegue.

Operating Systems: contendr los archivos fuentes de los sistemas operativos.
Out-of-Box Drivers: contendr los controladores suplementarios necesarios.
Packages: contendr las actualizaciones de Windows que desee integrar.
Task Sequences: permite crear un escenario a partil de elementos de los mdulos.
Advanced Configuration: permite crear un medio (DVD...), guardar una traza de
los despliegues en una base de datos SQL o administrar las rplicas del punto de
distribucin.
Las siguientes etapas son:
Agregar los sistemas operativos (desde su DVD...).

Agregar las aplicaciones (instalacin silenciosa...).
Agregar las actualizaciones de Windows.
Agregar los controladores.
Crear una secuencia de acciones a realizar.
Crear una base de datos para inventariar las mquinas desplegadas.
Es muy sencillo agregar sistemas operativos. Una vez importado el CD o DVD, aparecer
de la siguiente manera:
Observe que la lista comprende a la vez Windows Server 2012 R2 y Windows 8.1. MDT
2013 tambin permite desplegar Windows Server 2008 R2, Windows Server 2012 R2,
Windows 8 y Windows 7.
Agregar una aplicacin mediante el nodo Applications le permitir instalar aplicaciones

post-despliegue. Se trata de instalaciones silenciosas, de archivos MSI, etc. A continuacin
podr integrarlas en las secuencias de instalacin. Estn disponibles las siguientes
propiedades:
La seleccin Application bundle permite agrupar las aplicaciones. La agregacin de
actualizaciones de Windows se realiza mediante el nodo Packages. Es tan sencillo como
indicar la carpeta que las contiene (archivos .cab y .msu). Por defecto, pertenecen al grupo
All Packages. Puede agregar grupos personalizados para filtrar las actualizaciones en las
secuencias de instalacin. El apartado Out-of-Box Drivers contendr todos sus
controladores. Basta con indicar la carpeta que los contiene (archivos .inf). Puede clasificar
los elementos de cada apartado en carpetas y subcarpetas.
El nodo Task Sequences es la pieza clave de la aplicacin. Permite articular todos los
elementos para crear los escenarios de instalacin. Durante la instalacin de una secuencia
slo es posible indicar las opciones bsicas:
Un identificador nico, un ttulo y una descripcin.

Una mscara de secuencia.
Un sistema operativo de entre la lista del apartado Operating Systems.
Indicar o no el nmero de serie (periodo de prueba que expira).
El nombre y la pgina por defecto de Internet Explorer.
La contrasea del Administrador local (o que se solicitar tras el primer inicio de
sesin).
Una vez creada, hay que abrir las propiedades de la secuencia, en la pestaa Task
Sequence, para descubrir toda la capacidad real de las secuencias:
Las opciones estn agrupadas por temtica:
General
Ejecutar una lnea de comando.

Ejecutar un script PowerShell.
Asignar un valor a una variable.
Reiniciar.
Recoger informacin.
Instalar actualizaciones tras el primer arranque.
Validar.
Instalar una o varias aplicaciones presentes en el nodo Applications.
Instalar controladores.
Ejecutar un Runbook System Center Orchestrator.
Discos
Particionar y formatear un disco.
Activar BitLocker.
Crear discos virtuales VHD.
Imgenes
Instalar un sistema operativo.
Configuracin
Aplicar una configuracin de red (IP, DNS, WINS).

Capturar la configuracin de red existente.
Roles
Instalar y configurar roles y caractersticas. Las posibilidades varan segn el

sistema operativo a instalar.
Configurar el servidor DHCP, DNS, Active Directory, y por ltimo autorizar a
DHCP.
Los posibles escenarios son muy amplios durante el despliegue:
Copia de seguridad o no de los perfiles de usuarios locales sobre una particin en

red (con restauracin).
Capturar la configuracin de red antes de la reinstalacin, y a continuacin
restaurarla.
Instalacin y configuracin de roles.
Administracin de BitLocker con su configuracin:
Medio de almacenamiento (TPM, USB, ambos).

Creacin de una clave de recuperacin en Active Directory.
Esperar a que termine la encriptacin antes de continuar.
Instalacin de las actualizaciones de Windows.
A continuacin queda por definir un punto de despliegue en el apartado Deploy -

Deployment Points. Las posibilidades son:
La particin local a la mquina donde se ejecuta MDT 2013.

Una particin local o remota que contenga un nico juego de configuracin.
Un medio de almacenamiento extrable (DVD, USB).
Una integracin con SCCM 2012 R2 o versiones anteriores.
Las secuencias se almacenan en la subcarpeta Control del recurso compartido creada

anteriormente, con la siguiente arborescencia:
En la raz:
Bootstrap.ini: archivo de configuracin cuando la mquina que se despliega no

puede conectarse a un punto de despliegue.
CustomSettings.ini: archivo de configuracin comn a todas las secuencias.
{Nmero de secuencia}
TS.xml: contiene metadatos relacionados con la secuencia.

Unattend.xml: contiene los valores para el sysprep.
El despliegue desde un medio porttil es el ms bsico, aunque es muy eficaz cuando la

conectividad de la red est limitada. En la carpeta de destino encontrar una imagen ISO de
arranque, LiteTouchPE_x86.iso o LiteTouchPE_x64.iso segn su entorno.
Windows PE es el entorno de preinstalacin de Windows. Se trata de un sistema Windows

muy ligero que permite ejecutar un conjunto de herramientas para desplegar un sistema
operativo Windows. La imagen WIM generada con MDT utiliza Windows PE. En este tipo
de entornos el motor vbscript est disponible. Las pantallas grficas MDT son vbscript y
HTA (HTML Applications). Al tener los archivos en memoria, Windows PE puede
particionar y formatear todo el espacio de almacenamiento disponible, en especial la
particin de sistema. Ciertas herramientas, como USMT e ImageX, funcionan en este tipo
de entorno, lo que permite realizar una copia de seguridad de los datos del equipo antes de
su reinstalacin, por ejemplo. La versin actual es la 4.1 que se corresponde con Windows
8 y Windows Server 2012 R2.
He aqu un ejemplo del entorno que proporciona MDT:

2. Lite Touch
La solucin Lite Touch le permite industrializar el despliegue sin tener que disponer de la
infraestructura de gestin de Microsoft, System Center Configuration Manager 2012 R2. La
solucin es sencilla de implantar pero mantiene su eficacia, pues utiliza el motor de
secuencia de esta ltima en versin autnoma. El despliegue debe iniciarse de forma
manual, pero se le guiar mediante pantallas grficas para llevarlo a cabo.
Ms all del uso de una imagen ISO como se ha visto anteriormente, es posible realizar el
despliegue a travs de la red utilizando WDS (cuya instalacin se cubre ms adelante). A
continuacin, debe especificar en CustomSettings.ini la variable
DeployRoot=\\%WDSServer%\DeploymentShare$, en la seccin [Default].
Tiene que reemplazar DeploymentShare$ por el nombre de su recurso compartido si no ha

dejado el nombre por defecto. A continuacin tiene que actualizar el punto de distribucin
haciendo clic con el botn derecho encima de l y a continuacin seleccionar Update
Deployment Share. Basta con:
Importar ambas imgenes WIM en WDS;

arrancar una mquina mediante PXE.
Tambin es posible utilizar el modo multicast para el despliegue:
Antes de desplegar una imagen se plantean varias preguntas a travs de la interfaz grfica.
Es posible aumentar la automatizacin, evitndolas. Para ello tendr que proporcionar la
respuesta a estas preguntas en el archivo CustomSettings.ini. He aqu las etapas que
pueden evitarse si las siguientes variables se informan a YES (en maysculas) en el archivo
CustomSettings.ini, seccin [Default]. A cada pantalla le corresponde una variable para
omitirla y una o varias variables para informar los datos solicitados por pantalla:
SkipAdminPassword: no solicitar la contrasea del administrador local.
Automatizar mediante AdminPassword=micontraseadeadministrador. La con-

trasea se almacenar sin encriptar en el archivo, debera, por tanto, cambiar de
contrasea posteriormente. Del mismo modo se recomienda cambiarla regularmente
en el conjunto de sus equipos.
SkipApplications: omitir la etapa que propone instalar aplicaciones.
Automatizar mediante Applications001={GUID de la aplicacin que se encuentra

en control\Applications.xml}
SkipAppsOnUpgrade: omitir la etapa de instalar aplicaciones si se trata de una
actualizacin.
SkipBDDWelcome: omitir la pantalla de bienvenida.
SkipBitLocker: omitir BitLocker.
SkipBitLockerDetails: omitir la configuracin de BitLocker.
SkipTaskSequence: omitir la seleccin de la secuencia.
Automatizar mediante TaskSequenceID={Identificador de la secuencia}
SkipCapture: omitir el uso de captura.
Automatizar mediante DoCapture=NO|YES|PREPARE
SkipComputerBackup: omitir la copia de seguridad del equipo.
Automatizar mediante ComputerBackupLocation=NETWORK|AUTO|NONE
NETWORK hace una copia de seguridad en la red.

AUTO hace una copia de seguridad local si hay suficiente espacio en disco, en caso
contrario la realiza en la red.
NONE no hace ninguna copia de seguridad.
Si desea realizar una copia de seguridad sobre la red, es preciso utilizar estas dos variables:
BackupShare=\\DC2012\Backup$
BackupDir=%ComputerName%
Para que funcione la copia de seguridad, es preciso asignar los siguientes permisos en el
recurso compartido utilizado:
Objeto equipos y usuarios de dominio con permisos de creacin de carpetas y

agregacin de datos.
Propietario con permisos de control total
SkipComputerName: no solicitar el nombre de equipo.
Automatizar mediante ComputerName=%SerialNumber% , por ejemplo.
SkipDeploymentType: no solicitar el tipo de despliegue.
Automatizar mediante DeploymentType=NEWCOMPUTER. Puede tomar los

valores NEWCOMPUTER, REFRESH, REPLACE, UPGRADE
SkipDomainMembership: omitir la opcin de unir el equipo a un dominio.
Automatizar mediante JoinDomain=MIEMPRESA. Las variables adicionales son:
MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
DomainAdmin=Administrador
DomainAdminDomain=MIEMPRESA
DomainAdminPassword=contraseacompleja
Dado que la contrasea se almacena sin encriptar, debera utilizar una cuenta que slo tenga
permisos para incluir equipos en el dominio.
SkipFinalSummary: omitir la ventana final de resumen de la secuencia.
SkipLocaleSelection: omitir la eleccin de parmetros regionales.
Automatizar mediante:
KeyboardLocale=es-ES (incluir tambin esta variable en bootstrap.ini para tener el teclado

configurado en espaol durante la instalacin).
UserLocale=es-ES y UILanguage=es-ES
SkipPackageDisplay: omitir la opcin de realizar un paquete complementario.
SkipProductKey: no solicitar el nmero de serie.
SkipSummary: omitir el resumen.
SkipTimeZone: no solicitar la zona horaria.
Automatizar mediante TimeZoneName=TimeZoneName=Romance

StandardTime.
SkipUserData: omitir la opcin de realizar una copia de seguridad de los perfiles de

usuario.
Automatizar mediante UserDataLocation=NETWORK|AUTO|NONE.
NETWORK hace una copia de seguridad en la red.

AUTO hace una copia de seguridad local si hay suficiente espacio en disco, en caso
contrario la realiza en la red.
NONE no hace ninguna copia de seguridad.
Si desea realizar una copia de seguridad sobre la red, es preciso utilizar estas dos variables:
UDShare=\\DC2012\Profiles$
UDDir=%ComputerName%
Por ltimo, para informa la cuenta que se utilizar para acceder al recurso compartido que
contiene los recursos MDT:
USERID=Administrador
UserPassword=contraseacompleja
UserDomain=MIEMPRESA
Su archivo CustomSettings.ini podra tener el siguiente aspecto:
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
SkipBDDWelcome= YES
SkipCapture=YES
SkipAppsOnUpgrade=YES
SkipFinalSummary=YES
SkipPackageDisplay= YES
SkipProductKey=YES
SkipSummary=YES
USERID=Administrador
UserPassword=contraseacompleja
UserDomain=MIEMPRESA
SkipComputerBackup=YES
ComputerBackupLocation= NONE
SkipAdminPassword=YES
AdminPassword=micontraseadeadministradorlocal
SkipApplications=YES
Applications001={73823faf-bb78-4491-a053-b47afb5553c4}
SkipTaskSequence=YES
TaskSequenceID= 001
SkipComputerName=YES
ComputerName=%SerialNumber%
SkipDeploymentType=YES
DeploymentType=NEWCOMPUTER
SkipDomainMembership=YES
JoinDomain=MIEMPRESA
MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
DomainAdmin=Administrador
DomainAdminDomain=MIEMPRESA
DomainAdminPassword=contraseacompleja
SkipLocaleSelection=YES
KeyboardLocale=es-ES
UserLocale=es-ES
UILanguage=es-ES
SkipTimeZone=YES
TimeZoneName=Romance Standard Time"
SkipUserData=YES
UserDataLocation=NONE
DeployRoot=\\DC2012\DeploymentShare$
La integracin con WSUS est prevista en MDT.
Por defecto, la mquina intentar conectarse a los servidores Microsoft Windows Update en
Internet. Si tiene un servidor WSUS, puede indicrselo a MDT agregando la variable
WSUSServer=http://miservidor en el archivo Custom- Settings.ini. Si especifica un
servidor WSUS pero el cliente no est actualizado, MDT intentar descargarlo desde
Internet.
Slo queda activar las dos etapas de Windows Update en la secuencia (Pre y Post), pues
estn desactivadas por defecto:
Otro enfoque consiste en desplegar totalmente un equipo, configurarlo completamente
instalando por ejemplo las aplicaciones y las actualizaciones, y a continuacin capturarlo
con Lite Touch. sta ser su imagen de referencia, que le bastar para desplegar haciendo
un sysprep. Sysprep permite hacer nico un equipo, en lo que respecta a su nombre y su
SID (Security IDentifier). Por este motivo no puede asociarlo a un dominio Active
Directory durante la fase de captura. La fase de sysprep se incluye automticamente en
MDT (fase Copy sysprep files). Un aspecto que requiere especial atencin durante una
captura con Lite Touch es el uso del antivirus, que puede presentar problemas.
La migracin de perfiles de usuario se realiza mediante el componente USMT (User State

Migration Tool). No es necesario instalarlo en el servidor de despliegue. USMT 5.0 incluye
WADK 1.0.
MDT ofrece la posibilidad de inventariar todas las mquinas desplegadas en una base de
datos SQL Server. Si lo desea, puede utilizar una base de datos SQL Express 2012. Esta
versin de SQL Server es gratuita y basta para cubrir esta necesidad. Puede
descargarla desde la pgina Web de Microsoft: http://www.microsoft.com/es-
es/download/details.aspx?id=29062
3. WDS
La instalacin del rol WDS es muy sencilla. Como requisito previo debe disponer de los
servicios DNS y DHCP sobre la red, as como una particin NTFS para el almacenamiento.
Para instalar el rol puede utilizar el Administrador del servidor o hacerlo directamente
mediante el cmdlet PowerShell siguiente:
Install-WindowsFeature -Name WDS -IncludeAllSubFeature

-IncludeManagementTools
Se instalan tres componentes:
Servidor de despliegue: se trata del componente principal.

Servidor de transporte: este componente puede instalarse solo en un entorno
restringido (sin Active Directory, DHCP, DNS...). Tambin lo utiliza el componente
principal.
Herramientas de los servicios de despliegue de Windows: componentes de
administracin.
Una vez instalado el rol, puede gestionar WDS mediante PowerShell o mediante la interfaz
de gestin que se encuentra en el men de inicio de Windows, Servicios de
implementacin de Windows. Despliegue el rbol hasta llegar a su servidor y seleccione
Configurar el servidor. Seleccione, a continuacin, una carpeta para almacenar las
imgenes (%systemdrive%\RemoteInstall, por defecto). El volumen de esta carpeta
puede llegar a ser importante, y aparece una alerta si se est utilizando la particin de
sistema. Si es necesario, es posible reducir en caliente el volumen desde el administrador de
discos, para disponer de un lector dedicado a este almacenamiento.
WDS puede restringirse para responder nicamente a clientes conocidos. Para que un
cliente sea conocido, es preciso que est incluido en el Active Directory previamente, o que
se haya creado un objeto equipo manualmente en Active Directory con el identificador
correcto. El identificador utilizado se visualiza durante el arranque del equipo cliente, en el
momento de la bsqueda de PXE (GUID). Tambin es posible tener un modo de
aprobacin, donde el administrador visualiza las peticiones de los clientes desconocidos en
espera.
El modo multicast es el mejor adaptado para realizar un despliegue masivo. Evita el tener
que inundar la red enviando todos los bytes de forma individual a cada equipo. En su lugar,
los equipos se inscriben en la direccin multicast, y WDS enva los datos una sola vez a
esta direccin para todos los equipos. Tratndose de multicast IGMP, es necesario que sus
equipos de red soporten esta caracterstica. Si no es el caso, el switch las procesar como
difusiones, e inundar toda la red.
Si llegan nuevos equipos durante el despliegue, comenzarn a recuperar los datos enviados
hasta el final y, a continuacin, WDS enviar los datos restantes a estos equipos, que sern
capaces de recibir los datos de forma desordenada. Adems del ahorro en ancho de banda,
el servidor ser capaz de desplegar ms mquinas a la vez puesto que slo lee una vez los
datos de despliegue. Esto reduce de forma importante los accesos al almacenamiento en
disco. Es posible visualizar la lista de mquinas en curso de despliegue as como su
consumo de red en la consola WDS:
En Windows 2008 (y no 2008 R2), la velocidad de despliegue del conjunto de mquinas es

igual a la velocidad de despliegue de la mquina ms lenta. Si, por ejemplo, todas las
mquinas son rpidas salvo una, esto impedir a las dems desplegarse ms deprisa. El
servidor transmite los paquetes de red una nica vez, y por ello debe esperar a que estn
todas listas para recibir el prximo paquete. En la ventana que se muestra a continuacin, la
columna Velocidad de transferencia permite determinar la velocidad de cada mquina
durante el despliegue. Si una mquina es claramente ms lenta que las dems, puede
cambiar su modo de despliegue por comparticin de archivo, para que no ralentice a las
dems.
Para ello, basta con hacer clic con el botn derecho en la mquina y seleccionar la
opcin Ignorar multidifusin:
En cambio, Windows Server 2012 R2 permite clasificar automticamente en dos o tres
categoras los equipos (rpido, medio, lento). El servidor tendr, al final, que enviar 2 3
veces los datos, pero esto permitir realizar un despliegue de equipos ms rpido.
La transmisin por multidifusin, creada por defecto por MDT 2013, es de tipo automtico.
Es decir el despliegue comienza cuando un cliente solicita una multidifusin. WDS permite
no obstante tambin realizar una multidifusin planificada. Esta planificacin puede
realizarse en base a dos criterios:
el nmero de clientes en espera de un despliegue;

una fecha y una hora para lanzar el despliegue.
Es posible utilizar ambos criterios al mismo tiempo. Si no est seleccionado ninguno de los
dos, ser preciso iniciar la multidifusin de forma manual. Incluso si se trata de un
despliegue planificado, tambin es posible realizar un arranque manual.
A diferencia de la versin anterior de WDS, que necesitaba la copia completa de la imagen

WIN o VHD en el puesto cliente antes de instalarla realmente durante un despliegue, la
versin WDS de Windows Server 2012 R2 permite instalarla directamente durante la
difusin de la imagen. Esto permite, en particular, acelerar el despliegue y la instalacin
limitando el espacio en disco necesario en el puesto cliente.
WDS es compatible con la multidifusin IPv4, y tambin con IPv6; para ello tendr,
obligatoriamente, que configurar el servicio DHCPv6.
Con la versin WDS de Windows Server 2012 R2, las BIOS de tipo UEFI (Unified
Extensible Firmware Interface) de los puestos clientes de 32 bits se gestionan para su
arranque en red (Boot on LAN) y para el despliegue.
Adems de con las arquitecturas x86 y x64, WDS es compatible, tambin, con las
arquitecturas ARM para Windows RT (versin de Windows 8 para tabletas con
procesadores ARM).
Con Windows Server 2012, WDS es compatible con imgenes con los formatos .WIM,
.VHD y .VHDX para el despliegue.
Fuera del marco de uso de MDT, WDS para Windows Server 2012 permite:
Administrar controladores para imgenes Windows 7, Windows 8, Windows 8.1,

Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2.
Arrancar directamente sobre imgenes VHD o VHDX.
Puede, tambin, gestionar WDS mediante cmdlets PowerShell. La lista de cmdlets

PowerShell para WDS est disponible en el sitio Technet en la siguiente direccin:
http://technet.microsoft.com/library/dn283416.aspx
Para ir ms all...
El despliegue de sus servidores constituye el primer bloque tcnico. A continuacin queda
por automatizar la instalacin de sus aplicaciones, tarea que puede revelarse larga y
complicada. La virtualizacin crea una nueva necesidad: el despliegue a la carta de
entornos. Ya no se trata de realizar una configuracin manual en este contexto.
1. Microsoft Application Compatibility Toolkit
Esta herramienta le va a permitir resolver incompatibilidades no slo con Windows Server

2012 R2 y Windows 8.1, sino tambin con Windows Vista, Windows 7, Windows 8,
Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012. Las
incompatibilidades se clasifican, generalmente, en:
Elevacin de privilegios (UAC).

Intentos de escribir en %ProgramFiles%.
Para descargarla gratuitamente, visite la pgina: http://www.microsoft.com/en-

Si no puede modificar la aplicacin, siempre podr implementar shims para modificar al

vuelo las llamadas que causen problemas durante la ejecucin. La palabra shim designa una
biblioteca que convierte la llamada de una API en otra. El programa Compatibility
Administrator permite visualizar los shims utilizados por Microsoft para hacer
compatibles hasta 348 aplicaciones. Para conseguirlo, hay disponibles 118 shims.
Agregando el argumento -x al siguiente programa, existen 242 shims disponibles. Por

defecto, estn ocultas, pues raramente son necesarias. Tambin es posible "hacer creer" a la
aplicacin que el sistema operativo es Windows XP, o que Internet Explorer 6 est
presente. Los desarrolladores tienen tendencia a realizar verificaciones bloqueantes para
estar seguros de que no habr ningn problema, mientras que la mayora de veces no existe
ninguna incompatibilidad probada. Una vez la aplicacin es compatible con Windows 8.1 o
Windows Server 2012 R2, habr que instalar la base de datos sobre las mquinas que la
utilicen.
Para facilitar el diagnstico, el programa Standard User Analyzer Wizard le gua paso a
paso en:
La preparacin antes de la ejecucin.

La ejecucin de la aplicacin, realizando todas las acciones que presenten
problemas.
El anlisis y la propuesta de shims.
2. Entorno a la carta
El despliegue de mquinas virtuales puede consumir mucho tiempo, especialmente si se

trata de entornos a la carta para proyectos de desarrollo.
Podr crear una secuencia para sus entornos virtuales con el objetivo de instalar
automticamente las herramientas adicionales. Hyper-V, que es compatible con el arranque
PXE, le permite instalar mquinas virtuales directamente a travs de la red con WDS. De
este modo tendr un nico punto central que contendr todas las imgenes y aplicaciones
durante el despliegue, en vez de tener una imagen a parte para la generacin de mquinas
virtuales.
3. ImageX
ImageX es una herramienta que funciona por lnea de comandos y le permite administrar y
modificar las imgenes WIM. El formato WIM tiene en particular una propiedad
interesante: se basa en archivos y no en clsteres, como para los formatos ISO. Esto
permite en especial almacenar en la imagen un nico ejemplar de cada archivo, incluso si
est presente varias veces desde el punto de vista lgico (Single Instance Storage).
Esta herramienta acepta los siguientes argumentos:
APPEND: combina dos imgenes.

APPLY: aplica una imagen a una carpeta.
CAPTURE: captura una particin en una imagen wim.
DELETE: borra un volumen en un archivo wim.
DIR: enumera los archivos contenidos en un archivo wim.
EXPORT: copia un volumen desde un archivo wim a otro.
INFO: muestra la descripcin XML de un archivo wim.
SPLIT: separa un archivo wim en dos archivos wim separados.
MOUNT: monta un archivo wim en una carpeta, en modo slo lectura.
MOUNTRW: monta un archivo wim en una carpeta, en modo lectura/escritura.
UNMOUNT: desmonta un archivo wim de una carpeta.
Esta herramienta es til si desea modificar la imagen generada por MDT.

Por ejemplo, para montar la imagen WIM Lite Touch en una carpeta, es necesario ejecutar
el comando: imagex /mount D:\images\LiteTouchPE_x64.wim 1 c:\wim_temp
El ejecutable ImageX se encuentra en distintos lugares:
En la carpeta Deployment Tools\amd64\DISM del directorio de instalacin de

Windows ADK.
En la carpeta Tools\PeTools del directorio de instalacin de Windows AIK.
En X:\Deploy\Tools\x86 o X:\Deploy\Tools\x64 desde el entorno de inicio de
Windows PE construido con MDT.
4. DISM (Deployment Image Servicing and Management)
Esta herramienta, que se ofrece de forma estndar con Windows 8.1 y Windows 2012 R2,
aunque tambin con Windows PE 4.1, combina las funciones antes mencionadas:
Montaje de archivos WIM.

Personalizacin de imgenes de inicio de Windows PE.
Inyeccin/supresin de controladores.
Activacin/desactivacin de componentes de Windows.
Administracin de la configuracin regional.
Es una herramienta complementaria a ImageX que permite configurar la imagen. Su nico
punto en comn es poder montar imgenes WIM.
5. Zero touch con SCCM 2012 R2
El uso de System Center Configuration Manager R2 permite automatizar por completo el

despliegue de equipos. Desde la consola SCCM, usted podr programar directamente y
efectuar despliegues sobre equipos existentes, sin tener que desplazarse hasta la mquina
para arrancar en PXE y seleccionar la secuencia.
6. Unirse al dominio sin red
Desde Windows 7 y Windows Server 2008 R2, es posible unir una mquina a un dominio
AD sin que tenga que unirse a un controlador de dominio durante todo el procedimiento.
Esto abre nuevas perspectivas, como hemos visto en el captulo dedicado al Dominio
Active Directory:
Desplegar mquinas virtuales o no en gran cantidad, evitando el reinicio.

Unir una mquina al dominio aunque no tenga red en ese momento.
Simplificar el procedimiento cuando el controlador de dominio es de tipo RODC.
Limitar los contratiempos y mejorar el diagnstico cuando se produce un error o
incidente de red durante un despliegue.
El procedimiento se desarrolla en dos tiempos:
Preparar el Active Directory inicializando el objeto equipo con el comando djoin.

El resultado es un archivo de texto que hay que conservar (testigo).
Inyectar el archivo anterior en el equipo de destino con djoin. Es posible copiar el
archivo mientras la mquina est detenida. Durante el arranque, ser miembro del
dominio sin necesidad de un reinicio posterior.
El comando que debe utilizar es djoin. Necesita, como mnimo, Windows 7 o Windows
Server 2008 R2 instalado en el equipo que prepara el Active Directory y sobre la mquina
que se va a unir al dominio sin red. El controlador de dominio puede estar configurado con
alguna versin anterior a Windows Server 2008 R2 (utilizando el argumento /downlevel de
djoin).
He aqu el comando que permite preparar el equipo SRV01:

He aqu el comando que permite unir la mquina al dominio:
7. Qu hacer si ocurre algn problema?
La informtica est llena de sorpresas que condimentan nuestro trabajo cotidiano. Cuando
un despliegue no se realiza segn lo previsto, he aqu algunas trazas que pueden
proporcionarle ayuda:
Si ocurre un problema uniendo el equipo al dominio:

%WINDIR%\Debug\netsetup.log
Si ocurre un problema con algn controlador: %WINDIR%\inf\Setupapi.dev.log
Si ocurre un problema durante la instalacin: %WINDIR%\panther\Setupact.log y
Setuperr.log
Mensaje de error "Multiple connections to a server or shared resource by the same
user":
Este mensaje aparece cuando una secuencia utiliza una cuenta para conectarse a un
recurso compartido MDT diferente del definido en customsettings.ini. El equipo de
producto de MDT provee, en su blog, las modificaciones que es necesario realizar
(ztiutility.vbs): http://blogs.technet.com/msdeployment/archive/2009/09/18/fix-for-
multiple-connections-to-a-server-or-shared-resource-by-the-same-user-using-more-
than-one-user-name-are-not-allowed-problem-with-mdt-2010.aspx
Conclusin
Ya est preparado para desplegar sus servidores y puestos de trabajo. Desde un punto de
vista tcnico, nunca haba sido tan sencillo y flexible, en especial con MDT 2013. Seguir
haciendo instalaciones a mano sera una verdadera prdida de tiempo y de calidad!
Introduccin
Este captulo tiene como objetivo permitir abordar la seguridad de su arquitectura de la
mejor forma. En efecto, no es raro escuchar a los profesionales de la informtica expresarse
en trminos algo arcaicos acerca de la seguridad. Se trata de un rea que evoluciona muy
regularmente y muy rpido, y no sera razonable pensar que la arquitectura informtica y
las soluciones en trminos de seguridad estn actualizadas. Conviene estar informado
regularmente y respetar un conjunto de buenas prcticas.
Este captulo est dedicado a describir las buenas prcticas al respecto y le presenta las
novedades funcionales que le permitirn ponerlas en marcha.
Principio de privilegio mnimo

El principio de privilegio mnimo es, como su propio nombre indica, un principio que
consiste en ejecutar cada tarea con una cuenta de usuario que tenga exactamente los
permisos necesarios para completar dicha tarea.
En la prctica, esto no siempre es factible, aunque conviene hacer siempre todo lo posible
para estar lo ms cerca posible de la necesidad reduciendo al mximo la superficie de
ataque expuesta. Si un usuario no necesita permisos especficos, por qu asignrselos? Y,
cmo asegurarse que el usuario no tiene ms derechos de los que le hacen falta?
La superficie de ataque ser mucho ms reducida si actualiza, de manera regular, su parque

informtico tanto a nivel de sistema operativo como de aplicaciones instaladas, sin olvidar a
los equipos de red. El captulo El ciclo de vida de su infraestructura aborda, en particular, el
uso de WSUS (Windows Server Update Services) para desplegar actualizaciones en sus
sistemas Windows.
Un parque informtico actualizado regularmente, con permisos de usuario bien definidos, le

proteger de numerosos ataques.
Es preciso dominar algunas nociones tcnicas para poder realizar la mejor eleccin en cada
caso.
1. Los distintos tipos de cuenta
En Windows existen distintos tipos de cuentas de usuario. Cada uno de ellos define un
conjunto de permisos tales como el acceso a los archivos, las modificaciones que est
autorizado a realizar en el sistema operativo, etc. Desde un punto de vista genrico, segn
el tipo de cuenta seleccionado, el usuario tendr un nivel de acceso ms o menos importante
en el sistema operativo.
Existen tres categoras principales de cuenta de usuario:
Invitado
Estndar
Administrador
Cuenta de usuario invitado
Una cuenta de usuario con permisos de tipo Invitado autoriza el acceso a los recursos del
equipo sin autenticacin en este ltimo. Este tipo de cuenta se utiliza de manera muy
espordica en la empresa, pues presenta riesgos no despreciables en trminos de seguridad.
Por defecto, este tipo de cuenta est deshabilitado.
Cuenta de usuario estndar
Una cuenta de usuario estndar permite utilizar la mayor parte de las funcionalidades del
sistema operativo mientras no afecten a la seguridad del equipo o a la configuracin comn
a todos los usuarios.
La principal diferencia entre una cuenta de usuario estndar y una cuenta de administrador
es el nivel de acceso del usuario a los lugares definidos como protegidos en el sistema
operativo.
Cuenta de administrador
Una cuenta de usuario con permisos de Administrador (y que por lo tanto forme parte, de
forma directa o no, del grupo Builtin\Administradores del equipo) est autorizado a
administrar la totalidad del sistema operativo y, por tanto, a definir configuracin comn a
todos los usuarios (instalacin de programas, definicin de la seguridad del equipo, etc.).
En la medida en que los permisos de esta cuenta son muy extensos, se desaconseja
encarecidamente utilizarla para sus tareas corrientes. Ver ms adelante, en este mismo
captulo, cmo Microsoft responde a la necesidad de dotar de seguridad este acceso de
Administrador gracias al UAC (User Account Control).
Por ejemplo, un usuario estndar no puede, por defecto, escribir en la carpeta de sistema
(C:\windows) o en la mayor parte del registro, mientras que un administrador s puede
hacerlo. Un administrador puede tambin activar/desactivar el firewall, configurar las
polticas de seguridad, instalar un servicio o un controlador para todos los usuarios, etc.
Desde Windows Vista y Windows 2008, Microsoft ha mejorado bastante las cuentas de
usuario estndar, y ahora pueden realizar tareas que necesitan permisos de administrador
tales como:
Ver el reloj de sistema, el calendario y modificar el huso horario.

Modificar los parmetros de visualizacin y las fuentes instaladas.
Modificar las opciones de alimentacin.
Agregar impresoras y otros dispositivos.
Agregar y configurar conexiones VPN.
Definir una clave WEP/WPA para una red inalmbrica.
Existen tareas programadas suplementarias que permiten, en lo sucesivo, definir una tarea
de defragmentacin o de copia de seguridad automtica. Antes, estas funcionalidades no
podan realizarse fcilmente y necesitaban, en su mayora, privilegios de usuario
administrador.
He aqu una lista no exhaustiva de los distintos permisos para un usuario estndar y un
administrador, que le permitir situar un poco mejor las autorizaciones de cada tipo de
cuenta.
Usuarios estndar Administradores

Establecer una conexin de red. Instalar/desinstalar aplicaciones.
Establecer una conexin de red Instalar el controlador de un dispositivo.
inalmbrica.
Cambiar la configuracin de pantalla. Instalar actualizaciones de Windows.
Defragmentar el disco duro (mediante Configurar el control parental.
un servicio).
Leer un CD/DVD. Instalar un control ActiveX (incluso si ha
evolucionado poco con la presencia del
servicio de Control ActiveX desde
Windows 7).
Grabar un CD/DVD. Configurar el firewall.
Modificar el fondo de pantalla. Modificar el tipo de cuenta de un
usuario.
Acceder a la fecha y hora del sistema y Modificar los parmetros UAC.
modificar el huso horario.
Utilizar el escritorio remoto para Configurar el acceso al escritorio remoto.
conectarse a equipos remotos.
Configurar las opciones de Crear o eliminar una cuenta de usuario.
alimentacin de la batera.
Configurar las opciones de Copiar o mover archivos en las carpetas
accesibilidad. Program Files o Windows.
Restaurar los archivos de copia de Definir tareas programadas.
seguridad de usuario.
Definir una sincronizacin entre un Restaurar la copia de seguridad de
dispositivo porttil y el equipo archivos de sistema.
(smartphone, ordenador porttil, PDA
(Personal Digital Assistant).
Conectar y configurar un dispositivo Configurar el servicio de actualizaciones
Bluetooth. automticas.
Existe un cuarto tipo de cuenta que se utiliza a menudo en entornos como Windows
2000/XP. Se trata de cuentas que pertenecen al grupo de Usuarios avanzados. Este grupo
est a medio camino entre Usuarios y Administradores. Permite, en efecto, realizar algunas
tareas como, por ejemplo, escribir en ciertos lugares del registro y del sistema de archivos,
sin necesidad de tener permisos de administrador. Este tipo de grupo no responde a todas
las necesidades de las aplicaciones y ya no tiene ningn permiso particular por defecto
desde Windows Vista y Windows 7. Conviene saber, no obstante, que este grupo sigue
estando disponible con el objetivo de asegurar la compatibilidad de las aplicaciones que lo
necesitan. Para ello, es necesario cargar un modelo de seguridad particular (compatws.inf)
en Windows Vista y Windows 7 para modificar los permisos sobre ciertos archivos y
ciertas claves del registro para permitir al grupo Usuarios avanzados tener acceso.
Windows Server 2012 R2 propone utilizar un nuevo grupo de dominio que permite
habilitar una proteccin suplementaria en aquellos equipos que utilizan Windows Server
2012 R2 o Windows 8.1. Este grupo se encuentra en los controladores de dominio de
Windows Server 2012 R2 y se llama Protected Users.
Los miembros de este grupo slo pueden utilizar mtodos de autenticacin considerados
como seguros para poder autenticarse. De este modo, los miembros de este grupo estn
sometidos a las siguientes condiciones:
No pueden autenticarse utilizando NTLM, Digest o incluso CredSSP. Por otro lado,
las contraseas de las cuentas miembros de este grupo no estn almacenadas en
cach si se utilizan en un equipo Windows 8.1 miembro del dominio.
El protocolo Kerberos es el nico protocolo autorizado y no puede basarse en un
cifrado DES o RC4 (dbiles) para el proceso de pre-autenticacin. Slo es posible
utilizar el protocolo AES.
La delegacin Kerberos no est permitida.
El tiempo de vida del ticket Kerberos (TGT) se puede modificar (por defecto, 4
horas) e implica una reautenticacin por parte del usuario, pasado este tiempo.
Para poder aprovechar las ventajas de este grupo, debe actualizar su esquema de
Active Directory (mediante el comando adprep /forestprep), de cara a poder soportar las
nuevas clases incluidas en Windows Server 2012 R2 y el controlador de dominio que
alberga el rol de emulador PDC debe funcionar, como mnimo, con Windows Server 2012
R2.
Existe una novedad, llamada Directiva de silos de autenticacin que le permite controlar
los equipos en los que un usuario puede iniciar sesin en el dominio. Si se acopla esta
funcionalidad con el grupo de tipo Protected Users, es posible aplicar condiciones de
control del acceso para la autenticacin de cuentas. Las directivas de autenticacin se
fuerzan en la etapa de intercambio de informacin de AS y TGT de los tickets Kerberos.
Los requisitos previos son los mismos que para los Protected Users, es preciso agregar un
nivel funcional del dominio Windows Server 2012 R2.
Esta directiva puede aplicarse a las cuentas de Equipos, Usuarios y a las cuentas de servicio
administradas.
2. El control de cuentas de usuario
El control de cuentas de usuario o User Account Control (UAC) es uno de los principales
avances de la nueva gama de sistemas operativos Microsoft Windows Vista y Windows
Server 2008.
Esta funcionalidad (activada, por defecto) permite informarle de cualquier accin que
requiera permisos del sistema. Se crea un token de acceso completo, con los permisos ms
importantes del usuario, y se le pasa a la aplicacin. Esto se llama una elevacin de
privilegios. El UAC se caracteriza por una elevacin de privilegios automtica, apareciendo
un mensaje de advertencia cuando se produce esta elevacin, y un escritorio securizado
dedicado a este mensaje de advertencia.
De este modo, ser mucho ms complicado para un programa espa instalarse en el sistema
o acoplarse a un proceso sin informarle antes.
En adelante, es sencillo identificar aquellas tareas que precisarn permisos ms

importantes. El icono con forma de escudo asociado a ciertas aplicaciones y asistentes de
configuracin indica que estas tareas se ejecutarn con permisos de administrador del
equipo.
Para las dems aplicaciones, aparecer un mensaje de elevacin de privilegios si fuera

necesario.
Observe que la visualizacin de la ventana de elevacin de privilegios aparece con menos

frecuencia desde Windows 7/2008 R2, en particular tareas "seguras" tales como la
instalacin de actualizaciones o de controladores descargados desde Windows Update, la
visualizacin de la configuracin de Windows o incluso las herramientas de diagnstico de
la tarjeta de red.
Antes de que realizar la elevacin de privilegios, Windows Server 2012 R2 muestra, por
defecto, la ventana de confirmacin solicitando esta elevacin de privilegios a un escritorio
virtual aislado (llamado tambin "Escritorio difuminado" desde Windows 7/2008 R2) y
securizado, de forma que el resto de aplicaciones contine ejecutndose a nivel del
escritorio interactivo del usuario. Esto permite poder impedir a un proceso de usuario
(como, por ejemplo, una aplicacin espa) interactuar con la solicitud de elevacin de
privilegios y aceptar automticamente la elevacin.
La ventana de peticin de elevacin para el proceso en cuestin se encuentra por tanto en

un entorno hermtico. De este modo, si un atacante elige crear un ejecutable que permite
reproducir con exactitud la ventana de elevacin de privilegios, no la ejecutar porque su
visualizacin no se realizar en un escritorio virtual. Del mismo modo, el escritorio
securizado impide los ataques que consisten en trucar la posicin del puntero del ratn. El
atacante puede en efecto modificar la visualizacin del ratn de modo que cuando el
usuario piensa que est haciendo clic en Cancelar, la accin del clic del ratn se realiza
sobre el botn Continuar permitiendo as ejecutar la aplicacin peligrosa. El escritorio
virtual permite bloquear este tipo de ataque.
Por otro lado, existe un modo particular llamado Modo de aprobacin de administrador
que est activo para todos los miembros del grupo de Administradores (salvo la cuenta
Administrador integrado). Este modo muestra la elevacin de privilegios cuando se ejecuta
una aplicacin que necesita privilegios de administracin.
Desde Windows Server 2008 R2, es posible tener una granularidad ms precisa del UAC
para limitar las peticiones de la contrasea. Esto se detalla ms adelante.
Es posible configurar los distintos parmetros en el Panel de control o mediante una

directiva de grupo (tambin local o de dominio). Para ello, abra su editor de directivas, y
dirjase al nivel Configuracin del equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Opciones de seguridad.
Las directivas relativas a la gestin del UAC son las siguientes:
Control de cuentas de usuario: modo de aprobacin de administrador para la cuenta

predefinida Administrador
Descripcin: permite definir si la cuenta de Administrador integrada se somete al Modo de

aprobacin de administrador o no.
Valor por defecto: Deshabilitado.

Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida
confirmacin de elevacin
Descripcin: indica si la peticin de elevacin de privilegios debe realizarse en el escritorio

de los usuarios interactivos o en un escritorio virtual securizado.
Valor por defecto: Habilitado.
Control de cuentas de usuario: permitir que las aplicaciones UIAccess soliciten la

elevacin sin usar el escritorio seguro
Descripcin: los programas UIAccess como el asistente remoto pueden solicitar utilizar
esta opcin.
Control de cuentas de usuario: comportamiento de la peticin de elevacin para los

administradores en Modo de aprobacin de administrador
Descripcin: define a si un usuario conectado con una cuenta de administrador se le

muestra una ventana de elevacin de privilegios durante la ejecucin de aplicaciones que
requieran permisos de administrador.
Existen seis opciones posibles:
Elevar sin preguntar: la elevacin se produce automticamente y de forma

silenciosa (sera intil indicarle que esta opcin no est recomendada).
Pedir consentimiento: requiere una intervencin del usuario para Continuar o
Anular la operacin de elevacin de privilegios.
Pedir credenciales: se solicita un nombre de usuario y una contrasea durante la
peticin de elevacin de privilegios.
Valor por defecto: Pedir consentimiento.
Pedir consentimiento en el escritorio seguro: requiere una intervencin del

usuario en el escritorio securizado para Continuar o Anular la operacin de
elevacin de privilegios.
Pedir credenciales en el escritorio seguro: se solicita un nombre de usuario y una
contrasea en el escritorio securizado durante la elevacin de privilegios.
Pedir consentimiento para ejecutables que no son de Windows: requiere una
intervencin del usuario para Continuar o Anular la operacin de elevacin de
privilegios para una aplicacin no firmada por un certificado de Microsoft.
Valor por defecto: Pedir consentimiento para ejecutables que no son de Windows.
Control de cuentas de usuario: comportamiento de la peticin de elevacin para los
usuarios estndar
Descripcin: define si un usuario conectado con una cuenta estndar obtiene una ventana de
elevacin de privilegios de ejecucin de aplicaciones que requieren permisos de
administrador.
Por defecto, un usuario estndar tendr la posibilidad de indicar la contrasea de una cuenta
de administrador. Tambin es posible deshabilitar esta opcin, aunque no impide al usuario
hacer clic con el botn derecho del ratn sobre el ejecutable y seleccionar la opcin
Ejecutar como administrador.
Valor por defecto: Pedir credenciales.
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir

confirmacin de elevacin
Descripcin: cuando est habilitado, el usuario debe dar su consentimiento cuando

Windows detecta un programa de instalacin. No se aconseja aplicar este parmetro en
entornos de empresa si el usuario no tiene permisos de administrador o si ya existe una
aplicacin para la distribucin remota.
Control de cuentas de usuario: elevar slo aplicaciones UIAccess instaladas en

ubicaciones seguras
Descripcin: indica que slo las aplicaciones que requieran un nivel de integridad UIAccess
(es decir especificando UIAccess=true en su manifiesto de aplicacin) deben encontrarse en
un emplazamiento seguro en el sistema de archivos. Los emplazamientos seguros son:
\Program Files\ (y subcarpetas)

\Program Files (x86)\ (y subcarpetas)
\Windows\System32
Control de cuentas de usuario: elevar slo los archivos ejecutables firmados y

validados
Descripcin: slo los ejecutables firmados y validados mediante un certificado tendrn la

autorizacin para elevar sus privilegios. La lista de aplicaciones de administracin puede
controlarse por este medio.

Control de cuentas de usuario: ejecutar todos los administradores en Modo de
aprobacin de administrador
Descripcin: permite activar o desactivar el control de usuario para los usuarios que son
Administradores.
Control de cuentas de usuario: virtualizar los errores de archivo y escritura de

Registro por ubicaciones de usuario
Descripcin: esta opcin asegura la compatibilidad con las antiguas aplicaciones que se
ejecutaban como administrador y escriban sus datos de ejecucin de la aplicacin en
%Program Files%, %Windir%, %Windir%\System32 o HKLM\Software.
Si utiliza una autenticacin biomtrica, sepa que Windows Server 2008 R2/2012 R2
permite simplificar la elevacin de privilegios solicitada por el UAC mejorando la
experiencia de usuario.
Su dispositivo biomtrico estar mejor gestionado en Windows Server 2008 R2/2012 que
en las versiones anteriores y podr utilizar este medio de autenticacin sin tener que
disponer necesariamente de una aplicacin dedicada instalada a partir del momento en que
el driver descargado mediante Windows Update haya sido instalado.
Aunque es una fuente frecuente de controversia, pues modifica nuestros (malos?) hbitos,
UAC permite asegurar un nivel de seguridad muy superior comparado con las versiones
anteriores de Windows. Sus mejoras, evidentes deberan, en lo sucesivo, animarle a
adoptarlo rpidamente, si no lo ha hecho an.
3. Administrar grupos con ayuda de grupos restringidos
Los grupos restringidos le permiten administrar los miembros de grupos de seguridad con
el objetivo de asegurar el contenido de estos grupos. Esta configuracin es muy interesante
y permite controlar mejor las personas y permisos asignados a un conjunto de equipos y
servidores miembros.
Los grupos restringidos se configuran nicamente a nivel de directivas de dominio. No

encontrar esta configuracin en el nivel de una directiva local. Se encuentra en
Configuracin del Equipo - Directivas - Configuracin de Windows - Configuracin
de seguridad - Grupos restringidos.
La principal ventaja, como habr comprendido, consiste en bloquear los miembros
definidos a nivel de Miembro y Miembros de... del grupo definido como grupo
restringido. De este modo, si por ejemplo se retira manualmente a un usuario de un grupo
definido como grupo restringido, se agregar automticamente a ste tras la aplicacin de la
directiva de grupo (cada 90 minutos aproximadamente).
Antes de configurar un grupo restringido, conviene comprender bien la diferencia entre el

parmetro Miembro de este grupo y Este grupo es miembro de.
Configurando, por ejemplo desde la directiva de grupo, un grupo restringido como el grupo
local de los equipos llamado BUILTIN Administradores (haciendo clic con el botn
derecho del ratn en la directiva de los grupos restringidos y, a continuacin, en Agregar
un grupo - Builtin\Administradores) e indicando un grupo de dominio como, por
ejemplo, MiEmpresa\AdminLocal en Miembros de este grupo, entonces todos los
usuarios del grupo MiEmpresa AdminLocal sern Administradores de los equipos que se
encuentran en el contenedor asociado a la directiva de grupo definida.
Perfecto! Est seguro? No tanto...
Imagine que este grupo restringido se define a nivel de los equipos de su Active Directory y
que un usuario necesita ser miembro del grupo Administradores de su equipo (no es raro
que los usuarios de equipos porttiles tengan este tipo de necesidad). Asocindolo al grupo
MiEmpresa\AdminLocal el usuario ser, en efecto, miembro del grupo
BUILTIN\Administradores de su equipo, pero tambin de todos los dems equipos!
Del mismo modo, si trata de agregar este mismo usuario de forma local al grupo
BUILTIN\Administradores de su equipo, la aplicacin de la directiva de grupo tendr como
efecto la limpieza de los miembros de los grupos locales y en consecuencia el usuario
perder los permisos de administrador.
Como habr comprendido, este tipo de configuracin est poco adaptado a la definicin de
los miembros de los grupos a nivel de puestos de trabajo, aunque puede ser muy interesante
para controlar los miembros de los grupos de servidores y controladores de dominio para
bloquear estos ltimos.
Volviendo a nuestro usuario que quiere ser administrador de su equipo haciendo uso de los
grupos restringidos, y sin que impacte a la seguridad de los dems equipos, conviene definir
los grupos restringidos de forma ligeramente diferente.
En efecto hace falta definir un grupo restringido a partir del grupo de dominio seleccionado
(en nuestro ejemplo el grupo MiEmpresa\AdminLocal) y definir la configuracin Este
grupo es miembro de: para agregar el grupo BUILTIN\Adminis- tradores (o
BUILTIN\Administrators dependiendo de si esta directiva de grupo se define en un equipo
en castellano o en ingls).
De este modo, el grupo MiEmpresa\AdminLocal tiene su atributo IsMemberOf

bloqueado y los usuarios que forman parte de este grupo son efectivamente miembros del
grupo Administradores de todos los equipos aunque esto impida que un usuario equis pueda
ser administrador de su equipo.
La administracin de grupos representa, a da de hoy, un verdadero desafo para nuestros

Sistemas de Informacin y la seguridad, ambos en pleno despegue, los grupos restringidos
responden en gran medida a esta necesidad de dotar de seguridad al puesto de trabajo.
4. AppLocker o el control de las aplicaciones
Applocker es una funcionalidad que ha hecho aparicin en Windows 7 (en su edicin

Enterprise e Ultimate) y Windows Server 2008 R2 con el objetivo de reemplazar a las
directivas de restriccin de aplicaciones de las versiones anteriores de Windows.
Como con las directivas de restriccin de software, Applocker permite definir las
aplicaciones autorizadas a ejecutarse por parte de sus usuarios estndar en el seno de su
dominio desplegando sus parmetros mediante directivas de grupo.
El inters principal es limitar la instalacin de malwares en los puestos de trabajo pero

tambin impedir la instalacin de programas no conformes o que requieren una licencia que
no posee, etc.
Esta funcionalidad se aplica, principalmente, en puestos cliente con Windows 7/8/8.1

Enterprise, aunque tambin puede ser interesante auditar y limitar los ejecutables lanzados
en Windows Server 2008 R2 y Windows Server 2012/2012 R2.
Applocker presenta varias ventajas en comparacin con las directivas de restriccin de

software:
La definicin de reglas ms precisas basadas en el fabricante (mediante firma

electrnica del archivo y de sus atributos extendidos tales como el fabricante, el
nombre, el nombre del producto y/o el nombre del archivo). De este modo es
posible por ejemplo autorizar nicamente un programa que provenga de un
fabricante concreto y a partir de una versin especfica (como, por ejemplo,
autorizar nicamente el uso de Office 2003 (versin 11.0.0.0) o superior).
La posibilidad de definir reglas para usuarios o grupos especficos.
La posibilidad de importar y exportar reglas.
La posibilidad de identificar los efectos laterales de una regla activando el modo de
auditora.
Sepa, tambin, que si una directiva de grupo posee a la vez una directiva de restriccin de
software y una directiva de control de aplicacin (Applocker), slo se aplicar la directiva
Applocker en el puesto.
Por lo tanto, si posee un parque informtico heterogneo compuesto de equipos clientes

Windows 7/8/8.1 y equipos clientes Windows XP, tendr que crear dos directivas de grupo
distintas. Una directiva de restriccin de aplicacin para los clientes Windows XP, y una
directiva de control de aplicacin (AppLocker), para los clientes con Windows 7/8/8.1.
Si todos los equipos clientes estn en la misma OU, es posible utilizar filtros WMI sobre
ambas GPO para filtrar sobre qu tipo de sistema operativo se deben ejecutar.
Las buenas prcticas de seguridad recomiendan prohibir, explcitamente, la ejecucin de

archivos ejecutables en carpetas conocidas y habitualmente utilizadas por virus y dems
malwares.
Si aplica las restricciones en las siguientes carpetas, disminuir sensiblemente el riesgo de

que un virus se ejecute con xito en sus equipos. El mtodo, sin ser infalible, s cubre un
espectro bastante importante de procedimientos utilizados por estos programas
malintencionados.
Seleccione las siguientes reglas de bloqueo:
Para Windows XP
Bloqueo de ejecucin de archivos peligrosos en %AppData% y sub-carpetas:
%Appdata%\*.exe
%Appdata%\*.sys
%Appdata%\*.dll
%Appdata%\*\*.exe
%Appdata%\*\*.sys
%Appdata%\*\*.dll
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
Bloqueo de la ejecucin de archivos peligrosos en %LocalAppData% y sub-carpetas:
%UserProfile%\Local Settings\*.exe
%UserProfile%\Local Settings\*.sys
%UserProfile%\Local Settings\*.dll
%UserProfile%\Local Settings\*\*.exe
%UserProfile%\Local Settings\*\*.sys
%UserProfile%\Local Settings\*\*.dll
Bloqueo de la ejecucin de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
%UserProfile%\Local Settings\Temp\Rar*\*.exe
%UserProfile%\Local Settings\Temp\7z*\*.exe
%UserProfile%\Local Settings\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.zip\*.exe
Para Windows Vista y versiones superiores
Bloqueo de la ejecucin de archivos peligrosos en %AppData% y sub-carpetas:
%Appdata%\*.exe
%Appdata%\*.sys
%Appdata%\*.dll
%Appdata%\*\*.exe
%Appdata%\*\*.sys
%Appdata%\*\*.dll
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
Bloqueo de la ejecucin de archivos peligrosos en %LocalAppData% y sub-carpetas:
%LocalAppData%\*.exe
%LocalAppData%\*.sys
%LocalAppData%\*.dll
%LocalAppData%\*\*.exe
%LocalAppData%\*\*.sys
%LocalAppData%\*\*.dll
Bloqueo de la ejecucin de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
%LocalAppData%\Temp\Rar*\*.exe
%LocalAppData%\Temp\7z*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%LocalAppData%\Temp\*.zip\*.exe
Veamos cmo configurar Applocker.
Antes de comenzar es preciso saber que existen tres tipos de reglas posibles para evaluar si
una aplicacin tiene autorizacin para ejecutarse o no.
Ruta de acceso: esta regla permite identificar un ejecutable basndose en una ruta.
Puede, por ejemplo, definir una regla para autorizar el ejecutable C:\Windows\
calc.exe. Aunque esta solucin no es la ms eficaz, puesto que si un usuario
renombra un ejecutable prohibido como calc.exe en la carpeta C:\Windows ser
capaz de ejecutar la aplicacin. Es, por el contrario, un mtodo interesante para
impedir la ejecucin de un tipo de extensin de archivo en una carpeta conocida por
su riesgo (como, por ejemplo, la carpeta Temporal). La lista de estas carpetas
peligrosas se muestra ms arriba e indica tambin, por ejemplo, que todos los
ejecutables que se encuentren en la carpeta %LocalAppData%\*.exe no puedan
ejeutarse.
Hash de archivo: esta regla permite identificar un ejecutable basndose en un valor
de hash calculado. Cada archivo posee un valor de hash nico, Windows calcula el
valor de hash de un archivo y lo compara con los valores definidos en las reglas de
Applocker para saber si la regla debe o no aplicarse. El inconveniente de esta
solucin es que la regla debe implantarse con cada nueva versin del archivo que
quiere autorizar.
Publisher: esta regla permite identificar un ejecutable en funcin del fabricante
(como era el caso con las reglas de certificado de las antiguas restricciones de
software) aunque agregando condiciones ms precisas como la versin del
producto, etc.
Antes de crear sus propias reglas personalizadas, ser necesario comenzar creando las
reglas por defecto. En efecto, Applocker funciona un poco como un firewall, de modo que
todo lo que no est expresamente autorizado se rechaza.
He aqu las principales etapas a seguir para implantar Applocker en su empresa.
Generar las reglas por defecto: para evitar efectos laterales indeseados, es preciso
administrar las reglas por defecto autorizando a todo el mundo a ejecutar los
programas que se encuentran en las carpetas Program Files y Windows.
Generar reglas automticas: a continuacin slo tendr que definir reglas para
bloquear lo que desee. Esta forma de proceder le evitar "auto-bloquearse" en
ciertas situaciones a causa de reglas mal definidas.
Auditar siempre las reglas Applocker antes de su despliegue masivo en produccin.
Generar las reglas por defecto
Para definir sus reglas por primera vez, utilice un puesto piloto (con Windows 7/8/8.1 o
2008 R2/2012/2012 R2) que sea el nico puesto presente en la unidad organizativa ligada a
la directiva de grupo que va a configurar. Instale las aplicaciones homologadas o aquellas
que desee autorizar. Instale a su vez las herramientas RSAT para crear la directiva y las
reglas Applocker directamente desde este puesto (enseguida ver por qu razn).
Siempre desde este puesto piloto, dirjase al nivel Configuracin del equipo - Directivas
- Configuracin de Windows - Configuracin de seguridad - Directivas de control de
aplicaciones - Applocker. Observe que hay tres subcategoras: Reglas ejecutables, Reglas
de Windows Installer y Reglas de scripts. Haga clic con el botn derecho del ratn sobre
cada una de estas subcategoras para crear la regla por defecto seleccionando la opcin
Crear reglas predeterminadas.
Esto tiene el efecto de crear reglas por defecto autorizando a "Todos los usuarios" a
ejecutar los programas que se encuentran en la carpeta %PROGRAMFILES% y
%WINDIR%. Habr que tenerlo en cuenta a la hora de realizar las primeras pruebas en
produccin. La prohibicin prevalece sobre la autorizacin, y podr Rechazar el acceso a
un programa especfico que se encuentre en alguna de estas carpetas.
Generar las reglas automticas
La forma ms sencilla de definir las reglas para las aplicaciones existentes consiste en
utilizar el asistente. Permite generar reglas segn las especificidades de cada ejecutable que
se encuentra en la carpeta indicada. Para ello, haga clic con el botn derecho del ratn en la
categora Reglas ejecutables y elija Generar reglas automticamente....
Se abre un asistente que le permite indicar la carpeta a escanear, los usuarios afectados por
esta regla, as como el nombre de la regla.
La siguiente etapa le permite definir las Preferencias de reglas. Es preferible seleccionar

reglas de publicador antes que reglas de hash para una primera implantacin. A
continuacin puede pasar a la etapa siguiente.
Comienza, a continuacin, el escaneo y se muestra el nmero de reglas identificadas as

como el tipo de regla asociada. Tendr la posibilidad de examinar los archivos analizados
para suprimir todas o una parte de las reglas propuestas.
Haga clic en Crear para crear las reglas seleccionadas. Estas se agregarn de inmediato a
la regla del ejecutable.
Auditar las reglas Applocker en los puestos de produccin

El objetivo de esta etapa consiste en hacer "como si" las reglas que ha creado estuvieran
implantadas en los puestos de produccin, con la diferencia de que las reglas establecidas
no bloquearn las aplicaciones. Se trata de una fase de aprendizaje esencial que permite
identificar los principales efectos colaterales. AppLocker, para Windows Server 2012 R2 y
Windows 8.1, permite escribir en el registro Seguridad informacin detallada acerca de los
atributos solicitados por una aplicacin que intenta ejecutarse.
Para poder simular el despliegue de las reglas Applocker sin que estas ltimas sean
realmente efectivas, haga clic con el botn derecho del ratn en Applocker (en
seguridad - Directivas de control de aplicaciones - Applocker) y a continuacin en
Propiedades.
Marque, a continuacin, la opcin Configurado en la categora de reglas que desee (en

nuestro ejemplo Reglas de ejecutables) y seleccione Solo auditora en la lista desplegable
correspondiente.
Valide haciendo clic en Aceptar.
Para que esta configuracin pueda aplicarse en los puestos correspondientes, es preciso
modificar el tipo de inicio del servicio Identidad de aplicacin. ste se define, por
defecto, con arranque Manual y no Automtico. Puede configurarlo directamente desde el
puesto cliente o incluso mediante una directiva de grupo en Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Servicios del
sistema. Seleccione, a continuacin, el servicio Identidad de aplicacin y modifquelo
para un arranque automtico.
Reinicie su puesto cliente o fuerce la actualizacin de la directiva mediante el comando

gpupdate /force para poder probar inmediatamente esta funcionalidad. A continuacin,
puede identificar si las reglas Applocker definidas bloquean aplicaciones normalmente
autorizadas. En esta etapa, la aplicacin no estar bloqueada. Para verificar la lista de
aplicaciones que tendran que haber estado bloqueadas, ejecute el visor de eventos y
dirjase al registro que se encuentra en Registro de aplicaciones y servicios - Microsoft -
Windows - Applocker. Busque, a continuacin, los eventos con Id 8002 (indicando una
ejecucin autorizada de una DLL o de un ejecutable) o 8003 (indicando que el archivo
habra sido bloqueado si no hubiera estado activado el modo de auditora).
Aplicar las reglas Applocker en los puestos de produccin
Una vez haya definido correctamente sus reglas, puede aplicarlas editando su directiva de
grupo creado precedentemente dirigindose al nivel Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas de
control de aplicaciones - Applocker y, a continuacin, Propiedades. En la lista
desplegable correspondiente a la categora de reglas que quiere aplicar realmente,
seleccione Aplicar reglas. Valide haciendo clic en Aceptar.
Si lo desea, puede agregar opcionalmente la direccin de un sitio Web propio cuando se le

bloquee una aplicacin a algn usuario. De este modo, podr dirigirles a una pgina
especfica de su Intranet para proporcionar informacin acerca de este bloqueo. Para ello,
modifique la directiva Configuracin del equipo - Directivas - Plantillas
administrativas - Componentes de Windows - Explorador de Windows - Establecer un
vnculo de pgina web de soporte.
Es posible administrar la solucin Applocker mediante PowerShell. Encontrar los
comandos PowerShell de referencia en la siguiente direccin:
http://technet.microsoft.com/en-us/library/ee424349(WS.10).aspx
Acaba de descubrir cmo implantar una directiva Applocker. La solucin tcnica no es

particularmente complicada aunque habr que prestar atencin a los distintos procesos para
implantar esta solucin que evoluciona al mismo tiempo que las aplicaciones de su
empresa, de modo que no penalice a los usuarios.
5. Cifrado de datos mediante BitLocker
La mayor parte del tiempo, los servidores estn ubicados en un datacenter a menudo
llamado "bnker", de cara a implementar la seguridad fsica (cmaras, control de
acceso). No siempre es posible alcanzar este nivel de seguridad, especialmente en sitios
remotos, que cuentan nicamente con unos pocos usuarios. Si bien el nmero de usuarios
es, con frecuencia, poco elevado, resulta indispensable desplegar un servidor para ofrecer
ciertos servicios de manera local, en especial un controlador de dominio o un servicio
DHCP. En el primer caso, el servidor dispone por defecto de una copia del dominio y, por
tanto, de las contraseas de todos los usuarios. Como ha visto en el segundo captulo del
libro, la implementacin de un RODC (controlador de dominio de slo lectura) permite
superar este problema. Pero, cmo puede hacerse si se trata de un servidor de archivos o
de una base de datos?
En tal caso, ser interesante cifrar los datos para impedir que el atacante pueda recuperar
los datos y las contraseas contenidos en el equipo. El cifrado es un mtodo que permite
reforzar la seguridad de un mensaje o un archivo codificando su contenido de manera que
slo las personas que dispongan de la clave de cifrado apropiada para descifrarlos puedan
leerlo. Por ejemplo, si compra un producto en un sitio web, la informacin necesaria para
realizar la transaccin (como, por ejemplo, su direccin, su nmero de telfono y de tarjeta
bancaria) se cifra, por lo general, en el servidor con el objetivo de dotarlos de seguridad.
Por otro lado, el cifrado de los discos duros de los equipos porttiles resulta, tambin,
extremadamente interesante para las empresas, sobre todo dado que los usuarios son, cada
da, ms mviles y, en consecuencia, los datos de la empresa se ven cada vez ms
expuestos en caso de hurto.
Microsoft proporciona, desde Windows 2000, el uso
BitLocker Provisioning: permite desplegar un cifrado de los discos antes, incluso,

de la instalacin del sistema operativo.
Cifrado nicamente del espacio en disco utilizado: es posible seleccionar cifrar el
disco entero o, nicamente, el espacio en disco utilizado. La idea permite cifrar de
manera ms rpida el disco cifrando nicamente los bloques utilizados.
Cambio de contrasea y del cdigo PIN por el usuario estndar: esta
funcionalidad ofrece la posibilidad a un usuario estndar de modificar la contrasea
o el cdigo confidencial de BitLocker en los volmenes que albergan el sistema
operativo y la contrasea de BitLocker en los volmenes de datos, lo que contribuye
a reducir el nmero de llamadas a soporte tcnico.
Desbloqueo de red: esta funcionalidad permite a un sistema BitLocker instalado en
red desbloquear automticamente el volumen de sistema durante el arranque (en
redes compatibles con Windows Server 2012). Esto puede resultar primordial tras la
intervencin remota por parte del equipo de soporte informtico.
Compatible con discos duros cifrados de Windows: Windows 8 es compatible
con discos duros cifrados con BitLocker.
Antes de que un disco cifrado con BitLocker se desbloquee, BitLocker autentica el disco
basndose en los datos de identificacin que el usuario, o el sistema operativo, proveen y
que autorizan a BitLocker a desbloquear el acceso al lector. BitLocker tiene en cuenta los
distintos mtodos de bloqueo en base al conocimiento por el usuario de una contrasea, la
presencia de un componente de hardware o claves de aplicacin, o una combinacin de
estos tres elementos. Puede seleccionar el mtodo de bloqueo cuando configura BitLocker.
Los mtodos de bloqueo disponibles difieren entre los discos del sistema operativo y los
discos de datos fijos o extrables. Por ejemplo, slo es posible proteger mediante TPM un
disco que contenga un sistema operativo. Sobre un disco que contenga un OS, puede
seleccionar utilizar uno de los mtodos de bloqueo siguientes:
Slo TPM.
Slo clave de arranque.
TPM + cdigo PIN.
TPM + clave de arranque.
TPM + cdigo PIN + clave de arranque.
En un disco de datos fijos o extrable, puede seleccionar los tres mtodos de bloqueo
siguientes:
contrasea.
tarjeta + cdigo PIN.
automtico.
Para los lectores de datos, el mtodo de bloqueo por tarjeta + cdigo PIN ofrece la mejor
proteccin.
Cuando quiere bloquear los datos protegidos mediante BitLocker con una tarjeta, debe
asegurarse de que sus usuarios tienen certificados compatibles con BitLocker cargados en
una tarjeta. Para generar estos certificados, puede utilizar una entidad de certificacin (CA),
crear certificados autofirmados, o configurar un certificado EFS existente para un uso con
BitLocker. Cuando utiliza tarjeta, tambin se recomienda disponer de una aplicacin de
gestin de tarjetas. Puede, por ejemplo, utilizar la funcionalidad de gestin de tarjetas que
ofrece Microsoft Forefront Identity Manager (FIM). El siguiente vnculo ofrece
informacin detallada acerca del uso de certificados con
BitLocker: http://technet.microsoft.com/en-us/library/dd875548%28WS.10%29.aspx
He aqu las principales etapas a realizar para poder utilizar BitLocker en el seno de su
empresa. En este ejemplo, se trata de desplegar esta funcionalidad en los equipos porttiles
de su AD.
a. Activacin de la tarjeta TPM en los equipos
La primera etapa consiste en activar la tarjeta TPM en los equipos pues, como hemos visto,
no es prctico almacenar la informacin en una llave USB o tener que escribirla con cada
arranque del equipo
Esta etapa se desarrolla a nivel de BIOS del equipo y puede necesitar, segn los fabricantes,
dos reinicios sucesivos del ordenador. El primero permite activar la funcionalidad de
Seguridad TPM y el segundo realiza la activacin de la opcin de la tarjeta TPM en la
placa base.
Defina, tambin, el disco duro como primer dispositivo a utilizar en el orden de

arranque del equipo, en caso contrario correr el riesgo de encontrar problemas si
selecciona un arranque puntual desde otro dispositivo (lector de CD, llave USB, etc.).
El despliegue de esta opcin puede realizarse en cada equipo modificando el proceso de

entrega del equipo, con el objetivo de agregar esta configuracin, o mediante la
herramienta que permite distribuir la informacin BIOS a los equipos. Estas herramientas
son propias de cada fabricante y ser conveniente leer su documentacin para identificar la
existencia de tal solucin.
b. Activacin de BitLocker en los equipos
Si desea desplegar BitLocker en su infraestructura, el elemento ms importante a tener en

cuenta es disponer de claves de recuperacin BitLocker. De este modo, si extrae el disco
duro cifrado para conectarlo a otro equipo o si, por algn motivo, el usuario ha perdido su
clave BitLocker, la clave de recuperacin permitir recuperar los datos.
Es, tambin, posible configurar los equipos para que la clave de cifrado de BitLocker se
almacene como propiedad del equipo directamente en Active Directory.
Para ello, si tiene un controlador de dominio con Windows Server 2008 o superior, es
posible almacenar esta informacin en Active Directory. En caso contrario, instale, al
menos, un controlador de dominio con esta versin y actualice el esquema de Active
Directory para que la informacin BitLocker pueda tenerse en cuenta.
c. Despliegue de BitLocker en equipos del Active Directory
Cree, a continuacin, una nueva directiva de grupo y edite los parmetros que se
encuentran en Configuracin del equipo - Directivas - Plantillas administrativas -
Componentes de Windows - Cifrado de unidad BitLocker.
Ver varios parmetros de configuracin as como tres carpetas suplementarias que
configuran la forma en que Windows procesa la informacin de BitLocker segn se trate de
un lector de datos extrable, de un disco fijo o de un sistema operativo.
Seleccione las siguientes opciones y repita esta operacin segn el tipo de informacin que
desea proteger:
Por ejemplo, para el sistema operativo, las opciones son:
Elegir cmo se pueden recuperar unidades del sistema operativo protegidas por
BitLocker
Habilite la opcin y seleccione registrar las contraseas de recuperacin y los paquetes de

claves. Indique, a su vez, "No habilitar BitLocker hasta que la recuperacin de
informacin est almacenada en Active Directory", lo que le asegura que BitLocker no
cifrar los datos mientras no est seguro de poder recuperarlos a travs de Active Directory.
Puede, a continuacin, repetir la configuracin para los dems tipos de lector.
Vaya a Configuracin del equipo - Directivas - Plantillas administrativas -

Componentes de Windows - Sistema - Servicios de Mdulo de plataforma segura.
Habilite la opcin Activar copia de seguridad del TPM en los Servicios de dominio de
Active Directory.
Observe que, si BitLocker ya est activo en los equipos, las claves de recuperacin as
como la informacin TPM no se almacenar en Active Directory, puesto que se realiza en
el momento en que se activa la tarjeta TPM y, por tanto, se activa BitLocker.
Para forzar manualmente el almacenamiento de esta informacin en Active Directory para

estos equipos, ser preciso utilizar el siguiente comando (para la recuperacin de la
informacin para el lector C:, por ejemplo): manage-bde-protectors -get c:
Puede obtener la contrasea digital del lector y "empujarla" a Active Directory mediante el
comando manage-bde-protectors -adbackup c: -id {contrasea digital}.
Puede, a continuacin, forzar la aplicacin de esta directiva en sus equipos mediante el

comando gpupdate /force.
d. Visualizar las claves de recuperacin de BitLocker
Para visualizar las claves de recuperacin de BitLocker, tendr que utilizar las herramientas
RSAT, o bien agregar la funcionalidad Cifrado de unidad BitLocker.
Puede, a continuacin, ir a la pestaa Recuperacin BitLocker, en las propiedades del

equipo. La pestaa presenta la contrasea de recuperacin que debe utilizar si fuera
necesario.
Se plantear, sin duda, la cuestin Cmo es posible recuperar un disco duro cifrado sin
no se sabe el nombre del equipo que ha cifrado los datos? En este caso, tras intentar acceder
a los datos, un mensaje le indicar el Password ID. Haciendo una bsqueda en Active
Directory puede encontrar este Password ID y, de este modo, la clave de recuperacin
asociada. Desde la consola ADUC (dsa.msc), aparecer una nueva opcin siempre que
estn instaladas las herramientas BitLocker; se trata de la opcin Buscar contrasea de
recuperacin de BitLocker.
Sepa, tambin, que BitLocker puede utilizarse para cifrar los perifricos extrables (llave
USB, disco duro externo, etc.) utilizando la funcionalidad BitLocker To Go.
El lector puede leerse automticamente en un equipo Windows 7/8 una vez que se haya
informado la contrasea de cifrado. Las versiones anteriores de Windows, como por
ejemplo Vista y XP, pueden leer los datos cifrados en los perifricos, con la condicin de
que los datos estn almacenados en FAT (y no NTFS); gracias a la herramienta BitLocker
To Go Reader almacenada sobre el dispositivo. La herramienta no permitir, sin embargo,
leer el contenido de la clave ni escribir datos en el dispositivo. Puede descargar la
herramienta de la siguiente direccin: http://www.microsoft.com/en-
En un contexto algo diferente, he aqu un ejemplo de implementacin de BitLocker sobre

un servidor core que se encuentra configurado en workgroup:
En primer lugar es necesario instalar la funcionalidad mediante el siguiente comando

PowerShell:
Add-WindowsFeature BitLocker
Al finalizar la instalacin, es necesario reiniciar.

Para obtener el estado del cifrado BitLocker sobre el servidor y para todos sus volmenes,
utilice el comando PowerShell:
Get-BitLockerVolume |FL
Obtendr un resultado similar al que se muestra a continuacin:
A continuacin, debe habilitar BitLocker:
%systemroot%\System32\manage-bde.exe -on C: -rp -sk E:
Esta lnea de comando configura el cifrado del lector C que contiene al sistema operativo
en una mquina que no disponga de un mdulo TPM.
La opcin -rp se corresponde con una contrasea de recuperacin; la opcin -sk con la
ubicacin E: (llave USB) se corresponde con la ubicacin de almacenamiento de una clave,
necesaria con cada reinicio.
El resultado se muestra en la siguiente captura de pantalla:

Observe que, por defecto en Workgroup, el sistema no permite cifrar el lector que contiene
el sistema operativo en un servidor que no posea mdulo TPM. Es preciso, no obstante,
configurar la directiva local para autorizar esta operacin (en el editor de directivas:
Plantillas administrativas - Componentes de Windows - Cifrado de unidad BitLocker
- Unidades del sistema operativo - Requerir autenticacin adicional al iniciar y marque
la opcin Permitir BitLocker sin un TPM compatible.
Encontrar ms informacin acerca de la configuracin de BitLocker en la siguiente

direccin: http://technet.microsoft.com/en-us/library/jj612864.aspx
Por ltimo, sepa que Windows 8.1 y Windows Server 2012 R2 aprovechan la aparicin del
soporte del cifrado de los dispositivos. Como ejemplo, cuando un equipo se instala con
Windows 8.1, la fase de preparacin para el primer uso se encarga de inicializar, tambin,
el cifrado del disco duro externo mediante una clave sin cifrar (equivalente al estado
suspendido de BitLocker).
A diferencia de las implementaciones anteriores de BitLocker, el cifrado est habilitado

automticamente de manera que el dispositivo siempre est protegido por defecto.
6. Herramientas de seguridad indispensables
a. Asistente para configuracin de seguridad
Siempre partiendo del principio del menor privilegio, Windows Server, desde el Service
Pack 1 de Windows Server 2003, proporciona un asistente de configuracin de la seguridad
(llamado SCW por Security Configuration Wizard). Su objetivo es crear una directiva que
habilite los servicios, las reglas de firewall y los parmetros necesarios para cubrir los roles
especficos (controlador de dominio, servidor de impresin, etc.).
No se trata, por tanto, de aplicar un modelo de seguridad (archivo INF) sino ms bien de
configurar el sistema operativo de manera ms cercana a las verdaderas necesidades del
servidor. Esto supone deshabilitar todos aquellos servicios intiles, agregar reglas
necesarias en el firewall de Windows, etc.
Para acceder al asistente, en Windows Server 2012 R2, vaya al Administrador del
servidor - Herramientas - Asistente para configuracin de seguridad.
La primera etapa consiste en definir la accin que se desea realizar. Puede bien crear una
directiva, modificarla, aplicarla o bien hacer una marcha atrs en alguna directiva aplicada
con anterioridad.
En este ejemplo, vamos a crear una nueva directiva. Hacemos clic en Siguiente.
Seleccione, a continuacin, el servidor sobre el que desea auditar la configuracin y aplicar

esta seguridad. A continuacin, haga clic en Siguiente.
Se compara la informacin con la informacin de seguridad que ofrece Microsoft y que es
visible haciendo clic en Ver la base de datos de configuracin. Haga clic en Siguiente.
El resto del asistente le permite realizar la seleccin de roles necesarios en el servidor para
configurar, as, los servicios de manera adecuada. Si no marca un servicio que est
instalado, entonces el asistente lo deshabilitar y ya no se volver a arrancar. Tome su
tiempo para analizar los resultados. Por defecto, el asistente le presenta aquellos roles que
ha identificado como instalados en su etapa de verificacin anterior. Una vez realizada la
seleccin, haga clic en Siguiente.
La siguiente etapa hace referencia a las Caractersticas instaladas. Aqu se enumeran los
principales servicios "cliente" utilizados en el servidor (DNS, WINS, Miembro de dominio,
etc.). Realice el mismo anlisis que en la etapa anterior y, a continuacin, haga clic en
Siguiente.
La siguiente etapa indica otras opciones diversas que tendrn su impacto en ciertos
servicios, o sobre la configuracin automtica del firewall de Windows con seguridad
avanzada. Haga clic en Siguiente una vez realizada la seleccin.
Los servicios adicionales, al no formar parte de la base de datos de configuracin que se
ofrece por defecto, se enumeran aqu. Haga la seleccin adecuada y, a continuacin, haga
clic en Siguiente.
Pasamos a una etapa que se refiere al tratamiento de servicios sin especificar durante las
etapas anteriores. Puede seleccionar el comportamiento por defecto entre no modificar el
modo de arranque del servicio o deshabilitarlo automticamente. La eleccin depender de
la criticidad del servidor. Haga clic en Siguiente.
La siguiente ventana resume las modificaciones que se realizarn en los servicios del
servidor en cuestin. Valide la configuracin haciendo clic en Siguiente.
La siguiente etapa se refiere a la configuracin automtica de las reglas para el Firewall
de Windows. Es posible ignorar esta etapa marcando la opcin adecuada. Haga clic en
Siguiente para iniciar este asistente. Puede seleccionar y enumerar las reglas modificadas
por el asistente de configuracin, o incluso, por ejemplo, agregar una regla especfica que
no se haba identificado previamente. Una vez finalizada esta etapa, haga clic en Siguiente.
A continuacin puede editar la configuracin del registro. En esta aplicacin, se trata, en
realidad, de configurar los protocolos autorizados para comunicar con los dems equipos
(exigir la firma SMB, exigir la firma LDAP y los mtodos de autenticacin entrante y
saliente). Aparece una pgina que le resume todas las modificaciones que se efectuarn en
el servidor. Esta configuracin resulta muy interesante y permite aumentar,
significativamente, la seguridad de los intercambios entre el servidor y sus clientes. Las
modificaciones propuestas requieren, no obstante, disponer de un parque informtico
relativamente moderno.
La ltima etapa se refiere a la configuracin de la directiva de auditora que se aplicar.

Piense en prever una volumetra suficiente para que la auditora sea manejable.
El archivo SCWAudit.inf define una auditora sobre el acceso de cualquier usuario al

archivo de configuracin, de sistema, etc. Tenga en mente que la marcha atrs propuesta
por el asistente de configuracin de la seguridad no le permitir restaurar estos parmetros
de auditora a su estado original. Si tiene alguna duda, desmarque la opcin en cuestin.

Seleccione un nombre para guardar el archivo. Puede visualizar la configuracin creada e
incluso integrarla en un modelo de seguridad (archivo .INF) que se aplicar durante la
seleccin de la configuracin especfica. En nuestro ejemplo, se trata de
Plantilla_ControladorDeDominio_2014.xml.
A continuacin, puede seleccionar aplicar ms adelante, o inmediatamente, la directiva en
cuestin.
Lo que resulta interesante con este asistente es que puede crear un archivo de plantilla, tal y
como hemos hecho, y a continuacin convertirlo en un objeto de directiva de grupo, que
ser ms fcil de desplegar en los equipos que elija.
Es posible convertir el archivo de directiva de seguridad en un objeto de directiva de grupo

de la siguiente manera:
Scwcmd transform /p:%windir%\security\msscw\Policies\Plantilla_

ControladorDeDominio_2013.xml /g:SecureDC
Se crea automticamente una GPO llamada SecureDC donde se definirn los parmetros
de la plantilla. Deber, a continuacin, vincular esta GPO con la OU que desee.
Si fuera necesario, los archivos de log se encuentran en la ruta:

%windir%\security\msscw\Logs
Esto permitir mantener una seguridad homognea de los servidores utilizados para un
mismo rol, sin un sobrecoste en la administracin.
b. La herramienta Security Compliance Manager
Microsoft pone, tambin, a disposicin del usuario y de manera gratuita una lista de
referencias de los parmetros de seguridad para sus productos, especialmente para
Windows Server 2012. Estos parmetros se proveen a travs de una herramienta
llamada Security Compliance Manager, accesible en la siguiente direccin:
SCM permite evaluar y corregir la conformidad de sus polticas de seguridad mediante las
siguientes operaciones:
Importar los parmetros de seguridad (desde el sitio Microsoft Solution

Accelerators o desde una copia de seguridad de sus GPO).
Comparacin y personalizacin de los parmetros respecto a las recomendaciones
de Microsoft.
Exportacin de los parmetros de seguridad (hacia una GPO, un pack de
configuracin DCM para SCCM, un archivo SCAP).
Consulta de las ltimas versiones de las guas de seguridad de Microsoft provistas
con las baselines oficiales.
c. La herramienta Microsoft Security Assessment Tool
Existe otra herramienta, muy popular entre los equipos encargados de la seguridad. Se trata
de Microsoft Security Assessment Tool (MSAT), disponible en la siguiente
direccin: http://www.microsoft.com/en-
us/download/details.aspx?displaylang=en&id=12273. Se analizan una serie de cuestiones
(ms de un centenar), que le permiten evaluar la seguridad de su infraestructura segn las
respuestas indicadas. Tras el formulario, se generan 3 informes, ms un informe completo
que incluye una gua de procedimientos y un listado de las acciones principales.
Permite ofrecer informacin y recomendaciones sobre las buenas prcticas de seguridad en

el seno de una infraestructura. Se basa en una serie de preguntas globales relativas a su
parque informtico (nmero de equipos, nmero de servidores, etc.) ms cuestiones un
poco ms tcnicas (existe una DMZ?, etc.).
7. El control de acceso dinmico

a. Principio del control de acceso dinmico
Estos ltimos aos hemos organizado toda nuestra seguridad de datos (nuestros recursos)
en base a la asignacin de permisos (ACL) y a usuarios segn su pertenencia a tal o cual
grupo.
Si bien este mtodo ha resultado til, posee sus lmites pues, de hecho, se trata de un acceso
que se resume en autorizado o no segn la pertenencia del usuario a los grupos definidos o
a la aplicacin de ciertas ACL sobre una carpeta o archivo concretos. La seguridad se
centraba, principalmente, en los usuarios que podan acceder a ciertos recursos, ms que a
la criticidad de los propios recursos accedidos.
Con Windows Server 2012 R2, es posible mejorar considerablemente esta gestin de los
datos a travs de una nueva nocin llamada Control de acceso dinmico (o
Dynamic Access Control - DAC).
El control de acceso dinmico permite establecer autorizaciones de acceso en funcin de

reglas precisas. Permite complementar los permisos existentes sobre una carpeta o un
archivo, no tiene vocacin de remplazar las ACL, aunque se agrega a los permisos NTFS
implementados.
Estas reglas pueden estar vinculadas a numerosos parmetros, tales como:
El nivel de confidencialidad asociado a un archivo o carpeta.

El cargo ocupado por un usuario, su ubicacin geogrfica o cualquier otro atributo
diferenciador.
La configuracin del dispositivo que se utiliza para acceder a los recursos.
Etc.
Ser, de este modo, posible permitir el acceso a un recurso en funcin de su clasificacin.

Es posible agregar alguna condicin de acceso suplementario como, por ejemplo, la
conformidad del equipo desde el que el usuario intenta acceder al recurso. Este mismo
usuario desde un equipo que no est actualizado no podr acceder al mismo archivo. El
cambio se realiza sobre la marcha, pues los criterios se verifican en el momento de realizar
el acceso al recurso.
La informacin relativa al DAC se almacena en el Active Directory dentro de

CN=Claims Configuration,CN=Services,CN=Configuration,DC=miempresa, DC=priv y se
replica en el seno del Active Directory.
b. Terminologa
Antes de poder abordar el DAC, veamos los distintos trminos que conviene conocer:
Notificacin (Claim): le permite implementar DAC en su infraestructura, ser

preciso realizar un trabajo previo para categorizar sus datos, su criticidad, el
permetro de seguridad autorizado (puesto conforme o no) para acceder a los
archivos, etc. Estos elementos se asocian a distintos atributos. Una notificacin es
uno de estos atributos, har referencia a un usuario (sus atributos Active Directory),
un dispositivo (atributos Active Directory del equipo) o un recurso (propiedad de
recursos definidos por los administradores).
Esto permite definir de forma precisa los usuarios, dispositivos y recursos que se
desea integrar en DAC a nivel de toda la empresa. Cuando una notificacin se basa
en una cuenta de equipo, deber habilitarse la opcin FAST (Kerberos Armoring)
por GPO sobre los controladores de dominio del dominio afectado. Es posible
agrupar una notificacin de usuario y de equipo para formar una autenticacin
compuesta (Compound ID), disponible nicamente en Windows 8/2012 o superior.
Las notificaciones, o propiedades, se agregan a una lista de propiedades de recursos.
Reglas de acceso central (Central Access Rules): se trata de una expresin de reglas
de autorizacin que incluye una o varias condiciones. Estas condiciones afectan a
los grupos de usuarios, a las propiedades de los recursos, a las notificaciones del
usuario o del dispositivo.
Directiva de acceso central (Central Access Policy): se trata de una directiva de

autorizacin que incluye expresiones condicionales, es decir, condiciones que deben
cumplirse para poder acceder al recurso (o al archivo).
La directiva de acceso central debe agregarse a una regla de acceso central. La regla
de acceso central debe, por tanto, aplicarse a todos los archivos afectados.
La directiva de acceso central se despliega, a continuacin, en todos los servidores

de archivos.
Expresin (Expression): hablamos de una expresin condicional. El acceso a los

recursos puede afinarse gracias a la definicin de varias condiciones (tales como la
pertenencia de una cuenta a un grupo, el nivel de seguridad del puesto de usuario,
etc.).
Las expresiones se definen a nivel de los parmetros de seguridad avanzados del

archivo/carpeta o del editor de reglas de acceso central.
c. Formas de implementacin y requisitos previos
Para utilizar DAC, existen dos enfoques posibles:
Es posible definir reglas y directivas de acceso central a nivel de Active Directory, y

stas se utilizarn para autorizar o no el acceso a un recurso.
El segundo mtodo consiste en crear e integrar las notificaciones en las listas de
control de acceso existentes (ACL). Este caso resulta particularmente til para
archivos almacenados en un sistema de archivos ReFS puesto que no soporta, de
momento, ninguna directiva de acceso. Para obtener ms informacin acerca ReFS,
consulte el captulo El ciclo de vida de su infraestructura.
Los requisitos previos son:

El nivel funcional del bosque debe, al menos, ser Windows Server 2003.
DAC requiere, al menos, un controlador de dominio con Windows Server 2012.
Los servidores de archivos para los que desea una autenticacin basada en
notificaciones deben, a su vez, utilizar Windows Server 2012/2012 R2. El rol File
Server Resource Manager (FSRM) debe estar instalado en estos servidores de
archivos.
Un cliente Windows RT/8/8.1/201/2012 R2 si el acceso se basa en notificaciones y
quiere utilizar los atributos en el objeto Equipo. En los dems casos, basta con un
cliente Windows 7/2008 R2.
Un cliente Windows RT/8/8.1/2012/2012 R2 con acceso a un controlador de
dominio en Windows Server 2012/2012 R2 para los sitios remotos.
Si el usuario no se encuentra en el mismo bosque que el servidor de archivos, todos
los controladores de dominio del dominio raz del servidor de archivos deben
utilizar Windows Server 2012/2012 R2.
Como podr ver, existen varias nociones nuevas que debe aprehender, aunque la ganancia
en trminos de seguridad resulta muy interesante.
d. Caso prctico y anlisis de necesidades
Tomemos como ejemplo el departamento Recursos Humanos (RRHH) de una gran empresa
con varios pases agrupados en el mismo dominio Active Directory. Los archivos de RRHH
de cada pas no deberan poder consultarse, salvo en modo de slo lectura, por parte del
departamento de RRHH local de cada pas, respectivamente.
El departamento de RRHH central podr, adems, acceder a los archivos de RRHH de

todos los pases.
Etapa 1: Comprender las necesidades y traducirlas en atributos de referencia interpretables

en DAC
Como en todo proyecto, es necesario realizar un estudio previo. Se trata de identificar los
datos sensibles y las reglas que autorizarn el acceso a los mismos.
Las reglas son, por tanto:
Los documentos no pueden accederse salvo en modo de solo lectura desde el

departamento de RRHH.
El departamento de RRHH slo puede acceder a los recursos de RRHH de su pas.
Slo los miembros del grupo Admins RRHH tienen un acceso de lectura/escritura.
Los miembros del grupo RRHH_Excepcion tendrn acceso de slo lectura.
Los administradores y propietarios del documento tendrn un acceso de Control
total.
Etapa 2: Crear el tipo de notificacin

Es necesario crear notificaciones sobre los atributos que se utilizarn para definir el
acceso al recurso.
En nuestro caso, nos basaremos en los atributos Department (Departamento) y Country

(Pas) del usuario.
La definicin de la notificacin se configura en la consola del Centro de administracin de

Active Directory, pues se trata de informacin que se almacena en Active Directory.
Desde la consola Centro de administracin de Active Directory (dsac.exe), vaya al men

Control de acceso dinmico - Claim Types - Nuevo - Tipo de notificacin y haga clic en
el atributo department.
Agregue, a continuacin, el atributo Pas.
Desde la consola Centro de administracin de Active Directory, Control de acceso

dinmico - Claim Types - Nuevo - Tipo de notificacin y haga clic en el atributo c.
En Nombre completo, indique country.
En los valores sugeridos, haga clic en Se sugieren los valores siguientes y agregue ES (en
valor y nombre completo), JP, US, GB.
Etapa 3: Definir las propiedades de los recursos
Hay que empezar definiendo las propiedades de los recursos (Resource Properties).
Aqu se configuran las propiedades que se descargarn los servidores de archivos para
clasificar los archivos.
Observe que estas propiedades de recursos se agregarn a la lista de Propiedades de

recursos.
Los futuros accesos de control dinmico tendrn como objetivo comparar los atributos del
usuario con las propiedades de los recursos.
Se establece una lista previa de propiedades de los recursos por Microsoft, aunque es
posible crear las propias si fuera necesario. Esto es lo que hemos hecho con el atributo
Country, que no existe por defecto.
En primer lugar, habilitaremos el atributo Department...
Abra la consola Centro de administracin de Active Directory y, a continuacin,

seleccione Control de acceso dinmico - Resource Properties.
Seleccione Department y marque la opcin Habilitar en la lista de tareas disponibles.

Para el atributo Country, al no estar definido por defecto, es necesario crear una propiedad
de recursos de referencia del siguiente modo:
Desde la consola Centro de administracin de Active Directory, Control de acceso

dinmico - Resource Properties - Nuevo - Propiedades de recurso de referencia.
Seleccione el atributo country e indique el mismo nombre en Nombre completo y, a

continuacin, haga clic en Aceptar.
Seleccione country en la lista de Resource Properties y haga clic en Habilitar.
Si no utiliza las notificaciones sino directamente las propiedades de los recursos, se

recomienda agregarlas a una lista de propiedades de recursos.
Etapa 4: Definir una regla de acceso central (Central Access Rule o CAR)
Es, de algn modo, el equivalente a las ACL, incluso aunque no las remplaza por completo.
Una CAR describe las condiciones que deben cumplirse para permitir el acceso a un
recurso (un archivo, por ejemplo).
Desde la consola Centro de administracin de Active Directory (dsac.exe), vaya al nodo

Control de acceso dinmico, haga clic en Central Access Rules - Nuevo - Regla de
acceso central.
Defina, a continuacin, las reglas que desee aplicar.
En nuestro ejemplo, para asociar una verificacin al atributo "Departamento", haga lo

siguiente:
Nombre: RRHH - Reglas para los documentos RRHH.
Descripcin: (opcional).
Recursos afectados: haga clic en Editar y, a continuacin, en Agregar una condicin y

seleccione la o las condiciones que deben cumplirse para permitir el acceso a los recursos,
del siguiente modo: Recurso - Department - Es igual a - Valor - Human Resources y
haga clic en Aceptar (Human Resources se corresponde con el valor preconfigurado por
defecto en Windows y que puede modificarse si fuera necesario a nivel de Resource
Properties).
En las autorizaciones, seleccione el valor Usar los siguientes permisos como permisos
actuales.
En las Permisos actuales, haga clic en Editar y, a continuacin, agregue los Usuarios
autentificados como Principal. Es preciso crear, a continuacin, las condiciones que se
refieren a las necesidades expresadas en el estudio para "Todos" los usuarios. En nuestro
ejemplo, los Usuarios autentificados responden a ciertos criterios que pueden acceder a
los archivos en modo lectura, por lo que debemos definir la siguiente regla:
Usuario - country - Cualquiera de - Recurso - country
Usuario - department - Cualquiera de - Recurso - Department

Agregue una autorizacin especfica para los Administradores de RRHH (miembros del
grupo RRHH_Admin) que tendrn, en s mismo, la posibilidad de modificar el contenido
en cuestin. Haga clic en Editar dentro de Permisos actuales y, a continuacin, Agregar -
Seleccionar una entidad de seguridad. Indique el grupo RRHH_Admin en Modificar.
Agregue una autorizacin especfica para los usuarios que solo tengan permisos de lectura
(miembros del grupo RRHH_Excepcion). Haga clic en Editar dentro de Permisos actuales
y, a continuacin, Agregar - Seleccionar una entidad de seguridad. Indique el grupo
RRHH_Excepcion que tendr acceso de Lectura/lectura y ejecucin. Haga clic en Aceptar.
Ahora, tiene una regla de acceso central que limita el acceso a los archivos de RRHH a un
mismo pas y un mismo departamento. El grupo RRHH_Admin puede editar los archivos y
el grupo RRHH_Excepcion puede leerlos.
Observe que slo los archivos clasificados como Human Resources estarn afectados por
esta regla.
Etapa 5: Agregar reglas de acceso central a una directiva de acceso central
A continuacin, es preciso asociar las reglas creadas a una directiva de acceso central que
desplegaremos mediante una GPO.
Para ello, desde el Centro de administracin de Active Directory abra Central Access
Policies - Nuevo - Directiva de acceso central y asocie la regla de acceso central que
acaba de crear.
Etapa 6: Desplegar la directiva de acceso central en los servidores de archivos mediante una
GPO
La CAP puede desplegarse mediante una GPO en los servidores de archivos Windows
Server 2012 que posean el rol FSRM (este rol se agrega al servidor en Seleccionar roles de
servidor - Servidor de archivos y almacenamiento - Servicios de iSCSI y archivo y
marcando Servidor de archivos y Administrador de recursos del servidor de archivos).
Es preciso crear una nueva GPO para desplegar la directiva de acceso central (CAP) en los
servidores de archivos.
Esta directiva de grupo deja disponible la poltica de acceso central, aunque no forzar su
aplicacin.
Desde la consola Administracin de directivas de grupo (gpmc.msc), cree una GPO en la

OU que hospeda sus servidores de archivos. Navegue a Configuracin del equipo -
Directivas - Configuracin de Windows - Configuration de seguridad - Sistema de
archivos - Directiva de acceso central.
Haga clic con el botn derecho en Directiva de acceso central y, a continuacin, en
Administrar directivas de acceso central. Seleccione la directiva que acaba de crear
CAP_RRHH y haga clic en Agregar.
Haga clic con el botn derecho en la OU correspondiente a su directiva y seleccione

Actualizacin de directiva de grupo. Esto tiene como efecto forzar la aplicacin de la
directiva de grupo en todos los servidores de la OU (funcionalidad incluida con Windows
Server 2012 que funciona con equipos cliente con Windows Vista/2008 o versiones
superiores).
Etapa 7: Configurar los controladores de dominio y los clientes para que tengan en cuenta
las notificaciones
Para que un controlador de dominio sea apto para gestionar las notificaciones, hay que
configurarlo definiendo una GPO que se aplica a nivel de la OU Domain Controllers.
La opcin FAST por Flexible Authentication Secure Tunneling, tambin conocida con el
nombre de Kerberos Armoring" (o blindaje Kerberos), debe estar habilitada en los
controladores de dominio para ser compatible con DAC. FAST provee, en particular, un
canal seguro entre el cliente y el KDC.
El blindaje Kerberos se aplica mediante GPO sobre la OU Domain Controllers. Se aplica

sobre controladores de dominio con Windows Server 2008 y superiores.
Para configurarlo, siga los siguientes pasos:
Cree una GPO, en lugar de utilizar la GPO por defecto Default Domain Controllers
Policy.
Vaya a Configuracin del equipo - Directivas - Plantillas administrativas - Sistema -

KDC y habilite el parmetro KDC admite notificaciones, autenticacin compuesta y
proteccin de Kerberos.
Fuerce las GPO en los controladores de dominio a travs del comando gpupdate /force.
A nivel de su dominio (o de sus equipos cliente, nicamente), defina una GPO que permita
utilizar notificaciones. Esto tiene como efecto extender el ticket Kerberos gestionado por el
cliente.
Vaya a Configuracin del equipo - Directivas - Plantillas administrativas - Sistema -

Kerberos y habilite el parmetro KDC admite notificaciones, autenticacin compuesta y
proteccin de Kerberos.
Etapa 8: Clasificar los datos en el servidor de archivos y aplicar la directiva de acceso

central
Esta etapa debe realizarse desde el explorador de archivos en el servidor de archivos con el
rol FSRM.
En primer lugar, deber clasificar los archivos del recurso compartido especificando las
propiedades de los recursos definidas anteriormente.
En las propiedades de aquellos recursos compartidos que deban protegerse, haga clic con el
botn derecho sobre l y, a continuacin, en Propiedades. Vaya a la pestaa Clasificacin.
Ver aparecer todas las propiedades de los recursos definidas anteriormente.
Si no fuera el caso, desde el servidor de archivos, abra una ventana de PowerShell y escriba
el comando Update-FSRMClassificationPropertyDefinition. Este comando forzar el
refresco de las propiedades de los recursos definidas.
Seleccione, a continuacin, las propiedades del recurso country y Department y defina

los valores esperados. A continuacin, haga clic en Aceptar.
Ahora que ha clasificado la carpeta, puede asociar la directiva de acceso central que desea
aplicarle.
En las propiedades de la carpeta, seleccione la pestaa Seguridad, haga clic en Opciones

avanzadas y seleccione la pestaa Directiva central.
Haga clic en Cambiar y seleccione, a continuacin, la directiva centralizada llamada

CAP_RRHH.
A continuacin, haga clic en Aceptar para validar la configuracin y, de este modo, hacer
la DAC efectiva sobre esta carpeta.
Etapa 9: Verificar los accesos efectivos
Ahora que todo est implementado, la ltima etapa consiste en verificar que los accesos
estn bien definidos.
Para ello, no tendr que conectarse con la cuenta de tal o cual usuario para hacer esta
verificacin. La pestaa Acceso efectivo se ha actualizado en Windows Server 2012 y tiene
en cuenta las notificaciones.
En las Propiedades de la carpeta, seleccione la pestaa Seguridad, haga clic en Opciones

avanzadas y seleccione la pestaa Acceso efectivo.
Seleccione la cuenta de usuario que desee y haga clic en Ver acceso efectivo.
Aqu, si bien todos los usuarios autenticados estn definidos a nivel NTFS, slo aquellos
que respondan a los criterios definidos en la DAC estn autorizados a acceder a los
recursos.
Puede, a continuacin, constatar la eficacia de esta directiva visualizando las autorizaciones

efectivas sobre esta carpeta seleccionando una cuenta de usuario que tenga los atributos
informados correctamente. Puede, a su vez, indicar una notificacin especfica y ver los
permisos aplicados.
Puede definir atributos de usuario directamente desde la consola Centro de administracin

de Active Directory. En las propiedades del usuario existe una seccin Extensin, que
contiene varias pestaas, entre ellas una llamada Editores de atributos.
e. Para ir ms all...
Existen varias opciones muy interesantes que complementan la funcionalidad de control de

acceso dinmico.
Entre ellas, cabe tener en mente:
En caso de acceso denegado, es posible definir una directiva de remedio que

permita al administrador definir un mensaje especfico al usuario, e incluso avisar al
propietario del recurso mediante correo electrnico, lo que mejora
considerablemente la reactividad en caso de existir alguna configuracin incorrecta
durante la etapa de implementacin de la DAC. Observe que esta funcionalidad slo
est disponible si utiliza SMB 3.0 (y, por consiguiente, para accesos a archivos que
se hayan realizado desde clientes Windows 8/8.1/2012/2012 R2 hacia un servidor
de archivos Windows Server 2012/2012 R2).
Esto se configura en los servidores de archivos, en la consola Administrador de

recursos del servidor de archivos - Administracin de clasificaciones. Haga clic
con el botn derecho en Propiedades de la clasificacin y Establecer propiedades
de administracin de carpetas.
Las directivas de auditora son mucho ms eficaces cuando estn basadas en

expresiones que se apoyan en notificaciones (claims) de usuario, de equipo y de
recurso, permitiendo as precisar los eventos que deben notificarse.
De este modo puede, por ejemplo, auditar todos los usuarios que intentan acceder a
recursos para los que no tienen habilitado el acceso o, al revs, administradores que usen
sus permisos de forma abusiva.
Vaya a las Propiedades de la carpeta que desee auditar, en la pestaa Seguridad -

Opciones avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de
seguridad.
Seleccione, a continuacin, el grupo que desea auditar, por ejemplo el grupo habilitado
para acceder a esta carpeta.
Puede, a continuacin, agregar una condicin que indique, por ejemplo: Usuario - Grupo -
Miembro de cada - Valor - [Admins de Dominio] y [Administradores].
Debe haber habilitado, previamente, la auditora del sistema de archivos en Configuracin

del equipo - Directivas - Configuracin de Windows - Configuracin de seguridad -
Configuracin de directiva de auditora avanzada - Directivas de auditora - Acceso a
objetos. A continuacin, en el parmetro Auditar sistema de archivos y en el parmetro
Auditar almacenamiento provisional de directiva de acceso central, habilite las
opciones Correcto y Error.
Para la clasificacin de los archivos, una de las etapas ms complejas, es posible

definir reglas de clasificacin automtica de los datos.
Puede, a continuacin, buscar los archivos que contienen la cadena de caracteres

"Confidencial restringido" y, de este modo, categorizar automticamente el archivo
como High.
Para ello, es preciso crear una regla de clasificacin desde la consola

Administrador de recursos del servidor de archivos, habiendo habilitado
previamente la propiedad de recursos "Impacto".
De este modo, se ejecutar esta regla escaneando todos los archivos buscando la
cadena de caracteres en cuestin y, a continuacin, atribuir automticamente el
valor High al atributo Impact del archivo.
Microsoft proporciona, a su vez, la herramienta Data Classification Toolkit que le

ayuda en la clasificacin de los archivos en sus servidores Windows 2008 R2/2012
y 2012 R2. Est disponible en la siguiente direccin: http://www.microsoft.com/en-
Si desea acoplar DAC a RMS, esto le permitir cifrar sus documentos sensibles En
base, por ejemplo, a su clasificacin podr mantener el control sobre los
documentos clasificados en cualquier momento.
El control de acceso dinmico supone una mejora importante en Windows Server 2012. Si
bien es necesario realizar un gran trabajo inicial, la seguridad de los datos de la empresa se
ver mejorada considerablemente.
Podr acoplarle una directiva de auditora basada en expresiones, tal y como se describe en
el captulo Dominio Active Directory.
Delegacin de la administracin en Active
Directory
Una de las principales ventajas de un dominio Active Directory es poder tener un directorio
comn para varias entidades en el seno de la misma empresa. Este directorio compartido
permite reducir costes de administracin asociados al mantenimiento de la infraestructura.
1. Enfoque de la delegacin de la administracin
Dado que las polticas de seguridad estn bien diferenciadas en las distintas divisiones de la
empresa y que los equipos IT no son los mismos, conviene encontrar una solucin que
permita delegar las tareas necesarias para el trabajo de cada uno sin comprometer la
seguridad de la totalidad del dominio Active Directory.
Existen distintas maneras de delegar los permisos a los usuarios. Algunas autorizaciones
pueden asignarse, fcilmente, a travs de grupos de seguridad ya existentes. Es el caso, por
ejemplo, de la delegacin de la administracin de un servicio como DHCP (mediante el
grupo DHCPAdmins) o DNS (mediante el grupo DNSAdmins), o incluso la posibilidad de
consultar los registros de eventos (mediante el grupo Event Log readers), etc.
Es posible realizar, tambin, una delegacin en el seno de Active Directory mucho ms

granular, directamente a nivel de los objetos.
La estructura de un dominio Active Directory est organizada por defecto de forma

jerrquica. Es posible, en efecto, delegar tareas a nivel de un bosque, de un sitio, de un
dominio o incluso de una unidad organizativa. Adems, cada objeto posee atributos con
DACL (Discretionary Access Control List) asociados, de modo que tambin es posible
delegar las opciones de manera muy precisa (reinicializar la contrasea del usuario,
autorizar la desactivacin de una cuenta de usuario, etc.). Pasaremos a la prctica un poco
ms adelante en este mismo captulo.
Antes de comenzar con la configuracin de la delegacin de su Active Directory, conviene

estudiar bien las necesidades actuales a las que debe responder.
La siguiente lectura (en ingls) le permitir ver un poco ms clara la delegacin de la

administracin de un Active DirectoryDirectory y las buenas prcticas que debe aplicar.
Est disponible en la siguiente direccin: http://www.microsoft.com/en-
2. Delegacin de cuentas de usuario
Pasemos, ahora, a la prctica delegando dos acciones especialmente tiles para una hotline
y equipo de soporte informtico de la empresa. Estos equipos no tienen la vocacin de
realizar tareas administrativas ligadas al Active Directory, sera excesivo agregarlos al
grupo "Administradores del dominio" por ejemplo.
Entre las necesidades que expresan ms a menudo estos equipos para responder a las
peticiones de los usuarios, encontrar en especial la solicitud de permiso para agregar un
usuario a un dominio Active Directory y el permiso para reinicializar las contraseas de los
usuarios.
Las delegaciones se realizan, por lo general, sobre el total o sobre una parte de los
objetos de una unidad organizativa (u OU por Organizational Unit) o de un dominio. Esto
tiene como objetivo simplificar la administracin y la gestin de los permisos de su Active
Directory. Est de ms recordarle que es obligatorio guardar una traza de las delegaciones
realizadas para facilitar la administracin cotidiana y las operaciones de recuperacin en
caso de problemas.
Tomemos como ejemplo el departamento de hotline que quiere poder reinicializar las
contraseas de los usuarios y desbloquear sus cuentas. Todos los usuarios de la hotline
forman parte del mismo grupo llamado HotlineUsers.
Para delegar estos permisos, Microsoft pone a su disposicin el asistente de delegacin.
Para ello, desde la consola Centro de administracin de Active Directory (dsa.msc), sitese
en el objeto del contenedor padre desde el nivel en que quiera realizar la delegacin de
permisos. En la mayora de casos, esta delegacin se realiza a nivel de una unidad
organizativa. Haga clic con el botn derecho del ratn en el objeto y seleccione Delegar
control.
Haga clic en Siguiente en la pantalla de bienvenida. El asistente le pide a continuacin
seleccionar los usuarios o grupos para los que quiere asignar los permisos delegados. Haga
clic en Agregar y, a continuacin, escriba el nombre de su grupo y haga clic en
Comprobar nombres. A continuacin, haga clic en Aceptar.
Una vez agregado el o los grupos, haga clic en Siguiente.
Puede seleccionar, ahora, el nivel de permisos que quiere aplicar al objeto delegado. Puede
seleccionar entre las delegaciones predefinidas para tareas corrientes o bien Crear una
tarea personalizada para delegar.
En nuestro ejemplo, podramos escoger las tareas predefinidas aunque stas ofrecen
demasiados permisos en comparacin con lo que queremos autorizar. Elija la opcin Crear
una tarea personalizada para delegar para poder realizar una delegacin ms granular, y
Seleccione delegar Slo los siguientes objetos en la carpeta, marque Objetos Usuario y,
Seleccione, a continuacin, el o los tipos de autorizacin que quiere delegar a los usuarios.
En nuestro ejemplo, el atributo Restablecer contrasea (o Reset Password, en ingls) se
utiliza para reiniciar la contrasea y los atributos Leer lockoutTime (o Read lockout Time)
y Escribir lockoutTime (o Write lockout Time) se utilizan para desbloquear una cuenta de
usuario. Los dos ltimos slo estn visibles marcando la opcin Especfico de la propiedad
pues, como su propio nombre indica, son especficos del objeto usuario.
Una vez marcadas las tres opciones, haga clic en Siguiente.
Aparece una ventana que resume las opciones seleccionadas durante el asistente de
delegacin. Haciendo clic en Finalizar se modifican las ACL en el contenedor
seleccionado.
Puede enumerar y definir una autorizacin directamente desde la consola de Usuarios y
Equipos Active Directory. Para ello debe activar las Caractersticas avanzadas en el men
Ver de la consola. A continuacin, visualizando las Propiedades del controlador o del
objeto delegado, aparece una pestaa Seguridad que le permite visualizar y modificar la
seguridad directamente desde este lugar.
Observe, tambin, que desde el Centro de administracin de Active Directory (DSAC.exe),
no existe ningn asistente de delegacin disponible, aunque puede visualizar la seguridad
implementada en una OU especfica seleccionando la opcin Ver de las propiedades de la
OU en cuestin.
Una vez realizada la delegacin, es habitual que se distribuya una consola MMC
personalizada a los usuarios afectados. Para ello es necesario tener instaladas las
herramientas RSAT en los puestos de administracin.
La ventaja de tener una consola MMC personalizada es que estos usuarios slo tienen
acceso a una visin limitada del Active Directory. Tambin es posible definir de forma
exhaustiva las acciones disponibles (en nuestro ejemplo, seran las opciones de
reinicializar las contraseas de los usuarios y desbloquear su cuenta). Encontrar ms
informacin acerca de la forma de crear una consola MMC personalizada en la siguiente
direccin (en ingls): http://technet.microsoft.com/en-
us/library/bb742441.aspx#XSLTsection126121120120 o tambin
http://social.technet.microsoft.com/wiki/contents/articles/2816.how-to-create-custom-mmc-
and-add-taskpad.aspx
Aun habiendo configurado todas sus delegaciones, se dar cuenta rpidamente de que no
siempre es sencillo encontrar el documento correcto para saber "quin tiene el permiso para
hacer qu". Microsoft incluye para ello una pestaa que le permite listar las autorizaciones
efectivas de una cuenta o de un grupo de usuarios sobre el objeto que elija (opcin
disponible tanto a nivel de los permisos NTFS como a nivel de directorio). Esta opcin
puede resultar muy prctica para ver con mayor claridad la delegacin implementada, pero
tambin para paliar problemas de permisos a menudo heredados desde objetos padre
difcilmente identificables. Gracias a esta herramienta, podr identificar fcilmente los
problemas.
Abra las Propiedades de una cuenta de usuario presente en el contenedor que desee (por
ejemplo la unidad organizativa sobre la que haya definido su delegacin en el ejercicio
anterior) y a continuacin haga clic en la pestaa Seguridad - Opciones avanzadas -
Permisos efectivos. Recuerde que si utiliza la consola Usuarios y equipos de Active
Directory (dsa.msc), y la pestaa Seguridad no est presente, es necesario seleccionar las
Caractersticas avanzadas dentro de las opciones de visualizacin). Desde la consola
Centro de administracin de Active Directory (dsac.exe), tendr que ir a la opcin
Extensiones en las Propiedades de la cuenta.
Haga clic en Seleccionar e indique la cuenta de un usuario (en nuestro ejemplo se trata de
una cuenta de usuario miembro del grupo HotlineUsers).
Se muestran, a continuacin, todos los permisos que posee la cuenta de usuario sobre el
objeto seleccionado. En la captura de pantalla siguiente, vemos cmo el permiso Cambiar
contrasea est habilitado.
La delegacin de tareas administrativas es, como hemos visto, un elemento importante que
puede integrar en sus procesos administrativos para delimitar de la mejor forma posible el
rol de cada uno.
Securizacin de la red
La securizacin de la red de empresa es, tambin, una etapa primordial de la securizacin
general de su infraestructura. Esta seccin tiene como objetivo presentar las
funcionalidades ms interesantes de Windows Server 2012 que le permitirn implementarlo
de la mejor forma posible en su infraestructura de red existente.
1. Network Access Protection
Con Windows Server 2008 R2 apareci una capa suplementaria de red llamada NAP (por
Network Access Protection). Se realiza un control de conformidad sobre todos los
servidores y puestos de trabajo (que soporten esta funcionalidad) antes de realizar cualquier
conexin a la red de produccin.
Debera, de este modo, definir previamente un conjunto de requisitos previos de seguridad

(antivirus actualizado, firewall activo, etc.). Ser, tambin, capaz de garantizar que los
equipos que se conectan a su red de empresa tienen un nivel de seguridad mnimo. Si ste
no fuera el caso, estos equipos se ponen en cuarentena en una red dedicada y no enrutada
mientras no cumplan con los requisitos previos exigidos. Encontrar ms informacin
acerca de NAP en el captulo Implantar los servicios de red de la empresa. Observe que tras
la aparicin de Windows Server 2012 R2, la funcionalidad se ha marcado como
"potencialmente a abandonar" en las prximas versiones de Windows. Este tema se aborda
con un poco ms de detalle en el captulo Implementar los servicios de red de la empresa.
2. El Firewall de Windows
Windows Server 2012 R2 ponen a su disposicin un firewall capaz de analizar a la vez el

trfico entrante y saliente gracias a su nuevo mdulo de firewall con seguridad avanzada
accesible a travs de la consola MMC con el mismo nombre.
Este mdulo de firewall no debe confundirse con el firewall "bsico", conocido en entornos
XP y accesible mediante el comando firewall.cpl. El firewall bsico no permite definir
reglas para el trfico saliente, sino nicamente excepciones para el trfico entrante.
Desde Windows Server 2008 R2, la consola del firewall bsico ha evolucionado y
permite habilitar la proteccin dependiendo del tipo de red a la que est conectada la tarjeta
de red, a saber: "Dominio", "Privada" o "Pblica". Cada interfaz de red tendr asignado un
perfil de-pendiendo de las caractersticas definidas por el servicio Reconocimiento de
ubicacin de red.
A continuacin, seleccione las aplicaciones para las que desea autorizar el trfico entrante.
Esto presenta una ventaja en comparacin a la apertura de un puerto, pues una aplicacin
autorizada abre una "brecha" nicamente durante el tiempo de ejecucin de la aplicacin
mientras que una regla aplicada sobre un puerto deja este puerto abierto durante todo el
tiempo y nada garantiza que la aplicacin que escucha en el puerto no es, en realidad, un
malware.
Tambin es posible configurar reglas de firewall desde una consola MMC que permita
configurar, de forma muy precisa y granular, los flujos, tanto entrantes como salientes. Esto
permite adaptarse mejor a la realidad de los requisitos en produccin.
Se trata de la consola MMC Firewall con seguridad avanzada (accesible en las

Herramientas administrativas, mediante el acceso directo wf.msc o bien a travs de la
opcin Configuracin avanzada en la consola bsica del firewall). El firewall tambin
puede configurarse por lnea de comandos mediante el argumento advfirewall del comando
netsh.
Es posible definir una configuracin de firewall distinta para cada uno de los tres perfiles
de red existentes en Windows Server. La eleccin del tipo de perfil se realiza tras la
primera conexin de la tarjeta de red y puede encontrarse en la consola Centro de redes y
recursos compartidos. Puede cambiar esta definicin ms tarde, desde el Administrador
del servidor - Herramientas - Directiva de seguridad local - Directivas de gestin de
listas de red (ser necesario ejecutar un "gpupdate /force" para que se tengan en cuenta, de
manera inmediata, las modificaciones realizadas en el entorno).
Tambin puede conocer el perfil activo (y para el que se aplicarn las reglas de firewall
asociadas) directamente desde la consola MMC de configuracin del firewall avanzado.
Recuerde que existen tres perfiles de firewall, son los siguientes:
Un Perfil de dominio: se activa automticamente cuando su equipo est conectado

a un dominio Active Directory.
Un Perfil privado: activo cuando su equipo est conectado a una red sin dominio
Active Directory (no hay ningn controlador de dominio disponible).
Un Perfil pblico: activo cuando est conectado a redes que ha considerado poco
seguras como por ejemplo cibercafs, aeropuertos, y dems lugares donde la
seguridad de red no est o est poco garantizada.
Para centralizar la configuracin de las reglas de firewall en sus servidores de dominio, le

ser posible (incluso recomendable!) utilizar directivas de grupo.
Existen dos conjuntos de directivas para ello:

Configuracin del equipo - Directivas - Plantillas administrativas - Red - Conexiones
de red - Firewall de Windows: permite configurar las opciones del firewall bsico,
aplicndose, de este modo, al equipo Windows XP tambin. Es posible precisar mucho
menos que con la siguiente directiva:
Configuracin del equipo - Directivas - Configuracin de Windows - Firewall de

Windows con seguridad avanzada: permite configurar reglas de firewall avanzadas como
las que vamos a ver ms adelante.
A continuacin, configuraremos una regla de firewall para comprobar toda la extensin de

las posibilidades propuestas. Autorice, por ejemplo, la conexin desde Internet hacia el
puerto 80/TCP de su servidor que alberga, de momento, un servidor Web Apache. Hemos
escogido expresamente un servidor Web de un fabricante externo para facilitar la
comprensin de las excepciones del firewall sobre un ejecutable, comprobando que basta
con utilizar una regla predefinida creada automticamente.
Va a configurar, aqu, las opciones de manera local en un equipo, pero sepa que podr
realizar la misma operacin editando una directiva de grupo en el almacn descrito ms
arriba.
Conctese de forma local a un servidor o desde puesto cliente con Windows 7/8 con las
RSAT y, a continuacin:
Abra la consola Firewall de Windows con seguridad avanzada (wf.msc desde el men
Inicio - Ejecutar), y haga clic con el botn derecho del ratn en Reglas de entrada y, a
continuacin, Nueva regla.
Se abre un asistente que le permite elegir el tipo de regla de firewall que desea crear. Se
ofrecen cuatro opciones:
Programa: esta opcin le permite definir el ejecutable para el que la accin

definida en la etapa siguiente se va a aplicar.
Puerto: permite especificar un puerto o una lista de puertos TCP o UDP locales de
su equipo.
Predefinida: regla correspondiente a un servicio de Windows (til para puertos
abiertos de manera dinmica y aleatoria, no nos obligar a abrir todo el rango de
puertos).
Personalizada: permite personalizar la regla para, por ejemplo, limitar la
autorizacin nicamente a un programa concreto por un puerto definido.
En este ejemplo, seleccione crear una regla personalizada y, a continuacin, haga clic en
Siguiente.
Defina, ahora, si lo desea, el ejecutable o el servicio que desea autorizar y, a continuacin,

haga clic en Siguiente. En este ejemplo, indique la ruta completa del ejecutable del servidor
Web Apache (%Program-Files%(x86)\Apache Software
Foundation\Apache2.2\bin\httpd.exe). Tambin podr definir el servicio Apache en esta
mista etapa del asistente haciendo clic en Personalizar y seleccionando el servicio en
cuestin
A continuacin, tiene que definir el o los puertos que quiere autorizar (o bloquear) que
respondan a sus necesidades. El puerto local se corresponde con el puerto del equipo sobre
el que se aplica el perfil de firewall. El puerto remoto es el puerto situado en el equipo que
trata de comunicarse con el equipo que tendr aplicado el perfil de firewall. En este
ejemplo, debe autorizar el puerto 80/TCP local de su servidor para autorizar una conexin
HTTP clsica.
Observe que tambin es posible definir una franja de puertos para abrir.
Es posible configurar el mbito de la regla indicando las direcciones IP origen y destino
para las que se le quieren aplicar. En este ejemplo, puede abrir un acceso completo para
Cualquier direccin IP. Haga clic en Siguiente.
A continuacin, se ofrecen tres acciones. Lo que elija se aplicar al trfico definido en la

etapa anterior:
Permitir la conexin: dicho de otro modo esto permite, en nuestro ejemplo,

circular al trfico entrante hacia el servidor Web Apache.
Permitir la conexin si es segura: permite controlar la integridad y la auten-
ticacin de cada paquete enviado desde su equipo basndose en el protocolo IPSec.
Veremos este punto un poco ms adelante en este captulo en la seccin Cifrado
IPSec. La opcin Exigir el cifrado de las conexiones permite activar IPSec para
cifrar los paquetes durante su transmisin. El destinatario de estos paquetes debe a
su vez estar configurado para poder enviar y recibir este tipo de trfico, sin que el
dilogo entre los dos equipos sea imposible.
Bloquear la conexin: bloquea la condicin definida anteriormente en el asistente.
En nuestro ejemplo, seleccione Permitir la conexin y, a continuacin, haga clic en

Siguiente.
Indique, a continuacin, los perfiles de conexin para los que quiere aplicar esta regla y
haga clic en Siguiente para dar un Nombre a esta regla de firewall.
Su regla de firewall se ha creado y ya es efectiva! Aparece en la parte superior de la lista

de su consola MMC.
En Windows Server 2008 R2/2012, si elige Permitir la conexin si es segura para una
regla especfica, entonces es posible editar esta regla para definir los usuarios y equipos
para los que no se aplicar esta regla.
Observe que si est habilitada la auditora de las modificaciones de las directivas (mediante
la directiva de grupo Configuracin del equipo - Directivas - Configuracin de
Windows - Configuracin de seguridad - Directivas locales - Directivas de auditora),
se genera un evento con el nmero 2004, visible desde la consola Eventvwr.msc en el
registro Firewall que se encuentra en Registros de aplicaciones y servicios - Microsoft -
Windows - Windows Firewall With Advanced Security.
Si ha definido una directiva de auditora avanzada (detallada en el captulo Dominio Active

Directory y disponible, si recuerda, en Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Configuracin de directiva
de auditora avanzada), los elementos interesantes relativos al firewall son los siguientes:
Inicio/cierre de sesin (utilcela nicamente si tiene una directiva IPsec

implementada):
Auditar modo extendido de IPsec.

Auditar modo principal de IPsec.
Auditar modo extendido de IPsec.
Acceso a objetos:
Auditar conexin de plataforma de filtrado.

Auditar colocacin de paquetes de plataforma de filtrado.
Cambio en directivas:
Auditar cambio de directiva de plataforma de filtrado.

Auditar cambio de directiva del nivel de reglas de MPSSVC.
Sistema:
Auditar controlador IPsec.

Auditar otros eventos del sistema.
Con esta directiva (en particular, Auditar conexin de plataforma de filtrado y Auditar
colocacin de paquetes de plataforma de filtrado habilitadas), se produce un evento
4946 presente en el registro de Seguridad cuando se cree alguna regla de firewall.
Ver que muchos de estos elementos afectan, tambin, a IPsec, puesto que ambos mdulos
estn integrados en la misma aplicacin. Este tema se aborda un poco ms adelante en este
captulo.
Tambin es interesante saber que no se crea ningn archivo de registro por defecto. Puede
resultar til configurarlo para facilitar la deteccin de cualquier ataque en su servidor
(escaneo de puertos abiertos), o la depuracin que permita encontrar los puertos que es
necesario autorizar para una aplicacin concreta (bastar con tener una conexin y
supervisar en el archivo de registro los paquetes que no han sido autorizados).
Para configurar el archivo de registro, haga clic con el botn derecho del ratn en Firewall
de Windows con seguridad avanzada en Equipo local - Propiedades. Haga clic en
Personalizar dentro de Registro. A continuacin, puede definir una ruta y un nombre para
el archivo de registro, un tamao mximo y el tipo de eventos que desea registrar (paquetes
ignorados y/o conexiones de red).
Observe que esta manipulacin puede realizarse, tambin, desde la directiva de grupo y, de
este modo, desplegarla al mismo tiempo que las dems reglas configuradas.
3. Securizacin de las transacciones de red mediante IPsec
IPSec es un estndar de seguridad que ofrece autenticacin y cifrado de las conexiones.

Ambas nociones de seguridad no son indisociables e IPSec puede ofrecer la autenticacin
sin el cifrado y a la inversa. IPSec funciona sobre la capa de red del modelo OSI, y es capaz
de proteger cualquier aplicacin de red.
El cifrado de las conexiones mediante IPSec hace mucho ms complicado atacar un sistema
orientado a la red. Si un atacante quisiera, por ejemplo, escuchar (mediante un sniffer) la
red durante la transferencia de un archivo entre dos equipos configurados para utilizar el
cifrado IPSec, le ser imposible descifrar los archivos intercambiados!
La segunda ventaja del protocolo IPSec consiste en proveer una autenticacin de los
participantes y garantizar la integridad de los datos durante el cifrado de red. IPSec puede,
as, autenticar a un cliente de red (mediante una autenticacin Kerberos o un certificado,
por ejemplo) antes de permitir inicializar la conexin de red. El ataque de tipo "Man in the
middle" consiste en que un atacante se hace pasar por el servidor a los ojos del cliente y a la
inversa para el cliente a los ojos del servidor. De este modo puede escuchar todo el trfico
entre ambos participantes (remitindolo inmediatamente al verdadero destinatario) y a
continuacin recuperar la contrasea del usuario en una fase de autenticacin en el dominio
Active Directory por ejemplo.
La autenticacin IPSec permite impedir este tipo de ataque autenticando los participantes y
asegurando que los datos no han sido modificados durante su transporte.
Esta autenticacin tambin puede ser muy til para definir una replicacin entre los
controladores de dominio que se encuentran en sitios diferentes y as garantizar la
integridad de la transaccin.
Es preciso, tambin, saber que el protocolo IPSec funciona segn dos modos posibles. El
modo transporte o el modo tnel.
El modo transporte de IPSec permite proteger las comunicaciones entre dos hosts de una
misma red privada o entre dos hosts que no estn separados por ninguna traduccin de
direcciones de red (NAT). En este ltimo caso, puede implantar IPSec Nat Traversal (NAT-
T) con la condicin de que el servidor NAT y los hosts soportan NAT-T (consulte la RFC
3947).
El modo tnel de IPSec protege las comunicaciones entre un host y una red, o de red a red.
Este modo es ms flexible que el modo transporte.
Windows Server 2012 R2 permiten definir reglas de aislamiento (precisando una

autenticacin) o de cifrado mediante el protocolo IPSec.
Esta configuracin puede realizarse de forma muy precisa en el mismo lugar que se haca
en las versiones anteriores de Windows Server, es decir en la directiva de grupo
seguridad - Directivas de seguridad IP. La ventaja de esta consola es que puede definir el
tipo de trfico IP que desea autorizar.
Si, por el contrario, tiene necesidades mucho ms precisas que definir (como, por ejemplo,
implementar un filtrado IPsec en su red interna entre dos puestos de distintos
departamentos, entre controladores de dominio, etc.), las reglas de seguridad de conexin
estn mucho mejor adaptadas, pues son mucho ms fciles de implementar y permiten, en
particular, filtrar el flujo autorizado a travs de esta conexin IPsec.
Puede configurar sus propias reglas de seguridad de conexin desde la misma consola
MMC que el firewall de Windows avanzado.
Antes de lanzarse a realizar la configuracin de las directivas IPSec, asegrese de haber

comprendido bien y configurado sus directivas IPsec pues, sin ello, corre el peligro de
bloquear completamente el acceso a la red de este servidor. Conviene, por tanto, probar las
reglas antes de aplicarlas.
A continuacin, trataremos de aplicar lo que se ha explicado ms arriba con un ejemplo. En

este ejemplo, va a cifrar el trfico entre dos equipos. Para ello, siga los pasos siguientes:
Abra la consola Firewall de Windows con seguridad avanzada (wf.msc) y, a continuacin,

vaya al nivel Reglas de seguridad de conexin - Acciones - Nueva regla.
Se le ofrecen varios tipos de regla. Para tener una visin completa de las posibilidades
seleccione Personalizada y, a continuacin, Siguiente.
Defina, a continuacin, un punto de extremo 1 y un punto de extremo 2 correspondientes a

las direcciones IP de cada uno de los equipos. En nuestro ejemplo, el extremo 1 es la
direccin IP de nuestro servidor local (192.168.0.1) y el extremo 2 es el servidor remoto
(192.168.0.2). A continuacin, haga clic en Siguiente.
Desde Windows Server 2008 R2 y Windows 7, es posible realizar una administracin

dinmica de los extremos. Esta funcionalidad la utiliza en particular DirectAccess para los
usuarios mviles que poseen una direccin IP dinmica. Obtendr ms informacin sobre
DirectAccess en el captulo Acceso remoto.
Seleccione, a continuacin, las condiciones de autenticacin requeridas. En nuestro
ejemplo, seleccione Requerir autenticacin para las conexiones entrantes y salientes
(de este modo, si los dos puestos no estn configurados correctamente para dialogar
mediante IPsec, no ser posible realizar ningn intercambio de informacin, sea cual sea el
emisor de la solicitud) y haga clic en Siguiente.
El mtodo de autenticacin utilizado se basa en el mtodo definido en los parmetros por

defecto de IPSec. Es posible realizar esta configuracin en Propiedades de Firewall de
Windows con seguridad avanzada - pestaa Configuracin IPSec - Personalizar. Puede
hacer esto sin tener que cerrar el asistente en curso.
Cuando est en este apartado, aproveche para definir la obligatoriedad del cifrado de los
datos haciendo clic en Personalizar en Proteccin de datos (modo rpido) y marcando la
opcin Requerir cifrado para todas las reglas de seguridad de conexin que usan esta
configuracin. Haga clic en Aceptar tres veces para volver a su asistente.
En este ejemplo, en la etapa Mtodo de autenticacin, haga clic en Personalizar dentro de

Opciones avanzadas. Haga clic, a continuacin, en Agregar en la primera autenticacin y
seleccione Clave previamente compartida (este parmetro no est recomendado en una
red de produccin pero es aceptable en el marco de las pruebas de implementacin).
Indique, a continuacin, el valor de TestAuthentification relativo a esta clave previamente
compartida. Haga clic en Aceptar dos veces y en Siguiente.
En un entorno de produccin, si los equipos estn en un mismo dominio Active Directory,

se recomienda usar la autenticacin Kerberos puesto que no necesita ninguna configuracin
particular de los ordenadores afectados. Para equipos que no formen parte del mismo
dominio, es preciso establecer una autenticacin basada en un certificado.
Tambin es posible definir desde la consola los Protocolos y puertos sobre los que se
aplicar esta regla, lo que permite definir, de una manera todava ms precisa, el tnel IPsec
creado. Esta operacin puede realizarse tambin mediante el comando netsh.
Defina los perfiles para los que quiere aplicar esta regla. Es posible marcar los tres perfiles.
Indique un nombre para esta regla y haga clic Finalizar.
Como hemos impuesto una autenticacin en las conexiones entrantes y salientes, a partir
del momento en que haga clic en Finalizar, ya no es posible mantener la conexin entre
ambos servidores. Conviene, por tanto, crear esta misma regla en el segundo servidor. Para
comprobarlo, trate de hacer ping al equipo que posee, de momento, la directiva IPsec desde
el segundo equipo, y comprobar que no hay respuesta al ping.
Debe configurar el extremo 2 de forma similar a la directiva configurada en el extremo 1. A

continuacin, comprobar que el ping s obtiene respuesta, aunque transportado en un flujo
completamente cifrado.
Puede convencerse abriendo la consola wf.msc y, a continuacin, Supervisin -

Asociaciones de seguridad.
Conclusin
Como ha podido ver, Windows Server 2012 R2 posee numerosas funcionalidades de
seguridad avanzada. stas no tienen por qu suponer una prdida de productividad. En
efecto, muchos de estos parmetros de seguridad son fcilmente accesibles y
pueden administrarse de forma centralizada.
Introduccin
En este captulo aprender a implementar soluciones para garantizar el estado de salud de
su red una vez configurada y en produccin.
Administracin de la copia de seguridad

Pensar que un sistema recin implantado o que ya lo lleve un tiempo no necesita ninguna
atencin es incorrecto. En efecto, es imposible evitar eventos inesperados en el conjunto del
sistema de informacin. Cadas de servidores, prdidas de archivos, errores en la
manipulacin humana, un incendio, etc. Todos estos elementos pueden volver inestable su
sistema informtico o incluso dejarlo completamente indisponible.
Existen varias soluciones proactivas a su disposicin, que le permitirn plantar cara al

"incidente". Una de ellas es la copia de seguridad. Escoger una estrategia de copia de
seguridad adaptada a las necesidades de la empresa es la mejor forma de asegurarse contra
una prdida de los datos.
Existen distintos mecanismos de copia de seguridad:
Completa: este mtodo transfiere al soporte de copia de seguridad una copia de

todos los datos asociados a una copia de seguridad, independientemente de la
modificacin de los datos tras la ejecucin de la copia de seguridad anterior.
Diferencial: copia todos los datos que han sido modificados desde la ltima copia
de seguridad completa.
Incremental: copia todos los datos que han sido modificados desde la ltima copia
de seguridad, bien sea completa o incremental.
Si bien a primera vista puede parecer que las copias de seguridad incremental y diferencial
son muy parecidas, en la prctica cada una tiene sus ventajas y sus inconvenientes.
Una copia de seguridad diferencial necesita menos medios para realizar una restauracin.
En efecto, basta con usar la ltima copia de seguridad completa y la ltima copia de
seguridad diferencial.
Ventajas: la restauracin de datos es ms rpida.
Inconvenientes: el volumen de datos de copia de seguridad es mayor y las copias de

seguridad tardan ms en realizarse.
La copia de seguridad incremental toma menos tiempo. Slo almacena aquellos elementos
que se hayan visto modificados desde la ltima copia de seguridad (completa o
incremental). El volumen de la copia de seguridad ser menor.
Ventajas: las copias de seguridad son ms rpidas y necesitan menos capacidad en los
medios de almacenamiento.
Inconvenientes: la restauracin es ms lenta pues ser necesario utilizar ms medios. La

restauracin requiere la ltima copia de seguridad completa, ms todas las copias de
seguridad incrementales que le siguen hasta el punto en que sea necesario restaurar.
En cualquier caso, es necesario que preste mucha atencin a sus copias de seguridad
completas. Son las que van a determinar el comportamiento de las siguientes copias de
seguridad.
1. Windows Server Backup
Windows integra, desde la versin 3.1, una herramienta de copia de seguridad llamada
NTBACKUP. Con la llegada de Windows Server 2008, se ha visto remplazada. El nombre
de su sucesor es: WSB (Windows Server Backup).
Ya no vuelva a escribir ms ntbackup en el men Ejecutar, pues en caso contrario recibir

un mensaje de error indicando que la herramienta ya no existe
Windows Server Backup proporciona una solucin que permite responder a las necesidades
de copia de seguridad y de restauracin. Puede utilizarla para realizar una copia de
seguridad completa de un servidor, tambin para realizar una copia de seguridad de ciertos
volmenes, ciertas aplicaciones o incluso para guardar solamente el estado del sistema.
En caso de producirse algn problema grave, podr realizar una recuperacin bare metal
(restauracin partiendo de 0).
Puede utilizar Windows Server Backup para crear y administrar copias de seguridad de un
equipo local o un equipo remoto. Es posible planificar copias de seguridad para que se
ejecuten de manera automtica. Tambin es posible realizar copias de seguridad puntuales.
Windows Server Backup presenta algunos inconvenientes, entre ellos:
Es imposible realizar una copia de seguridad de un servidor Exchange Server (salvo

para la versin Exchange Server 2007 SP2 que incluye un plug-in que habilita la
realizacin de copias de seguridad).
Es imposible realizar copias de seguridad sobre lectores de banda magntica.
Es imposible realizar copias de seguridad en memorias flash USB o llaves USB.
Slo puede realizarse copia de seguridad de volmenes locales en NTFS.
La versin de Windows Server 2012 aporta varios cambios importantes y algunos

beneficios a la herramienta Windows Server Backup:
Realizar una copia de seguridad o restaurar mquinas virtuales individuales en un

host Hyper-V. La versin de Windows Server 2012 R2 permite realizar la copia de
seguridad de mquinas virtuales en Linux desde el host.
Mejora de la gestin de las versiones de copia de seguridad y de la retencin:
realizando una copia de seguridad sobre un disco o volumen, ahora tiene la
posibilidad de especificar una poltica de borrado para determinar cules son las
copias de seguridad que quiere mantener, de cara a gestionar su espacio en disco.
Soporte a copias de seguridad de volmenes de almacenamiento compartidos (CSV:
Cluster Shared Volumes).
Externalizacin de la copia de seguridad sobre la plataforma Online Windows
Azure (si dispone de un abono. Puede consultar el siguiente enlace si desea ms
detalles: http://www.windowsazure.com/es-es/services/backup/).
WSB no permite restaurar copias de seguridad realizadas con NTBackup. Existe no

obstante una versin disponible para su descarga de la herramienta compatible con
Windows Server 2008 R2 y dedicada a las restauraciones:
http://support.microsoft.com/kb/974674
a. Instalacin de Windows Server Backup
He aqu las etapas para realizar la instalacin de Windows Server Backup :

caractersticas.
Seleccione la opcin Instalacin basada en roles o caractersticas y, a continuacin,

En la lista Roles del servidor, haga clic en Siguiente.
En la etapa Caractersticas marque la opcin Copias de seguridad de Windows Server

y, a continuacin, haga clic en Siguiente.
En la pantalla de confirmacin, verifique que se han seleccionado las caractersticas
deseadas y, a continuacin, haga clic en Instalar.
Una vez finalizada la instalacin, haga clic en Cerrar.
Para instalar la herramienta de copia de seguridad tambin puede utilizar el comando

siguiente: Install-WindowsFeature Windows-Server-Backup
b. Creacin de una copia de seguridad completa planificada
A continuacin, configurar su primera copia de seguridad utilizando el asistente. El

objetivo consiste en realizar una copia de seguridad completa de la mquina. Esta copia de
seguridad se realizar de forma automtica todas las noches a las 23h.
Requisitos previos: disponer de un segundo disco duro sobre el que realizar la copia de
seguridad.
He aqu las etapas que debe seguir:

En la consola Administrador del servidor, haga clic en Herramientas - Copia de
seguridad de Windows Server.
En el panel izquierdo, seleccione Copia de seguridad local.
En la pantalla Copia de seguridad de Windows Server (Local), en el panel derecho, haga

clic en Programar copia de seguridad.
En la pantalla de seleccin, seleccione la opcin Servidor completo (recomen-dado).
En la lista desplegable Seleccionar hora del da, seleccione 23:00 y, a continuacin, haga
clic en Siguiente.
En la pantalla que permite seleccionar un tipo de destino, haga clic en realizar copia de
seguridad En un volumen y, a continuacin, haga clic en Siguiente.
Existen tres opciones:
En un disco duro dedicado para copias de seguridad (recomendado): se trata de

un disco local que estar dedicado a la copia de seguridad y no se utilizar para
almacenar archivos de otro tipo.
En un volumen: ofrece la posibilidad de realizar la copia de seguridad de un
servidor en uno de los volmenes de datos. El volumen de destino se excluir
automticamente de la copia de seguridad, donde puede seguir almacenando datos.
En una carpeta de red compartida: permite realizar una copia de seguridad en un
espacio de almacenamiento compartido (lo cual supone una buena opcin puesto
que separa la copia de seguridad de los datos salvaguardados), aunque presenta el
inconveniente de que conserva una nica copia de seguridad que se eliminar cada
vez. Puede almacenar copias de seguridad nicas o copias de seguridad
planificadas.
Haga clic en Agregar.
Seleccione su segundo volumen de datos y, a continuacin, haga clic en Aceptar.

Aparece un mensaje de advertencia que le indica que el volumen de destino se excluir de
la copia de seguridad. Haga clic en Aceptar.
Verifique las opciones seleccionadas y, a continuacin, haga clic en Finalizar.
Una vez creada la programacin de la copia de seguridad, haga clic en Cerrar.
Su copia de seguridad queda, as, operativa.
c. Creacin de la copia de seguridad planificada de una (o varias) carpeta(s)
El objetivo es, aqu, realizar una copia de seguridad slo de ciertas carpetas de la mquina
servidor. Esta copia de seguridad se realizar de forma completa todos los das a las 21h.

En el panel izquierdo, seleccione Copia de seguridad total.
En la consola Copia de seguridad de Windows Server (Local), en el panel derecho, haga

clic en Planificacin de la copia de seguridad.
Seleccione la opcin Personalizada y, a continuacin, haga clic en Siguiente.

Haga clic en Agregar elementos para seleccionar los archivos/carpetas que desea incluir
en la copia de seguridad.
En la ventana de seleccin, marque la carpeta Users y, a continuacin, haga clic en

Aceptar.
A continuacin, haga clic en Siguiente.
Deje la planificacin por defecto (Una vez al da a las 21h) y, a continuacin, haga clic en
Siguiente.
Seleccione la opcin de hacer la copia de seguridad En un volumen y, a continuacin,

Haga clic en Agregar.
Seleccione su segundo volumen y, a continuacin, haga clic en Aceptar.
Verifique las opciones marcadas y, a continuacin, haga clic en Finalizar.
Una vez creada la programacin de la copia de seguridad, haga clic en Cerrar.
d. Herramientas asociadas a WSB y copias de seguridad nicas
WSB ofrece, tambin, la posibilidad de realizar copias de seguridad no planificadas. Esto

puede ser interesante antes de cualquier operacin que pueda necesitar de una vuelta atrs
(instalar un nuevo producto, eliminar un rol, etc.). Estas copias de seguridad nicas
permiten a su vez no incluir obligatoriamente el estado del sistema en la copia de seguridad.
Siguiendo el asistente Hacer copia de seguridad una vez que se encuentra en Copia de
seguridad de Windows Server, puede:
seleccionar una ubicacin de red para realizar la copia de seguridad;

escoger entre una copia de seguridad realizada mediante VSS (Volume Shadow
Copy) o una copia de seguridad completa VSS.
La copia VSS es til si utiliza otro sistema de copia de seguridad. En efecto, esto deja los
atributos de los archivos intactos. De este modo las copias de seguridad que se realicen con
su programa dedicado no se vern afectadas en su rotacin. VSS permite a su vez
salvaguardar archivos abiertos.
La copia de seguridad completa VSS es til cuando slo utiliza Windows Server Backup
para realizar sus copias de seguridad. ste, una vez terminada la ejecucin, actualiza el
histrico de copia de seguridad de los archivos.
La herramienta por lnea de comandos wbadmin est disponible con las versiones Core y
Completa de Windows Server 2012. Permite realizar las mismas tareas que con la interfaz
grfica (observar que el ttulo de la ventana de copia de seguridad Windows Server se
llama: wbadmin - Copia de seguridad de Windows Server) del asistente de copia de
seguridad o incluso ms.
Algunos comandos tiles con wbadmin.exe:
wbadmin enable backup: permite crear y administrar las copias de seguridad

programadas.
wbadmin start systemstatebackup: permite realizar una copia de seguridad del
estado del sistema.
wbadmin start backup: permite ejecutar una copia de seguridad una vez.
wbadmin get versions: permite obtener los detalles de una copia de seguridad que
ya se ha realizado.
wbadmin get items: permite ver cules son los elementos que contiene un archivo
de copia de seguridad.
Wbadmin tiene la ventaja de permitir incluir los comandos en procesos batch. Estos batch
pueden ejecutarse como tareas programadas. A su vez, existe la posibilidad de ejecutar
rpidamente una copia de seguridad sobre un almacenamiento en red. Por ejemplo, la
siguiente lnea de comando permite realizar la copia de seguridad del volumen E en una
carpeta compartida de otro equipo:
Wbadmin start backup -backuptarget:\\OTROSERVIDOR\CarpetaCompartida -

include:E:
-User:backupadmin@MiEmpresa.Priv -Password:P@ssw0rd
Si desea obtener ms informacin acerca de la sintaxis de wbadmin, vaya a la siguiente

direccin: http://technet.microsoft.com/en-us/library/cc754015.aspx
Desde Windows Server 2008, Microsoft ha restringido significativamente las capacidades
de su herramienta de copia de seguridad integrada en beneficio de su producto System
Center Data Protection Manager (DPM). Este producto, independiente y de pago, ofrece
muchas ms funcionalidades que WSB. Para obtener ms informacin sobre DPM:
http://technet.microsoft.com/en-us/library/hh758173.aspx
e. Las instantneas
Como complemento a las copias de seguridad, puede utilizar las instantneas (llamadas
comnmente Volume Shadow Copy). Las instantneas permiten restaurar los archivos que
se encuentran en las carpetas compartidas de red. Esta restauracin se realiza de forma muy
simple y rpida.
El principio de funcionamiento es el siguiente: el servidor inicia una captura del estado de

los archivos en un momento dado y otra captura ms tarde en el tiempo. El sistema va a
comparar, a continuacin, las diferencias entre ambos estados. Si un archivo se ha
suprimido, modificado u otro, entonces el sistema guardar una copia. Es posible realizar
varias planificaciones para un mismo volumen en el mismo da. La restriccin es que el
sistema slo conserva 64 versiones de un archivo.
Las instantneas estn activas a nivel de los volmenes. Para implementarlas:
En la consola Administrador del servidor, haga clic en Herramientas - Administracin

de equipos.
En el panel de Navegacin, despliegue Almacenamiento - Administracin de discos.
Haga clic con el botn derecho en el volumen para el que quiere activar las instantneas y,
a continuacin, seleccione Propiedades.
Haga clic en la pestaa Instantneas.

Desde esta ventana puede activar o desactivar las instantneas. Tambin puede crear una
instantnea de forma manual simplemente haciendo clic en el botn Crear ahora.
La configuracin avanzada se puede administrar haciendo clic en Configuracin... y tras

haber seleccionado un volumen. Una vez dentro puede especificar la programacin de la
instantnea, su rea de almacenamiento as como su tamao mximo.
Haga clic en Configuracin.

Seleccione un tamao lmite (o ilimitado) para realizar las instantneas.
Seleccione la ubicacin del almacenamiento (puede ser interesante seleccionar otro medio
de almacenamiento distinto al volumen desde el que se hacen las instantneas para utilizar
un medio de almacenamiento de bajo coste como, por ejemplo, un disco duro USB).
Haga clic en Programacin.

Por defecto, las instantneas se realizan todos los das laborables 2 veces al da (a las 7h y a
las 12h).
Ajuste estos valores en funcin de sus necesidades y teniendo en mente que slo se
conservarn 64 versiones de la instantnea.
Haga clic en Aceptar para validar la programacin.
Haga clic en Aceptar para validar la configuracin de la instantnea.
Puede hacer clic en el botn Crear para crear una instantnea de manera inmediata.
Si intenta ver el contenido de esta instantnea, ver que est vaca. En efecto, las
instantneas utilizan una imagen en un instante T para realizar la copia de seguridad de los
datos que se han modificado desde la ltima instantnea. Un archivo que ya existiera en la
instantnea antes de implementar la copia de seguridad y que jams se haya modificado,
nunca podr verse en las versiones anteriores.
Para restaurar una instantnea, vaya a la pestaa Versiones anteriores en las propiedades
de una carpeta padre o, directamente, sobre el archivo deseado si todava est presente (a
continuacin se muestra una captura de pantalla que ilustra esta posibilidad).
2. Restaurar los datos
Ahora que sabe cmo realizar una copia de seguridad de sus datos, vamos a ver cmo
restaurarlos. Para restaurar informacin utilizando WSB, debe ser miembro del grupo
Operadores de copia de seguridad o del grupo Administradores del equipo.
a. Restaurar archivos y/o carpetas
Para restaurar una carpeta:

En el panel derecho, haga clic en Recuperar.
Especifique el servidor sobre el que se encuentra la copia de seguridad que se utilizar para
recuperar los datos y, a continuacin, haga clic en Siguiente.
Seleccione, utilizando el calendario, la copia de seguridad que desea restaurar y, a

Seleccione el tipo de dato que desea recuperar y, a continuacin, haga clic en Siguiente.
Seleccione el elemento (archivos o carpetas) que desea restaurar y, a continuacin, haga

clic en Siguiente.
Seleccione los elementos que desea recuperar y, a continuacin, haga clic en Siguiente.
Especifique, a continuacin, el lugar donde desea restaurar la informacin, si desea borrar

los archivos de destino, o bien realizar una copia, o no recuperar archivos que ya existan en
el espacio de destino. Especifique, a su vez, si deben restaurarse los permisos NTFS.

En la pantalla de confirmacin, verifique los elementos seleccionados y, a continuacin,
haga clic en Recuperar.
Una vez recuperados los elementos, haga clic en Cerrar.
b. Restaurar el estado del sistema
Si ocurriera un fallo importante en el sistema, debera restaurarlo. Esta operacin es similar

a una restauracin completa, aunque la diferencia es que no restaura los volmenes que
contienen datos. Slo se restauran los volmenes crticos.
Esta operacin puede realizarse sobre la misma mquina o, en el caso de un reemplazo o

renovacin de hardware, sobre una mquina diferente. Preste atencin, la mquina de
reemplazo debe poseer caractersticas de hardware similares.
La restauracin del sistema es la forma ms prctica de reparar los roles de servidores

corruptos o incluso de restaurar Active Directory. Preste atencin, no es posible realizar
una restauracin parcial del estado del sistema.
La restauracin del estado del sistema sobre un controlador de dominio realiza una
restauracin no autoritaria de Active Directory.
He aqu las etapas que debe seguir para restaurar el estado de su sistema:
Inicie su servidor desde una imagen de instalacin (DVD, llave USB, red) de Windows
Server 2012.
Seleccione los parmetros regionales y, a continuacin, haga clic en Siguiente.
Haga clic en Reparar el equipo.
Haga clic en Solucionar problemas.
Haga clic en Recuperacin de imagen del sistema.
Seleccione su sistema operativo.
Si no existe ninguna copia de seguridad disponible en local, aparecer el siguiente mensaje:

Haga clic en Cancelar.
Haga clic en Siguiente para seleccionar una imagen de sistema.
Haga clic en Opciones avanzadas.
Haga clic en Buscar una imagen de sistema en la red.
Aparece la siguiente advertencia, haga clic en S.
Al utilizarse una imagen almacenada en la red para restaurar el sistema, es preciso disponer
de un servidor DHCP que permita obtener una direccin IP vlida en la red de trabajo.
Indique la ubicacin de la copia de seguridad y, a continuacin, haga clic en Aceptar.
Indique la informacin de identificacin para conectarse al recurso compartido (en este

ejemplo, el recurso compartido se encuentra en un servidor llamado DC1) y, a
continuacin, haga clic en Aceptar.
Seleccione la copia de seguridad que desea restaurar y, a continuacin, haga clic en
Siguiente.
Seleccione, a continuacin, las opciones facultativas (para dar formato y reparticionar los
discos, instalar controladores, etc.) y, a continuacin, haga clic en Siguiente.
Haga clic en Finalizar, y, a continuacin, haga clic en S para iniciar la restauracin.
Espere a que el sistema reinicie automticamente para que la restauracin termine por
completo.
3. Almacenamiento
a. Conjunto RAID
Existe un mtodo alternativo de asegurar los datos. Muy extendida en los entornos de
servidores y en expansin en entornos particulares, esta tecnologa se llama RAID
(Redundant Array of Independent Disks).
Desde un punto de vista simplificado, esta tecnologa permite almacenar la informacin

sobre discos duros mltiples con el objetivo de mejorar, en funcin del tipo de RAID
seleccionado, la tolerancia a fallos y/o el rendimiento del conjunto.
En este captulo slo vamos a describir los tres niveles de RAID estndar propuestos por
Windows Server 2012 R2, a saber: RAID 0, RAID1 y RAID5. En funcin del nivel de
RAID elegido, obtendr:
Bien un sistema de reparto de carga que mejora su rendimiento (RAID 0).
Bien un sistema de redundancia que dota al almacenamiento de datos de cierta
tolerancia a fallos de hardware (RAID 1).
O bien ambas caractersticas a la vez (RAID 5).
El sistema RAID es capaz por tanto de gestionar el reparto de carga y la coherencia de los
datos. Este sistema de control puede ser puramente lgico, o utilizar un hardware dedicado.
En RAID lgico, el control del RAID se realiza ntegramente en la capa lgica del sistema
operativo. Esta capa se intercala entre la capa de abastecimiento de hardware (controlador)
y la capa del sistema de archivos.
En el caso de RAID por hardware, existe una tarjeta o un componente dedicado a la gestin
de las operaciones. Desde el punto de vista del sistema operativo, el controlador RAID por
hardware ofrece una virtualizacin completa del sistema de almacenamiento. El sistema
operativo considera cada volumen RAID como un disco que no conoce sus constituyentes
fsicos.
Caractersticas de los niveles de RAID:
El RAID0, o conjunto dividido, es el que tiene mejor rendimiento; por el contrario

es el menos fiable. Ofrece un conjunto de discos. Por ejemplo tres discos de 500 GB
en RAID0 le ofrecen un volumen de 1,5 TB. El inconveniente principal de esta
tecnologa, si uno de los discos falla, es que los datos situados en los dems tambin
se pierden.
El RAID1, o espejo, proporciona buenos rendimientos en la escritura asegurando
tolerancia a fallos. En el caso de dos discos en RAID1, la informacin se escribe de
forma idntica en ambos. Dos discos de 500 GB en RAID1 le ofrecen un volumen
de 500 GB. El segundo disco sirve como rplica del primero. El rendimiento
global es algo inferior a un RAID0.
El RAID5, o agregado de conjuntos con paridad es el que presenta mejor
rendimiento en trminos de lectura. La informacin se reparte en los distintos discos
de modo que no se pierdan datos en caso de fallo de uno de los discos. Este nivel
RAID requiere un mnimo de tres discos. Tres discos de 500 GB configurados en
RAID5 le ofrecen un espacio de almacenamiento de 1 TB.
En Windows Server 2012, las operaciones de configuracin de los volmenes en RAID se

hacen desde la consola Administracin de equipos. A continuacin, hay que navegar en la
arborescencia de almacenamiento. Las opciones propuestas le permiten agregar fcilmente
un volumen en espejo o crear un conjunto agregado.
Para poder configurar volmenes en RAID en Windows Server 2012, es preciso haber
convertido los discos como dinmicos previamente.
Windows Server 2012 y Windows Server 2012 R2, igual que sus versiones anteriores, no
permite configurar el volumen de sistema en RAID 5.
b. Espacios de almacenamiento
Los espacios de almacenamiento, aparecidos con Windows Server 2012, proveen

soluciones de almacenamiento rentables, altamente disponibles, con capacidad de
evolucin y flexibles para despliegues de soluciones de almacenamiento crticas (virtuales
o fsicas) en la empresa.
Esta tecnologa permite agrupar discos fsicos y crear discos virtuales sobre ellos. Para las
pequeas empresas, los espacios de almacenamiento ofrecen la posibilidad de crear un
almacenamiento compartido de bajo coste.
Si bien las funcionalidades son parecidas a las de una SAN (Storage Area Network), los
espacios de almacenamiento son, no obstante, mucho ms flexibles de utilizar.
Otra ventaja del uso de espacios de almacenamiento se presenta cuando necesita reconstruir
un disco fsico defectuoso. En los sistemas RAID tradicionales, esto puede llevar un tiempo
considerable. Con Windows Server 2012 R2, ver estos tiempos considerablemente
reducidos gracias a una tcnica de reconstruccin en paralelo. Este proceso utiliza los
discos sanos restantes para reponer los datos que estaban almacenados sobre el disco
defectuoso. Resulta extremadamente prctico, en lugar de utilizar discos hot spare, utilizar
en su lugar discos de reserva en el espacio de almacenamiento, los cuales pueden
explotarse, de este modo, mediante procesos de reconstruccin en paralelo. Esto permite no
slo ofrecer un mejor rendimiento de entrada/salida para la actividad de almacenamiento de
la produccin (a diferencia de un RAID que suele degradar sobre un sistema SAN clsico)
sino tambin hacer que su empresa sea menos vulnerable mientras se ejecuta un proceso de
reconstruccin (por ejemplo, durante la reconstruccin de un RAID5 degradado debido a
que un segundo disco se ha vuelto irreparable). Como demostracin, Microsoft muestra, en
una sesin TechEd, la reconstruccin de un RAID compuesto por ocho discos de 3 TB en
50 minutos con una tasa de transferencia superior a 800 MB/s.
Windows Server 2012 R2 incluye otras mejoras con los espacios de almacenamiento, en
particular:
Storage Tiers: en un entorno con un almacenamiento mixto de discos rpidos (de

tipo SSD) y discos menos rpidos (de tipo SATA), el sistema ser capaz de medir,
automticamente, la velocidad de los discos y su actividad con el fin de redirigir los
flujos de almacenamiento hacia aquellos discos que poseen un mejor rendimiento,
todo de forma transparente. Si la informacin almacenada resulta poco utilizada, se
desplazar hacia el almacenamiento menos rpido, y a la inversa, si se trata de
informacin accedida con frecuencia.
Write-back cache: basado en el mismo principio que el Storage Tiers, cuando se
detectan picos de actividad, el sistema podr utilizar el almacenamiento rpido
(SSD) antes de escribir en los discos clsicos para actuar como buffer e impedir una
prdida de informacin.
Storage QoS (Storage Quality of Service): esta funcionalidad se habilita en la
capa vhdx para permitir limitar las IOPS (Input/Output Operations Per Second)
mximas en un disco duro virtual. Es, tambin, posible definir contadores para
enviar notificaciones cuando las IOPS mnimas para un disco no se estn
respetando.
4. Nuevo sistema de archivos

a. Resilient File System (ReFS)
A pesar de las numerosas ventajas que ofrece NTFS respecto a los primeros sistemas de
archivos FAT, existe desde 1993. Muchos usuarios de productos Windows Server esperan,
desde hace ya bastante tiempo, una evolucin del sistema de archivos del sistema operativo
de Microsoft.
Windows Server 2012 aporta este nuevo sistema de archivos: ReFS, o sistema de
archivos resiliente, que tiene en cuenta muchas funcionalidades de NTFS aunque abandona
algunas de ellas como, por ejemplo, la compresin de archivos, el sistema EFS (Encrypting
File System) y las cuotas de disco. A cambio, ReFS ofrece la verificacin de datos y la
correccin automtica.
Este nuevo sistema de archivos se ha elaborado, especialmente para gestionar cantidades

enormes de datos. Se ha diseado para funcionar con espacios de almacenamiento lgico
reducibles/extensibles. El nuevo sistema de archivos favorece su capacidad de evolucin,
teniendo en cuenta hasta 264 clsteres o lo que es lo mismo, en teora, volmenes de hasta
1 YB (Yottabyte)!
Este nuevo sistema de archivos ReFS puede detectar automticamente la corrupcin de

datos y realizar reparaciones necesarias sin tener que desconectar el volumen. CHKDSK se
convierte, por lo tanto, en una herramienta obsoleta con este sistema de archivos, se
terminaron los checkdisk interminables!
Los objetivos principales de ReFS son:
Mantener un grado elevado de compatibilidad con un subconjunto de

funcionalidades NTFS. Las funcionalidades que se han adoptado se conservan,
eliminando aquellas que aportan un valor mnimo a cambio de una complejidad
importante en el sistema de archivos.
Verificar y corregir automticamente errores en los datos. Los datos pueden
corromperse debido a una serie de causas y deben poder verificarse y, si es posible,
repararse automticamente.
Optimizar la capacidad de evolucin del almacenamiento.
No perder, jams, la disponibilidad del sistema de archivos. Por ejemplo, en el caso
de que ocurra algn problema de corrupcin de datos, supone una ventaja aislar el
defecto permitiendo el acceso al resto del volumen. Debe ser posible recuperar la
mxima cantidad de datos posible en cualquier momento y siempre en lnea.
Ofrecer una arquitectura de resiliencia completa, extremo a extremo, cuando se
utiliza de forma conjunta con espacios de almacenamiento.
Las funcionalidades claves de ReFS son las siguientes (observe que algunas de estas
funcionalidades se ofrecen junto con los espacios de almacenamiento):
Integridad de los metadatos con sumas de control (checksums).

Aportar un modelo robusto de escritura transaccional para las actualizaciones de los
discos (tambin conocido como copy-on-write).
Soporte para grandes volmenes, archivos y carpetas. ReFS est diseado para
funcionar con juegos de datos extremadamente grandes (principalmente en cantidad,
observe que la longitud de las rutas tambin se ha alargado).
Puesta en comn del almacenamiento y la virtualizacin de espacios de
almacenamiento para facilitar la gestin del sistema de archivos.
Entrelazado de datos para un buen rendimiento (es posible administrar el ancho de
banda) y una redundancia para la tolerancia a fallos.
Limpieza de los discos para la proteccin contra los errores de discos latentes.
Resiliencia frente a la corrupcin para obtener la disponibilidad de volumen
mxima.
Pools de almacenamiento compartidos entre las mquinas para obtener la tolerancia
a fallos y un reparto de carga suplementario.
Es posible seleccionar este formato de sistema de archivos en el momento en que formatee

un volumen.
Windows Server 2012 no permite convertir un volumen NTFS al formato ReFS.

b. Desduplicacin de datos
Presentacin de la desduplicacin de datos
En la empresa, el volumen de datos basados en archivos aumenta relativamente rpido. Si

bien el coste del almacenamiento en disco duro ha bajado considerablemente, stos no
evolucionan lo suficientemente rpido como para compensar dicho crecimiento.
El objetivo de la desduplicacin de datos es almacenar ms datos en un espacio limitado

cortando los archivos en fragmentos de tamao variable (de 32 a 128 KB), identificando
aquellos segmentos duplicados y conservando una copia nica de cada segmento. Las
copias redundantes del segmento se remplazan por una referencia de la copia nica, y los
segmentos se organizan en archivos de contenedor y los contenedores se comprimen para
ofrecer una optimizacin del espacio ocupado.
Para aclarar el funcionamiento, tomemos el ejemplo de dos archivos de texto (Archivo 1 y

Archivo 2) en los que existe una porcin idntica. Simplificando su contenido, veamos a
qu podra corresponderse:
Cada archivo posee su propia informacin: nombre, atributos, permisos, etc. Pero tambin
su propio contenido. Si bien los archivos son, en parte, idnticos (secciones A y B), las
porciones similares se almacenan dos veces.
Con la desduplicacin de datos, el sistema separa la parte de Metadatos de la parte de

Datos. Se modifican completamente los archivos y se reescriben para crear un puntero, en
cada archivo, hacia su contenido (vase la ilustracin que aparece a continuacin).
El sistema detectar, en primer lugar, que el contenido ya existe y est almacenado y
clasificado. No almacenar, de hecho, para el segundo archivo ms que la parte que no
estuviera registrada previamente en el espacio de almacenamiento, en este caso el segmento
Z.
Funcionalidades clave de la desduplicacin de datos
Windows Server 2012 R2 provee una desduplicacin de datos mejorada gracias a las
siguientes funcionalidades:
Optimizacin de la capacidad: la desduplicacin de datos, en Windows

Server 2012, permite almacenar ms datos en un espacio fsico inferior. La
desduplicacin de datos se basa en una segmentacin de tamao variable en sub-
archivos y en la compresin de los datos. Utilizadas de manera conjunta, ambas
tecnologas permiten dividir el almacenamiento entre dos en servidores de archivos
genricos y entre 20 (como mximo) en datos de virtualizacin.
Capacidad de evolucin y rendimiento: la desduplicacin de datos de Windows
Server 2012 permite una gran capacidad de evolucin, siendo eficaz en trminos de
uso de los recursos, y es no intrusiva. Esta funcionalidad puede ejecutarse de
manera simultnea en decenas de grandes volmenes de datos clave sin afectar a las
dems cargas de trabajo en el servidor, aplicando lmites a los recursos de la unidad
central y controlando la memoria consumida. Adems, los usuarios con poder
tendrn total flexibilidad para fijar las horas de ejecucin de la desduplicacin de
datos, especificar los recursos disponibles a tal efecto y establecer directivas de
seleccin de archivos.
Fiabilidad e integridad de los datos: cuando se aplica la desduplicacin de los
datos, es vital mantener su integridad. Windows Server 2012 explota la suma de
control, la coherencia y la validacin de identidad para garantizar la integridad de
los datos. En el caso de datos o metadatos que posean un gran nmero de
referencias, la desduplicacin de datos de Windows Server 2012 asegura la
redundancia de la informacin conservando varias copias del archivo con el
objetivo de permitir recuperarlo en caso de que se corrompa.
Eficacia del ancho de banda compatible con BranchCache: cuando asocia
BrachCache a la desduplicacin de datos, se aplican las mismas tcnicas de
optimizacin a los datos que se transfieren por la red extendida a una filial. Esto
permite disfrutar de unas descargas de archivos ms rpidas y una reduccin de
consumo en el ancho de banda.
Optimizacin de la gestin con herramientas familiares: Windows Server 2012
dispone de una funcionalidad de optimizacin integrada con el Administrador del
servidor y con Windows PowerShell. Los parmetros por defecto pueden
traducirse en ahorros inmediatos. Su configuracin puede, incluso, mejorar estas
ganancias. Utilice fcilmente los comandos de Windows PowerShell para iniciar o
programar una tarea de optimizacin posterior.
Windows Server 2012 y 2012 R2 no permiten configurar la desduplicacin de datos en un

volumen ReFS.
Mejoras aportadas por Windows Server 2012 R2
Optimizacin de archivos abiertos (a diferencia de Windows Server 2012, que no

soporta el procesamiento de archivos abiertos y, por tanto, bloqueados).
Mejora del rendimiento de lectura/escritura: los archivos desduplicados se abren, en
lo sucesivo, de forma ms rpida.
Mejora de los resultados obtenidos: la ganancia obtenida mediante la desduplicacin
es ms importante.
Soporte de archivos VHD para VDI (Virtual Desktop Infrastructure): con Windows
Server 2012, las recomendaciones eran no habilitar la desduplicacin en un servidor
Hyper-V. La filosofa es, en lo sucesivo, separar el almacenamiento de los nodos
miembros del clster en un servidor dedicado. Es, en adelante, posible habilitar la
desduplicacin de archivos de mquinas virtuales sobre este servidor de
almacenamiento.
Soporte de volmenes compartidos de clster (CSV : Cluster Shared Volumes):
Windows Server 2012 no soporta la activacin de la desduplicacin en volmenes
CSV. Con Windows 2012 R2 es posible, aunque conservando el principio del
almacenamiento en un servidor de archivos (como con VDI) y no asociado
directamente (fibra, iSCSI).
Limitaciones de la desduplicacin de datos
Las pruebas muestran buenos resultados en lo que afecta a la desduplicacin de datos (no
slo en tecnologas Microsoft), aunque se basan, sin duda, en casos particularmente
optimistas.
Antes de su implementacin, conviene tener en cuenta los siguientes elementos:

El rendimiento de las copias de seguridad/restauraciones de datos en volmenes
muy grandes son, prcticamente, incalculables: los rendimientos vinculados a estas
operaciones se encuentran, no obstante, mejorados, sin contar el tiempo de
indisponibilidad propio de una restauracin en caso de ocurrir algn error
importante.
La eficacia de la desduplicacin de datos en volmenes muy grandes est muy
limitada en casos, por ejemplo, de datos estructurados como Exchange o SQL y est
mejor dirigida a estructuras de tamao pequeo o mediano.
Despilfarro de recursos: en el caso de que pocos datos puedan desduplicarse, el
ciclo de trabajo del proceso causar una carga de trabajo en la mquina intil, con
pocos o ningn resultados.
Poco o ningn control sobre el proceso: no existe, a da de hoy, la posibilidad de
afinar el comportamiento del proceso o incluso de intervenir manualmente sobre l.
Implementacin de la desduplicacin de datos
En un servidor de archivos Windows Server 2012, la funcionalidad de desduplicacin de

datos no est disponible por defecto. Va a ser necesario, por lo tanto, instalarla siguiendo
los siguientes pasos:
En la consola Administrador del servidor haga clic en Administrar - Agregar roles y

caractersticas.
En la pantalla Antes de empezar, haga clic en Siguiente.
Seleccione Instalacin basada en roles o caractersticas y, a continuacin, haga clic en

Siguiente.
Seleccione su servidor en la lista y, a continuacin, haga clic en Siguiente.
Despliegue el rbol Servicios de archivos y almacenamiento - Servicios de iSCSI y

archivo y, a continuacin, marque la opcin Desduplicacin de datos.
En la etapa de seleccin de caractersticas, haga clic en Siguiente.
Haga clic en Instalar.
Una vez instalada la funcionalidad, haga clic en Cerrar.
Es momento de configurar la desduplicacin de datos en los volmenes deseados. Para ello:

Se recomienda encarecidamente realizar copias de seguridad regulares de los datos
importantes durante la implementacin de la desduplicacin.
En la consola Administrador del servidor, en el panel de navegacin, haga clic en

Servicios de archivos y almacenamiento.
Haga clic en Volmenes.
Haga clic con el botn derecho sobre el volumen en el que desea activar la desduplicacin
de datos y, a continuacin, seleccione Configurar desduplicacin de datos.
Cuando habilite la desduplicacin de datos con Windows Server 2012, el retardo por
defecto para realizar la operacin de desduplicacin de los archivos era de 5 das. Los
archivos se procesan, desde su escritura en el servidor, pasado cierto tiempo, que podr
adaptar en funcin de sus necesidades, recursos, y dems condiciones de trabajo.
Con Windows Server 2012 R2, el valor est fijado por defecto a 5 das, y no es posible
modificarlo. En efecto, con Windows Server 2012, los usuarios rebajaban este valor a 3
das, lo que impeda un funcionamiento correcto del proceso de desduplicacin, siendo el
valor demasiado bajo (vase la conclusin de los ingenieros de Microsoft al respecto como
resultado del feedback de sus clientes).
Tambin tiene la posibilidad de excluir archivos de este proceso. Por ejemplo, los archivos
mp3 y mp4, sobre los que ya se ha ejecutado un procesamiento previo similar mediante las
herramientas que los gestionan. No resulta, por tanto, til configurar la desduplicacin para
estas extensiones, y el proceso no permite liberar una cantidad de espacio significativa. Del
mismo modo, puede excluir carpetas completas.
Con Windows Server 2012 R2, existe una opcin en la configuracin de la desduplicacin.
Puede, en lo sucesivo, especificar si se trata de un servidor de archivos "clsico" o un
servidor VDI (Virtual Desktop Infrastructure). En funcin de la opcin elegida, las
extensiones de los archivos excluidas por defecto para adaptarse al tipo de servidor (de
archivos edb y jrs para un servidor de archivos; archivos bin, vsv, slp, xml, tmp, hrl y hru
para un servidor VDI).
Preste atencin, la desduplicacin de datos es una funcionalidad que procesar,

potencialmente, todos los datos de un volumen seleccionado. Una planificacin cuidadosa
debe permitir determinar si su servidor y sus volmenes son candidatos aptos para la
desduplicacin, antes de utilizar esta funcionalidad.
Para definir la planificacin, haga clic en Establecer programacin de desduplicacin....

Por defecto, cuando se habilita la desduplicacin de datos se produce un procesamiento de
optimizacin como tarea de fondo. Esta optimizacin utiliza un perfil de trabajo reducido
con el objetivo de no perturbar a los sistemas en produccin. Puede, por el contrario,
resultar til afinar estos procesamientos asignando ms recursos al proceso de
desduplicacin en das y franjas horarias definidos. Estas franjas se configuran mediante las
opciones Habilitar optimizacin de rendimiento y Crear una segunda programacin
para la optimizacin del rendimiento visibles en la captura de pantalla anterior.
Haga clic en Aceptar y, de nuevo, en Aceptar para validar las opciones seleccionadas y,
de este modo, habilitar la desduplicacin de datos en el volumen seleccionado.
Recurrir a la desduplicacin de datos sobre archivos replicados mediante replicacin DFS
no supone ningn problema. Slo se actualizarn aquellas particiones de archivos que se
hayan modificado desde la ltima replicacin.
Administrar las actualizaciones

1. Presentacin de WSUS
Se trata de otro medio de protegerse contra eventuales problemas (en particular de

seguridad) y asegurarse de que sus equipos cliente y servidores estn bien actualizados. En
pequeos parques de servidores, configurar en cada puesto las actualizaciones en modo
automtico es suficiente. En grandes parques informticos, en los que la configuracin de
las mquinas es estricta, es en ocasiones necesario probar un parche antes de desplegarlo de
forma centralizada en todos los puestos.
Microsoft pone a su disposicin, de manera gratuita, la herramienta WSUS (Windows

Server Update Services) en versin 3.0 con SP2 (WSUS es un rol independiente en
Windows Server 2012 y puede, por lo tanto, instalarse desde la consola Administrador del
servidor sin tener que descargarlo por separado). Esta herramienta permite desplegar las
ltimas actualizaciones para los productos Microsoft. Utilizndola, podr administrar de
forma integral la distribucin de las actualizaciones (hora de despliegue, qu parches se
desplegarn, etc.).
Dispone, gracias a WSUS, de una herramienta de centralizacin y de seguimiento de la

gestin de las actualizaciones de Windows. Le ser posible de un golpe de vista saber qu
equipo no ha recibido las ltimas actualizaciones necesarias y envirselas.
Siempre puede utilizar una herramienta de terceros para gestionar las actualizaciones de
aplicaciones externas. Tenga en mente que el navegador de Internet y los plugins asociados
(Adobe Flash Player, Adobe Reader, Java, etc.) son la principal puerta de entrada para un
virus. Es, por tanto, importante actualizar de manera regular estos componentes mediante
las directivas de grupo o herramientas externas.
Segn su infraestructura, WSUS puede actualizarse a travs del sitio Microsoft Update o
incluso con otro servidor WSUS. Los clientes compatibles con WSUS aparecen a partir de
Windows 2000 SP4. Adems de los sistemas operativos, WSUS permite gestionar las
actualizaciones de las aplicaciones de Microsoft ms corrientes (SQL Server, Exchange
Server, Office, etc.).
Observe que, del lado cliente, Windows 8.1 aporta una mejora. En efecto, cuando los
usuarios de dispositivos reportan o ignoran las actualizaciones del sistema, los dispositivos
pueden no estar en conformidad con las polticas de seguridad de la empresa. En Windows
8.1, Windows Update realiza automticamente las actualizaciones del sistema. Si es
necesario reiniciar, el usuario que est conectado al equipo se conecta, automticamente, de
nuevo, y las aplicaciones en curso antes de realizar la actualizacin se reinician, con la
sesin desbloqueada (utilizando Secure Desktop).
Este reinicio automtico requiere que las credenciales del usuario conectado puedan
almacenarse en cach, y que BitLocker est habilitado y soporte este tipo de reinicio sin
intervencin.
2. Instalacin de WSUS
A continuacin se muestran las etapas que debe realizar para instalar WSUS. Observe que
esta etapa tiene, como requisito previo, una conexin a Internet.

caractersticas.
En la pantalla Antes de empezar, haga clic en Siguiente.
Seleccione Instalacin basada en roles o caractersticas y, a continuacin, haga clic en

Siguiente.
Seleccione su servidor en la lista y, a continuacin, haga clic en Siguiente.
Marque la opcin Windows Server Update Services.
En el cuadro de dilogo, haga clic en Agregar caractersticas.

Haga clic en Siguiente cinco veces hasta llegar a la pantalla Servicios de rol.
Deje marcadas las opciones WID Database y WSUS Services y, a continuacin, haga clic
en Siguiente.
Aqu, WID Database significa que se va a instalar la base de datos de configuracin
WSUS en la base de datos interna de Windows (WID por Windows Internal
Database). Para instalar la base de datos en un servidor SQL basta con marcar la opcin
Base de datos. Obviamente, no es posible marcar al mismo tiempo las opciones WID
Database y Base de datos. Los administradores que quieran tener un mayor control sobre
la base de datos preferirn utilizar SQL Server.
Indique la ubicacin del almacenamiento para las actualizaciones y, a continuacin, haga

clic en Siguiente.
Verifique las opciones marcadas y, a continuacin, haga clic en Instalar.
Una vez terminada la instalacin, haga clic en Cerrar.
En la consola Administrador del servidor, haga clic en Herramientas - Windows

Server Update Services.
Se abre el asistente de instalacin de WSUS.

Haga clic en Ejecutar.
Una vez terminadas las tareas de post-instalacin, haga clic en Cerrar.
Se abre el asistente de configuracin, haga clic en Siguiente.
Seleccione participar en el programa de mejora o no y, a continuacin, haga clic en

Siguiente.
Seleccione la opcin Sincronizar desde Microsoft Update (salvo si ya dispone de un

servidor WSUS y desea utilizarlo como referencia para el que est instalando).
Si no utiliza un proxy, no indique nada en la opcin de proxy. A continuacin, haga clic en

Siguiente.
Si utiliza un proxy, esta pgina le permite detallar su configuracin.
Haga clic en Iniciar conexin para que WSUS recupere la informacin disponible para la
descarga (esta etapa resulta algo larga). Una vez realizada la conexin, haga clic en
Siguiente.
Seleccione los idiomas utilizados por los distintos sistemas operativos (en nuestro ejemplo
el espaol) si no est hecho automticamente y, a continuacin, haga clic en Siguiente.
WSUS descargar, en lo sucesivo, las actualizaciones en todos los idiomas seleccionado.
Prevea, por lo tanto, un espacio en disco acorde al nmero de idiomas diferentes
seleccionados.
En la lista de seleccin de productos, seleccione los productos que desea actualizar y, a

Seleccione la clasificacin de las actualizaciones deseadas, y, a continuacin, haga clic en

Siguiente.
Seleccione su modo de sincronizacin (manual o automtico), y, a continuacin, haga clic

en Siguiente.
Marque la opcin Iniciar la sincronizacin inicial si desea iniciar la sincronizacin de

inmediato y, a continuacin, haga clic en Siguiente.
3. Uso de WSUS
Una vez instalado WSUS, se abre automticamente la consola MMC de administracin.

Puede controlar rpidamente el estado de las actualizaciones de su parque as como las
actualizaciones en espera de aprobacin.
Puede acceder a esta consola desde la consola Administrador del servidor haciendo clic
en Herramientas - WSUS (Windows Server Update Services).
Antes que nada, es preciso configurar los clientes para utilizar el servidor WSUS recin
instalado.
Si dispone de un dominio Active Directory, cree una nueva directiva de grupo GPO a nivel
de dominio o de una OU. Si su PC no est en un dominio, utilice el comando gpedit.msc.
En el Editor de objetos de directivas de grupo, despliegue el nodo Configuracin del

equipo - Directivas - Plantillas administrativas - Componentes de Windows - Windows
Update.
En el panel derecho, edite el parmetro Especificar la ubicacin del servicio Windows

Update en la Intranet.
Marque la opcin Habilitada y, a continuacin, indique la URL de acceso a su servidor

WSUS en ambos campos.
Por ejemplo: http://dc2012.MiEmpresa.Priv:8530
Preste atencin, piense en especificar el puerto que utiliza el sitio Web de actualizaciones.
Haga clic en Aplicar, y, a continuacin, en Aceptar.
A continuacin, edite el parmetro Configuracin actualizaciones automticas.

Marque la opcin Habilitada, y, a continuacin, indique la configuracin de las
actualizaciones automticas (notificar para descarar e instalar, descargar y planificar la
instalacin, etc.).
Elija a continuacin los das y las horas para instalar las actualizaciones.
En este caso se ha escogido la opcin 3 para aplicarla a los servidores. Este parmetro
permite gestionar, de manera manual, la instalacin de las actualizaciones y la hora de
reinicio posterior de los servidores. Para un equipo de usuario se optar por la opcin 4, con
el objetivo de estar seguro de que las actualizaciones se instalan. El usuario tendr, no
obstante, la posibilidad de posponer el reinicio del equipo si est conectado.
Valide haciendo clic en Aplicar, y, a continuacin, en Aceptar.
Cierre, a continuacin, el editor de directivas de grupo.

Puede forzar el refresco de la directiva de grupo en el puesto cliente mediante el comando
gpupdate.
Para forzar la deteccin por WSUS de un equipo cliente, ejecute desde el puesto el
siguiente comando: wuauclt /detectnow.
Desde la consola WSUS (Windows Server Update Services) puede, a continuacin,

visualizar el estado del despliegue de las actualizaciones.
Despliegue el rbol y haga clic en Actualizaciones.

Hay disponibles vistas preconfiguradas. Estas vistas responden a las necesidades de la
mayora de los administradores. Puede no obstante crear vistas personalizadas si necesita
informacin particular. Los criterios son numerosos: por producto, por clasificacin, por
grupos, etc.
Seleccionando una de las vistas preconfiguradas, o una de las que ha creado, tendr la
posibilidad de aprobar o rechazar las actualizaciones (una cada vez, o por lotes) para
permitir, a las mquinas cliente de WSUS, recuperarlas.
Puede ver, a continuacin, el ejemplo de una vista personalizada seleccionando las

actualizaciones para Windows Server 2012. Aqu, las actualizaciones se clasifican por
Fecha de llegada. Tiene la posibilidad de seleccionar varias a la vez utilizando las
teclas [Ctrl] y/o [Shift].
La lista desplegable Aprobacin permite ver las actualizaciones que ya han sido aprobadas
o no (en el ejemplo, lo estn para un grupo de equipos: Instalar (1/25).
La lista desplegable Estado permite ver las actualizaciones que no han podido instalarse en
todas las mquinas o que presentan algn problema en su instalacin
Tambin es posible obtener informes detallados acerca de las actualizaciones. Para ello
basta con ir a la pestaa asociada y seleccionar el informe a visualizar.
Es preciso haber instalado Microsoft Report Viewer 2008 para poder consultarlos. Est
disponible en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=577. Aparecer un mensaje, de todas maneras, indicndole
que necesita esta herramienta si quiere visualizar un informe desde la consola de
administracin WSUS.
Existen informes preconfigurados a su disposicin. No tiene la posibilidad de crear nuevos.
Los modelos preexistentes se generan bajo demanda, de modo que se pueda disponer de la
informacin ms actualizada posible.
La pestaa Opciones le permite configurar las opciones especficas a la instalacin

(idiomas, clasificaciones, productos, etc.) as como otros parmetros:
Aprobaciones automticas: permite definir la forma en que se aplican los tipos de

actualizacin (seguridad, crticas) para los equipos definidos.
Notificaciones electrnicas: permite enviar notificaciones de informes acerca de
las actualizaciones por correo electrnico.
Asistente de limpieza del servidor: permite limpiar los equipos antiguos, las
actualizaciones antiguas y los archivos antiguos de actualizacin.
Equipos: permite especificar si los grupos de equipos para la actualizacin se
administran desde WSUS o desde una directiva de grupo.
Personalizacin: permite, en el caso de que se utilice servidores WSUS "hijos",
conocer el estado de los equipos que le estn asociados.
Paquete acumulativo de informes: permite en el caso de una arquitectura con un
WSUS frontal tener una centralizacin de todos los WSUS "hijos".
Conclusin
En este captulo ha visto los elementos esenciales para dotar de seguridad a su parque
informtico. En los aspectos relativos a la seguridad informtica es mejor adoptar una
actitud proactiva y anticipar los problemas e incidentes a los que deber hacer frente.
Ganar en rapidez para devolver su infraestructura a un estado productivo en caso de que
ocurra algn problema importante.
Piense bien su esquema de copia de seguridad en funcin de sus necesidades (volumen,

franja horaria, etc.). Las instantneas son un complemento muy bueno a la copia de
seguridad Windows Server Backup. Tampoco dude en bascular a productos especficos
como el de Microsoft (System Center Data Protection Manager). Le ofrecern una
granularidad suplementaria as como posibilidades extendidas de copia de seguridad de sus
aplicaciones (Exchange, SQL, SharePoint, etc.).
Prevenirse frente a amenazas como los virus, la explotacin de fallos del sistema y dems
contrariedades resulta tambin imprescindible. Conservar sus aplicaciones siempre
actualizadas permite corregir los defectos de las mismas. WSUS es gratuito, aprovchelo, le
facilitar en gran medida la difcil tarea de la gestin de parches de seguridad de Microsoft.
Ya no necesita acceder individualmente a cada PC para controlar el estado de las
actualizaciones, ni tampoco para forzarlas. Todo ello se puede administrar en lo sucesivo de
forma remota, centralizada y simplificada.
Ms all de Windows Server 2012 R2 y
Windows 8.1
En el momento de escribir estas lneas, existe poca informacin disponible sobre las
prximas versiones de Windows 8.1 y Windows Server 2012 R2.
No nos arriesgaremos a especular acerca del nombre de la futura versin de Windows

Server aunque, probablemente, Microsoft busque un cambio en la forma en que ponen a
disposicin de los usuarios las nuevas versiones y sus funcionalidades claves, con el
objetivo de ofrecer actualizaciones de roles como Hyper-V y otros fuera de los ciclos
clsicos de publicacin de software.
Este enfoque, mucho ms modular, tiene la ventaja de que desvincula al sistema operativo
de las funcionalidades propuestas. Esto aportar una mejor reactividad y adaptacin a los
cambios para las empresas que ya no estarn obligadas a estudiar el impacto ligado a una
migracin de todo el OS sino, nicamente, del mdulo que se desea actualizar.
Por supuesto, esta informacin se ofrece con todas las reservas y es posible cualquier
enfoque cuando se trata de nuevos desarrollos y una adaptacin al mercado.
El calendario esperado
Microsoft pretende acortar el tiempo necesario entre la aparicin de una versin mayor o
menor de Windows: 2 aos entre una versin mayor (2003) y una versin menor (2003 R2,
parecida en 2005) y, a continuacin, otros 3 aos antes de la siguiente versin mayor
(2008), y as con periodos de 2 aos.
Si se mantiene esta cadencia, permitir evitar versiones intermedias, y evitar a los usuarios
que se habiten a una versin especfica como ocurri con Windows XP, pero tambin
responder a sistemas competidores como Apple donde aparecen nuevas versiones de forma
regular.

Windows Server 2012 R2 - Administración Avanzada

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Windows Server 2012 R2 - Administración Avanzada

Caricato da

Copyright:

Formati disponibili

Windows Server 2012 R2Administracin

Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el

Los captulos del libro:

Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD

Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft tras

Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de

Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios.

Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de

Se trata, evidentemente, de Windows Server 2012 R2.

Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo,

Las distintas ediciones de Windows Server

Del rol del servidor que prev instalar.

Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que

Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas

Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente

Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos

Los grandes ejes de Windows Server 2012

1. Un mejor control de la informacin

Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha

La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin

Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite

En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es

2. Una mejor proteccin del Sistema de Informacin orientada a la

Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows

La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar

El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la

Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus

El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque

Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su

Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de

Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por

3. Una plataforma que evoluciona

Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las

La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las

Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite

Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a

Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no

Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un

Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un

Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le

Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se

En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A

Presentacin del servicio de directorio de

Active Directory es un servicio de directorio que permite referenciar y organizar objetos

Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:

El dominio es la unidad bsica encargada de agrupar los objetos que comparten un

Los controladores de dominio se encargan de almacenar el conjunto de los datos y

Todos los controladores de dominio de un mismo dominio comparten una particin

La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta

Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un

Nombre del rol

Maestro de esquema nico en el Gestiona la modificacin del

Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales

Se le explica cmo instalar un controlador de dominio de Active Directory con Windows

Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo

a. Instalacin de un directorio de Active Directory

Vuelva sobre Panel, siempre desde la consola Administrador del servidor.

Haga clic en Agregar roles y caractersticas.

Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga

A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas

Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad

En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de

Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012