Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Este módulo explica cómo identificar el escenario de uso y el tipo de instalación adecuados para un
servidor y luego, describe cómo instalar y configurar las funciones y características correspondientes del
servidor.
Este módulo explica cómo configurar, administrar y solucionar problemas del servidor DNS y de las
propiedades de zona que se usarán en un entorno seguro.
Este módulo explica cómo configurar, administrar y solucionar problemas con servidores WINS.
Este módulo explica cómo configurar, administrar y solucionar problemas en un entorno DHCP que de
soporte a una infraestructura IPV4.
Este módulo explica cómo configurar y a solucionar problemas de direcciones IPv6 estáticas y
dinámicas, que incluyen longitudes de prefijos de subredes, puertas de enlace y servidores DNS.
Módulo 7: Instalación, configuración y solución de problemas del servicio de función Servidor de directivas
de redes
Este módulo explica cómo instalar, configurar y solucionar los problemas del Servicio de función del
Servidor de directivas de redes.
Este módulo explica cómo configurar y administrar NAP para DHCP, VPN y 802.1X.
Este módulo explica cómo configurar y solucionar problemas de las tecnologías de almacenamiento del
sistema de archivos incluido con Windows Server 2008.
Este módulo explica cómo describir y configurar los métodos de copia de seguridad y recuperación.
Este módulo explica cómo configurar y analizar la seguridad de los servidores y el cumplimiento con
actualizaciones de seguridad.
Módulo 1: Instalación y configuración de servidores
Módulo 1
La instalación de Windows Server® 2008 ha cambiado en cierto modo en comparación con las versiones anteriores de
Windows Server. Las opciones disponibles varían de una instalación simple basada en DVD al uso de archivos de
respuesta creados con Administrador de imágenes del sistema de Windows (SIM) y la implementación automática
usando el Kit de instalación automatizada de Windows (WAIK). El proceso de instalación ya no incluye la parte de
modo de texto del programa de instalación y está completamente basado en GUI. Otra diferencia es que un único DVD
de 32 bits ó 64 bits incluye las ediciones Standard, Enterprise y DataCenter. Sin embargo, la versión instalada
depende de la clave de instalación que se use durante el proceso de instalación.
Ediciones de Windows Server 2008
Puntos clave
Existen cinco ediciones disponibles de Windows Server 2008. La edición que elija dependerá de los requisitos que
desee cumplir en su empresa.
Windows Server 2008 ayuda a los profesionales de tecnología de la información (TI) a aumentar la flexibilidad de la
infraestructura del servidor ofreciendo a los programadores una web más sólida y una plataforma de aplicaciones para
crear aplicaciones y servicios conectados. Las nuevas y más eficaces herramientas de administración y las mejoras en
la seguridad ofrecen más control del servidor y de la red y brindan protección avanzada para aplicaciones y datos.
Requisitos de instalación de Windows Server 2008
Puntos clave
Los requisitos de instalación para Windows Server 2008 varían en los distintos tipos de instalación, principalmente
entre la instalación completa y la instalación Server Core. Server Core requiere menos espacio en disco para la
instalación del sistema operativo, ya que sólo se instalan los módulos que requieren las funciones asignadas de
manera predeterminada. Además, la GUI no se instala, por lo tanto el uso de espacio en disco es menor con la
instalación Server Core.
Nota: Si instala una versión de 64 bits, deberá asegurarse que todos los controladores modo kernel estén
firmados digitalmente antes de la instalación. La instalación no se completará si se usan controladores no
firmados.
Recursos adicionales:
Puntos clave
Quizá deba incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, según las necesidades de la
compañía. Por ejemplo, algunos servicios de red, tales como Exchange Server 2007, son compatibles sólo en un
entorno de producción de 64 bits y, por lo tanto, sólo será compatible con versiones de 64 bits de Windows Server
2008 que se ejecutan en una arquitectura de 64 bits.
Instalar una versión de 64 bits puede ofrecer la capacidad de escalar (aumentar CPU y RAM) más que un sistema de
32 bits, pero deberá asegurarse de que los controladores modo kernel que se usarán estén firmados digitalmente.
Recursos adicionales:
Digital Signatures for Kernel Modules on Systems Running Windows Vista (Firmas digitales para módulos de
Kernel en sistemas con Windows Vista)
Escenarios frecuentes de instalación
Puntos clave
Ya sea que elija actualizar un servidor existente o realizar una instalación limpia, deberá decidir cómo se realizarán las
instalaciones del servidor en su entorno. Existen rutas de actualización determinadas que deben seguirse y se pueden
llevar a cabo instalaciones desatendidas usando archivos de respuesta, SIM de Windows y AIK de Windows.
Haga una copia de seguridad de los servidores antes de realizar una actualización. La copia de seguridad debe incluir
todos los datos y la información de configuración necesarios para que el equipo funcione. Es importante hacer una
copia de seguridad de la información de configuración para los servidores, en especial aquellos que brindan
infraestructura de red, tales como los servidores de Protocolo de configuración dinámica de host (DHCP). Al hacer una
copia de seguridad, asegúrese de incluir las particiones de arranque y de sistema y los datos de estado del sistema.
Otra manera de hacer una copia de seguridad de la información de configuración es crear un conjunto de copia de
seguridad para la Recuperación automática del sistema.
Recursos adicionales:
Manual del usuario del Kit de instalación automatizada de Windows (WAIK) para Windows Vista
Puntos clave
Antes de instalar Windows Server 2008, debe seguir algunas instrucciones generales para asegurarse de que la
instalación sea lo más fácil posible y sin errores. La mayoría de estas instrucciones son procedimientos
recomendados para la instalación de cualquier sistema operativo de Microsoft y, por lo tanto, deben incluirse en
cualquier guía de generación que se cree para la mayoría de los entornos.
Antes de instalar Windows Server 2008, use las siguientes instrucciones para preparar la instalación:
Recursos adicionales:
Ayuda y Soporte en la página Instalar ahora del Asistente para Instalación de Windows Server 2008
Proceso para la instalación de Windows Server 2008
Puntos clave
El proceso de instalación de Windows Server 2008 es similar al de las versiones anteriores. Sin embargo, existen
diferencias que hacen al proceso más personalizable y más fácil de completar. Un cambio importante es el modelo del
programa de licencias por volumen que usa Microsoft con el producto del servidor. El modelo de licencia para licencias
por volumen es el mismo que el que usan los sistemas operativos Windows Vista.
Recursos adicionales:
Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador de
servidores de Windows Server 2008)
Lección 2:
Microsoft ha cambiado la manera en que los administradores controlan el entorno del servidor. El sistema operativo se
instala de manera segura y los administradores pueden elegir entre cuatro métodos para configurar el servidor de
acuerdo con la funcionalidad deseada.
Al completar la instalación y luego de que el administrador inicie sesión en el servidor, se abrirá la ventana Tareas
iniciales de configuración y se permitirá que el administrador instale el nombre del servidor, la configuración de red, las
actualizaciones automáticas y la configuración de Firewall de Windows. Una vez usada esta herramienta, el
administrador podrá elegir si usar las Consolas de administración de Microsoft (MMC) para administrar el servidor, usar
Administrador de servidores para instalar y quitar funciones y características o usar Windows PowerShell para tareas
de configuración, si lo desea.
Herramientas usadas para Tareas administrativas
Puntos clave
Al completar la instalación del sistema operativo, se podrán administrar los sistemas con cuatro herramientas distintas.
Al iniciar sesión por primera vez, el administrador deberá especificar una contraseña para la cuenta administrativa y
luego visualizará la ventana Tareas iniciales de configuración. Se pueden realizar tareas de administración posteriores
usando Administrador de servidores, las ventanas típicas de la consola MMC y Windows PowerShell. La elección de la
herramienta depende de la tarea que deseen llevar a cabo los usuarios y de la experiencia que tengan de trabajar con
cada herramienta en particular.
Recursos adicionales:
Puntos clave
Las funciones del servidor en Windows Server 2008 describen la función principal de un servidor. Por ejemplo, la
función de un servidor puede ser como un servidor de Servicios de dominio de Active Directory (AD DS) o un servidor
web. Se puede elegir entre la instalación de una o varias funciones en la instalación de Windows Server 2008. La
herramienta administrativa Administrador de servidores se usa para la instalación y desinstalación de funciones del
servidor en un entorno de Windows Server 2008.
Recursos adicionales:
Puntos clave
Una característica, por lo general, no describe la función principal del servidor. Por el contrario, describe la función
auxiliar o de soporte del servidor. Por lo tanto, un administrador por lo general instalará una característica no como la
función principal del servidor, sino para aumentar la funcionalidad de una función instalada. Por ejemplo, Clúster de
conmutación por error es una característica que los administradores pueden elegir instalar luego de instalar funciones
determinadas, tales como Servicios de archivo, para que esta función sea más redundante.
Recursos adicionales:
Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador de
servidores de Windows Server 2008)
Una opción nueva en Windows Server 2008 es la opción Server Core, que instala sólo lo necesario para tener un
servidor administrable para AD DS, AD LDS, DHCP, DNS, Servicios de archivo, impresión y/o multimedia de
transmisión por secuencias. No se encuentra disponible una interfaz gráfica con esta opción. Por el contrario, se usan
herramientas de línea de comandos y de administración remota para configurar y administrar el entorno del servidor.
Si decide instalar esta opción, la instalación no será compatible con las actualizaciones de versiones anteriores. Por lo
tanto, debe realizarse una instalación limpia. Esta opción es conveniente para varios entornos debido a la poca
administración requerida, la superficie de ataque reducida, el poco mantenimiento necesario y lo requisitos de menos
espacio en disco. La diferencia de espacio obtenida al instalar Server Core es que sólo ocupa alrededor del 25% del
espacio en disco que lo que usa una instalación Standard común.
Beneficios de la instalación Server Core
Puntos clave
En Windows Server 2008, los administradores ahora pueden elegir instalar un entorno mínimo que evita la sobrecarga
adicional. Si bien esta opción limita las funciones que puede llevar a cabo el servidor, puede mejorar la seguridad y
reducir la administración. Este tipo de instalación se denomina instalación Server Core.
Mantenimiento reducido
Administración reducida
Recursos adicionales:
Puntos clave
Una instalación Server Core es una opción de instalación del servidor mínima para Windows Server 2008. Las
instalaciones Server Core ofrecen un entorno para ejecutar las siguientes funciones del servidor:
AD DS
AD LDS
Servidor DHCP
Servidor DNS
Servicios de archivo
Servidor de impresión
La opción de instalación Server Core sólo instala el subconjunto de los archivos binarios que requieren las funciones
del servidor compatibles. Por ejemplo, la interfaz de usuario (o “shell”) del Explorador de Windows no se instala como
parte de una instalación Server Core. En cambio, el símbolo del sistema es la interfaz de usuario predeterminada para
un servidor que ejecuta una instalación Server Core.
Recursos adicionales:
Puntos clave
Luego de completar la instalación Server Core y de configurar el servidor, se podrán instalar una o varias
características opcionales. La instalación Server Core de Windows Server 2008 es compatible con las siguientes
características opcionales:
Copia de seguridad
NLB
Almacenamiento extraíble
SNMP
Cliente Telnet
WINS
Nota: Clúster de conmutación por error no se encuentra disponible en Windows Server 2008 Standard Edition.
Recursos adicionales:
Server Core Installation Option of Windows Server 2008 Step-By-Step Guide (Guía paso a paso de la opción
de instalación Server Core de Windows Server 2008)
Administración de la instalación Server Core
Puntos clave
La opción de instalación Server Core está diseñada para su uso en entornos donde los requisitos de alta seguridad
precisan una superficie mínima de ataque en un servidor o en organizaciones que tienen muchos servidores y sólo
algunos necesitan llevar a cabo tareas dedicadas.
Debido a que no se encuentra disponible una interfaz gráfica de usuario para muchas operaciones de Windows, usar la
opción de instalación Server Core requiere que el administrador tenga experiencia en el uso de un símbolo del sistema
o de las técnicas de scripting para la administración local del servidor. Como alternativa, se puede administrar la
instalación Server Core con complementos MMC desde otro equipo con Windows Server 2008. Para hacerlo,
seleccione el equipo que ejecuta la instalación Server Core como un equipo remoto para administrar.
Recursos adicionales:
Installation and Configuration for Windows Remote Management (Instalación y configuración para
Administración remota de Windows)
Laboratorio: Instalación y configuración de servidores y funciones del
servidor
Objetivos
Escenario
Deberán instalarse dos nuevos servidores para la infraestructura corporativa en el dominio WoodgroveBank.com. Los
nuevos servidores son necesarios para aumentar los servicios de resolución de nombres DNS para una compañía
adquirida recientemente, Contoso.com, y para brindar Servicios de Terminal Server para algunas aplicaciones de línea
de negocio que estarán disponibles para los empleados desde sus equipos de escritorio y desde sus hogares
después de su horario de trabajo. También será necesario instalar la capacidad de copia de seguridad para el servidor
de Terminal Services en caso de que sea necesario para la recuperación de desastres.
Por razones de seguridad, el servicio DNS debe estar disponible sólo en uno de los nuevos servidores y será
complemente administrado a través de las herramientas de administración remota luego de la configuración inicial.
Será necesario asegurarse de que la configuración de firewall en el servidor DNS sea correcta para los puertos que
deben responder a las solicitudes de resolución de nombres DNS y para la administración remota.
Ejercicio 1: Identificación de tipos de servidor
En este ejercicio, analizará el escenario y responderá las siguientes preguntas relacionadas con un tipo posible de
servidor y la implementación de una función.
Pregunta: Después de leer el escenario, ¿qué tipo de instalación, Core o Standard, sería adecuada para Servicios de
Terminal Server? ¿Por qué?
Pregunta: ¿La instalación Core sería adecuada para el servidor DNS? De ser así, ¿existe algún inconveniente al
configurar el servidor para que hospede esta función?
Pregunta: ¿Qué beneficios se obtendrían usando la opción de instalación Core para la función del servidor DNS?
Pregunta: ¿Qué funciones y características se necesitan en los servidores para cumplir con los requisitos del
escenario provisto?
Ejercicio 2: Instalación y configuración de funciones y características del
servidor
En este ejercicio, se instalará la función Terminal Services y la característica Copias de seguridad usando la
herramienta administrativa Administrador de servidores.
7. Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server estén
instaladas.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.
Una vez que haya iniciado sesión correctamente, se abrirá Administrador del servidor y se reanudará la configuración
de Servicios de Terminal Server.
2. Cuando haya finalizado, aparecerá Instalación exitosa en el panel de detalles. Haga clic en Cerrar para salir
de la página Resultados de la instalación. No cierre Administrador del servidor.
1. En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características y
luego haga clic en Agregar características. Aparecerá Asistente de Agregar características.
Tarea 6: Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server estén instaladas
1. En el panel de la lista de Administrador del servidor, compruebe que Administrador del servidor
(NYC-SVR1) esté seleccionado.
2. Usando la barra de desplazamiento en el panel de detalles, desplácese hacia abajo hasta visualizar Resumen
de funciones y compruebe que Terminal Services aparezca en la lista.
3. Desplácese hacia abajo hasta Resumen de características y compruebe que aparezca Copia de seguridad
de Windows Server.
En este ejercicio, configurará una instalación Core de Windows Server 2008 e instalará la función del servidor DNS
usando herramientas de línea de comandos. Luego se conectará al servidor Core desde un equipo remoto de
Windows Server 2008 usando una MMC personalizada para configurar la función del servidor DNS.
Las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1 deben estar ejecutándose para completar este ejercicio.
Asegúrese de iniciar las máquinas virtuales antes de comenzar con este ejercicio.
3. Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core.
8. Visualizar el estado actual de las funciones e instalar la función del servidor DNS.
Tarea 3: Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core
Dirección IP=10.10.0.12
Máscara=255.255.0
Puerta de enlace=10.10.0.1
DNS=10.10.0.10
1. Para determinar el nombre de equipo predeterminado asignado actualmente, escriba set en la ventana de
comandos.
3. Para cambiar el nombre de equipo, escriba el siguiente comando y luego presione ENTRAR:
5. En la ventana del comando, escriba el siguiente comando para establecer la dirección IP estática: Netsh
interface ipv4 set address name=“conexión de área local” static 10.10.0.12 255.255.0.0 10.10.0.1 y
luego presione ENTRAR.
6. En la ventana del comando, escriba el siguiente comando para establecer el servidor DNS principal y luego
presione ENTRAR:
Netsh interface ip set dnsserver “conexión de área local” static 10.10.0.10 primary
7. En el símbolo del sistema, escriba ipconfig /all y luego presione ENTRAR para comprobar la asignación de
direcciones IP.
9. Elija reiniciar el equipo haciendo clic en Opciones de cierre en el panel derecho inferior de la ventana y luego
haga clic en Reiniciar.
10. En la ventana Apagar seguidor de eventos, haga clic en Sistema operativo: Reconfiguración (Planeada)
y luego haga clic en Aceptar. El servidor se reiniciará.
11. Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.
Pa$$w0rd
Nota: La pulsación de teclas no se reflejará en la pantalla. Recibirá un mensaje indicando que el comando se ha
completado correctamente y que debe reiniciar el equipo.
3. En el símbolo del sistema, presione Alt derecho + Suprimir, haga clic en el icono Apagar opciones y luego en
Reiniciar. Aparecerá el cuadro de diálogo Apagar Windows.
4. En el cuadro Opción del cuadro de diálogo Apagar Windows, haga clic en Sistema operativo:
Reconfiguración (Planeada) y luego haga clic en Aceptar.
Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.
Use el comando netsh para visualizar la configuración actual de firewall. En la ventana del comando, escriba el
siguiente comando y luego presione ENTRAR:
Nota: Observe que el Estado de firewall muestra que el Modo funcional está establecido en Habilitar. Esto significa
que el Firewall de Windows está habilitado pero que no se han abierto puertos específicos.
Nota: Observe que en Servicio de configuración para perfil de dominio, los servicios Archivo y Compartir impresora y
Escritorio remoto se establecen en habilitar y se abren los puertos 53 de TCP y UDP para el servidor DNS.
Tarea 8: Visualizar el estado actual de las funciones e instalar la función del servidor DNS
1. En la ventana del símbolo del sistema, en el símbolo del sistema, escriba el siguiente comando y luego
presione ENTRAR:
oclist
2. Use los comandos Ocsetup.exe y oclist para instalar el servidor DNS. Para hacerlo, en el símbolo del sistema
escriba el siguiente comando y luego presione ENTRAR:
oclist
3. Use la consola DNS para crear una zona de búsqueda directa para Contoso.com:
1. En el panel del árbol Consola raíz de Administrador DNS, expanda NYC-DNSSVR2 y luego haga clic en
Reenviar zonas de búsqueda.
2. Haga clic con el botón secundario en Reenviar zonas de búsqueda luego haga clic en Nueva zona.
4. Haga clic en Siguiente en el cuadro de diálogo Tipo de zona usando la configuración predeterminada para
crear una Zona principal.
6. Haga clic en Siguiente para aceptar el nombre predeterminado para el archivo de zona DNS.
7. En la ventana Actualización dinámica, haga clic en Siguiente para aceptar la configuración predeterminada.
8. En el cuadro de diálogo Completar asistente de nueva zona, haga clic en Finalizar para crear la nueva zona.
Tarea 10: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. Si su organización planea un proyecto de virtualización a gran escala para consolidar múltiples servidores en
unos pocos servidores a gran escala, ¿qué versión de Windows sería la más adecuada para este proyecto y
por qué?
2. ¿Cuáles son los beneficios principales de usar la instalación Core para una versión Windows Server 2008?
3. Es responsable de varias aulas en una institución educativa. Las actualizaciones de imagen del sistema
operativo de escritorio se realizan semanalmente y abarcan alrededor de 300 equipos. ¿Qué tipo de esquema
de licencia por volumen funcionaría mejor (Servidor KMS o MAK) y por qué?
4. ¿Cuál es la diferencia entre una función y una característica? ¿Cómo se instala cada una?
Puede instalar Windows Server 2008 sólo en equipos que usan Interfaz avanzada de configuración y energía
(ACPI).
No se puede especificar un archivo personalizado de nivel de aplicación de hardware (HAL) con Windows
Server 2008.
El Firewall de Windows está habilitado de manera predeterminada. Las aplicaciones del servidor que deben
recibir conexiones entrantes no solicitadas no funcionarán correctamente hasta que se creen las reglas de
firewall de entrada que las permitan.
La directiva obligatoria de firma de código de modo kernel se aplica a todos los software de modo kernel en los
sistemas basados en x64 con Windows Server 2008.
No se puede actualizar una versión anterior de Windows Server a una instalación Core. Debe realizarse una
instalación limpia.
Usar siempre controladores modo kernel firmados cuando estén disponibles. Esto es obligatorio para las instalaciones
x64.
Instalar únicamente las funciones y características requeridas según el propósito deseado del servidor.
Permitir únicamente las conexiones entrantes que requieren las funciones y características instaladas en un
servidor determinado.
Habilitar Escritorio remoto para los administradores en instalaciones Core. El shell será el símbolo del sistema
para las conexiones de terminales realizadas.
Herramientas
La función del servidor DNS es un componente esencial de una infraestructura de dominio de Windows Server® 2008.
Esta lección brinda información acerca de la función DNS y el funcionamiento del espacio de nombres DNS. Además,
esta lección brinda detalles acerca de los cambios en la función DNS para Windows Server 2008® e identifica las
observaciones para implementar dicha función.
Descripción general de la función Sistema de nombres de dominio
Puntos clave
DNS es un servicio de resolución de nombres que resuelve nombres en números. El servicio DNS es una base de
datos distribuida jerárquica. Esto significa que la base de datos se encuentra lógicamente dividida, lo que permite que
muchos servidores diferentes hospeden la base de datos mundial de nombres DNS.
Introducción a DNS
Puntos clave
El espacio de nombres DNS simplifica la forma en que un cliente DNS busca un equipo. Está organizado
jerárquicamente o en niveles para distribuir la información en muchos servidores.
Puntos clave
Notará algunas de las ventajas de usar Windows Server 2008 con las nuevas características que incluye para la función
del servidor DNS. Estas características incluyen la carga de zonas en segundo plano, compatibilidad con IPv6,
compatibilidad con controladores de dominio de sólo lectura y nombres únicos globales.
Puntos clave
La función del servidor DNS es crítica en la configuración de Active Directory y de la infraestructura de red de
Windows. Si se planea implementar DNS, deben considerarse varias observaciones:
La infraestructura DNS es la base para la resolución de nombres en Internet y en los dominios de Active Directory de
Windows Server 2008. Esta lección brinda orientación e información acerca de los requisitos para configurar la función
del servidor DNS y explica las funciones básicas de un servidor DNS.
¿Cuáles son los componentes de una solución DNS?
Puntos clave
Los componentes de una solución DNS incluyen servidores DNS, servidores DNS en Internet y clientes DNS.
Definición de DNS
Características de servidor
Características de cliente
Puntos clave
El archivo de zona DNS almacena registros de recursos. La lección siguiente analiza los archivos de zona más
detalladamente. Los registros de recursos especifican un tipo de recurso y la dirección IP para buscar el recurso. El
registro de recursos más común es el registro de recursos A. Se trata de un registro simple que hace coincidir un
nombre de host con una dirección IP. El host puede ser una estación de trabajo, un servidor u otro dispositivo de red
como un enrutador.
Puntos clave
Las sugerencias de raíz conforman la lista de los 13 servidores en Internet que la Autoridad de números asignados de
Internet (IANA, Internet Assigned Numbers Authority) conserva y que el servidor DNS usa si no puede resolver una
consulta DNS usando un reenviador DNS o su propia memoria caché. Las sugerencias de raíz son los servidores que
se encuentran más alto en la jerarquía DNS y pueden brindar la información necesaria para que un servidor DNS
realice una consulta iterativa al nivel inmediatamente inferior del espacio de nombres DNS.
Puntos clave
Una consulta DNS es el método que se usa para solicitar la resolución de nombres enviando una consulta a un servidor
DNS. Existen dos tipos de consultas DNS: autoritativas y no autoritativas.
Es importante observar que los servidores DNS también pueden actuar como clientes DNS y enviar consultas DNS a
otros servidores DNS.
¿Qué son las consultas recursivas?
Puntos clave
Por razones de seguridad, algunas veces resulta necesario deshabilitar las consultas recursivas en un servidor DNS. Al
hacerlo, el servidor DNS en cuestión no intentará reenviar sus consultas DNS a otro servidor. Esto puede resultar útil
cuando se desea impedir que un servidor DNS determinado se comunique fuera de su red local.
¿Qué son las consultas iterativas?
Puntos clave
Las consultas iterativas brindan un mecanismo para obtener acceso a la información de nombres de dominio que
reside en el sistema DNS y permiten a los servidores resolver nombres de manera rápida y eficaz en muchos
servidores.
¿Qué es un reenviador?
Puntos clave
Un reenviador es un servidor DNS de una red que reenvía consultas DNS para nombres DNS externos a los servidores
DNS fuera de dicha red. También se pueden usar reenviadores condicionales para reenviar consultas de acuerdo con
nombres de dominio específicos.
Puntos clave
Un reenviador condicional es un servidor DNS en una red que reenvía consultas DNS de acuerdo con el nombre de
dominio DNS que aparece en la consulta.
Cómo funciona el almacenamiento en caché del servidor DNS
Puntos clave
El almacenamiento en caché de DNS aumenta el rendimiento del sistema DNS de la organización ya que reduce el
tiempo que demoran las búsquedas DNS.
Cuando un servidor DNS resuelve correctamente un nombre DNS, almacenará dicho nombre en su memoria caché.
Con el tiempo, esto genera una memoria caché de nombres de dominio y las direcciones IP asociadas de los
dominios que la organización usa o a los que obtiene acceso con mayor frecuencia.
Las zonas DNS son un concepto importante en la infraestructura DNS ya que permiten que los dominios DNS se
dividan y se administren lógicamente. Esta lección brinda las bases para comprender cómo las zonas se relacionan
con los dominios DNS y brinda información acerca de los distintos tipos de zonas DNS que están disponibles en la
función DNS de Windows Server 2008.
¿Qué es una zona DNS?
Puntos clave
Una zona DNS hospeda todo o parte de un dominio y sus subdominios. La diapositiva muestra cómo los subdominios
pueden pertenecer a la misma zona que sus dominios primarios o delegarse a otra zona. El dominio Microsoft.com se
divide en dos zonas. La primera zona hospeda www.microsoft.com y ftp.microsoft.com. Example.microsoft.com se
delega a una nueva zona, que hospeda example.microsoft.com y sus subdominios ftp.example.microsoft.com y
www.example.microsoft.com.
Puntos clave
Principal
Secundaria
De rutas internas
Puntos clave
La zona de búsqueda directa resuelve nombres de host en direcciones IP y hospeda los registros de recursos
comunes: A, CNAMES, SRV, MX, SOA y NS.
La zona de búsqueda inversa resuelve una dirección IP en un nombre de dominio y hospeda los registros SOA, NS y
PTR.
Puntos clave
Una zona de rutas internas es la copia de una zona que contiene sólo aquellos registros de recursos que son
necesarios para identificar los servidores DNS autoritativos de dicha zona. Una zona de rutas internas resuelve
nombres entre espacios de nombres DNS independientes, que pueden ser necesarios cuando una fusión corporativa
requiere que los servidores DNS de dos espacios de nombres DNS independientes resuelvan nombres para clientes
en ambos espacios de nombres.
Puntos clave
DNS es un sistema jerárquico y la delegación de zonas conecta entre sí los niveles de DNS. Una delegación de zonas
se dirige al nivel inmediatamente inferior en jerarquía e identifica los servidores de nombres responsables del dominio
de nivel inferior.
Delegar zonas
Lección 4: Configuración de transferencias de zona DNS
Lección 4:
Las transferencias de zona DNS son el método mediante el que la infraestructura DNS mueve la información de zona
DNS de un servidor a otro. Esta lección describe los diferentes métodos que usa la función del servidor DNS al
transferir zonas.
¿Qué es una transferencia de zona DNS?
Puntos clave
Una transferencia de zona se produce cuando la zona DNS de un servidor se transfiere a otro servidor DNS.
Las transferencias de zona mantienen sincronizadas las zonas principales y secundarias de los servidores DNS. De
este modo DNS construye su resistencia en Internet. Es importante que las zonas DNS permanezcan actualizadas en
los servidores principales y secundarios. Las diferencias entre las zonas principales y secundarias pueden causar
interrupciones del servicio y la resolución incorrecta de nombres de host.
Puntos clave
Una notificación DNS es una actualización a la especificación del protocolo DNS original que permite notificar a los
servidores secundarios cuando ocurren cambios de zona.
Esto resulta útil en un entorno temporal en el que la precisión de los datos es importante.
Seguridad de transferencias de zona
Puntos clave
La información de zona brinda datos de la organización. Por lo tanto, se deben tomar precauciones para garantizar que
se encuentre protegida contra acceso malintencionado y contra la sobreescritura con datos incorrectos (conocido
como “envenenamiento” de DNS). Un modo de proteger la infraestructura DNS es asegurar las transferencias de zona
y usar actualizaciones dinámicas seguras.
DNS es un servicio crucial en la infraestructura de Active Directory. Cuando el servicio DNS experimenta problemas, es
importante saber cómo solucionarlos e identificar los problemas frecuentes que pueden producirse en una
infraestructura DNS. Esta lección describe los problemas frecuentes de DNS, las áreas comunes para reunir
información DNS y las herramientas que pueden usarse para la solución de problemas.
¿Qué son tiempo de vida, caducidad y borrado?
Puntos clave
El tiempo de vida (TTL), la caducidad y el borrado ayudan a administrar los registros de recursos DNS en los archivos
de zona. Los archivos de zona pueden cambiar a través del tiempo, por lo tanto debe existir una manera de administrar
los registros DNS que se actualizan o que no son válidos porque los hosts a los que representan ya no forman parte de
la red.
Puntos clave
En la ficha Supervisión del servidor DNS, se puede configurar una prueba que permita al servidor DNS determinar si
puede resolver consultas simples locales y realizar una consulta recursiva para garantizar que el servidor pueda
comunicarse con los servidores que preceden en la cadena.
Herramientas que identifican los problemas de DNS
Puntos clave
Pueden ocurrir problemas cuando no se configura adecuadamente el servidor DNS, sus zonas y sus registros de
recursos. Cuando los registros de recursos causan problemas, algunas veces puede resultar más difícil identificarlos
ya que los problemas de configuración no siempre son evidentes.
Puntos clave
El servidor DNS cuenta con su propia categoría en el registro de eventos. Como en el caso de cualquier registro de
eventos en Visor de eventos de Windows, se debe revisar el registro de eventos periódicamente.
Algunas veces quizá sea necesario obtener más detalles acerca de un problema de DNS que los que brinda Visor de
eventos. En esta instancia, se puede usar el registro de depuración para brindar información adicional.
Laboratorio: Configuración y comprobación de una solución DNS
Objetivos
Configurar una infraestructura DNS para incluir una zona secundaria, una zona de rutas internas y asegurar las
transferencias de zona
Supervisar DNS
Ejercicio 1: Configuración de una infraestructura DNS
Escenario
Es el administrador principal de DNS en Woodgrove Bank. Ha recibido una solicitud para crear dos zonas DNS nuevas.
La zona Nwtraders.msft es para una división del banco que requiere su propio dominio DNS. Esta división también
tendrá un grupo de administradores que controlen los registros de recursos de la zona. Contoso es una compañía que
Woodgrove Bank ha adquirido recientemente. Para comenzar con las pruebas de integración, debe definir un dominio
DNS denominado contoso.msft y probar diferentes configuraciones de zona. También debe probar la zona para
asegurarse de que sea resistente a errores.
En este ejercicio, configurará la función del servidor DNS en un servidor miembro y configurará las zonas contoso.msft
y nwtraders.msft. Luego, creará zonas secundarias para cada dominio y una zona de rutas internas para
Nwtraders.msft.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6822A. Se inicia Iniciador de laboratorio.
2. Cree una zona principal de búsqueda directa integrada en Active Directory denominada nwtraders.msft.
1. En NYC-DC1, use la consola DNS para configurar una zona secundaria directa para Contoso.msft:
2. En NYC-SVR1, use la consola DNS para configurar una zona secundaria directa para nwtraders.msft:
1. En NYC-SVR1, use la consola DNS para configurar una zona de rutas internas para WoodgroveBank.com:
3. En NYC-DC1, en la consola DNS, haga clic en WoodgroveBank.com y compruebe que existen registros
adicionales que no están incluidos en una zona de rutas internas.
Pregunta: ¿Por qué usar una zona de rutas internas en lugar de reenviadores condicionales?
1. En NYC-DC1, use la consola DNS para agregar el grupo DL Nwtraders Admins DNS a la lista de control de
acceso de nwtraders.msft.
2. Conceda los permisos Lectura, Escritura, Crear todos los objetos secundarios y Borrar todos los
objetos secundarios al grupo DL Nwtraders Admins DNS.
Ejercicio 2: Supervisión y solución de problemas de DNS
Escenario
Algunos usuarios informan que tienen problemas para resolver nombres de dominio.
En este ejercicio, realizará varias pruebas para asegurar que la infraestructura DNS esté funcionando correctamente.
Usará varias herramientas de solución de problemas de DNS para validar la configuración y respuestas de DNS.
6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
En NYC-DC1, en la consola DNS, use la función Supervisión de servidor DNS para realizar Una consulta
recursiva contra este servidor DNS.
Tarea 3: Usar el comando Dnslint para comprobar los registros de servidores de nombres
1. En NYC-DC1, abra un símbolo del sistema y ejecute el comando dnslint.exe para el dominio nwtraders.msft
en la dirección IP 10.10.0.10:
2. Agregue los contadores DNS Una consulta simple contra este servidor DNS y Una consulta recursiva
contra este servidor DNS.
3. Use la característica Supervisión de las propiedades de Servidor DNS para generar solicitudes al servidor
DNS.
4. Revise los datos que generan las solicitudes en Monitor de rendimiento. Alterne entre las vistas de gráficos y de
informes.
1. En NYC-DC1, use la consola DNS para agregar un registro de recursos A denominado Prueba a la zona
nwtraders.msft. Use la dirección IP 10.10.0.15.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
Nota: No apague las máquinas virtuales hasta que haya completado las Preguntas de revisión del laboratorio.
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.
Lab Review
Preguntas de revisión
1. Debe presentar a un cliente potencial las ventajas de usar Windows Server 2008. ¿Qué características nuevas
destacaría al debatir el uso de la función del servidor DNS en Windows Server 2008?
2. Está implementando servidores DNS en un dominio de Active Directory y su cliente requiere que la
infraestructura sea resistente a puntos únicos de posibles errores. ¿Qué se debe considerar al planear la
configuración DNS?
4. ¿Qué se debe configurar antes de que una zona DNS pueda transferirse a un servidor DNS secundario?
5. Es el administrador de un entorno de DNS de Windows Server 2008. Su compañía adquirió otra compañía
recientemente. Desea replicar su zona DNS principal. La compañía adquirida usa Bind 4.9.4 para hospedar sus
zonas DNS principales. Advierte una gran cantidad de tráfico entre el servidor DNS de Windows Server 2008 y
el servidor Bind. ¿Cuál es una posible razón de esto?
6. Debe automatizar un proceso de configuración del servidor DNS para que pueda automatizar la implementación
de Windows Server 2008. ¿Qué herramientas puede usar para hacerlo?
Si el cambio en el registro de recursos es reciente, es posible que no se replique a todos los servidores DNS.
En organizaciones más grandes en las que DNS está integrado a Active Directory, la convergencia puede
demorar más tiempo.
En ocasiones, el cliente puede almacenar en la memoria caché registros DNS inválidos. Por lo tanto, se debe
limpiar la memoria caché de DNS local.
Los servidores de Internet pueden requerir tiempo adicional para actualizar la información de su propia memoria
caché y de su organización antes de que los cambios que se han realizado comiencen a funcionar
correctamente.
Asegúrese de que el servidor que intenta realizar la transferencia de zona tenga permitido el acceso a la
configuración de la zona principal.
Asegúrese de que el servidor al que se transfiere la zona sea compatible con las características de
transferencia de zona de Windows Server 2008. Quizá sea necesario desactivar algunas características.
Asegúrese de que un firewall u otros dispositivos de administración de puertos que se encuentren entre los dos
servidores DNS no estén bloqueando el puerto 53 de UDP.
Para resolver problemas cuando el servidor DNS responde a las solicitudes lentamente:
Compruebe que otros programas no estén afectando al servidor con la función del servidor DNS.
Use Monitor de rendimiento para identificar la carga en el servidor que generan las solicitudes DNS. Quizá
resulte necesario dividir la carga o crear subzonas adicionales.
Por lo general, los administradores no crean zonas DNS inversas en su infraestructura DNS. En principio, esto no
generará problemas notorios. Sin embargo, muchas aplicaciones usan DNS inverso para resolver información de
nombres acerca de los hosts en los que se ejecutan.
Algunas aplicaciones requieren que se definan registros de recursos de zona inversa y de puntero. Muchos
dispositivos de seguridad de correo electrónico y software comprueban periódicamente la existencia de un registro
DNS inverso para la dirección IP que se comunica con éste.
Cuando se crean confianzas entre dos dominios de Active Directory, la capacidad del dominio A de buscar registros
en el dominio B (y viceversa) está sujeta a la configuración de la infraestructura DNS. Rara vez puede obtenerse
acceso a los dominios de Active Directory en Internet. Por lo tanto, se requiere que los reenviadores condicionales, las
zonas de rutas internas y las zonas secundarias repliquen la infraestructura DNS a través de dominios y bosques.
De manera predeterminada, las transferencias de zona se encuentran deshabilitadas en Windows Server 2008.
Cuando se configuran las transferencias de zona, uno de los procedimientos recomendados consiste en especificar la
dirección IP de los servidores a los que se desea transferir los datos de zona. Se recomienda enfáticamente que la
opción Permitir transferencia de zona a cualquier servidor no esté seleccionada, especialmente si el servidor está en
Internet. Si esta opción está habilitada, es posible volcar la zona completa. Esto puede transmitir una importante
cantidad de información sobre la red a posibles atacantes.
Procedimientos recomendados
Escriba la dirección de correo electrónico correcta de la persona responsable de cada zona a la que agregue
un servidor DNS o lo administre. Las aplicaciones usan este campo para notificar a los administradores de DNS
por varias razones. Por ejemplo, los errores de consulta, los datos incorrectos devueltos en una consulta y los
problemas de seguridad son algunas de las maneras en que puede usarse este campo. Mientras que la
mayoría de las direcciones de correo electrónico de Internet contienen el símbolo “@” para representar la
palabra “arroba” en el correo electrónico, este símbolo debe ser reemplazado por un punto (.) cuando se
escribe una dirección de correo electrónico para este campo. Por ejemplo, en lugar de
“administrador@microsoft.com”, se debería usar “administrador.microsoft.com”.
Para obtener más información acerca de cómo configurar la persona responsable de una zona, consulte Modificar el
registro de inicio de autoridad (SOA) de una zona en http://technet2.microsoft.com/WindowsServer/en/library
/e1f77652-7e1f-4902-9107-6b863ccb43501033.mspx.
Evite usar registros de recursos (RR) CNAME para que otorguen un alias a un nombre de host que usa un registro de
recursos de host (A) si son innecesarios. Además, asegúrese de que otros RR no estén usando un nombre de alias
que ya usa.
DNS permite que un nombre de propietario de un registro de recursos CNAME se use como el nombre de propietario
de otros tipos de registros de recursos, tales como los registros de recursos NS, MX y TXT.
Para obtener más información, consulte el Tema de Ayuda: Administración de registros de recursos.
Si está usando Active Directory, use el almacenamiento integrado de directorio para sus zonas DNS. Esto
ofrece mayor seguridad y tolerancia a errores y, además, simplifica la implementación y la administración.
Al integrar zonas puede simplificar la planeación de red. Por ejemplo, los controladores de dominio para cada uno de
sus dominios de Active Directory corresponden, en una asignación de uno a uno directa, a servidores DNS. Esto
puede simplificar la planeación y la resolución de problemas de DNS y problemas de replicación de Active Directory
porque ambas topologías usan los mismos equipos servidor.
Si usa el almacenamiento integrado de directorio para sus zonas, puede elegir entre los diferentes ámbitos de
replicación que replican los datos de su zona DNS en todo el directorio. Si su infraestructura DNS debe ser compatible
con servidores DNS de Windows 2000, usará el método de almacenamiento integrado de directorio que replica los
datos de zona DNS a todos los controladores del dominio. Si su infraestructura DNS está compuesta por servidores
DNS que se ejecutan sólo con Windows Server 2003, también podrá elegir entre los ámbitos de replicación que
replican los datos de zona DNS a todos los servidores DNS del bosque de Active Directory, todos los servidores DNS
en un dominio de Active Directory especificado o todos los controladores de dominio especificados en un ámbito de
replicación personalizado.
Todo servidor DNS que hospede una zona integrada de directorio es un servidor DNS principal para dicha zona. Esto
habilita un modelo con varios maestros en el que múltiples servidores DNS pueden actualizar los mismos datos de
zona. Un modelo con varios maestros elimina un punto único de posibles errores asociado con una topología de DNS
convencional y de maestro único, donde las actualizaciones pueden realizarse sólo en un único servidor DNS para una
zona determinada.
Una de las ventajas importantes de la integración de directorio es la compatibilidad con actualizaciones dinámicas
seguras de los nombres dentro de una zona. Para obtener más información, consulte Actualización dinámica en
http://technet2.microsoft.com/WindowsServer/en/library/e760737e-9e55-458d-b5ed-a1ae9e04819e1033.mspx.
Considere usar zonas secundarias para asistir a la descarga de tráfico de consultas DNS cuando sea
apropiado.
Esto le permite usar servidores secundarios como medio para equilibrar la carga de tráfico de consultas DNS en su
red y reservar sus servidores DNS principales habilitados para que sean usados sólo por aquellos clientes que los
necesitan para realizar registros y actualizaciones dinámicas de sus registros de recursos A y PTR.
Deshabilitar la recursión para los servidores que no responden a las consultas de los clientes o que se comunican
usando reenviadores. El hecho de que los servidores DNS se comuniquen entre sí usando consultas iterativas asegura
que el servidor sólo responda a las consultas que están dirigidas a él.
La consola DNS
La herramienta principal que se usa para administrar servidores DNS es la consola DNS, que se encuentra en la
carpeta Herramientas administrativas en el menú Inicio. Se puede usar la consola DNS sola o como una MMC,
integrando aún más la administración de DNS en la administración total de la red. También se encuentra disponible en
Administrador de servidores en los equipos que tienen instalada la función del servidor DNS.
La siguiente tabla describe las herramientas de línea de comandos que se usan comúnmente para configurar y
solucionar problemas de DNS:
Comando Descripción
Herramientas de supervisión
La familia de Windows Server® 2008 incluye las siguientes opciones para supervisar servidores DNS:
Registro predeterminado de los mensajes de eventos del servidor DNS en el registro del servidor DNS. Los
mensajes de eventos del servidor DNS son independientes y permanecen en su propio registro de eventos del
sistema (el registro del servidor DNS) que se puede ver usando la consola DNS o Visor de eventos.
Opciones de depuración opcionales para realizar un registro de seguimiento a un archivo de texto en el equipo
servidor DNS. También se puede usar la consola DNS para habilitar opciones de depuración adicionales para
realizar un registro de seguimiento temporal de la actividad del servidor DNS en un archivo de texto. El archivo
que se crea y se usa para esta característica, Dns.log, se almacena en la carpeta raíz del sistema
(systemroot)\System32\Dns.
Comando Descripción
El propósito de WINS en una infraestructura de red es resolver nombres NetBIOS a direcciones IP para una
comunicación eficaz entre sistemas y aplicaciones que todavía usan nombres únicos. Las versiones anteriores de los
sistemas operativos de Microsoft y algunas aplicaciones anteriores todavía usan este tipo de resolución, como lo hace
el personal de algunas organizaciones para asociarse a los recursos, como por ejemplo los servidores web internos.
Por ende, WINS aún se encuentra disponible y puede usarse, pero se quitará en versiones posteriores de Windows
Server®. Una vez que esto suceda, se encontrará disponible un nuevo tipo de zona Sistema de nombres de dominio
(DNS) que puede replicarse entre los servidores DNS de Windows Server 2008 para resolver los nombres de espacio
de nombres únicos.
¿Cuándo se necesita WINS?
Puntos clave
WINS resuelve nombres NetBIOS a direcciones IP, que pueden reducir el tráfico de difusión de NetBIOS y permitir a
los clientes resolver los nombres NetBIOS de equipos que se encuentran en segmentos de red diferentes (subredes).
Las versiones anteriores de los sistemas operativos de Microsoft usan WINS para la resolución de nombres.
Algunas aplicaciones, en particular las versiones anteriores de aplicaciones, usan nombres NetBIOS.
Es posible que los usuarios usen las características Entorno de red o Mis sitios de red del explorador de red.
Descripción general de Servicios de nombres Internet de Windows (WINS) de Windows 2000 Server
Puntos clave
Para instalar y configurar un servidor WINS correctamente, los administradores de sistemas deben comprender en
detalle los componentes WINS y el modo en que funcionan en un entorno de red.
El sistema completo WINS de Windows Server 2008 incluye los siguientes componentes:
Servidor WINS
Clientes WINS
Nota: Windows Server 2008 le permite migrar de WINS a una solución DNS completa cuando su infraestructura es
compatible con los requisitos previos presentados más adelante en este módulo. Lo anterior se logra usando una zona
de nombres de una sola etiqueta, denominada NombresGlobales, en DNS de Windows Server 2008.
Componentes de WINS
Registro de clientes y proceso de lanzamiento de WINS
Puntos clave
Registro de nombres es el proceso que realiza un cliente WINS que solicita y recibe el uso de un nombre NetBIOS
para los servicios que el cliente habilita en la red. La solicitud puede ser para un nombre único (exclusivo) o para un
nombre de grupo (compartido).
Liberación de nombre es el proceso que realiza un cliente WINS que solicita la eliminación del registro de un nombre
NetBIOS de la base de datos de WINS.
Puntos clave
El control de ráfagas permite a un servidor WINS administrar gran cantidad de solicitudes simultáneas de registro de
nombres.
El control de ráfagas permite que el servidor WINS responda de manera positiva e inmediata a los clientes WINS sin
aceptar la solicitud de registro de nombres.
Control de ráfagas
Proceso de resolución de nombres del servidor WINS
Puntos clave
Antes de que los clientes puedan usar un servidor WINS para la resolución de nombres, primero se debe configurar a
los clientes con la dirección IP del servidor WINS. Puede hacerlo manualmente usando el valor Protocolo de control
de transmisión/Protocolo de Internet (TCP/IP) local del cliente o de manera dinámica con el Protocolo de configuración
dinámica de host (DHCP).
Puede configurar a los clientes WINS con una lista de servidores WINS múltiples. Los clientes WINS intentan usar
solamente el primer servidor WINS que se encuentra en las configuraciones TCP/IP. Si el primer servidor WINS no
responde, los clientes WINS contactan a otros servidores WINS hasta que reciban una respuesta o agoten la lista de
servidores WINS que se pueden usar.
Microsoft TCP/IP Host Name Resolution Order (Orden de resolución de nombres de host TCP/IP de Microsoft)
¿Qué son los tipos de nodo NetBIOS?
Puntos clave
Un tipo de nodo NetBIOS es un valor configurable que determina el método que usará un equipo para resolver un
nombre NetBIOS a una dirección IP. El tipo de nodo NetBIOS le permite a un administrador controlar qué métodos de
resolución de nombres NetBIOS implementarán los clientes y el orden en que los usarán.
Comprender cómo funcionan los diversos tipos de nodos le ayudará a configurar la solución WINS de manera
adecuada. Windows Server 2008 es compatible con los siguientes tipos de nodo:
Nodo B (difusión)
Nodo M (mixto)
Nodo H (híbrido)
Lección 2:
Para que WINS funcione de manera eficaz en un entorno de Microsoft, los clientes y los servidores deben tener sus
nombres registrados con el servicio WINS. Es posible que, en ciertas circunstancias, las entradas incorrectas en la
base de datos del servidor WINS generen problemas con la resolución de nombres NetBIOS.
Descripción general de los registros de cliente
Puntos clave
La base de datos de WINS está formada por los registros de cliente. Un registro de cliente cuenta con información
detallada para cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS.
WINS muestra todos los registros en la base de datos y organiza la información del registro WINS en las siguientes
columnas:
Nombre de registro
Tipo
Dirección IP
Estado
Estático
Propietario
Versión
Expiración
Puntos clave
El borrado es el proceso de eliminación y remoción de entradas expiradas de la base de datos de WINS. El borrado
también elimina entradas que se replicaron desde un servidor WINS remoto y que no fueron eliminadas de la base de
datos de WINS local. El borrado mantiene el estado de información correcta en la base de datos al examinar cada
registro que le pertenece al servidor WINS, comparar la marca de hora del registro con la hora actual y luego cambiar
el estado de los registros que han expirado. Por ejemplo, el borrado modifica el estado de un registro de activo a
liberado.
Puntos clave
Se puede recuperar el espacio no utilizado al eliminar los registros obsoletos en la base de datos de WINS. La
consola de administración de WINS brinda una mejora en la administración de la base de datos al ser compatible con
las siguientes operaciones de eliminación:
La eliminación básica de los registros de la base de datos de WINS que se encuentran almacenados en una
base de datos de un servidor único.
La eliminación de desechos es la eliminación de registros que se encuentran marcados para ser eliminados
(desechados) de la base de datos de WINS únicamente después de haber sido replicados a las bases de
datos en otros servidores WINS.
La capacidad para seleccionar varios grupos de los registros de base de datos mostrados cuando se lleva a
cabo una eliminación básica o de desechos.
Puntos clave
En caso de no poder reparar los daños en la base de datos producidos por un error en el sistema, un ataque de virus,
un error de alimentación u otro desastre, es posible restaurar la base de datos desde una copia de seguridad.
La consola de administración de WINS brinda herramientas de copia de seguridad para la base de datos de WINS.
Puntos clave
Recuperar el espacio no utilizado en una base de datos de WINS ayuda a mantener el rendimiento. Al compactar la
base de datos de WINS, se puede recuperar el espacio no utilizado.
La compactación dinámica tiene lugar como un proceso en segundo plano durante tiempos de inactividad mientras se
actualiza la base de datos. Esto reduce la necesidad de realizar la compactación sin conexión.
Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.
Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.
How to Use Jetpack.exe to Compact a WINS or DHCP Database (Cómo usar Jetpack.exe para compactar una
base de datos de WINS o DHCP)
Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.
Demostración: Administración de la base de datos del servidor WINS
Lección 3:
De manera predeterminada, un servidor WINS contiene información solamente acerca de sus propios clientes. A fin de
asegurar una resolución de nombres NetBIOS eficaz en un entorno con varios servidores WINS, cada uno de los
servidores WINS necesitará conocer todos los clientes, sin tener en cuenta el servidor WINS que registró al cliente.
En la replicación WINS participan dos servidores WINS que mantienen datos consistentes en los múltiples servidores
WINS.
La configuración predeterminada para los asociados de replicación de WINS es el tipo de replicación por
inserción/extracción.
Nota: En lugar de replicar la base de datos en su totalidad, los servidores WINS replican solamente los cambios
realizados en sus bases de datos.
¿Qué es la replicación por inserción?
Puntos clave
La replicación por inserción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otros
servidores WINS cada vez que llega a un umbral de cambios especificado.
Se debe configurar un asociado de replicación como un asociado de inserción si los vínculos de comunicación rápida
conectan los servidores.
Puntos clave
La replicación por extracción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otro
servidor WINS a intervalos específicos y configurables.
Se debe configurar un asociado de replicación como un asociado de extracción si los vínculos de comunicación lenta
conectan los servidores WINS.
Puntos clave
En el proceso de replicación por inserción/extracción, un servidor WINS actualiza sus registros con nuevas entradas
de base de datos desde sus asociados de replicación, basándose en un umbral e intervalo de replicación.
Se debe configurar un asociado de replicación como un asociado de inserción/extracción si se desea especificar tanto
un umbral como un intervalo de replicación para el asociado.
Los asociados de replicación de WINS se encuentran configurados de manera predeterminada como asociados de
inserción/extracción.
Puntos clave
Comprobar la coherencia en la base de datos de WINS ayuda a mantener la integridad de la base de datos entre los
servidores WINS en una red extensa.
Lección 4:
Para ayudar a los clientes a migrar a DNS para toda la resolución de nombres, la función del servidor DNS en Windows
Server 2008 es compatible con la característica especial GlobalNames Zone – Zona de NombresGlobales (GNZ).
GNZ está diseñada para habilitar la resolución de estos nombres globales, estáticos y de una sola etiqueta para
servidores usando DNS.
Se espera que GNZ sirva de ayuda para la retirada de WINS. No obstante, no es un reemplazo de WINS.
Resolución de nombres para un nombre de una sola etiqueta
Puntos clave
De manera predeterminada, los clientes DNS anexan sufijos que obtienen de varios orígenes para resolver un nombre
de una sola etiqueta.
Puntos clave
La zona NombresGlobales no es un nuevo tipo de zona, pero su nombre reservado la distingue. El nombre
NombresGlobales le indica al servicio del Servidor DNS con Windows Server 2008 que se usará la zona para la
resolución de un sólo nombre.
La implementación GNZ recomendada se realiza usando una zona integrada de Servicios de dominio de Active
Directory (AD DS) (denominada NombresGlobales) que se distribuye globalmente.
Puntos clave
1. Un usuario escribe http://mycontoso en la barra de direcciones del explorador en un equipo que se encuentra
unido al dominio engineering.corp.contoso.com.
4. El cliente DNS envía las siguientes consultas calificadas (basadas en la lista de búsqueda de sufijos):
5. Si se produce un error en las consultas calificadas, el servidor DNS busca la zona NombresGlobales (si está
configurada) e intenta resolver el nombre de una sola etiqueta de la zona.
Puntos clave
Objetivos
Instalar WINS
Escenario
Se le asigna la tarea de instalar un segundo servidor WINS para el dominio Woodgrovebank para la tolerancia a errores
y usar una resolución de servidor WINS secundario para los clientes de dominio. La coherencia de la base de datos y
la velocidad de convergencia son de suma importancia. Se debe establecer la replicación para asegurarse de que los
registros se repliquen en el vector de cambio o vector temporal, lo que ocurra primero.
Después de implementar correctamente el servidor WINS secundario, la administración desea que se pruebe la nueva
zona NombresGlobales en el DNS de Windows Server 2008 para ayudar a retirar los servidores WINS que usa el
dominio Woodgrovebank. Al personal de TI no le resulta fácil la tarea de mantener la lista de búsqueda de sufijos de
nombres de dominio y los dominios Woodgrovebank todavía usan nombres de una sola etiqueta para los nombres de
servidores web internos. Se debe instalar y comprobar que esta nueva opción en DNS ayudará a la hora de retirar los
servidores WINS existentes.
Ejercicio 1: Instalación de WINS
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.
1. En Administrador del servidor, use el Asistente de Agregar características para instalar la característica
WINS en 6822A-NYC-SVR1.
En este ejercicio, se configurará el control de ráfagas, se creará un registro estático, se configurarán intervalos de
borrado y clientes para que usen los servidores WINS para la resolución de NetBIOS.
1. En la consola WINS, cree una Nueva asignación estática con las siguientes propiedades:
Dirección IP 10.10.0.10
2. Use Registraciones activas para comprobar que exista la nueva entrada estática.
Tarea 3: Configurar el borrado en el servidor WINS para que se realice cada siete días
En el cuadro de diálogo WINS Propiedades para NYC-SVR1, use la ficha Intervalos para establecer el valor
Extinción del tiempo de espera a 7 Días.
Tarea 4: Configurar 6822A-NYC-DC1 para usar el servidor WINS para la resolución de NetBIOS
2. En el cuadro de diálogo Propiedades de conexión de área local, en Esta conexión usa los siguientes
elementos, abra las propiedades de TCP/IPv4.
3. Haga clic en Opciones avanzadas y configure el equipo para que use el servidor WINS (dirección IP de
10.10.0.24).
En este ejercicio, se configurará la característica WINS en 6822A-NYC-SVR1 y 6822A-NYC-DC1 para que los
asociados de replicación por inserción/extracción mantengan la coherencia de los registros WINS.
3. Comprobar la replicación.
1. En NYC-SVR1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y
10.10.0.24 como propietarios.
2. En NYC-DC1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y
10.10.0.24 como propietarios.
Ejercicio 4: Migración de WINS a DNS
En este ejercicio, se migrará una resolución de nombres de una sola etiqueta desde WINS a la zona NombresGlobales
en DNS.
3. Retirar WINS.
5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
2. Crear una nueva zona de búsqueda directa con el nombre NombresGlobales, un ámbito de replicación que
sea amplitud de bosque y no permitir actualizaciones dinámicas.
Tarea 2: Crear el registro de alias para un recurso de nombres de una sola etiqueta
1. En la consola Administrador DNS, cree un registro Nuevo Alias (CNAME) en la zona de búsqueda directa
NombresGlobales con el nombre de alias HRWEB y un FQDN NYC-DC1.Woodgrovebank.com.
1. En NYC-DC1 y NYC-SVR1, inicie la consola Administrador del servidor desde el menú Herramientas
administrativas.
Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. En el caso de una base de datos dañada en WINS, en la que se había especificado una ubicación para la copia
de seguridad durante la configuración, ¿qué pasos deben seguirse para reparar el servidor WINS a fin de que
se encuentre en estado operativo?
2. ¿Cuáles son algunos de los beneficios que se pueden obtener usando la GNZ en DNS para resolución de
nombres de una sola etiqueta?
3. Su organización está pensando en retirar sus servidores WINS y usar DNS para toda la resolución de nombres.
¿Qué pasos deberían seguirse para garantizar que se realice correctamente, en caso de que sea posible
hacerlo?
4. ¿Es posible usar WINS en un entorno IPv6? ¿Qué se debe configurar en los clientes de Windows para que
puedan usar el servidor WINS para la resolución de NetBIOS?
Asegúrese de tener en cuenta las siguientes observaciones antes de instalar servicios WINS:
De necesitar registro dinámico de nombres NetBIOS en su entorno, la opción GNZ en DNS no es una buena
opción. Se necesita WINS.
Si está usando WINS en su entorno, asegúrese de que todos los servidores también posean las direcciones IP
de los servidores WINS que desea usar en sus configuraciones de IP.
Procedimientos recomendados
Evite usar entradas WINS estáticas que no sean para servidores críticos.
Para obtener resultados óptimos en la replicación de WINS y el tiempo de convergencia, use un modelo de
diseño Concentrador y periferia.
Configure cada uno de los equipos servidores de WINS para que se señalen a sí mismos.
Use NBTSTAT -RR para registrar y solucionar problemas relacionados con la conectividad del cliente.
Herramientas
Módulo 4
DHCP cumple una función importante en la infraestructura de Windows Server® 2008. Es el medio principal para
distribuir información de red relevante a clientes de red e incluye aspectos importantes de muchas otras herramientas
habilitadas para la red, incluyendo Servicios de implementación de Windows (WDS) y Protección de acceso a redes
(NAP). Al finalizar esta lección, podrá identificar los beneficios de DHCP y describir cómo funciona el protocolo DHCP
y cómo se controla DHCP en una red del servicio de directorio de Active Directory® de Windows Server 2008.
Beneficios de usar DHCP
Puntos clave
Con la función del Servidor DHCP, se puede asegurar que todos los clientes tengan la misma información de
configuración, lo cual elimina el error humano durante la configuración.
Nuevas características de DHCP en Windows Server 2008
Puntos clave
La función DHCP en Microsoft Windows Server 2008 es compatible con varias características nuevas.
Es compatible con la configuración con estado y sin estado de DHCPv6 para configurar clientes en un entorno
IPv6.
La Protección de acceso a redes con DHCP ayuda a aislar equipos potencialmente infectados con malware de
la red corporativa.
DHCP puede instalarse como una función en una instalación Server Core de Windows Server 2008.
Servidor DHCP
El Protocolo DHCPv6
Cómo DHCP asigna direcciones IP
Puntos clave
DHCP asigna direcciones IP basado en una dinámica denominada concesión. Se puede establecer el valor de
concesión a ilimitado. Sin embargo, por lo general el valor representa sólo unas pocas horas o días. El tiempo
predeterminado de concesión es de ocho horas.
Puntos clave
El proceso de generación de concesiones del protocolo DHCP incluye cuatro pasos que habilitan al cliente para
obtener una dirección IP. Comprender cómo funciona cada paso ayudará a solucionar problemas cuando los clientes
no pueden obtener una dirección IP:
TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 6 -
Dynamic Host Configuration Protocol (Capítulo 6: Protocolo de configuración dinámica de host)
Cómo funciona la Renovación de concesiones DHCP
Puntos clave
Cuando la concesión DHCP haya alcanzado el 50 por ciento del tiempo de la concesión, el cliente intentará renovarla.
Este es un proceso automático que se lleva a cabo en segundo plano. Los equipos pueden tener la misma dirección
IP durante un largo período si funcionan de manera continua en una red sin apagarse.
Puntos clave
DHCP permite que un equipo cliente obtenga información de configuración acerca de la red en la que se ha iniciado.
La comunicación DHCP se lleva a cabo antes de cualquier autenticación del usuario o del equipo y, debido a que el
protocolo DHCP se basa en difusiones IP, un Servidor DHCP configurado de manera incorrecta puede brindar
información no válida a los clientes. Para evitarlo, el servidor debe estar autorizado.
Recursos DHCP
Los administradores deben configurar los ámbitos DHCP al finalizar la instalación de la función DHCP en el servidor.
Un ámbito DHCP es el método principal a través del que se pueden configurar opciones para un grupo de direcciones
IP. Se basa en una subred IP y puede tener una configuración específica de hardware o grupos personalizados de
clientes. En esta lección, se describen los superámbitos, las opciones de ámbito y la administración de ámbitos.
¿Qué son los ámbitos DHCP?
Puntos clave
Un ámbito DHCP es un intervalo de direcciones IP disponibles para la concesión. Por lo general, un ámbito se limita a
las direcciones IP en una subred determinada.
¿Qué son los superámbitos y los ámbitos de multidifusión?
Puntos clave
Un superámbito es una colección de ámbitos agrupados en un conjunto administrativo. Esto permite a los clientes
recibir una dirección IP de múltiples subredes lógicas, incluso cuando se encuentran en la misma subred física.
Un ámbito de multidifusión es una colección de direcciones de multidifusión del intervalo de direcciones IP clase D de
224.0.0.0 a 239.255.255.255. Estas direcciones se usan cuando las aplicaciones necesitan comunicarse de manera
eficaz con varios clientes al mismo tiempo.
Demostración: Configuración de ámbitos DHCP
Puntos clave
Los Servidores DHCP pueden configurar más que sólo una dirección IP. Además, brindan información acerca de los
recursos de red, tales como los Servidores DNS y la puerta de enlace predeterminada. Se pueden aplicar las opciones
DHCP a nivel del servidor, del ámbito, del usuario y del proveedor.
Un código de opción identifica las opciones DHCP y la mayoría de estos códigos proviene de la documentación
Solicitudes de comentarios (RFC) que se encuentra en el sitio web del Grupo de trabajo de ingeniería de Internet
(IETF).
Puntos clave
Las opciones DHCP pueden aplicarse a distintos niveles, tales como a nivel de servidor y de ámbito. Quizá sea
necesario aplicar opciones de ámbito a tipos personalizados de equipos o grupos de usuarios específicos.
Se especifican las opciones a nivel de clase cuando se debe configurar un dispositivo que pertenece a una clase
determinada de una manera específica. Una clase es un grupo definido lógicamente en base a los atributos del
dispositivo basado en IP. Esto puede basarse en datos específicos del proveedor o puede estar definido por el
usuario.
Clase de proveedor
Clase de usuario
Recursos DHCP
Puntos clave
Se realiza una reserva DHCP cuando se aparta una dirección IP dentro de un ámbito para usarla con un cliente DHCP
determinado.
Se pueden configurar opciones DHCP personalizadas para las reservas. Esta configuración invalidará todas las otras
opciones DHCP que se configuren a niveles superiores.
Tamaño y disponibilidad de DHCP
Puntos clave
Al configurar ámbitos DHCP y opciones de ámbitos, debe considerarse cuántas direcciones IP asignar y cómo se
implementará la tolerancia a errores. El procedimiento recomendado es tener más de un Servidor DHCP en la red. En
caso de producirse un error en un servidor, habrá un servidor de reserva listo para conceder direcciones IP.
Configurar ámbitos
Puntos clave
Si ha configurado opciones DHCP a múltiples niveles (servidor, ámbito, clase y reserva), DHCP aplicará las opciones a
los equipos cliente en el siguiente orden:
1. Nivel de servidor
2. Nivel de ámbito
3. Nivel de clase
Recursos DHCP
Demostración: Configuración de opciones DHCP
Lección 3:
La base de datos DHCP almacena información acerca de las concesiones de direcciones IP. Es importante
comprender cómo hacer una copia de seguridad de la base de datos y solucionar los problemas de la base de datos,
en caso de que ocurran. En esta lección se describe cómo administrar la base de datos y sus datos.
Descripción general de Escenarios de administración de DHCP
Puntos clave
La base de datos del Servidor DHCP contiene datos de configuración acerca del servidor DHCP e información acerca
de las concesiones de IP de cliente. Si esta información se daña o es inconsistente, puede causar errores de
configuración de red en los equipos de los clientes. También podría provocar que se ofrezca la misma dirección IP a
múltiples clientes.
Agregar clientes.
Puntos clave
La base de datos DHCP es el archivo de datos que almacena la información de configuración de DHCP y los datos de
concesión para clientes que han concedido una dirección IP desde el Servidor DHCP.
La base de datos del Servidor DHCP es dinámica y se actualiza a medida que se asignan los clientes DHCP o que
lanzan sus parámetros de configuración TCP/IP.
Cómo se hace una copia de seguridad y se restaura una base de datos
DHCP
Cómo se hace una copia de seguridad y se restaura una base de datos DHCP
Puntos clave
Se puede hacer una copia de seguridad de la base de datos DHCP de manera manual o configurarla para que se
realice automáticamente. La copia de seguridad automática se denomina sincrónica. La copia de seguridad manual se
denomina asincrónica.
Copia de seguridad automática (sincrónica). Se hace una copia de seguridad de la base de datos DHCP de
manera automática cada 60 minutos.
Copia de seguridad manual (asincrónica). Si existe la necesidad inmediata de crear una copia de seguridad, se
puede ejecutar la opción de copia de seguridad en la consola DHCP.
Puntos clave
Conciliar ámbitos puede solucionar inconsistencias, tales como información incorrecta o faltante para las direcciones
IP de cliente que se almacenan en la información de una concesión de ámbito.
El servicio Servidor DHCP almacena información de concesión de direcciones IP de un ámbito de dos maneras:
Información detallada acerca de la concesión de direcciones IP, almacenada en la base de datos DHCP
Información resumida acerca de la concesión de direcciones IP, que almacena el Registro del servidor
Movimiento de una base de datos DHCP
Puntos clave
En caso de que deba moverse la función del Servidor DHCP a otro servidor, se recomienda mover también la base de
datos al nuevo servidor. Esto asegura que se conserven las concesiones de cliente y reduce la posibilidad de que
surjan problemas de configuración de cliente.
Inicialmente se mueve la base de datos haciendo una copia de seguridad de la misma en el Servidor DHCP anterior.
Luego, debe apagarse el servicio DHCP en el Servidor DHCP anterior. La base de datos DHCP se copia al nuevo
servidor, donde se la puede restaurar usando el procedimiento normal de restauración de la base de datos.
Opciones de configuración del servidor DHCP
Puntos clave
Las opciones de configuración del Servidor DHCP definen los comportamientos de todo el servidor. Algunas
configuraciones también afectan los ámbitos que hospeda el servidor.
Opciones generales. Estas opciones habilitan al administrador para establecer las estadísticas de DHCP para
la depuración y la solución de problemas.
Opciones DNS. Es importante configurar las opciones DNS si existen dispositivos o sistemas operativos que
no actualizan su información DNS automáticamente.
Opciones de Protección de acceso a redes. Esto le permite configurar la aplicación de Protección de acceso a
redes (NAP) en uno o varios ámbitos.
Opciones avanzadas. Estas opciones le permiten al administrador forzar el Servidor DHCP para que
compruebe si existen conflictos de IP cuando un cliente DHCP solicita una dirección IP determinada.
Demostración: Administración de una base de datos DHCP
Lección 4:
DHCP es el servicio principal en entornos de red modernos. Si el servicio DHCP no funciona correctamente o si existe
una situación que causa problemas con el Servidor DHCP, es importante saber que ocurre un problema y cómo
ubicarlo. En esta lección se examinarán problemas frecuentes de DHCP y se aprenderá a diagnosticarlos y
solucionarlos.
Descripción general de la supervisión de DHCP
Puntos clave
DHCP es un protocolo dinámico. Con frecuencia, los cambios en el entorno de red causan cambios en el Servidor
DHCP para adaptarse al nuevo entorno.
DHCP cuenta con tres fuentes de información que pueden usarse para la supervisión:
Estadísticas de DHCP
Puntos clave
Conflictos de Se ofrece la misma dirección IP a Un administrador elimina una concesión. Sin embargo, el
dirección dos clientes distintos. cliente que tiene la concesión aún cree que la concesión
es válida. Si el Servidor DHCP no comprueba la dirección
IP, puede lanzar la dirección IP a otra máquina causando
un conflicto de direcciones. Esto también puede ocurrir si
dos servidores DHCP tienen ámbitos superpuestos.
Error al obtener una El cliente no recibe una Si el controlador de la tarjeta de red de un cliente está
dirección DHCP dirección DHCP y, en cambio, configurado de manera incorrecta, puede causar un
recibe una dirección error al intentar obtener una dirección DHCP.
autoasignada de Dirección IP
privada automática (APIPA).
Dirección obtenida El cliente obtiene una dirección Por lo general, esto ocurre porque el cliente está
de un ámbito IP de un ámbito incorrecto, lo conectado a la red incorrecta.
incorrecto cual causa problemas en las
comunicaciones.
La base de datos La base de datos DHCP no se Un error de hardware puede dañar la base de datos.
DHCP sufre daño o puede leer o se pierde debido a
pérdida de datos un error de hardware.
El servidor DHCP Los ámbitos IP del servidor Se conceden todas las direcciones IP asignadas a un
agota su grupo de DHCP se han agotado. Todo ámbito.
direcciones IP nuevo cliente que solicite una
dirección IP será rechazado.
¿Qué son las estadísticas de DHCP?
Puntos clave
Las estadísticas DHCP brindan información acerca de la actividad y el uso de DHCP. Se puede usar esta consola para
determinar rápidamente si existe un problema con el servicio DHCP o con los clientes DHCP de la red.
¿Qué es un archivo de registro de auditoría de DHCP?
Puntos clave
El registro de auditoría brinda un registro rastreable de la actividad del Servidor DHCP. Se puede usar este registro
para realizar un seguimiento de las solicitudes de concesiones, de las concesiones y denegaciones y, además, esta
información permite solucionar problemas de rendimiento del Servidor DHCP.
Puntos clave
Los contadores de rendimiento de DHCP estarán disponibles luego de instalar la función del Servidor DHCP. Luego,
se podrá usar Monitor de rendimiento para cargar los contadores de rendimiento.
Un Servidor DHCP no debería, por lo general, tener una carga de red pesada. Sin embargo, si nota que las longitudes
de cola están registrando valores altos de manera constante, deberá comprobar el servidor en busca de cuellos de
botella que puedan estar reduciendo el rendimiento de DHCP.
Lección 5:
Seguridad de DHCP
El protocolo DHCP no tiene ningún método integrado para autenticar usuarios. Esto significa que si no se toman
precauciones, podrían otorgarse concesiones IP a dispositivos y usuarios malintencionados. En esta lección, se
describe cómo impedir que los usuarios no autorizados obtengan una concesión, cómo administrar Servidores DHCP
Rogue y cómo configurar Servidores DHCP para que puedan ser administrados por un grupo específico.
Seguridad de DHCP
Seguridad de DHCP
Puntos clave
Impedir que los Servidores DHCP no autorizados y que no sean de Microsoft concedan direcciones IP.
Puntos clave
DHCP por sí solo puede ser difícil de asegurar. Esto se debe a que el protocolo está diseñado para funcionar antes
de que la información necesaria esté lista para que un equipo cliente realice una autenticación con un controlador de
dominio.
Las precauciones básicas que deben tomarse para limitar el acceso no autorizado incluyen:
Autenticar usuarios.
Implementar NAP.
Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab (Guía paso a paso: demostrar el
cumplimiento NAP para DHCP en un Laboratorio de prueba)
Impedir que los servidores DHCP no autorizados y que no sean de
Microsoft concedan direcciones IP
Impedir que los servidores DHCP no autorizados y que no sean de Microsoft concedan
direcciones IP
Puntos clave
Muchos dispositivos y sistemas operativos de red tienen implementaciones del Servidor DHCP. Las redes casi nunca
son homogéneas en su naturaleza y, por lo tanto, es posible que en algún momento un Servidor DHCP que no
comprueba si existen servidores autenticados de Active Directory sea habilitado en la red. En este caso, los clientes
pueden obtener datos de configuración incorrectos.
Para eliminar un Servidor DHCP no autorizado, debe buscarlo e impedir que se comunique en la red, ya sea
físicamente o deshabilitando el servicio DHCP.
Puntos clave
El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en los
servidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso para
administrar Servidores DHCP.
La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que un
administrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.
Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.
Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.
Puntos clave
El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en los
servidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso para
administrar Servidores DHCP.
La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que un
administrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.
Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.
Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.
Escenario
Ha sido designado como el Administrador de red en Woodgrove Bank, que ha abierto recientemente una nueva
división que necesita un servicio DHCP configurado para alrededor de 200 clientes. Debe configurar un Servidor
DHCP para la nueva división.
En este ejercicio, instalará la función DHCP y luego autorizará el servidor en el dominio woodgrovebank.com.
1. Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador.
Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
En NYC-DC1, use Administrador del servidor para agregar la función Servidor DHCP:
Use los valores predeterminados para todos los pasos excepto Deshabilitar DHCPv6 para aplicaciones en
esta red.
Escenario
Debe configurar un ámbito DHCP para alrededor de 200 clientes. El ámbito debe brindar información acerca del
servidor DNS y la puerta de enlace predeterminada como parte de la información que reciben los clientes al solicitar
una dirección DHCP.
En este ejercicio, configurará un nuevo ámbito DHCP, activará el ámbito y configurará opciones de ámbito de manera
tal que los clientes reciban la información correcta al conceder una dirección IP.
1. En NYC-DC1, use la consola Administrador del servidor para crear un nuevo ámbito DHCP IPv4:
El intervalo de direcciones IP para el ámbito: De 10.10.0.1 a 10.10.0.254 usando una máscara de subred
255.255.0.0
Debe agregarse un intervalo de exclusiones de 10.10.0.1 a 10.10.0.30 para servidores y otros dispositivos que
usan una dirección IP estática
2. En NYC-CL1, establezca las propiedades Conexión de área local para la configuración DHCP en las
propiedades IPv4 para la configuración de la dirección IP y de la resolución de DNS. Reinicie NYC-CL1 y luego
inicie sesión como Administrador usando la contraseña Pa$$w0rd.
3. Asegúrese de que el equipo cliente pueda obtener una dirección IP. Compruebe que el cliente esté
configurado con una puerta de enlace predeterminada.
Pregunta: ¿Por qué la Conexión de área local configurada para DHCP no tiene una puerta de enlace predeterminada?
En NYC-DC1, use la consola DHCP para configurar la opción de ámbito DHCP Enrutador 003 para que se
dirija a 10.10.0.1.
Nota: Asegúrese de configurar las opciones de ámbito y no las opciones del servidor.
En NYC-CL1, use el símbolo del sistema y la utilidad ipconfig para probar si el cliente puede obtener una
dirección IP y una puerta de enlace predeterminada, tal como lo especifica la tarea anterior.
Ejercicio 3: Solución de problemas frecuentes de DHCP
Escenario
El Servidor DHCP ahora está configurado. Para asegurar un tiempo de inactividad mínimo, su departamento ha
solicitado que el equipo de administración de DHCP solucione varios escenarios potenciales de problemas de
configuración.
Ejecutará un script que configurará el Servidor DHCP de manera tal que no funcione correctamente. Solucionará los
problemas de configuración causados por el script usando la información disponible.
2. Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración.
10. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Dirección IPv4
Máscara de subred
Duración de la concesión
Tarea 2: Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración
En NYC-CL1, use ipconfig para determinar el problema más grave que afecta al Servidor DHCP.
En NYC-CL1, identifique la información que ha cambiado. Compare la configuración con la observada antes de
ejecutar el script DHCP.VBS.
Tarea 6: Configurar el Servidor DHCP con la información correcta del enrutador
Tarea 7: Configurar el Servidor DHCP con la información correcta del Servidor DNS
En NYC-DC1, compruebe la información del servidor DNS configurada en las opciones de ámbito.
En NYC-DC1, compruebe que el período de concesión configurado en las propiedades del ámbito sea
correcto.
En NYC-CL1, use ipconfig para asegurarse de que el cliente esté configurado como lo estaba antes de
ejecutar el script DHCP.VBS.
Tarea 10: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.
Lab Review
Preguntas de revisión
2. ¿Con qué nueva característica de seguridad se integra DHCP para forzar a los equipos cliente a cumplir con las
directivas de seguridad de la compañía?
3. ¿Cuáles son los cuatro mensajes de difusión DHCP que se usan cuando se realiza una concesión correcta de
direcciones?
4. ¿En qué momento de una concesión DHCP por lo general el cliente renueva la concesión automáticamente?
Autorización DHCP:
Los Servidores DHCP basados en Windows no concederán direcciones IP a menos que estén autorizados.
Asegúrese de activar el ámbito al autorizar el servicio DHCP. También es importante recordar que los Servidores
DHCP independientes se colocarán en modo sin conexión si detectan otro Servidor DHCP autorizado en la red.
Al usar DHCP para suministrar direcciones a varias subredes, asegúrese de que el Servidor tenga una interfaz en la
red en la cual esté definido el ámbito. Por ejemplo, si el ámbito se define dentro del intervalo de 10.10.0.50 a
10.10.0.100, el Servidor DHCP deberá tener una dirección IP en la subred donde esté definido el ámbito. Una
alternativa a tener un Servidor DHCP con múltiples interfaces de red es configurar un agente de retransmisión DHCP.
Direcciones APIPA:
La dirección IP privada automática (APIPA) es una dirección que se asigna un equipo cuando está configurado para
usar DHCP pero no puede obtener una concesión de direcciones. Una dirección APIPA se iniciará con 169.254. en los
primeros dos octetos de la dirección IP. (Este es un espacio IP reservado especificado en RFC). Por ejemplo, puede
asignarse una dirección APIPA si los medios que conectan al cliente no funcionan o si no puede contactarse al
Servidor DHCP. Si un único cliente experimenta problemas, por lo general el problema estará relacionado con el
cliente. Sin embargo, si múltiples clientes se asignan direcciones APIPA, es más probable que el problema esté
relacionado con el Servidor DHCP o con la configuración de red que usa el Servidor DHCP.
Procedimientos recomendados
Use la regla de diseño 80/20 para equilibrar la distribución del ámbito de direcciones donde se implementan
múltiples Servidores DHCP para prestar servicio al mismo ámbito.
Usar más de un Servidor DHCP en la misma subred brinda una mayor tolerancia a errores para prestar servicio a los
clientes DHCP ubicados en ella. Al usar dos Servidores DHCP, si un servidor no está disponible, el otro podrá tomar
su lugar y continuará la concesión de nuevas direcciones o la renovación de clientes existentes.
Un procedimiento frecuente al equilibrar una única red y un único intervalo de direcciones de ámbito entre dos
Servidores DHCP es que un Servidor DHCP distribuya el 80 por ciento de las direcciones y que el segundo Servidor
DHCP suministre el 20 por ciento restante.
Use superámbitos para múltiples Servidores DHCP en cada subred en un entorno de LAN.
Al iniciarse, cada cliente DHCP difunde un mensaje de descubrimiento de DHCP (DHCPDISCOVER) a su subred local
para intentar encontrar un Servidor DHCP. Puesto que los clientes DHCP usan difusiones durante su configuración
inicial, no es posible predecir qué servidor responderá a la solicitud de descubrimiento de DHCP de un cliente si hay
más de un Servidor DHCP activo en la misma subred.
Use un nuevo superámbito configurado de manera similar en todos los servidores. El superámbito debe incluir todos
los ámbitos válidos de la subred como ámbitos miembro. Para configurar ámbitos miembro en cada servidor, las
direcciones sólo deben estar disponibles en uno de los Servidores DHCP de la subred. Para los demás servidores de
la subred, use intervalos de exclusión para los mismos intervalos de direcciones de ámbito al configurar los ámbitos
correspondientes.
Desactive ámbitos únicamente al quitar un ámbito del servicio de manera permanente. Si sólo se pretende
desactivar temporalmente las direcciones del ámbito, puede conseguirse el resultado deseado mediante la
edición o modificación de los intervalos de exclusión de un ámbito activo.
Use la detección de conflictos del servidor en los Servidores DHCP sólo si resulta necesario.
Tanto los servidores como los clientes DHCP pueden usar la detección de conflictos para determinar si una dirección
IP ya está en uso en la red, antes de concederla o usarla.
Windows 2000, Windows XP y Windows Vista™ detectan conflictos de IP usando una solicitud APR. De manera
predeterminada, el servicio DHCP no realiza la detección de conflictos. Para habilitar la detección de conflictos,
aumente el número de intentos de ping que realiza el servicio DHCP para cada dirección antes de conceder dicha
dirección a un cliente.
Tenga en cuenta que por cada intento de detección de conflictos adicional que realiza el servicio DHCP, se agregan
segundos al tiempo necesario para negociar las concesiones para los clientes DHCP.
Por lo general, si se usa la detección de conflictos del Servidor DHCP deberá establecer el número de intentos de
detección de conflictos que realiza el servidor para usar uno o dos ping como máximo. De este modo, se disfrutan los
beneficios de esta característica sin reducir el rendimiento del Servidor DHCP.
Se deben crear reservas en todos los Servidores DHCP que puedan, potencialmente, brindar servicio al cliente
reservado.
Se puede usar una reserva de cliente para garantizar que un equipo cliente DHCP siempre reciba la concesión de la
misma dirección IP al iniciarse. Si un cliente reservado puede tener acceso a más de un Servidor DHCP, agregue la
reserva a cada uno de los demás Servidores DHCP.
Esto permite que los demás Servidores DHCP reconozcan la reserva de dirección IP de cliente realizada para el
cliente reservado. Aunque la reserva de cliente sólo tiene efecto para el Servidor DHCP donde la dirección reservada
forma parte del grupo de direcciones disponibles, se puede crear la misma reserva en otros Servidores DHCP que
excluyan esta dirección.
En cuanto al rendimiento del servidor, tenga en cuenta que DHCP usa el disco de modo intensivo, por lo que
deberá adquirir hardware con características óptimas de rendimiento de disco.
DHCP genera una actividad frecuente e intensa en los discos duros del servidor. Para brindar el mejor rendimiento,
tenga en cuenta las soluciones de la matriz redundante de discos independientes (RAID) al adquirir hardware para su
equipo servidor que mejora el tiempo de acceso al disco.
Al evaluar el rendimiento de los Servidores DHCP, se debe evaluar DHCP como parte de la evaluación completa de
rendimiento de todo el servidor. La supervisión del rendimiento del hardware del sistema en las áreas de uso con
mayor demanda (es decir, CPU, memoria y entrada y salida de disco), permite obtener la mejor evaluación para
determinar si el Servidor DHCP está sobrecargado y si debe actualizarse.
Tenga en cuenta que el servicio DHCP incluye varios contadores del Monitor de sistema que se pueden usar para
supervisar el servicio.
De manera predeterminada, el servicio DHCP habilita el registro de auditoría de los eventos relacionados con el
servicio. El registro de auditoría brinda una herramienta de supervisión del servicio a largo plazo que hace que el uso
de los recursos de disco del servidor sea limitado y seguro.
Reduzca el tiempo de la concesión para los clientes DHCP que usan el servicio Enrutamiento y acceso remoto
para obtener acceso remoto.
Aumente la duración de las concesiones de ámbito en redes estables y fijas de gran tamaño si hay suficiente
espacio de direcciones disponible.
Use la cantidad adecuada de Servidores DHCP para la cantidad de clientes habilitados para DHCP en la red.
En una LAN pequeña (por ejemplo, una subred física que no usa enrutadores), un único Servidor DHCP puede prestar
servicio a todos los clientes habilitados para DHCP. En redes enrutadas, la cantidad de servidores necesarios aumenta
en función de varios factores, entre los que se incluyen la cantidad de clientes habilitados para DHCP, la velocidad de
transmisión entre segmentos de red, la velocidad de los vínculos de red, si se usa el servicio DHCP en toda la red de
la empresa o sólo en redes físicas seleccionadas y la clase de direcciones IP de la red.
Herramientas
Consola DHCP
El método principal para administrar DHCP es usar la consola DHCP. La consola está ubicada en Herramientas
administrativas. También se puede usar la consola para administrar instancias de Server Core de la función del
Servidor DHCP de manera remota.
La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y administrar
DHCP:
Comando Descripción
IPv6 es una tecnología esencial que permitirá asegurar que Internet pueda administrar una base de usuarios creciente
y un número cada vez mayor de dispositivos habilitados para IP. El Protocolo de Internet versión 4 (IPv4) actual ha
actuado como el protocolo de Internet subyacente durante casi 30 años. En la actualidad, su solidez, escalabilidad y el
conjunto limitado de características debe hacer frente al desafío que plantea la creciente necesidad de nuevas
direcciones IP debido en gran medida al rápido crecimiento de los nuevos dispositivos con capacidad de red.
Lección 1:
Poco a poco, el uso de IPv6 se está volviendo más frecuente. Aunque su adopción puede ser lenta, es importante
comprender cómo afectará esta tecnología a las redes actuales y cómo se debe integrar IPv6 en dichas redes. En la
siguiente lección se describirán los beneficios de IPv6, se la comparará con IPv4 y se detallarán los tipos básicos de
direcciones IPv6. Una vez finalizada esta lección, habrá comprendido las direcciones globales, locales del vínculo,
locales del sitio y locales únicas.
Beneficios de IPv6
Beneficios de IPv6
Puntos clave
Seguridad integrada
Detección de vecinos
Extensibilidad
IPv6
Diferencias entre IPv4 e IPv6
Puntos clave
IPv4 IPv6
Las direcciones de origen y de destino tienen 32 bits Las direcciones de origen y de destino tienen 128 bits (16
(4 bytes) de longitud. bytes) de longitud.
Los enrutadores no realizan la identificación de flujo La identificación de flujo de paquetes para el manejo QoS
de paquetes para el manejo de Calidad de servicio por parte de los enrutadores está incluida en el encabezado
(QoS) dentro del encabezado IPv4 IPv6 usando el campo Etiqueta de flujo.
Ambos enrutadores y el host remitente realizan la Los enrutadores no realizan la fragmentación, sólo lo hace el
fragmentación. host remitente.
El encabezado incluye una suma de comprobación. El encabezado no incluye una suma de comprobación.
El encabezado incluye opciones. Se transfieren todos los datos opcionales a los encabezados
de extensión IPv6
El Protocolo de resolución de direcciones (ARP) usa Los marcos de solicitud ARP son reemplazados por
marcos de solicitud ARP de difusión para resolver una mensajes de solicitud de vecinos de multidifusión.
dirección IPv4 a una dirección de nivel de vínculos.
Se usa el Protocolo de administración de grupos de IGMP se reemplaza por los mensajes de Descubrimiento de
Internet (IGMP) para administrar la pertenencia a escucha de multidifusión (MLD).
grupos de subredes locales.
Se usan las direcciones de difusión para enviar tráfico No hay direcciones de difusión IPv6. En cambio, se usa una
a todos los nodos en una subred. dirección de multidifusión para todos los nodos en el ámbito
local del vínculo.
Usa registros de recursos de dirección de host (A) en Usa registros de recursos de dirección de host (AAAA) en
el Sistema de nombres de dominio (DNS) para DNS para asignar nombres de host a las direcciones IPv6.
asignar nombres de host a las direcciones IPv4.
Usa registros de recursos de puntero (PTR) en el Usa registros de recursos PTR en el dominio DNS
dominio DNS IN-ADDR.ARPA para asignar IP6.ARPA para asignar direcciones IPv6 a los nombres de
direcciones IPv4 a los nombres de host. host.
Debe ser compatible con un tamaño de paquete de Debe ser compatible con un tamaño de paquete de 1280
576 bytes (posiblemente fragmentado). bytes (sin fragmentación).
Implementaciones de IPv6 usando tecnologías de Microsoft
Puntos clave
Para todas las implementaciones de IPv6 de Microsoft, se puede usar IPv6 sin afectar las comunicaciones IPv4.
Observe que IPv6 es una implementación de pilas duales en Windows XP SP2 y Windows Server 2003 y una
implementación de doble nivel para Windows Vista y Windows Server 2008.
Espacio de direcciones IPv6
Puntos clave
La característica más destacada de IPv6 es que se usa para direcciones considerablemente más extensas.
Las direcciones IP de IPv4 se expresan en cuatro grupos de números decimales, como por ejemplo 192.168.1.1.
Cada agrupación de números representa un octeto binario. En formato binario, el número anterior es:
El tamaño de una dirección en IPv6 es de 128 bits, es decir, su tamaño es cuatro veces mayor que una dirección IPv4.
Además, las direcciones IPv6 se representan como direcciones hexadecimales en su formato “legible”. Por ejemplo,
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A.
Es posible que esto resulte ilógico para los usuarios finales. Sin embargo, se supone que los usuarios promedio se
basarán en los nombres DNS para resolver los hosts y que con poca frecuencia escribirán las direcciones IPv6
manualmente. La dirección IPv6 en formato hexadecimal es más fácil de convertir a formato binario y viceversa. Esto
simplifica el trabajo con las subredes y el cálculo de los hosts y las redes.
Introducción a IP versión 6
Prefijos IPv6
Prefijos IPv6
Puntos clave
Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide al asignar partes del espacio de
direcciones disponible para las diversas funciones de IP. Los bits de valor superior (bits que se encuentran al
comienzo de la dirección IPv6 de 128 bits) definen las áreas de manera estática en el espacio IP. Los bits de valor
superior y sus valores fijos se denominan prefijo de formato.
Tipos de direcciones IPv6 de unidifusión
Puntos clave
Una dirección de unidifusión identifica una única interfaz dentro del ámbito del tipo de dirección de unidifusión. Con la
topología de enrutamiento de unidifusión apropiada, los paquetes dirigidos a una dirección de unidifusión se envían a
una única interfaz.
Puntos clave
Un host IPv6, incluyendo aquellos con sólo una interfaz, con frecuencia posee direcciones IPv6 múltiples. De manera
predeterminada, las direcciones locales del vínculo se configuran automáticamente para cada interfaz en cada host o
enrutador IPv6. Para comunicarse con nodos no vecinos, un host también debe estar configurado con direcciones
globales o locales del sitio de unidifusión. Un host obtiene estas direcciones adicionales ya sea desde los anuncios de
enrutador o mediante asignación manual. Use los comandos en el contexto netsh interfase ipv6 para configurar las
direcciones IPv6 manualmente.
En IPv6, con frecuencia se asignan las siguientes direcciones a los hosts y enrutadores:
Direcciones de unidifusión
Direcciones de multidifusión
Id. de zona
Puntos clave
A diferencia de las direcciones globales, es posible reutilizar las direcciones de uso local. Las direcciones locales del
vínculo se reutilizan en cada vínculo. Es posible reutilizar las direcciones locales del sitio en cada sitio de una
organización. Las direcciones locales del vínculo y del sitio son ambiguas debido a esta capacidad de reutilización de
direcciones.
Es necesario usar un identificador adicional para especificar a qué vínculo se asigna una dirección, en qué vínculo se
ubica una dirección o en qué sitio se asigna o ubica una dirección. Este identificador adicional es un identificador de
zona (ID), también denominado identificador de ámbito, que identifica una parte conectada de una red que tiene un
ámbito determinado. La sintaxis especificada en RFC 4007 para identificar la zona asociada con una dirección de uso
local es como se muestra a continuación:
Dirección%zona_ID
Autoconfiguración de direcciones para IPv6
Puntos clave
El host puede pasar a través de varios estados a medida que realiza el proceso de autoconfiguración y existen muchas
maneras de asignar una dirección IP e información. En base al modo en que se configura el enrutador, es posible que
un cliente use una configuración sin estado (no servicio DHCP) o con estado con un servidor DHCP involucrado, con el
fin de asignar una dirección IP y otra información de red o simplemente asignar otra información de red. La otra
información hace referencia a los servidores DNS y las puertas de enlace.
Válido. Se comprobó que la dirección es única y que puede enviar y recibir tráfico de unidifusión.
Preferido. La dirección habilita un nodo para enviar y recibir tráfico de unidifusión hacia y desde éste.
Sin estado. La configuración de direcciones se basa en la recepción de mensajes de anuncio de enrutador con
los marcadores Configuración de dirección administrada y Otra configuración activa establecidos en 0 y una o
varias opciones de Información de prefijos.
Con estado. La configuración se basa en el uso de un protocolo de configuración de direcciones con estado,
como por ejemplo DHCPv6, para obtener direcciones y otras opciones de configuración.
Introducción a IP versión 6
Demostración: Configuración de cliente IPv6
Desde sus inicios, IPv6 fue diseñado en base al concepto de que debe ser capaz de coexistir, por mucho tiempo, con
IPv4. Esta lección brinda una descripción general de las tecnologías que son compatibles con la coexistencia de los
dos protocolos IP. Una vez finalizada esta lección, habrá aprendido y podrá describir los diferentes tipos de nodos y
las implementaciones de pilas IP de IPv6 y, además, el modo en que DNS define las direcciones IPv6 y los diversos
tipos de tecnologías de tunelización IPv6.
¿Qué son los tipos de nodo?
Puntos clave
Cuando se planea una red IPv6, es importante conocer qué tipos de nodos o hosts están en la red. Al describir los
nodos de las siguientes maneras, se pueden definir sus capacidades en la red. Esto es importante para la tunelización
ya que existen determinadas clases de túneles que requieren tipos de nodos específicos, incluyendo:
Nodo sólo IPv4. Un nodo que implementa sólo IPv4 (y cuenta solamente con direcciones IPv4) y no es
compatible con IPv6.
Nodo sólo IPv6. Un nodo que implementa sólo IPv6 (y cuenta solamente con direcciones IPv6) y no es
compatible con IPv4.
Nodo IPv4. Un nodo que implementa IPv4. Puede ser un nodo sólo IPv4 o un nodo IPv6/IPv4.
Nodo IPv6. Un nodo que implementa IPv6. Puede ser un nodo sólo IPv6 o un nodo IPv6/IPv4.
Coexistencia de IPv4 e IPv6
Puntos clave
Para coexistir con una infraestructura IPv4 y brindar una transición final a una infraestructura sólo IPv6, puede usar los
siguientes mecanismos:
Puntos clave
Una arquitectura de doble nivel IP contiene niveles de Internet tanto IPv4 como IPv6 con una única implementación de
protocolos de niveles de transporte, tales como TCP y UDP. La pila dual permite hacer una migración más simple a
IPv6. Existe una menor cantidad de archivos que conservar para brindar conectividad IPv6. IPv6 también está
disponible sin agregar nuevos protocolos en la configuración de la tarjeta de red.
Paquetes IPv4
Paquetes IPv6
Paquetes IPv6 sobre IPv4 (paquetes IPv6 encapsulados con un encabezado IPv4)
¿Qué es una arquitectura de pila dual?
Puntos clave
Una arquitectura de pila dual contiene niveles de Internet tanto IPv4 como IPv6 con pilas de protocolo independientes
que contienen implementaciones individuales de protocolos de niveles de transporte, tales como TCP y UDP.
El protocolo IPv6 para Windows Server 2003 y Windows XP usa la arquitectura de pila dual. El controlador de
protocolo IPv6 en Windows Server 2003 y Windows XP, Tcpip6.sys, contiene una implementación independiente de
TCP y UDP.
Paquetes IPv4
Paquetes IPv6
Puntos clave
Se necesita una infraestructura DNS para una coexistencia satisfactoria debido al uso frecuente de nombres en lugar
de direcciones para referirse a recursos de red. La actualización de la infraestructura DNS consiste en rellenar los
servidores DNS con registros para que sean compatibles con las resoluciones de nombre a dirección y de dirección a
nombre de IPv6. Una vez que se obtuvieron las direcciones usando la consulta de nombres DNS, el nodo remitente
debe seleccionar qué direcciones desea usar para la comunicación.
Demostración: Configuración de DNS para que sea compatible con IPv6
Puntos clave
La tunelización IPv6 sobre IPv4 es la encapsulación de los paquetes IPv6 con un encabezado IPv4 a fin de que los
paquetes IPv6 puedan enviarse sobre una infraestructura IPv4. Dentro del encabezado IPv4:
El campo Protocolo IPv4 está establecido en 41 para indicar un paquete IPv6 encapsulado.
Los campos Origen y Destino están establecidos como direcciones IPv4 de extremos de túnel. Los extremos
de túnel pueden configurarse manualmente como parte de la interfaz de túnel o se derivan automáticamente de
la dirección de próximo salto de la ruta coincidente para el destino y la interfaz de tunelización.
Nota: A diferencia de la tunelización para el Protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa
dos (L2TP), no existe intercambio de mensajes para la instalación, mantenimiento o finalización del túnel. Además, la
tunelización IPv6 sobre IPv4 no brinda seguridad a los paquetes IPv6 de túnel. Es decir que cuando se usa la
tunelización IPv6 no es necesario establecer primero una conexión. Además, la tunelización infiere que ésta sólo se
llevará a cabo mediante redes IPv4 y el túnel no se cifrará.
Lección 3: Tecnologías de tunelización IPv6
Lección 3:
Una transición final satisfactoria a IPv6 requiere de la coexistencia provisoria de los nodos IPv6 en el entorno
predominantemente IPv4 actual. Para adecuarse a lo anterior, los paquetes IPv6 se envían por túnel de modo
automático sobre infraestructuras de enrutamiento IPv4, habilitando a los clientes IPv6 a comunicarse entre sí usando
direcciones 6to4 o direcciones del Protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP) y
enviando paquetes IPv6 por túnel a través de las redes IPv4. Esta lección brinda información acerca de las diversas
tecnologías de tunelización disponibles en IPv6.
Configuraciones de tunelización
Configuraciones de tunelización
Puntos clave
RFC 2893 define las siguientes configuraciones de tunelización con las que se debe enviar por túnel el tráfico IPv6
entre los nodos IPv6/IPv4 sobre una infraestructura IPV4:
Enrutador a enrutador
Host a host
Tipos de túneles
Tipos de túneles
Puntos clave
RFC 2893, “Mecanismos de transición para hosts y enrutadores IPv6" define los siguientes tipos de túneles:
Configurado
Automático
Puntos clave
Las tecnologías de tunelización usadas para la tunelización de IPv6 sobre IPv4 incluyen:
ISATAP
6to4
Teredo
PortProxy
Para facilitar la comunicación entre los nodos y las aplicaciones que no pueden conectarse usando un protocolo de
nivel de Internet común (IPv4 o IPv6), el protocolo IPv6 para Windows Server 2008 brinda PortProxy, un componente
que permite el envío a través de proxy del siguiente tráfico:
IPv4 a IPv4
IPv4 a IPv6
IPv6 a IPv6
IPv6 a IPv4
Puntos clave
ISATAP es una tecnología de tunelización automática de host a host, host a enrutador y enrutador a host y asignación
de direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts IPv6/IPv4 a través de una
intranet IPv4. Los hosts ISATAP no requieren configuración manual y pueden crear direcciones ISATAP usando
mecanismos estándar de autoconfiguración de direcciones.
ISATAP permite que los clientes IPv6 en una subred IPv4 se comuniquen sin realizar una configuración manual
adicional. Un enrutador ISATAP permite que los clientes se comuniquen con otros clientes IPv6 en subredes IPv6
puras o mixtas.
La tunelización ISATAP puede iniciarse de varias maneras. Es posible determinar el enrutador ISATAP colocando el
nombre “ISATAP” en una dirección IPv4 o usando el comando Netsh Interface IPv6 ISATAP set Router.
RFC 4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP, Protocolo de direccionamiento
automático de túnel dentro de un sitio)
Laboratorio A: Configuración de un enrutador ISATAP
Objetivos
Configurar un enrutador ISATAP para habilitar las comunicaciones entre la red IPv4 y la red IPv6
Antes de empezar:
Para poder simular redes múltiples, debe configurar lo siguiente antes de iniciar las máquinas virtuales:
2. En el panel izquierdo, en Redes virtuales, haga clic en Agregar. En el panel de detalles, junto a Archivo de
configuración (.vnc) existente, escriba lo siguiente: C:\ArchivosdePrograma\MicrosoftLearning\6822A
\Unidades\6822A-NYC-VN2_IPv6 y luego haga clic en Agregar nuevamente.
3. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.
5. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luego
haga clic en Aceptar.
6. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.
8. En Adaptador de red virtual 1, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luego
haga clic en Aceptar.
Para este laboratorio, debe iniciar sesión en las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-
NYC-CL1 usando la siguiente información:
Contraseña: Pa$$w0rd
Ejercicio 1: Configuración de una nueva red y cliente IPv6
Escenario
Debe diseñar e implementar una red IPv6. Para una prueba inicial del concepto, se debe implementar solamente un
cliente.
En este ejercicio, los estudiantes prepararán el entorno actual para trabajar con IPv6 e implementarán un cliente IPv6 y
una subred IPv6.
6. Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IP
IPv4.
7. Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1.
8. Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección global
IPv6 en la red 2001:db8:0:1::/64.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
IPEnableRouter =1
Nota: En este momento, sólo se enruta el tráfico IPv4 a través de la infraestructura de enrutamiento IPv4.
Tarea 6: Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IP IPv4
Confirme que la dirección IP en NYC-CL1 es una dirección IP local del vínculo válida que comienza con fe80.
Tarea 7: Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1
1. En NYC-SVR1, usando la línea de comandos y el comando netsh, configure Conexión de área local 2 para
reenviar paquetes y anunciar los prefijos de subred.
2. Agregue una ruta IPv6 a Conexión de área local 2 de 2001:db8:0:1::/64. Asegúrese de publicar esta ruta.
Tarea 8: Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección global IPv6 en la
red 2001:db8:0:1::/64
Confirmar que NYC-CL1 se ha configurado a sí misma usando el prefijo global asignado a la red.
Ejercicio 2: Configuración de un enrutador ISATAP para habilitar las
comunicaciones entre una red IPv4 y una IPv6
Ejercicio 2: Configuración de un enrutador ISATAP para habilitar las comunicaciones entre una red
IPv4 y una IPv6
Escenario
Una vez que haya configurado el cliente IPv6, debe habilitar la conectividad del cliente IPv4 para la red IPv6. El análisis
realizado respecto de las tecnologías de tunelización IPv6 actuales lo han llevado a optar por la implementación de un
enrutador ISATAP.
En este ejercicio, habilitará y configurará una interfaz del enrutador ISATAP que permitirá comunicaciones
bidireccionales entre las redes IPv4 e IPv6.
2. Usando el comando netsh, habilite reenviar y anuncio de prefijo para la interfaz ISATAP. (Pista: Conexión
de área local * 8)
3. Usando el comando netsh, publique una nueva ruta para la subred ISATAP usando 2001:db8:0:10:/64.
5. Abra un símbolo del sistema y use el comando ipconfig para comprobar que el adaptador de túnel Conexión
de área local * 8 muestre una dirección IPv6 en el intervalo 2001:db8:0:10.
Ipconfig
Nota: Observe que el adaptador de túnel Conexión de área local 8 (que es el adaptador ISATAP) ha recibido una
dirección IPv6 automáticamente del enrutador ISATAP.
Compruebe que puede rastrear NYC-DC1 desde NYC-CL1 y que puede rastrear NYC-SVR1. Finalmente,
compruebe que puede rastrear NYC-CL1 desde NYC-DC1.
Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 y
continuando por NYC-CL1.
Importante: No apague las máquinas virtuales en este momento porque las necesitará para completar el
siguiente laboratorio.
Revisión y conclusiones del módulo
Preguntas de revisión
2. ¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?
3. ¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?
4. ¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?
La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionar
problemas de TCP/IP de IPv6:
Comando Descripción
Puntos clave
6to4 es una tecnología de tunelización automática de enrutador a enrutador, host a enrutador y enrutador a host y
asignación de direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts y sitios IPv6 a
través de Internet IPv4. 6to4 trata a Internet IPv4 en su totalidad como un vínculo único.
Un enrutador 6to4:
Dentro de un sitio, los enrutadores IPv6 locales anuncian los prefijos de subred 2002:WWXX:YYZZ:Subred_ID::/64 a
fin de que los hosts configuren automáticamente las direcciones 6to4. Los enrutadores IPv6 dentro del sitio envían
tráfico entre hosts 6to4. Los hosts en las subredes individuales se configuran de manera automática con una ruta de
subred de 64 bits para la entrega directa a los vecinos y una ruta predeterminada con la dirección de próximo salto del
enrutador de divulgación. El tráfico IPv6 que no coincide con ninguno de los prefijos de subred que usa el sitio se
reenvía a un enrutador 6to4 en el borde de sitio. El enrutador 6to4 en el borde de sitio cuenta con una ruta 2002::/16
que reenvía tráfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenvía tráfico a una retransmisión 6to4.
RFC 3056: Connection of IPv6 Domains via IPv4 Clouds (Conexión de los dominios IPv6 a través de nubes
IPv4)
¿Qué es la tunelización con Teredo?
Puntos clave
La tunelización con Teredo le permite enviar por túnel a través de la red IPv4 cuando los clientes están detrás de una
NAT IPv4. Teredo fue creado porque muchos enrutadores IPv4 usan NAT para definir un espacio de direcciones
privadas para las redes corporativas.
Componentes de Teredo
Cliente Teredo
Servidor Teredo
Retransmisión Teredo
Para dos clientes Teredo basados en Windows, los procesos más importantes de Teredo son aquellos que se usan
para la configuración inicial y la comunicación con otro sistema del mismo nivel del sitio:
Configuración inicial
Cliente Teredo:
Envía varias Solicitudes de enrutador con encapsulado Teredo a servidores Teredo múltiples
Tipo de NAT
El conjunto de paquetes enviado durante la comunicación inicial entre los clientes Teredo ubicados en sitios diferentes
depende de si los clientes Teredo se encuentran ubicados detrás de las NAT cono o restringidas.
El siguiente proceso permite enviar un paquete de comunicación inicial desde el Cliente Teredo A a un Cliente Teredo
B:
2. El Cliente Teredo A envía un paquete de burbuja al Cliente Teredo B mediante el Servidor Teredo 2 (el servidor
Teredo del Cliente Teredo B).
4. El Cliente Teredo B responde al paquete de burbuja recibido desde el Cliente Teredo A con su propio paquete
de burbuja, que se envía directamente al Cliente Teredo A.
5. Una vez que el Cliente Teredo B recibió el paquete de burbuja, el Cliente Teredo A determina si existen
asignaciones NAT específicas de origen para ambas NAT.
¿Qué es PortProxy?
¿Qué es PortProxy?
Puntos clave
Es posible usar el servicio PortProxy como una puerta de enlace de nivel de aplicación para los nodos o las
aplicaciones que no son compatibles con IPv6. PortProxy facilita la comunicación entre los nodos o las aplicaciones
que no pueden conectarse usando un tipo de dirección, un protocolo de nivel de Internet (IPv4 o IPv6) y un puerto
TCP comunes. El objetivo principal de este servicio es permitir que los nodos IPv6 se comuniquen con las
aplicaciones TCP de IPv4.
Lección 4: Transición de IPv4 a IPv6
Lección 4:
Se espera que la transición de IPv4 a IPv6 demore varios años. IPv4 continúa siendo el estándar de IP para la mayoría
de las aplicaciones y los servicios de Internet que se usan en la actualidad. Sin embargo, es posible que cada vez más
redes y aplicaciones funcionen correctamente en un entorno IPv6 exclusivo, debido a que Windows Vista y Windows
Server 2008 están siendo adoptados más ampliamente. En esta lección, aprenderá acerca de los problemas que
debe considerar al hacer la transición a IPv6 y repasará los pasos necesarios para hacer la transición a una instalación
sólo IPv6.
Discusión: Observaciones para migrar de IPv4 a IPv6
Puntos clave
Puntos clave
Se espera que la migración de IPv4 a IPv6 demore una cantidad de tiempo considerable. Esto fue tomado en cuenta
al diseñar IPv6 y como consecuencia, el plan de transición para IPv6 es un proceso de varios pasos que permite una
coexistencia extendida.
Para lograr el objetivo de tener un entorno IPv6 puro, siga las siguientes instrucciones generales:
Actualizar la infraestructura DNS para que sea compatible con la dirección IPv6 y los registros PTR.
Esta lección describe las herramientas y técnicas que puede usar para identificar un problema en los niveles
consecutivos de las pilas de protocolo TCP/IP usando un nivel de Internet IPv6.
Métodos usados para solucionar problemas de IPv6
Puntos clave
Cuando se comienza en la parte superior de la pila, los métodos usados para solucionar problemas de IPv6 pueden
incluir:
TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 16 –
Troubleshooting TCP/IP (Capítulo 16: solución de problemas de TCP/IP)
Comprobación de la conectividad IPv6
Puntos clave
Puede usar las siguientes tareas para solucionar los problemas con la conectividad IPv6:
Comprobar la configuración
Comprobar la accesibilidad
Puntos clave
Al comprobar la conectividad de los servicios de red, se usan varias de las mismas herramientas y software que con
IPv4. Al comprobar la configuración y la resolución de nombres DNS, puede comprobar la configuración DNS usando
las siguientes herramientas:
Ipconfig/todo
Ipconfig/mostrardns y Ipconfig/vaciardns
Ping
Nsbuscar
Comprobación de las conexiones TCP basadas en IPv6
Puntos clave
Objetivo
Escenario
Tiene la responsabilidad de probar el plan de transición IPv6. Para lograrlo, se realizará la transición de equipos de la
red anterior que usa IPv4 e IPv6 a una red sólo IPv6.
Ejercicio 1: Transición a una red sólo IPv6
En este ejercicio, se migrará la red IPv4 para que sea completamente compatible con IPv6.
En NYC-SVR1, deshabilite el enrutador ISATAP y elimine el prefijo de subred de ruta estática que se definió
anteriormente para la subred ISATAP.
Configure un enrutador IPv6 en la interfaz Conexión de área local en NYC-SVR1. Asegúrese de que el reenvío
y anuncio de prefijo estén habilitados. Además, agregue y publique el prefijo de subred: 2001:db8:0:0::/64.
Asegúrese de que se puede rastrear entre NYC-DC1 y NYC-CL1. Además, asegúrese de que NYC-SVR1 sea
capaz de rastrear ambos servidores.
Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 y
continuando por NYC-CL1.
Para contar con la instalación adecuada para futuros laboratorios, debe configurar lo siguiente antes de iniciar las
máquinas virtuales:
2. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.
4. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clic
en Aceptar.
5. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.
7. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clic
en Aceptar.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.
Preguntas de revisión
2. ¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?
3. ¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?
4. ¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?
La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionar
problemas de TCP/IP de IPv6:
Comando Descripción
Windows Server 2008 incluye Directiva de red y Servicios de acceso, que brinda soluciones para escenarios con
problemas de conectividad, como por ejemplo:
Protección de acceso a redes (NAP). Con NAP, los administradores del sistema pueden establecer y aplicar
automáticamente directivas de mantenimiento que incluyen requisitos de software, requisitos de actualizaciones
de seguridad, configuraciones requeridas del equipo y otros valores.
Soluciones de acceso remoto, que incluyen red privada virtual (VPN), acceso telefónico tradicional y
enrutadores de software completos.
Administración central de directivas de red con el servidor y el proxy Servicio de autenticación remota telefónica
de usuario (RADIUS).
Componentes de una infraestructura de Servicios de acceso a redes
Puntos clave
Por lo general, la infraestructura subyacente en un Servicio de acceso a redes completo en Windows Server 2008
incluye los siguientes componentes:
Servidor VPN
Servidores de actualizaciones
Puntos clave
La función Directiva de red y Servicios de acceso en Windows Server 2008 brinda las siguientes soluciones de
conectividad de red:
NAP
Puntos clave
Con Enrutamiento y acceso remoto se pueden implementar servicios de VPN y acceso remoto telefónico y servicios
multiprotocolo de enrutamiento de LAN a LAN, de LAN a red de área extensa (WAN), de VPN y de traducción de
direcciones de red (NAT).
Se pueden implementar las siguientes tecnologías durante la instalación de la función de servicio Enrutamiento y
acceso remoto:
Enrutamiento
Puntos clave
La distinción entre autenticación y autorización es importante para comprender por qué los intentos de conexión son
aceptados o denegados:
La autenticación es la comprobación de las credenciales de los intentos de conexión. Este proceso consiste
en enviar las credenciales desde el cliente de acceso remoto al servidor de acceso remoto ya sea como texto
simple o como texto cifrado usando un protocolo de autenticación.
Puntos clave
La autenticación de los clientes de acceso es un tema de seguridad importante. Por lo general, los métodos de
autenticación usan un protocolo de autenticación que se negocia durante el proceso de establecimiento de la
conexión. Estos protocolos incluyen:
PAP
CHAP
MSCHAPv2
EAP
PEAP
Ayuda para el Servicio de enrutamiento y acceso remoto: Solucionar problemas de acceso remoto
Puntos clave
Se puede implementar el servicio Servidor DHCP con el servicio Enrutamiento y acceso remoto para brindar a los
clientes de acceso remoto una dirección IP asignada dinámicamente durante la conexión. Cuando se usan estos
servicios de manera conjunta en el mismo servidor, la información ofrecida durante la configuración dinámica se brinda
de una manera diferente que la configuración DHCP típica para clientes basados en LAN.
Ayuda para el Servicio de enrutamiento y acceso remoto: Uso de servidores de Enrutamiento y acceso remoto
con DHCP
Lección 2: Configuración del acceso a VPN
Lección 2:
Las VPN son conexiones punto a punto a través de una red privada o pública como Internet. Un cliente VPN usa
protocolos especiales basados en TCP/IP, denominados protocolos de túnel, para realizar una llamada virtual al puerto
virtual de un servidor VPN.
En una implementación típica de VPN, un cliente inicia una conexión virtual punto a punto con un servidor de acceso a
través de Internet. El servidor de acceso remoto responde la llamada, autentica al autor de la llamada y transfiere datos
entre el cliente VPN y la red privada de la organización.
¿Qué es una conexión VPN?
Puntos clave
Para emular un vínculo punto a punto, los datos se encapsulan o se ajustan con un encabezado. El encabezado brinda
la información de enrutamiento que permite que los datos atraviesen la red pública o compartida para llegar a su
extremo. Para emular un vínculo privado, los datos se cifran por razones de confidencialidad. Los paquetes que son
interceptados en la red pública o compartida son indescifrables sin claves de cifrado. El vínculo en el que se
encapsulan o cifran los datos privados se conoce como una conexión VPN.
Puntos clave
Cliente VPN
Servidor VPN
Túnel de VPN
Datos de túnel
Puntos clave
La tunelización permite la encapsulación de un paquete a partir de un tipo de protocolo dentro del datagrama de un
protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública como
Internet. También se puede configurar una solución VPN basada en PPTP, L2TP o SSTP.
Requisitos de configuración
Puntos clave
Determinar qué interfaz de red se conecta a Internet y qué interfaz de red se conecta a su red privada.
Determinar si desea que las solicitudes de conexión de los clientes de VPN sean autenticadas por un servidor
Servicio de autenticación remota telefónica de usuario (RADIUS) o por el servidor VPN de acceso remoto que
está configurando.
Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en su red privada.
Comprobar que todos los usuarios tengan cuentas de usuario configuradas para el acceso telefónico.
Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto
Demostración: Configuración del acceso a VPN
Puntos clave
Luego de completar los pasos del Asistente para agregar funciones y la configuración de Enrutamiento y acceso
remoto, su servidor estará listo para usarse como servidor VPN de acceso remoto.
Las tareas adicionales que puede realizar en su servidor de acceso remoto/VPN incluyen:
Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto
Componentes de una conexión de acceso telefónico
Puntos clave
El acceso telefónico remoto es una tecnología de acceso remoto que se encuentra disponible como parte del servicio
Enrutamiento y acceso remoto que incluye Windows Server 2008.
A través del acceso telefónico remoto, un cliente de acceso remoto usa la infraestructura de telecomunicaciones para
crear un circuito físico temporal o un circuito virtual para un puerto en un servidor de acceso remoto. Una vez creado el
circuito físico o virtual, se puede negociar el resto de los parámetros de conexión.
La conexión física o lógica entre el servidor de acceso remoto y el cliente de acceso remoto se simplifica por medio
de la instalación del equipo de acceso telefónico en el cliente de acceso remoto, el servidor de acceso remoto y la
infraestructura WAN.
Ayuda para el Servicio de enrutamiento y acceso remoto: ¿Qué es el acceso telefónico a redes?
Lección 3: Descripción general de directivas de red
Lección 3:
Cuando se procesan solicitudes de conexión como un servidor RADIUS, NPS realiza tanto la autenticación como la
autorización de la solicitud de conexión. NPS comprueba la identidad del usuario o equipo que se conecta a la red
durante el proceso de autenticación. NPS determina si el usuario o equipo tiene permitido el acceso a la red durante el
proceso de autorización.
Para tomar esta decisión, NPS usa las directivas de red que se configuran en el complemento Microsoft Management
Console (MMC) NPS. Para realizar la autorización, NPS también examina las propiedades de marcado de la cuenta de
usuario en Active Directory.
Nota: En el Servicio de autenticación de Internet (IAS) de la familia de sistemas operativos Windows Server 2003, las
directivas de red se denominaban directivas de acceso remoto.
¿Qué es una Directiva de red?
Puntos clave
Las directivas de red son un conjunto de condiciones, restricciones y valores que permiten designar quiénes están
autorizados para conectarse a la red y las circunstancias en que pueden o no conectarse. Cuando se implementa NAP,
la directiva de mantenimiento se agrega a la configuración de directivas de red para que NPS realice comprobaciones
de mantenimiento de cliente durante el proceso de autorización.
Generales
Condiciones
Restricciones
Configuración
Puntos clave
NPS usa directivas de red, anteriormente denominadas directivas de acceso remoto, y las propiedades de marcado de
cuentas de usuario para determinar si se debe autorizar una solicitud de conexión a la red. Se puede configurar una
nueva directiva de red en el complemento MMC NPS o bien en el complemento MMC del servicio Enrutamiento y
acceso remoto.
2. En el árbol de consola, haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva. Se
abrirá el Asistente para nueva directiva de red.
3. Use el Asistente para nueva directiva de red para crear una directiva.
Puntos clave
Cuando NPS realiza la autorización de una solicitud de conexión, compara la solicitud con cada directiva de red de la
lista ordenada de directivas, comenzando con la primera directiva y continuando con las siguientes.
El Kit de administración del administrador de la conexión (CMAK) permite a los administradores personalizar las
opciones de conexión remota de los usuarios mediante la creación de conexiones predefinidas con servidores y redes
remotos. El Asistente para CMAK crea un archivo ejecutable que puede distribuirse de diferentes maneras o incluirse
en las actividades de implementación como parte de la imagen del sistema operativo.
¿Qué es el Kit de administración de Connection Manager?
Puntos clave
CMAK es una herramienta que puede usarse para personalizar la experiencia de conexión remota para los usuarios de
su red mediante la creación de conexiones predefinidas con servidores y redes remotos. Use el Asistente para CMAK
para crear y personalizar una conexión para los usuarios.
Puntos clave
Se puede configurar un perfil de conexión nuevo o existente usando el Asistente para CMAK. Cada página del
asistente le permite completar otro paso del proceso.
Nota: Para obtener información completa acerca de la creación de un perfil de conexión, consulte CMAK Operations
Guide.
Ayuda para el Kit de administración del administrador de la conexión: Ejecutar Asistente para CMAK para crear
un perfil de conexión
Demostración: Creación de un perfil de conexión
Puntos clave
El asistente para CMAK compila el perfil de conexión en un único archivo ejecutable con la extensión de nombre de
archivo .exe. Este archivo se puede entregar a los usuarios a través de cualquiera de los métodos que tenga a
disposición. Algunos métodos para tener en cuenta son:
Incluir el perfil de conexión como parte de la imagen incluida con los nuevos equipos.
Entregar el perfil de conexión en medios extraíbles para que el usuario lo instale manualmente.
Lección 5: Solución de preoblemas de Enrutamiento y acceso remoto
Lección 5:
La solución de problemas del servicio Enrutamiento y acceso remoto puede ser una tarea que requiere mucho tiempo.
Es posible que los problemas sean diversos y difíciles de identificar. Debido a que quizá esté usando redes de
acceso telefónico, dedicadas, arrendadas o públicas para cumplir con la solución de conectividad remota, debe
solucionar los problemas mediante un proceso metódico, paso a paso.
Herramientas de solución de problemas de TCP/IP
Puntos clave
Windows Server 2008 incluye herramientas básicas y avanzadas de diagnóstico de TCP/IP que pueden usarse para
solucionar problemas de TCP/IP.
Comando Ipconfig
Comando Ping
Comando NombredelHost
Comando Nbtstat
Comando RutaPing
Comando Ruta
Comando Tracert
Puntos clave
Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas. Puede usar este procedimiento para configurar los archivos de registro en los
que desea almacenar los datos contables.
Puntos clave
Para configurar el registro de acceso remoto, abra la consola de servicio Enrutamiento y acceso remoto, haga clic con
el botón secundario en nombre de servidor y luego haga clic en Propiedades. Haga clic en la ficha Registro para
ver las opciones disponibles y la ubicación del registro de seguimiento.
Los cuatro niveles de registro de eventos que el servicio Enrutamiento y acceso remoto de Windows Server 2008
pone a disposición son:
Ayuda para el Servicio de enrutamiento y acceso remoto: Propiedades del servidor: Ficha Registro
Configuración de seguimiento de acceso remoto
Puntos clave
El servicio Enrutamiento y acceso remoto en Windows Server 2008 tiene una amplia capacidad de seguimiento que
puede usarse para solucionar problemas de red complejos. Es posible habilitar los componentes en Windows Server
2008 para registrar la información de seguimiento en archivos usando el comando Netsh o a través del Registro.
Puntos clave
Los problemas frecuentes que pueden surgir al usar Acceso remoto de Windows Server 2008 incluyen:
Los clientes VPN no pueden obtener acceso a los recursos más allá del servidor VPN
Objetivos
Configurar el servicio Enrutamiento y acceso remoto como una solución de acceso remoto de VPN.
Configurar registros.
Escenario
Woodgrove Bank desea implementar una solución de acceso remoto para sus empleados a fin de que puedan
conectarse a la red corporativa mientras están fuera de la oficina. Woodgrove Bank requiere una directiva de red que
exija que las conexiones VPN estén cifradas por razones de seguridad.
El departamento de TI de Woodgrove Bank no desea que la solución de acceso remoto cause un aumento drástico de
las llamadas de soporte al Departamento de soporte técnico por problemas de configuración respecto de los objetos
de conexión VPN que deban crearse
Ejercicio 1: Configuración de Enrutamiento y acceso remoto como una
solución de acceso remoto de VPN
Ejercicio 1: Configuración de Enrutamiento y acceso remoto como una solución de acceso remoto
de VPN
En este ejercicio, configurará la función de servicio Enrutamiento y acceso remoto como una solución de acceso
remoto de VPN. El servidor VPN debe usar la asignación de direcciones IP para los clientes desde un grupo de
direcciones IP estático configurado en el servidor de acceso remoto. El servidor de acceso remoto sólo debería
aceptar conexiones PPTP y L2TP, con 25 conexiones permitidas para cada una.
3. Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de
acceso remoto.
4. Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir
25 conexiones PPTP y 25 conexiones L2TP.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
2. En Administrador del servidor, en la página Funciones del servidor desplácese hacia abajo, seleccione
Directivas de red y Servicios de acceso y luego haga clic en Siguiente.
3. En la página Seleccionar funciones del servidor, seleccione Directivas de red y servicios de acceso y,
luego, haga clic en Siguiente.
Las funciones Directiva de red y Servicios de enrutamiento y acceso remoto se instalan en 6822A-NYC-SVR1.
Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remoto
2. En el panel de la lista, seleccione y haga clic con el botón secundario en NYC-SVR1 (Local) y luego haga clic
en Configurar y habilitar enrutamiento y acceso remoto.
3. Asegúrese de que esté seleccionada la configuración predeterminada, Acceso remoto (acceso telefónico o
VPN) y, luego, en la página Acceso remoto seleccione la opción VPN.
Tarea 4: Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir 25
conexiones PPTP y 25 conexiones L2TP
1. En la interfaz de la herramienta administrativa Enrutamiento y acceso remoto, haga clic con el botón
secundario en Puertos y luego haga clic en Propiedades.
2. En el cuadro de diálogo Propiedades de puertos, configure L2TP y PPTP para que tengan 25 conectores
disponibles. Especifique 0 para SSTP.
En este ejercicio, creará una directiva de red para permitir conexiones seguras al servidor de servicio Enrutamiento y
acceso remoto.
2. Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto.
Tarea 2: Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto
2. En Asistente de nuevas directivas de red, especifique la siguiente configuración y acepte los valores
predeterminados para el resto de la configuración:
Configurar restricciones: Día y hora: Denegar acceso de Lunes a viernes de 11PM a 6AM
Establecer la configuración: En Cifrado, desactive todos los valores excepto Cifrado más fuerte
1. Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registre
todos los eventos en el Registro del sistema.
Tarea 1: Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registre todos los
eventos en el Registro del sistema
1. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Enrutamiento y acceso
remoto.
2. Haga clic con el botón secundario en NYC-SVR1 y luego haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades de NYC-SVR1 (local), haga clic en la ficha Registros, luego en
Registrar todos los eventos y finalmente en Aceptar.
2. Haga clic en Iniciar, luego en Red y en la ventana Red, haga clic en Centro de redes y recursos
compartidos.
3. En Tareas, haga clic en Configurar una conexión o red para crear un nuevo objeto de conexión VPN.
4. En el cuadro de diálogo Escribir la dirección de Internet a la que desea conectarse, especifique que la
dirección de Internet sea 10.10.0.24 y un nombre de destino VPN.
6. Una vez creado el objeto de conexión VPN, conéctese a VPN Woodgrovebank desde la página Conexiones
de red.
Contraseña: Pa$$w0rd
Dominio: Woodgrovebank
8. Haga clic con el botón secundario en VPN Woodgrovebank y luego haga clic en Desconectar. La VPN se
desconectará.
9. En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Visor de
eventos.
10. Use Visor de eventos en NYC-SVR1 y revise las entradas de origen Acceso remoto en Registro del sistema
para visualizar los datos registrados.
En este ejercicio, configurará un perfil de conexión usando la herramienta CMAK para crear objetos de conexión para
los usuarios de equipos portátiles.
2. Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexión
para los usuarios.
1. En NYC-SVR1, haga clic en Inicio y luego haga clic en Administrador del servidor.
2. Seleccione la característica Kit de administración del administrador de la conexión y luego haga clic en
Instalar.
Tarea 2: Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexión para los
usuarios
1. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Kit de administración del
administrador de la conexión.
2. En la Página principal del Asistente del Kit de administración del administrador de la conexión, haga
clic en Siguiente. Especifique la siguiente configuración de la interfaz del asistente y acepte los valores
predeterminados para las demás configuraciones:
En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANK
como nombre del servicio y VPN_CORP como nombre del archivo.
En Agregar compatibilidad para conexiones VPN, seleccione Libreta de teléfonos de este perfil y
especifique siempre usar el mismo servidor VPN con la dirección IP 10.10.0.24.
3. En la página Su perfil de Administrador de la conexión está completo y listo para distribuirse, haga clic
en Finalizar.
En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANK
como nombre del servicio y VPN_CORP como nombre del archivo.
2. En el objeto de conexión VPN WOODGROVEBANK, escriba las siguientes credenciales y luego haga clic en
Conectar:
Nombre de usuario: Administrador
Contraseña: Pa$$w0rd
4. Compruebe que la VPN se conecte correctamente en Conexiones de red. Haga clic con el botón secundario
en el icono de conexión y luego haga clic en Desconectar.
Tarea 4: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. Está agregando servicios de acceso remoto a una infraestructura existente que usa enrutadores no compatibles
con RFC 1542. El servidor DHCP no está en la misma subred que el servidor de acceso remoto. ¿Qué
problema podría surgir debido a esta configuración? ¿Cómo mitigaría este problema?
2. Desea implementar una solución VPN para usuarios en su compañía pero el grupo responsable de la seguridad
no quiere abrir el firewall al tráfico PPTP y L2TP. ¿Es posible crear una solución tal en Windows Server 2008?
Si es posible, ¿qué usaría?
3. Basándose en el escenario de la pregunta anterior, ¿qué cifrado se usa para asegurar el tráfico?
4. ¿Es posible ignorar las propiedades de marcado asignadas a las cuentas en Active Directory con directivas de
red? ¿En qué categoría de propiedad estaría establecido?
Procedimientos recomendados
Las decisiones acerca de cuál es el mejor método para brindar acceso remoto variarán según las herramientas que se
hayan seleccionado:
Instale y pruebe los servidores que se ejecutan con el servicio Enrutamiento y acceso remoto antes de
configurarlos como clientes RADIUS.
Los servidores RADIUS y de acceso remoto deben ser servidores dedicados. Esto reduce la probabilidad de
que usuarios no autorizados obtengan acceso a la red y debiliten la configuración de seguridad.
Deshabilite los protocolos de autenticación que no usa. No use PAP a menos que deba brindar compatibilidad
con sistemas heredados.
Determine los niveles de registro deseados para fines de auditoria y realice copias de seguridad de los
registros RADIUS.
Asegure las sesiones de administración remota con IPsec o VPN si las sesiones se inician externamente.
Herramientas
Módulo 7
NPS permite configurar y administrar directivas de redes de manera central con las siguientes tres características:
Servidor RADIUS, Proxy RADIUS y servidor de directivas NAP.
¿Qué es un Servidor de directivas de redes?
NPS permite crear y aplicar las directivas de acceso a redes de toda la organización para el mantenimiento del cliente,
la autenticación y la autorización de solicitudes de conexión. También puede usar NPS como un proxy RADIUS para
reenviar solicitudes de conexión a NPS o a otros servidores RADIUS que configure en grupos de servidores remotos
RADIUS.
Puede usar NPS en Windows Server 2008 como servidor o proxy RADIUS.
Como servidor RADIUS, NPS realiza en forma centralizada la autenticación de conexiones, la autorización de
conexiones y la contabilidad para muchos tipos de acceso a redes, incluso inalámbrico, conmutador de
autenticación, acceso remoto telefónico o VPN y conexiones de enrutador a enrutador.
Como proxy RADIUS, NPS reenvía mensajes de autenticación y de cuentas a otros servidores RADIUS.
Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes
Demostración: Cómo instalar el Servidor de directivas de redes
Las siguientes herramientas permiten administrar la función del servidor Directiva de red y Servicios de acceso:
Complemento MMC NPS. Use MMC NPS para configurar un servidor RADIUS, un proxy RADIUS o tecnología
NAP.
Comandos Netsh para NPS. Los comandos netsh para NPS brindan un conjunto de comandos completamente
equivalentes con todos los valores de configuración disponibles a través del complemento MMC NPS.
Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes
Demostración: Configuración general de NPS
Lección 2:
RADIUS es un protocolo basado en los estándares del sector descrito en RFC 2865, “Servicio de autenticación
remota telefónica de usuario (RADIUS)” y RFC 2866, “Administración de cuentas RADIUS”. RADIUS brinda
autenticación, autorización y servicios de cuentas de red.
Los siguientes componentes forman parte de la infraestructura de autenticación, autorización y cuentas de RADIUS:
Clientes de acceso
Proxy RADIUS
Servidores RADIUS
Un servidor de acceso a la red (NAS) es un dispositivo que brinda cierto nivel de acceso a una red de mayor tamaño.
Un NAS que usa una infraestructura RADIUS también es un cliente RADIUS y envía solicitudes de conexión y
mensajes de cuentas a un servidor RADIUS para su autenticación, autorización y contabilidad.
Importante: Los equipos cliente, como equipos portátiles inalámbricos y otros equipos que ejecutan sistemas
operativos cliente, no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red
(incluyendo puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores VPN y
servidores de acceso telefónico) porque usan el protocolo RADIUS para comunicarse con servidores
RADIUS, como los servidores NPS.
Se puede usar NPS como un proxy RADIUS para enrutar mensajes entre clientes RADIUS (servidores de acceso) y
servidores RADIUS que realizan la autenticación, autorización y administración de cuentas de usuario para el intento de
conexión.
Cuando se usa NPS como un proxy RADIUS, NPS es un punto central de conmutación o enrutamiento a través del que
fluyen los mensajes RADIUS de acceso y de cuentas. NPS almacena información en un registro de cuentas acerca de
los mensajes reenviados.
Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores de
red designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPS
recibe de clientes RADIUS.
La directiva de solicitud de conexión predeterminada usa NPS como un servidor RADIUS y procesa localmente todas
las solicitudes de autenticación.
Ayuda para Servidor de directivas de redes: Configurar la información del puerto UDP NPS
¿Qué es una Directiva de solicitud de conexión?
Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores de
red designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPS
recibe de clientes RADIUS. Se pueden configurar directivas de solicitud de conexión para designar qué servidores
RADIUS usar para la administración de cuentas RADIUS.
Cuando los usuarios intentan conectarse a su red a través de servidores de acceso a la red (también denominados
clientes RADIUS) como puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores de acceso
telefónico y VPN, NPS autentica y autoriza la solicitud de conexión antes de permitir o denegar el acceso.
Debido a que la autenticación es el proceso mediante el que se comprueba la identidad del usuario o equipo que
intenta conectarse a la red, NPS debe recibir pruebas de identidad por parte del usuario o equipo en forma de
credenciales.
Métodos de autenticación basados en contraseña
Cada método de autenticación tiene ventajas y desventajas en lo que se refiere a seguridad, posibilidades de uso y
amplitud de compatibilidad. Sin embargo, los métodos de autenticación basados en contraseña no brindan mayor
seguridad. Por lo tanto, no se recomienda su uso. Se recomienda usar un método de autenticación basado en
certificados para todos los métodos de acceso a la red que sean compatibles con el uso de certificados. Esto se
aplica especialmente en conexiones inalámbricas para las que se recomienda el uso de PEAP-MS-CHAP v2 o
PEAP-TLS.
Los certificados son documentos digitales que emiten las entidades de certificación (CA), como Servicios de
certificados de Active Directory (AD CS) o la entidad de certificación pública Verisign. Los certificados se pueden usar
para diversos propósitos, como la firma de código y para asegurar la comunicación por correo electrónico. Sin
embargo, con NPS se usan certificados para la autenticación del acceso a la red porque brindan mayor seguridad para
la autenticación de usuarios y equipos y, a su vez, eliminan la necesidad de usar métodos menos seguros de
autenticación basados en contraseña.
La siguiente tabla describe los certificados que se requieren para implementar correctamente cada uno de los
métodos de autenticación basados en certificados que se encuentran en la lista.
Sí
Certificado de CA en el almacén de certificados de Sí
entidades de certificación raíz de confianza para el equipo
local y usuario actual
Sí No
Certificado de equipo cliente en el almacén de certificados
del cliente
Sí Sí
Certificado de servidor en el almacén de certificados del
servidor NPS
No No
Certificado de usuario en una tarjeta inteligente
Todos los certificados que se usan para la autenticación del acceso a la red con EAP-TLS y PEAP deben cumplir con
los requisitos para certificados X.509 y funcionar en conexiones que usan Capa de sockets seguros y Seguridad de la
capa de transporte (SSL/TLS). Una vez cumplidos los requisitos mínimos, los certificados tanto de cliente como de
servidor tienen requisitos adicionales.
Lección 4:
Se puede supervisar NPS configurando y usando registros para la autenticación de eventos y usuarios y solicitudes de
cuentas. El registro de eventos permite registrar eventos NPS en los registros de eventos del sistema y de seguridad.
El registro de solicitudes se puede usar para fines de análisis y facturación de la conexión. La información que
recopilan los archivos de registro resulta útil para solucionar problemas de intentos de conexión y para investigación de
seguridad.
Métodos usados para supervisar NPS
Existen dos tipos de cuentas o registros que se pueden usar para supervisar NPS:
Registro de eventos para NPS. Se puede usar el registro de eventos para registrar eventos NPS en los
registros de eventos del sistema y de seguridad. Principalmente, se usa para auditar y solucionar problemas de
intentos de conexión.
Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas.
Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas. Este procedimiento puede usarse para configurar las propiedades de registro y
la conexión al servidor (que ejecuta SQL Server) que almacena los datos de cuentas. La base de datos de SQL Server
puede estar en el equipo local o en un servidor remoto.
Se puede configurar el registro de eventos NPS para que registre los eventos satisfactorios y de error de las
solicitudes de conexión en el registro del sistema de Visor de eventos.
Objetivos
Escenario
Woodgrove Bank está expandiendo su solución de acceso remoto a todos los empleados de sus sucursales. Esto
requerirá múltiples servidores de Enrutamiento y acceso remoto ubicados en diferentes puntos para brindar
conectividad a sus empleados. Usará RADIUS para centralizar la autenticación y las cuentas para la solución de
acceso remoto.
5. Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
1. En NYC-DC1, en el panel de la lista Administrador del servidor, haga clic con el botón secundario en
Funciones y luego haga clic en Agregar funciones.
2. Instale el servicio de función Servidor de directivas de redes desde la función Directiva de red y servicios
de acceso.
Tarea 4: Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN
1. En el panel de la lista de la herramienta de administración Servidor de directivas de redes, haga clic en NPS
(Local).
2. En el panel de detalles, en Configuración estándar, haga clic en servidor RADIUS para Acceso telefónico o
Conexiones VPN.
3. En Servidor Radius para conexiones de acceso telefónico o VPN, haga clic en Configurar VPN o
acceso telefónico, especifique Conexiones de red privada virtual (VPN) y acepte el nombre
predeterminado.
4. En el cuadro de diálogo Clientes RADIUS, agregue NYC-SVR1 como un cliente RADIUS con la dirección
10.10.0.24.
5. En el cuadro de diálogo Nuevo cliente RADIUS, especifique y confirme el secreto compartido Pa$$w0rd y
luego haga clic en Aceptar.
10. En la página Especificar configuración de cifrado, desactive Cifrado básico y Cifrado fuerte.
En este ejercicio, configurará 6822A-NYC-SVR1 para que hospede Servicios de enrutamiento y acceso remoto y
6822A-NYC-SVR1 como cliente RADIUS.
3. Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de
acceso remoto y especificar la autenticación y administración de cuentas RADIUS.
1. Usando Administrador del servidor, instale la función Directiva de red y servicios de acceso con el
servicio de función Enrutamiento y acceso remoto.
Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remoto
y especificar la autenticación y administración de cuentas RADIUS
1. Abra la herramienta administrativa Servicios de enrutamiento y acceso remoto y haga clic en Configurar y
habilitar enrutamiento y acceso remoto.
2. Configure Acceso remoto (acceso telefónico o VPN) predeterminado y, en la página Acceso remoto,
seleccione la opción VPN.
6. En la página Administración de servidores de acceso remoto múltiples, seleccione Sí, configurar este
servidor para que trabaje con un servidor RADIUS y luego haga clic en Siguiente.
En este ejercicio, configurará la Inscripción automática de certificados para que los equipos usen autenticación
avanzada.
2. Instale la función Servicios de certificado de Active Directory usando los valores predeterminados para lo
siguiente:
Nombre de CA = WoodGroveBank-CA
5. Haga clic con el botón secundario en Plantillas de certificado y luego seleccione Administrar en el menú
contextual.
6. Cambie la seguridad de la plantilla Equipo para que otorgue a Usuarios autenticados el permiso Inscribir.
Tarea 2: Abrir la herramienta Administración de directivas de grupo en 6822A-NYC-DC1 y configurar la Inscripción automática de
certificados
3. Haga clic con el botón secundario en Directiva de dominio predeterminada y luego haga clic en Editar.
5. Haga clic con el botón secundario en Configuración de solicitud de certificado automático, haga clic en
Nuevo y luego en Solicitud de certificado automático.
La Inscripción automática de certificados ahora está configurada para los equipos del dominio WoodgroveBank.
10. Cree una nueva consola MMC con el complemento Certificados. Centre el complemento en Cuenta del
equipo.
11. En la consola MMC, compruebe que la cuenta de equipo haya inscripto el certificado desde
WoodGroveBank-CA.
Tarea 3: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
2. ¿Cuál es la manera más eficaz de usar las características del registro NPS?
3. ¿Cuáles son los puertos predeterminados de autenticación y de cuentas para RADIUS? ¿Cuál es el
procedimiento para configurar la información del puerto UDP NPS usando la interfaz de Windows?
4. ¿Qué más debe considerar si decide usar una asignación de puerto no estándar para el tráfico RADIUS?
Procedimientos recomendados
Instale y pruebe cada servidor de acceso a la red usando métodos de autenticación locales antes de
convertirlos en clientes RADIUS.
Luego de instalar y configurar NPS, guarde la configuración usando el comando netsh nps mostrar config >
ruta\archivo.txt. Guarde la configuración NPS con el comando netsh nps mostrar config > ruta\archivo.txt cada
vez que se realice un cambio.
No instale Windows Server 2008, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise
Edition, o Windows Server 2003 Datacenter Edition en la misma partición que Windows 2000 Server.
No configure un servidor que se ejecuta con NPS o Enrutamiento y acceso remoto como miembro de un
dominio Windows NT Server 4.0 si la base de datos de las cuentas de usuario está almacenada en un
controlador de dominio de Windows Server 2008 o Windows Server 2003 en otro dominio.
Problemas de seguridad
Use Servicios de Terminal Server para obtener acceso al servidor NPS (escritorio remoto).
Herramientas
A continuación se describen las herramientas que pueden usarse para configurar, administrar, supervisar y solucionar
problemas de NPS:
Módulo 8:
Lección 1:
NAP es una plataforma de aplicación de directivas de mantenimiento de sistema integrada en Windows Server® 2008,
Windows Vista™ y Windows® XP Service Pack 3 (que incluye el cliente NAP para Windows XP, que actualmente se
encuentra en pruebas beta). Esta plataforma brinda una mayor protección a los activos de red privada asegurando su
adecuación con los requisitos de mantenimiento del sistema. NAP permite crear directivas de requisitos de
mantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,
así como también para actualizar automáticamente los equipos compatibles a fin de garantizar el cumplimiento
continuo y limitar el acceso de los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.
¿Qué es Protección de acceso a redes?
NAP para Windows Server 2008, Windows Vista y Windows XP Service Pack 3 brinda componentes y una interfaz de
programación de aplicaciones (API) que ayuda a los administradores a aplicar el cumplimiento de las directivas de
requisitos de mantenimiento para el acceso a la red o la comunicación por red. NAP permite a los programadores y
administradores crear soluciones para validar los equipos que se conectan a sus redes, así como también brindar las
actualizaciones necesarias o el acceso a los recursos de actualización de mantenimiento requeridos y restringir el
acceso o la comunicación de los equipos no compatibles.
Acceso limitado
Pregunta: ¿Cómo usaría el cumplimiento NAP en su entorno, teniendo en cuenta usuarios domésticos, equipos
portátiles móviles y socios comerciales externos?Material de lectura adicional
NAP Scenarios
Según las necesidades de cada uno, los administradores pueden configurar una solución para abordar uno o todos los
escenarios para sus redes.
Pregunta: ¿Ha tenido alguna vez un inconveniente con un equipo portátil no administrado y no seguro que haya
causado algún daño a su red? ¿Cree que NAP podría haber abordado este problema?
Los componentes de la infraestructura NAP, también denominados clientes de cumplimiento (EC) y servidores de
cumplimiento (ES), requieren validación de estado de mantenimiento y la aplicación del acceso a redes limitado para
los equipos no compatibles para el acceso a redes o comunicación por red específicas. Windows Vista, Windows XP
Service Pack 3 y Windows Server 2008 incluyen compatibilidad NAP para los siguientes tipos de acceso a la red o
comunicación por red:
Conexiones de red autenticadas por 802.1X del Institute of Electrical and Electronics Engineers (Instituto de
Ingenieros Eléctricos y Electrónicos, IEEE)
Windows Vista y Windows Server 2008 también incluyen compatibilidad NAP para las conexiones de Puerta de enlace
de Terminal Services (Puerta de enlace TS).
Pregunta: ¿Qué tipo de cumplimiento NAP sería más apropiado para su compañía? ¿Puede imaginar a su
organización usando varios tipos de cumplimiento NAP? De ser así, ¿cuáles?
Terminal Services
Los componentes de una infraestructura de red habilitada para NAP constan de lo siguiente:
Clientes NAP
HRA
Servidor VPN
Servidor DHCP
AD DS
Servidores de actualizaciones
Pregunta: ¿Usa actualmente su entorno la autenticación 802.1x en el nivel de conmutación? De ser así, ¿sería
beneficioso usar 802.1x NAP, teniendo en cuenta que se pueden configurar varias VLAN de actualización para ofrecer
un acceso limitado?
Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a redes)
Interacciones de la arquitectura de NAP
Las siguientes interacciones son para los equipos y dispositivos de una infraestructura de red habilitada para NAP:
Entre un cliente NAP y un dispositivo de acceso a la red con 802.1X (un conmutador Ethernet o un punto de
acceso inalámbrico)
Entre un dispositivo de acceso la red con 802.1X y un servidor de directivas de mantenimiento NAP
Agente NAP
Los Clientes de cumplimiento NAP para la plataforma NAP que ofrece Windows Vista, Windows Server 2008 y
Windows XP con SP2 (con Cliente NAP para Windows XP) son los siguientes:
Un Cliente de cumplimiento NAP para IPsec para comunicaciones protegidas por IPsec
Un Cliente de cumplimiento NAP para EAPHost para conexiones autenticadas por 802.1X
Un Cliente de cumplimiento NAP para VPN para conexiones VPN de acceso remoto
Un Cliente de cumplimiento NAP para DHCP para configuración de direcciones IPv4 basada en DHCP
Pregunta: ¿Cómo haría su organización para habilitar a los clientes de cumplimiento apropiados en los equipos que
no sean de dominio que se encuentran fuera del ámbito de administración?
Un punto de cumplimiento NAP basado en Windows cuenta con un nivel de componentes de Servidor de cumplimiento
(ES) NAP. Cada servidor de cumplimiento NAP está definido por un tipo diferente de acceso a la red o comunicación
por red. Por ejemplo, existe un servidor de cumplimiento NAP para las conexiones VPN de acceso remoto y un
servidor de cumplimiento NAP para la configuración DHCP. El servidor de cumplimiento NAP habitualmente se
relaciona con un tipo específico de cliente compatible con NAP. Por ejemplo, el servidor de cumplimiento NAP para
DHCP está diseñado para funcionar con un cliente NAP basado en DHCP. Los proveedores de software de terceros o
Microsoft pueden brindar servidores de cumplimiento NAP adicionales para la plataforma NAP.
El componente Agente NAP puede comunicarse con el componente Servidor de administración NAP mediante el
siguiente proceso:
El Servidor de administración NAP puede comunicarse con un Agente NAP mediante el siguiente proceso:
2. El servicio NPS transfiere la respuesta al informe de mantenimiento del sistema (SSoHR) al Servidor de
cumplimiento NAP.
El diseño de NAP habilita a los administradores a configurarla para cumplir con las necesidades de la red. Por lo tanto,
la configuración NAP real variará según las preferencias y requisitos del administrador. Sin embargo, el funcionamiento
subyacente de NAP no se modifica.
Cuando un cliente intenta obtener acceso a la red o comunicarse en la red, debe presentar el estado de mantenimiento
del sistema o el cumplimiento de prueba de mantenimiento. Si un cliente no puede probar su cumplimiento con los
requisitos de mantenimiento del sistema (por ejemplo, que cuenta con la última versión del sistema operativo y las
actualizaciones de antivirus instaladas), su acceso o comunicación a través de la red puede verse limitado a una red
restringida que contiene recursos de servidores hasta que los inconvenientes relacionados con el cumplimiento de
mantenimiento se solucionen. Una vez instaladas las actualizaciones, el cliente solicita acceso a la red o intenta
comunicarse nuevamente. Si es compatible, se le otorga acceso ilimitado a la red o se permite la comunicación.
Proceso de cumplimiento NAP
NAP es una plataforma de aplicación de directivas integrada en los sistemas operativos de Windows Vista, Microsoft
Windows XP y Windows Server 2008 que brinda una mayor protección a los activos de red asegurando su adecuación
con los requisitos de mantenimiento del sistema. Con Protección de acceso a redes, pueden crearse directivas de
mantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,
actualizar automáticamente los equipos compatibles para garantizar el cumplimiento continuo y de manera opcional,
limitar los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.
Para validar el acceso a la red en base al mantenimiento del sistema, una infraestructura de red debe brindar la
siguiente funcionalidad:
Validación de directivas de mantenimiento. Determina si los equipos cumplen con los requisitos de la directiva
de mantenimiento.
Actualización automática. Brinda las actualizaciones necesarias para que un equipo no compatible se vuelva
compatible.
Cumplimiento continuo. Actualiza automáticamente los equipos compatibles para que incorporen los cambios
continuos de los requisitos de la directiva de mantenimiento.
El cumplimiento IPsec limita la comunicación para clientes NAP protegidos por IPsec disminuyendo los intentos
entrantes de comunicación que se envían desde equipos que no pueden negociar la protección IPsec usando
certificados de mantenimiento. A diferencia del cumplimiento 802.1X y VPN, donde el cumplimiento tiene lugar en el
punto de entrada de la red, cada equipo particular realiza el cumplimiento IPsec. Debido a que se puede aprovechar la
configuración de la directiva IPsec, el cumplimiento de certificados de mantenimiento puede realizarse para todos los
equipos en un dominio, determinados equipos en una subred, un equipo determinado, un conjunto determinado de
puertos de Protocolo de control de transmisión (TCP) o Protocolo de datagramas de usuario (UDP), o para un conjunto
de puertos TCP o UDP en un equipo determinado.
Red segura
Red de límite
Red restringida
Basándose en la definición de las tres redes lógicas, se pueden iniciar las siguientes comunicaciones:
1. Los equipos en la red segura pueden iniciar comunicaciones con equipos en las tres redes lógicas.
2. Los equipos en la red de límite pueden iniciar comunicaciones con equipos en las redes seguras y de límite
que autentican los certificados de mantenimiento e IPsec o con equipos en la red restringida que IPsec no
autentica.
3. Los equipos en la red restringida pueden iniciar comunicaciones con equipos en las redes restringidas y de
límite.
Pregunta: ¿Para qué equipos en la red segura permitiría realizar una comunicación no segura desde equipos en la
red restringida?
El cumplimiento 802.1X IEEE le indica a un punto de acceso compatible con 802.1X que use un perfil de acceso
limitado, ya sea un conjunto de filtros de paquetes IP o un identificador VLAN, para limitar el tráfico del equipo no
compatible a fin de que pueda obtener acceso solamente a los recursos en la red restringida. Para el filtrado de
paquetes IP, el punto de acceso compatible con 802.1X aplica los filtros de paquetes IP al tráfico IP que se
intercambia con el cliente 802.1X y descarta automáticamente todos los paquetes que no corresponden a un filtro de
paquetes configurado. Para los identificadores VLAN, el punto de acceso compatible con 802.1X aplica el identificador
VLAN a todos los paquetes que se intercambian con el cliente 802.1X y el tráfico conserva la VLAN correspondiente a
la red restringida.
Si el cliente NAP no es compatible, la conexión 802.1X cuenta con el perfil de acceso limitado aplicado y el cliente
NAP puede obtener acceso solamente a los recursos en la red restringida.
Pregunta: ¿Qué deben admitir los dispositivos de red para implementar 802.1x NAP?
El cumplimiento VPN usa un conjunto de filtros de paquetes IP de acceso remoto para limitar el tráfico de cliente VPN
a fin de que tenga acceso únicamente a los recursos en la red restringida. El servidor VPN aplica los filtros de
paquetes IP al tráfico IP que recibe del cliente VPN y descarta automáticamente todos los paquetes que no
corresponden a un filtro de paquetes configurado.
Si el cliente VPN no es compatible, la conexión VPN cuenta con los filtros de paquetes aplicados y el cliente VPN
solamente puede obtener acceso a los recursos en la red restringida.
Pregunta: ¿Cómo responde el método de cumplimiento NAP para VPN a los equipos no compatibles que realizan
intentos de conexión?
La configuración de direcciones DHCP limita el acceso a la red para el cliente DHCP mediante la tabla de enrutamiento
IPv4. El cumplimiento DHCP establece el valor de la opción Enrutador DHCP a 0.0.0.0, por lo que el equipo no
compatible no cuenta con una puerta de enlace configurada de manera predeterminada. El cumplimiento DHCP
también establece la máscara de subred para la dirección IPv4 asignada a 255.255.255.255, de manera tal que no
exista ninguna ruta a la subred adjunta.
Para permitir que el equipo no compatible tenga acceso a los servidores de actualizaciones de la red restringida, el
servidor DHCP asigna la opción Rutas estáticas sin clase DHCP. Esta opción contiene rutas host para los equipos de
la red restringida, como por ejemplo servidores DNS y de actualizaciones. El resultado final del acceso limitado a la red
DHCP es una tabla de configuración y de enrutamiento que permite la conectividad solamente a direcciones de destino
específicas que corresponden a la red restringida. Por lo tanto, cuando una aplicación intenta enviar a una dirección
IPv4 de unidifusión distinta a aquellas provistas mediante la opción Rutas estáticas sin clase, el protocolo TCP/IP
devuelve un error de enrutamiento.
Pregunta: ¿El tipo de cumplimiento NAP para DHCP funciona en redes IPv6?
Configuración de NAP
Esta lección brinda información acerca de la configuración de cliente para que interoperen con la infraestructura del
lado del servidor de un entorno aplicado con NAP.
Un cliente compatible con NAP es un equipo que cuenta con los componentes NAP instalados y que puede comprobar
su estado de mantenimiento enviando un SoH a NPS.
¿Qué son los Validadores de mantenimiento del sistema?
Los SHA y SHV, que son componentes de la infraestructura NAP, brindan seguimiento y validación del estado de
mantenimiento. Windows Vista y Windows XP Service Pack 3 incluyen un SHA del validador de mantenimiento de
seguridad de Windows que supervisa la configuración del Centro de seguridad de Windows. Windows Server 2008
incluye un SHV del validador de mantenimiento de seguridad de Windows correspondiente. NAP está diseñado para
ser flexible y extensible e interopera con software de cualquier proveedor que brinde SHA y SHV que usen la API NAP.
Pregunta: ¿NAP funciona solamente con Validadores de mantenimiento del sistema proporcionados por Microsoft?
Las directivas de mantenimiento consisten en uno o varios SHV y otros valores que le permiten definir los requisitos de
configuración del equipo cliente para los equipos compatibles con NAP que intenten conectarse a su red.
Un grupo de servidores de actualizaciones es una lista de servidores de redes restringidas que brindan recursos que
convierten a los clientes con capacidad NAP no compatibles en clientes compatibles con la directiva de mantenimiento
de cliente definida por el administrador.
Pregunta: ¿Qué servicios podría ofrecer un servidor de actualizaciones para actualizar las firmas de antivirus?
1. Algunas implementaciones NAP que usan el Validador de mantenimiento de seguridad de Windows requieren
que habilite el Centro de seguridad.
2. El servicio Protección de acceso a redes es necesario al implementar NAP en los equipos cliente compatibles
con NAP.
3. Además, debe configurar los clientes de cumplimiento NAP en los equipos compatibles con NAP.
Pregunta: ¿Qué grupos de Windows cuentan con los derechos para habilitar el Centro de seguridad en Directiva de
grupo, habilitar el servicio NAP en los clientes y habilitar/deshabilitar los clientes de cumplimiento NAP?
Demostración: Uso del Asistente para configuración de NAP para aplicar las directivas de acceso
a redes
Solucionar problemas y supervisar la estructura NAP es una tarea administrativa importante debido a los diferentes
niveles de tecnología y los distintos requisitos previos y experiencia para cada método de cumplimiento NAP. Los
registros de seguimiento para NAP se encuentran disponibles, pero están deshabilitados de manera predeterminada.
Estos registros se usan para dos propósitos: solucionar problemas y evaluar el mantenimiento y la seguridad de la red.
¿Qué es el seguimiento NAP?
Se puede usar el complemento Configuración del cliente NAP para configurar el seguimiento NAP. El seguimiento
registra eventos NAP en un archivo de registro y resulta útil para la solución de problemas y el mantenimiento. También
se pueden usar los registros de seguimiento para evaluar la seguridad y el mantenimiento de la red. Se pueden
configurar tres niveles de seguimiento: Básico, avanzado y de depuración.
Existen dos herramientas disponibles para configurar el seguimiento NAP. La consola Configuración del cliente NAP
forma parte de la interfaz de usuario de Windows y netsh es una herramienta de línea de comandos.
Para ver los archivos de registro, navegue hasta el directorio %raíz del sistema (systemroot)%\tracing\nap y abra el
registro de seguimiento particular que desea ver.
Pregunta: ¿Cuál es el comando netsh para habilitar los niveles de registro de depuración NAP?
Objetivos
Escenario
Como el especialista en tecnología de Woodgrove Bank, necesita establecer una manera de convertir
automáticamente los equipos cliente en equipos compatibles. Lo hará usando Servidor de directivas de redes,
creando las directivas de cumplimiento de cliente y configurando un servidor NAP para comprobar el mantenimiento
actual de los equipos.
Ejercicio 1: Configuración de NAP para los clientes DHCP
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
2. Haga clic con el botón secundario en Funciones y luego haga clic en Agregar funciones.
3. En la página Seleccionar funciones del servidor, seleccione las casillas Servidor DHCP y Servicios de
Acceso y Directivas de redes.
5. En la página Seleccionar enlaces de conexión de red, compruebe que 10.10.0.24 esté seleccionado. Quite
la marca de verificación junto a 192.168.1.10.
7. Escriba 10.10.0.10 en Dirección IP del servidor DNS preferido y haga clic en Validar. Compruebe que el
resultado devuelto sea Válido.
8. En la página Especificar configuración del servidor WINS IPv4, acepte la configuración predeterminada.
11. Seleccione la casilla Activar este ámbito y luego haga clic en Aceptar.
12. En la página Configurar el modo sin estado DHCPv6, seleccione Deshabilitar el modo sin estado
DHCPv6 para este servidor.
13. En la página Autorizar servidor DHCP, seleccione Usar credenciales actuales. Compruebe que
Woodgrovebank\administrador aparezca junto a NombredeUsuario y luego haga clic en Siguiente.
15. Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.
1. Abra la herramienta administrativa Servidor de directivas de red desde Menú Inicio, en Herramientas
administrativas.
1. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.
2. Configurar validador de mantenimiento del sistema. En la ficha Windows Vista, desactive todas las casillas
excepto Firewall habilitado para todas las conexiones de red.
1. En el árbol de consola, en Protección de acceso a redes, haga clic con el botón secundario en Grupo de
servidores de actualizaciones y luego haga clic en Nuevo.
2. Cree un nuevo grupo de actualizaciones con un nombre de grupo Rem1 y agregue la dirección IP 10.10.0.10.
1. Expanda Directivas.
2. Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.
3. Cree una nueva directiva de mantenimiento denominada Cumple que especifique que El cliente supera todas
las comprobaciones de SHV y usa el Validador de mantenimiento de seguridad de Windows.
4. Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.
5. Cree una nueva directiva de mantenimiento denominada No cumple que especifique que El cliente no supera
una o más comprobaciones de SHV y usa Validador de mantenimiento de seguridad de Windows.
5. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directiva de mantenimiento, seleccione
Cumple y luego haga clic en Aceptar.
8. En la ventana Configurar configuración, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso
completo a redes se encuentre seleccionado.
9. En la ventana Completando la nueva directiva de red, haga clic en Finalizar para completar la configuración
de la directiva de red para los equipos cliente compatibles.
1. Haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva.
Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes no
compatibles. Especifica que se les otorgará un nivel de acceso determinado por la directiva a los clientes que
cumplen con esas condiciones.
8. En la ventana Configura opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado y
compruebe que Habilitar corrección automática de equipos cliente se encuentre seleccionado.
9. Haga clic en Siguiente y luego en Finalizar. De este modo se completa la configuración de las directivas de
red NAP. Cierre la consola Servidor de directivas de red.
1. En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en DHCP.
3. Abra Propiedades para el Ámbito. En la ficha Protección de acceso a redes, compruebe que Usar perfil
de protección de acceso a redes se encuentre seleccionado y luego haga clic en Aceptar.
5. En la ficha Opciones avanzadas, compruebe que se haya seleccionado Clase de usuario predeterminada
junto a Clase de usuario.
6. En Opciones disponibles, seleccione la casilla Enrutador 003, escriba 10.10.0.1 en Dirección IP,
seleccione la casilla Nombre de dominio 015 DNS, escriba Woodgrovebank.com en Valor de cadena y
luego haga clic en Aceptar. El dominio Woodgrovebank.com es una red de acceso completo asignada a los
clientes NAP compatibles.
8. En la ficha Opciones avanzadas, junto a Clase de usuario, seleccione Clase de protección de acceso a
redes predeterminada.
9. Seleccione la casilla Servidores 006 DNS, escriba 10.10.0.10 en Dirección IP, seleccione la casilla Nombre
de dominio 015 DNS, escriba restringido. Woodgrovebank.com en Valor de cadena y luego haga clic en
Aceptar. El dominio restricted.woodgrovebank.com es una red de acceso restringido asignada a los clientes
NAP no compatibles.
1. Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.
2. Escriba mmc y luego presione ENTRAR.
4. Haga doble clic en Activar centro de seguridad (Sólo equipos de dominio), haga clic en Habilitado y luego
en Aceptar.
5. Cierre la ventana de la consola. Cuando se le indique que guarde los cambios, haga clic en No.
1. Haga clic en Inicio, en Todos los programas, luego en Accesorios y finalmente en Ejecutar.
1. Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.
3. En la lista de servicios, establezca Tipo de inicio de agente de protección de acceso a redes como
Automático e inicie el servicio.
4. Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.
2. Haga clic en Redes e Internet, luego en Centro de redes y recursos compartidos y finalmente en
Administrador de condiciones de red.
Establezca las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) como Obtener una dirección
IP automáticamente y Obtener una dirección de servidor DNS automáticamente.
4. Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área
local.
6. Reinicie NYC-CL1. Una vez que se reinicie el equipo, inicie sesión como Administrador usando la contraseña
Pa$$w0rd
1. En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.
3. Compruebe que el sufijo DNS específico para la conexión sea Woodgrovebank.com y que Estado de
cuarentena sea No restringido.
2. Configure la directiva Validador de mantenimiento del sistema para que requiera el software antivirus:
1. En NYC-SVR1, en la consola Servidor de directivas de red, abra NPS (Local), luego Protección de acceso a
redes y finalmente Validadores de mantenimiento del sistema.
2. Configure Validador de mantenimiento de seguridad de Windows de manera tal que Protección antivirus esté
establecido en Aplicación antivirus activada.
3. Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador de
mantenimiento de seguridad de Windows.
1. En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.
4. Compruebe que el sufijo DNS específico para la conexión en este momento sea
restringido.woodgrovebank.com.
5. Cierre la ventana del comando y haga doble clic en el icono Protección de acceso a redes en la bandeja del
sistema. Observe que le indica que El equipo no cumple con los requerimientos de la red.
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
4. Inicie sesión en cada una de ellas como WoodgroveBank\Administrador usando la contraseña Pa$$w0rd.
Ejercicio 2: Configuración de NAP para los clientes VPN
En este ejercicio, configurará NAP para clientes VPN. Este ejercicio usa el Agente de mantenimiento de seguridad de
Windows y el Validador de mantenimiento de seguridad de Windows para solicitar que los equipos cliente cuenten con
Firewall de Windows habilitado y con una aplicación de antivirus instalada.
Se crearán dos directivas de red en este ejercicio. Una directiva compatible otorga acceso de red completo a un
segmento de red intranet. Una directiva no compatible demuestra la restricción de redes al aplicar filtros IP a la interfaz
de túnel VPN que solamente permite el acceso de clientes a un único servidor de actualizaciones.
3. Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como servidor VPN.
6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
1. En NYC-DC1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Administrador del
servidor.
4. Seleccione la casilla Servicios de Certificate Server de Active Directory y configure el asistente con lo
siguiente:
8. Haga clic con el botón secundario en Plantillas de certificados y luego elija Administrar en el menú
contextual.
9. Cambie la seguridad en la plantilla Equipo para que otorgue a los Usuarios autenticados el permiso
Inscribir.
Tarea 2: Configurar NYC-SVR1 con NPS funcionando como un servidor de directivas de mantenimiento
2. Obtenga un certificado de equipo en NYC-SVR1 para la autenticación PEAP del lado del servidor:
1. Cree una consola MMC personalizada que incluya el complemento Certificados para Cuenta del equipo.
2. En el árbol de consola, haga doble clic en Certificados, haga clic con el botón secundario en Personal, elija
Todas las tareas y luego haga clic en Solicitar nuevo certificado.
5. Compruebe el estado de la instalación de certificados como Correcto y luego haga clic en Finalizar.
3. Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.
1. Haga clic en Inicio, luego en Ejecutar, escriba nps.msc y finalmente presione Entrar.
2. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.
3. En el panel central, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de Windows.
4. Configure las propiedades del validador de mantenimiento de seguridad Windows de manera tal que todas las
casillas estén desactivadas excepto Firewall habilitado para todas las conexiones de red.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Validador de mantenimiento de seguridad de
Windows y luego haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del validador de
mantenimiento de seguridad Windows.
1. Expanda Directivas.
3. En Comprobaciones de SHV del cliente, compruebe que la casilla El cliente supera todas las
comprobaciones de SHV esté seleccionada.
7. En Comprobaciones de SHV del cliente, seleccione El cliente no supera una o más comprobaciones de
SHV.
1. Expanda Directivas.
9. En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso
completo a redes se encuentre seleccionado.
Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes no
compatibles. Especifica que la directiva debe continuar evaluando clientes que cumplan con estas condiciones.
7. En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado
y luego Habilitar corrección automática de equipos cliente.
9. En IPv4, cree un nuevo filtro de entrada para Red de destino con los siguientes valores:
Este paso garantiza que el tráfico de los clientes no compatibles pueda alcanzar solamente a DC1.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Filtro IP y luego seleccione Permitir solo los
paquetes listados abajo en el cuadro de diálogo Filtros de entrada.
11. En IPv4, cree un nuevo filtro de salida para los siguientes valores de red de origen:
12. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar filtro IP y luego seleccione Permitir solo los
paquetes listados abajo el cuadro de diálogo Filtros de salida. Esto garantiza el envío solamente de tráfico
de DC1 a clientes no compatibles.
6. En la ventana Seleccionar condición, haga doble clic en Tipo de túnel, seleccione PPTP y L2TP y luego
haga clic en Aceptar.
9. En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de
autenticación, haga clic en Microsoft: EAP protegido (PEAP).
10. En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de
autenticación, haga clic en Microsoft: contraseña segura (EAP-MSCHAP v2).
11. En Tipos de EAP, haga clic en Microsoft: EAP protegido (PEAP) y luego haga clic en Editar.
12. Compruebe que Habilitar comprobaciones de cuarentena esté seleccionado y luego haga clic en Aceptar.
13. Haga clic en Siguiente dos veces y luego haga clic en Finalizar.
Tarea 3: Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como un servidor VPN
1. Haga clic en Inicio, luego en Ejecutar, escriba rrasmgmt.msc y finalmente presione Entrar.
4. Haga clic en la interfaz de red con una dirección IP 192.168.1.10. Desactive la casilla Habilitar seguridad en
la interfaz seleccionada configurando filtros de paquetes estáticos y luego haga clic en Siguiente. Esto
garantiza que NYC-SVR1 podrá rastrear NYC-DC1 cuando se adjunta a la subred Internet sin que sea necesario
configurar filtros de paquetes adicionales para el tráfico ICMP.
6. En la página Administrar servidores de acceso remoto múltiples, seleccione No, usar Enrutamiento y
acceso remoto para autenticar solicitudes de conexión.
8. Haga clic en Aceptar y espere que el servicio Enrutamiento y acceso remoto se inicie.
9. Abra la consola Servidor de directivas de red desde el menú Herramientas administrativas, expanda
Directivas, seleccione Directivas de solicitud de conexión y luego deshabilite Directiva del servicio de
enrutamiento y acceso remoto de Microsoft haciendo doble clic con el botón secundario en la directiva y
seleccionando Deshabilitar.
1. Haga clic en Inicio, en Herramientas administrativas y luego haga clic en Firewall de Windows con
seguridad avanzada.
2. Cree una regla de entrada personalizada para Todos los programas con el tipo de protocolo ICMPv4 y tipo
ICMP de Solicitud de eco para las opciones de ámbito predeterminadas.
3. En la ventana Acción, compruebe que Permitir la conexión se encuentre seleccionado y luego haga clic en
Siguiente.
1. Configure NYC-CL1 de manera tal que Centro de seguridad esté siempre habilitado:
1. Abra Editor de objeto de directiva de grupo local usando el comando Ejecutar con gpedit.msc.
3. Haga doble clic en Activar centro de seguridad (Solamente equipos de dominio), haga clic en Habilitado
y luego en Aceptar.
1. Inicie la herramienta Configuración cliente NAP usando el comando Ejecutar con napclcfg.msc.
4. Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.
1. Configure Propiedades de conexión de área local con Protocolo de Internet versión 4 (TCP/IPv4)
establecido de la siguiente manera:
2. Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área
local.
1. Usando Centro de redes y recursos compartido, cree un nuevo acceso directo Conectarse con un lugar de
trabajo con la opción Usar mi conexión de Internet (VPN).
3. En la página Escriba la dirección de Internet a la que desea conectarse, junto a Dirección de Internet,
escriba 192.168. 1.10. Junto a Nombre de destino, escriba Woodgrovebank. Seleccione la casilla Permitir
que otras personas usen esta conexión y luego haga clic en Siguiente.
4. En la página Escriba su nombre de usuario y contraseña, escriba administrador junto a Nombre de
usuario y escriba la contraseña para la cuenta del administrador junto a Contraseña. Seleccione la casilla
Recordar esta contraseña, escriba Woodgrovebank junto a Dominio (opcional) y luego haga clic en
Crear.
5. En la ventana Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.
6. En Red privada virtual, haga clic con el botón secundario en la conexión Contoso, haga clic en Propiedades
y luego en la ficha Seguridad.
8. En Seguridad de inicio de sesión, seleccione Usar protocolo de autenticación extensible (EAP) y luego
elija EAP protegido (PEAP) (cifrado habilitado).
10. Seleccione la casilla Validar certificado del servidor. Desactive la casilla Conectarse a estos servidores y
luego seleccione Contraseña segura (EAP-MSCHAP v2) en Seleccionar método de autenticación.
Desactive la casilla Habilitar reconexión rápida y luego seleccione la casilla Habilitar comprobaciones de
cuarentena.
11. Haga clic en Aceptar tres veces para aceptar estos valores.
1. En la ventana Conexiones de red, use el objeto de conexión Woodgrovebank para iniciar la conexión VPN.
2. Compruebe que se escriban las credenciales de la cuenta de administrador y que la casilla Guardar este
nombre de usuario y contraseña para uso futuro se encuentre seleccionado y luego haga clic en Aceptar.
3. Aparece una ventana Validar un certificado de servidor la primera vez que se usa esta conexión VPN. Haga
clic en Ver certificado de servidor y compruebe que Información de certificado determine que el
certificado se emitió para NYC-SVR1.Woodgrovebank.com mediante CA raíz. Haga clic en Aceptar para
cerrar la ventana Certificado y luego haga clic nuevamente en Aceptar.
4. Espere que se realice la conexión VPN. Debido a que NYC-CL1 es compatible, debería contar con acceso
ilimitado a la subred intranet.
5. Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración.
6. Visualice la configuración IP. Estado de cuarentena del sistema debería ser No restringido.
8. Configure Validador de mantenimiento de seguridad de Windows para solicitar una aplicación de antivirus:
2. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.
4. Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador de
mantenimiento de seguridad de Windows.
1. En NYC-CL1, en la ventana Conexiones de red, haga clic con el botón secundario en la conexión
Woodgrovebank y luego haga clic en Conectar.
2. Espere que se realice la conexión VPN. Es posible que vea un mensaje en el área de notificación que indique
que el equipo no cumple con los requisitos de mantenimiento. Aparece este mensaje debido a que el software
antivirus no se ha instalado.
3. Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración IP. Estado de cuarentena del
sistema debería ser Restringido.
El cliente no cumple con los requisitos para la red y por ende, se lo ubicará en la red restringida.
Intente rastrear a 10.10.0.10. Este es el único servidor al que la directiva permite el acceso.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. ¿Cuáles son las tres configuraciones principales de cliente que deben establecerse para la mayoría de las
implementaciones NAP?
2. Desea evaluar el mantenimiento y la seguridad general de la red NAP aplicada. ¿Qué debe hacer para
comenzar a registrar los eventos NAP?
Procedimientos recomendados
Use métodos de cumplimiento seguros (IPsec, 802.1x y VPN). Los métodos de cumplimiento seguros brindan
la implementación NAP más eficaz y segura.
No confíe en NAP para brindar seguridad a una red frente a los usuarios malintencionados. NAP está diseñada
para ayudar a los administradores a controlar el mantenimiento de los equipos de la red que, a su vez, ayuda a
mantener la integridad general de la red. NAP no evita que un usuario autorizado con un equipo compatible
descargue un programa malintencionado en la red o deshabilite el agente NAP.
Use directivas NAP consistentes en toda la jerarquía del sitio para minimizar las confusiones. La configuración
incorrecta de una directiva NAP puede provocar que clientes que deben estar restringidos obtengan acceso a la
red o que los clientes válidos sean restringidos por error. Cuánto más complejo sea el diseño de su directiva
NAP, mayor será el riesgo de establecer una configuración incorrecta.
No confíe en NAP como un mecanismo de cumplimiento instantáneo o en tiempo real. Existen demoras
inherentes al mecanismo de cumplimiento NAP. Aunque NAP ayuda a que los equipos continúen siendo
compatibles en el largo plazo, las demoras frecuentes de cumplimiento pueden llevar varias horas o más
debido a varios factores, incluyendo los valores de diversos parámetros de configuración.
Herramientas
Servicios Habilitar y configurar el servicio NAP en los equipos Haga clic en Inicio, luego en Panel de control,
cliente. luego en Sistema y mantenimiento, haga clic en
Herramientas administrativas y finalmente
Herramienta Usar para Dónde encontrarla
Netsh nap Al usar netsh, puede crear scripts para establecer Abra una ventana de comandos con derechos
automáticamente un conjunto de valores de Firewall administrativos y escriba netsh nap. Puede
de Windows con seguridad avanzada, crear reglas, escribir ayuda para obtener una lista
supervisar las conexiones y mostrar la configuración completa de los comandos disponibles.
y el estado de Firewall de Windows con seguridad
avanzada.
Directiva de Algunas implementaciones NAP que usan el Habilite el valor Activar el Centro de
grupo Validador de mantenimiento de seguridad de seguridad (sólo equipos de dominio) en las
Windows requieren que el Centro de seguridad esté secciones Configuración del equipo, Plantillas
habilitado. administrativas, Componentes de Windows y
Centro de seguridad de Directiva de grupo.
Configurar Se usa para crear directivas de mantenimiento, Abra la consola NPS (Local). En
NAP con un directivas de solicitud de conexión y Protección de Introducción y Configuración estándar,
asistente acceso a redes (NAP) con Servidor de directivas de seleccione Servidor de directivas de
redes. Protección de acceso a redes (NAP). El
texto y los vínculos debajo del texto
cambiarán para mostrar su selección.
Module 9
Configuración de IPsec
El Protocolo de seguridad de Internet (IPsec) es un marco de estándares abiertos para proteger las comunicaciones a
través de redes IP mediante servicios de seguridad criptográficos. IPsec es compatible con la autenticación del
mismo nivel de red, autenticación de orígenes de los datos, integridad de datos, confidencialidad de datos (cifrado) y
protección de reproducción. La implementación de IPSec de Microsoft se basa en estándares desarrollados por el
Grupo de trabajo de ingeniería de Internet (IETF).
IPsec es compatible con los siguientes sistemas operativos: Windows Vista™, Windows Server® 2008, Windows
Server® 2003, Microsoft Windows XP y Windows 2000. Además, está integrado con el servicio de directorio de Active
Directory®. Se pueden asignar directivas IPsec mediante Directiva de grupo, lo que permite que los valores de IPSec
se configuren a nivel de dominio, del sitio o de la unidad organizativa (OU).
Lección 1:
IPsec es un conjunto de protocolos que ayuda a proteger datos a través de una red usando servicios de seguridad y
certificados digitales con claves públicas y privadas. Un certificado digital asigna una clave pública a una persona, una
empresa o un sitio web.
Debido a su diseño, IPsec ayuda a brindar una seguridad mucho mayor que los métodos de protección anteriores. Los
administradores de red que lo usan no necesitan configurar la seguridad para programas individuales.
Beneficios de IPsec
Beneficios de IPsec
Por lo general, se usa IPsec para lograr confidencialidad, integridad y autenticación en el transporte de datos a través
de canales no seguros. Si bien el propósito original era asegurar el tráfico a través de redes públicas, sus
implementaciones con frecuencia se usan para aumentar la seguridad de redes privadas, ya que las organizaciones no
siempre pueden saber con certeza si los puntos débiles en sus redes privadas son susceptibles a la explotación. Si se
lo implementa correctamente, IPsec ofrece un canal privado para enviar e intercambiar datos vulnerables, ya sea
correo electrónico, tráfico del Protocolo de transferencia de archivos (FTP), fuentes de noticias, datos del asociado y
de la cadena de suministro, registros médicos o cualquier otro tipo de datos basados en TCP/IP.
Habilita la confidencialidad a través del cifrado del tráfico IP y la autenticación digital de los paquetes
Carga de seguridad encapsuladora (ESP). Este modo cifra datos a través de uno de varios algoritmos
disponibles.
IPsec
Usos recomendados de IPsec
Algunos entornos de red son adecuados para usar IPsec como una solución de seguridad, mientras que otro no. Se
recomienda IPsec para los siguientes usos:
Filtrado de paquetes
Asegurar la comunicación entre los miembros del dominio y sus controladores de dominio
Existen varias maneras de configurar el Firewall de Windows y la configuración y opciones de IPsec, incluyendo lo
siguiente:
Usando el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridad
avanzada
Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada
¿Qué son las reglas de seguridad de conexión?
Una regla de seguridad de conexión fuerza la autenticación entre dos equipos del mismo nivel antes de que puedan
establecer una conexión y transmitir información segura. El Firewall de Windows con seguridad avanzada usa IPsec
para aplicar estas reglas.
Las reglas de firewall permiten el tráfico a través del firewall pero no lo aseguran. Para asegurar el tráfico con IPsec, se
pueden crear reglas de Conexión de equipos. Sin embargo, al crear una regla de seguridad de conexión, no se
permite el tráfico a través del firewall. Para ello debe crearse una regla de firewall, si el comportamiento
predeterminado del firewall no permite el tráfico. Las reglas de seguridad de conexión no se aplican a programas y
servicios. Se aplican entre los equipos que conforman los dos extremos.
Introduction to Windows Firewall with Advanced Security (Introducción a Firewall de Windows con seguridad
avanzada)
Tema de Ayuda Firewall de Windows con seguridad avanzada: Reglas de seguridad de conexión
Demostración: Configuración general de IPsec
Lección 2:
Se pueden usar Reglas de seguridad de conexión para establecer la configuración de IPsec para conexiones
específicas entre este equipo y otros. El Firewall de Windows con seguridad avanzada usa la regla para evaluar el
tráfico de red y luego bloquea o permite mensajes en base a los criterios establecidos en la regla. En algunos casos,
el Firewall de Windows con seguridad avanzada bloqueará la comunicación. Si se establece la configuración que
requiere seguridad para una conexión (en cualquier dirección) y ninguno de los dos equipos puede autenticar al otro, lo
conexión se bloqueará.
Elección de un tipo de regla de seguridad de conexión
Se puede usar el Asistente para nueva regla de seguridad de conexión para crear reglas para la manera en que el
Firewall de Windows con seguridad avanzada autentica los equipos y usuarios que coinciden con los criterios de la
regla. El Firewall de Windows con seguridad avanzada usa IPsec para proteger el tráfico usando estas reglas.
El asistente brinda cuatro reglas predefinidas y también se puede crear una regla personalizada que se puede
configurar de manera tal que responda a sus necesidades de seguridad.
Aislamiento
Exención de autenticación
Servidor a servidor
Túnel
Personalizada
Tema de Ayuda Firewall de Windows con seguridad avanzada: Elección de un tipo de regla de seguridad de
conexión
¿Qué son los extremos?
Los extremos del equipo son los equipos o el grupo de equipos que forman interlocutores para la conexión.
El modo de túnel IPsec protege todo un paquete IP tratándolo como una carga AH o ESP. Con el modo de túnel, todo
el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional. Las direcciones IP del
encabezado IP externo son los extremos del túnel y las direcciones IP del encabezado IP encapsulado son las
direcciones de origen y de destino finales.
ESP cifra paquetes y aplica un nuevo encabezado no cifrado para facilitar el enrutamiento. A pesar de brindar cifrado,
ESP no garantiza la autenticidad de los datos del encabezado.
ESP funciona en dos modos, tal como lo determinan la funcionalidad y la capacidad requeridas de los hosts y
enrutadores compatibles con IPsec:
Modo de transporte
Modo de túnel
Tema de Ayuda Firewall de Windows con seguridad avanzada: Extremos del equipo
Tema de Ayuda Firewall de Windows con seguridad avanzada: Especificar extremos de túnel
Elección de requisitos de autenticación
Mientras se usa el Asistente para nueva regla de seguridad de conexión para crear una nueva regla, se puede usar la
página del asistente Requisitos de autenticación para especificar cómo se aplica la autenticación a las conexiones
entrantes y salientes. Si se solicita autenticación, se habilitarán las comunicaciones cuando se produzca un error de
autenticación. Si se requiere autenticación, la conexión se anulará si se produce un error de autenticación.
Métodos de autenticación
El Asistente para nueva regla de seguridad de conexión tiene una página donde se puede establecer el Método de
autenticación para configurar las credenciales de autenticación usadas. Si ya existe la regla, se puede usar la ficha
Autenticación del cuadro de diálogo Propiedades de seguridad de conexión de la regla que se desea editar.
Un perfil de firewall es una manera de agrupar valores, tales como las reglas de seguridad de conexión y firewall, que
se aplican al equipo dependiendo de dónde está conectado el equipo. En equipos que ejecutan la versión actual de
Windows, existen tres perfiles para el Firewall de Windows con seguridad avanzada. Sólo se aplica un perfil por vez.
Perfil Descripción
Dominio Se aplica cuando un equipo está conectado a una red en la que reside la cuenta de dominio del equipo.
Privado Se aplica cuando un equipo está conectado a una red en la que no reside la cuenta de dominio del
equipo, tal como una red doméstica. La configuración privada debe ser más restrictiva que la
configuración del perfil de dominio.
Público Se aplica cuando un equipo está conectado a un dominio a través de una red pública, tales como las
disponibles en aeropuertos o cafeterías. La configuración del perfil público debe ser la más restrictiva, ya
que el equipo está conectado a una red pública donde la seguridad no puede controlarse con tanta
precisión como dentro de un entorno de TI.
Tema de Ayuda Firewall de Windows con seguridad avanzada: Propiedades de Firewall: Perfiles
Lección 3:
El cumplimiento NAP para las directivas IPsec para el Firewall de Windows se aplica con un servidor de certificados de
mantenimiento, un servidor de Autoridad de registro de mantenimiento (HRA), un equipo que ejecuta Servidor de
directivas de redes (NPS) y un cliente de cumplimiento IPsec. El servidor de certificados de mantenimiento emite
certificados X.509 para los clientes NAP cuando se determina que son compatibles. Luego, se usan los certificados
para autenticar los clientes NAP cuando inician las comunicaciones con IPsec con otros clientes NAP en una intranet.
El cumplimiento IPsec limita la comunicación de su red a clientes compatibles y brinda la implementación NAP de
mayor seguridad disponible. Debido a que este método de cumplimiento usa IPsec, se pueden definir los requisitos
para asegurar comunicaciones en base a números de puerto por dirección IP o por TCP/UDP.
Cumplimiento IPsec para redes lógicas
El cumplimiento IPsec divide una red física en tres redes lógicas. Un equipo es miembro de sólo una red lógica en
cualquier momento. Las redes lógicas se definen en términos de los equipos que tienen certificados de mantenimiento
y los equipos que requieren autenticación IPsec con certificados de mantenimiento para intentos entrantes de
comunicación. Las redes lógicas permiten el acceso y la actualización limitados de la red y brindan equipos
compatibles con protección desde equipos no compatibles.
Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec
Procesos de cumplimiento NAP para IPsec
Para obtener un certificado de mantenimiento y convertirse en un miembro de red seguro, un cliente NAP que usa el
cumplimiento IPsec se inicia en la red y realiza el proceso de cumplimiento NAP para IPsec.
El cliente NAP quita todo certificado de mantenimiento existente, si es necesario, y agrega el certificado de
mantenimiento recientemente emitido al almacén de certificados de su equipo. El cliente de cumplimiento NAP para
IPsec establece la configuración IPsec para autenticarse usando el certificado de mantenimiento para las
comunicaciones protegidas por IPsec y configura el firewall basado en host para permitir las comunicaciones entrantes
de cualquier sistema del mismo nivel que use un certificado de mantenimiento para la autenticación IPsec. Ahora el
cliente NAP pertenece a la red segura.
Si el cliente NAP no es compatible, no tendrá un certificado de mantenimiento y no podrá iniciar la comunicación con
equipos en la red segura. El cliente NAP lleva a cabo un proceso de actualización para convertirse en un miembro de la
red segura.
IPsec
Requisitos para implementar el cumplimiento NAP para IPsec
En NPS, configure la directiva de solicitud de conexión, la directiva de red y la directiva de mantenimiento NAP.
Se pueden configurar estas directivas por separado usando la consola NPS o el nuevo Asistente para
protección de acceso a redes.
Habilite el cliente de cumplimiento NAP para IPsec y el servicio NAP en equipos cliente compatibles con NAP.
Instale y configure Servicios de certificados de Active Directory (AD CS) y plantillas de certificado.
Configure el Validador de mantenimiento de seguridad de Windows (WSHV) o instale y configure otros agentes
de mantenimiento del sistema y validadores de mantenimiento del sistema (SHV), dependiendo de su
implementación NAP.
Si el equipo local no tiene HRA instalado, también será necesario configurar lo siguiente:
Configure NPS en el servidor NPS HRA remoto como un proxy RADIUS para reenviar solicitudes de conexión
al servidor NPS local.
Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec
Laboratorio: Configuración del cumplimiento NAP para IPsec
Objetivos:
Escenario
Debido a incidentes recientes relacionados con la seguridad en la red interna, Woodgrove Bank desea implementar
directivas IPsec para mitigar los riesgos de seguridad a través del cifrado y usar la Protección de acceso a redes para
comprobar el mantenimiento de las partes de la comunicación antes transmitir datos. El Administrador de servicios de
información (IS) de Woodgrove Bank desea que configure un entorno de cumplimiento Protección de acceso a redes
para IPsec a fin de mitigar cualquier problema relacionado con la seguridad de red en el futuro.
Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP para
IPsec
Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP para IPsec
9. Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado.
10. Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento de
clientes.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
3. Seleccione Instalar una CA local para emitir certificados de mantenimiento para este servidor HRA con
la opción No, permitir solicitudes anónimas para certificados de mantenimiento.
4. Seleccione No usar SSL o Elegir un certificado para cifrado SSL más tarde.
5. En la página Seleccionar servicios de función, compruebe que sólo esté seleccionada la casilla Entidad de
certificación.
9. Acepte la configuración predeterminada para el resto de la configuración y luego haga clic en Instalar.
10. En la página Resultados de instalación, observe que la instalación de Directiva de red y servicios de acceso
se completó con errores. Esto se debe a que se instaló la CA después de instalar la función, por lo que no se
pudo alcanzar. Compruebe que todas las instalaciones se hayan realizado correctamente y luego haga clic en
Cerrar.
3. Haga clic en la ficha Seguridad, haga clic para agregar la cuenta Servicio de red y seleccione la casilla
Permitir para Emitir y administrar certificados, Administrar CA y Solicitar certificados.
2. En la consola Registro de mantenimiento, haga clic con el botón secundario en Entidad de certificación y
agregue WoodGroveBank-CARaíz, haciendo clic en Agregar entidad de certificación.
4. Haga clic con el botón secundario en el panel de la lista Entidad de certificación y abra Propiedades para
comprobar que esté seleccionado Usar entidad de certificación independiente.
3. En la página Seleccionar método de conexión de red para usar con NAP, seleccione IPsec con entidad
de registro de mantenimiento (HRA).
4. En las páginas Especificar servidores de cumplimiento de NAP que ejecutan HRA y Configurar grupos
de usuario y grupos de equipos, acepte la configuración predeterminada.
5. En la página Definir directiva de mantenimiento NAP, compruebe que estén seleccionadas las casillas
Validador de mantenimiento de seguridad de Windows y Habilitar corrección automática de los
equipos cliente y luego haga clic en Finalizar en la página Completando directivas de protección de
acceso a redes y clientes RADIUS.
1. En el árbol de consola NPS, haga clic en Protección de acceso a redes y luego haga clic en Configurar
validadores de mantenimiento del sistema en el panel de detalles.
4. Desactive todas las casillas excepto Firewall está habilitado para todas las conexiones de red.
5. Haga clic en Aceptar dos veces para cerrar los cuadros de diálogo Validador de mantenimiento de
seguridad de Windows y Propiedades del validador de mantenimiento de seguridad de Windows.
4. Haga doble clic en Cliente de servicios Cliente de servicios de certificados– Inscripción automática.
Tarea 9: Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado
2. Abra Editor de directivas de grupo local escribiendo gpedit.msc en el cuadro de texto Iniciar búsqueda.
4. Haga doble clic en Activar centro de seguridad (solo equipos de dominio), haga clic en Habilitado y luego
en Aceptar.
Tarea 10: Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento de clientes
1. En NYC-CL1, abra la consola Configuración de cliente NAP escribiendo napclcfg.msc en el cuadro de texto
Iniciar búsqueda.
3. En árbol de consola Configuración de cliente NAP, haga doble clic en Configuración de registro de
mantenimiento.
4. Agregue dos nuevos Grupos de servidores de confianza, seleccione no requiere verificación del
servidor y luego haga clic en Nuevo.
5. En Agregue las direcciones URL de los servidores de la entidad de registro de mantenimiento en los
que desea que el cliente confíe, escriba http://nyc-dc1.woodgrovebank.com/domainhra/hcsrvext.dll, y
luego haga clic en Agregar. Escriba http://nyc-dc1.woodgrovebank.com /nondomainhra/hcsrvext.dll,
haga clic en Agregar y luego en Finalizar.
6. En el árbol de consola, haga clic en Grupos de servidores de confianza y compruebe que las direcciones
URL estén escritas correctamente.
1. En NYC-CL1, abra la consola Servicios, configure las propiedades de inicio de las Propiedades del agente
de protección de redes a Automático y luego inicie el servicio.
2. Espere que se inicie el servicio agente NAP y luego haga clic en Aceptar.
1. En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba wf.msc y luego presione
Entrar.
2. Cree una nueva Regla de entrada personalizada para Todos los programas que especifican Solicitud de
eco ICMPv4 que usa el ámbito predeterminado con la Acción de Permitir la conexión. Acepte el perfil
predeterminado y denomine la regla Solicitud de eco ICMPv4.
8. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
1. En NYC-DC1, abra Usuarios y equipos de Active Directory y cree una nueva unidad organizativa en el nivel
raíz denominada IPsec segura.
2. Cree y vincule un nuevo Objeto de directiva de grupo para la unidad organizativa IPsec segura y denomina la
directiva Directiva segura.
3. Edite la Directiva segura para crear directivas IPsec para todos los estados de perfil.
2. En la ficha Perfil de dominio, junto a Estado del Firewall, seleccione Activado (recomendado). Junto a
Conexiones de entrada, seleccione Bloquear (predeterminado). Junto a Conexiones de salida,
seleccione Permitir (predetermiado). Se usará la misma configuración para los perfiles privados y públicos.
5. En la página Método de autenticación, seleccione Certificado del equipo, seleccione la casilla Solo
aceptar certificados de mantenimiento y especifique WoodgroveBank-CARaíz.
6. En la página Perfil, compruebe que las casillas Privado, Público y De dominio estén seleccionadas. En la
página Nombre, escriba Regla segura y luego haga clic en Finalizar.
7. Haga clic con el botón secundario en Reglas de entrada y luego cree una nueva regla usando la regla
predefinida Compartir impresoras y archivos sólo con la opción Permitir la conexión si es segura.
1. En NYC-CL1 y NYC-CL2, use gpactulización /forzar para volver a aplicar la configuración de Directiva de
grupo modificada.
1. En NYC-CL1, cree una herramienta MMC personalizada que incluya el complemento Certificados con
certificados Cuenta del equipo específicos para Equipo local.
2. En el árbol de consola MMC, haga doble clic en Certificados (Equipo local), haga doble clic en Personal y
luego haga clic en Certificados. En el panel de detalles, en Emitido por, compruebe que se muestre
WoodGroveBank-CARaíz. Compruebe que Propósitos planteados muestre Autenticación de
mantenimiento del sistema.
1. En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y luego
presione Entrar.
5. En el panel de la lista de la consola Firewall de Windows con seguridad avanzada, expanda Supervisión,
luego Asociaciones de seguridad y seleccione Modo principal.
6. En el panel de detalles, debe ver una entrada para comunicaciones seguras entre NYC-CL1 y NYC-CL2. Haga
doble clic en la entrada y revise el contenido de la ficha General. Debe ver Certificado de equipo para
primera autenticación, Cifrado usando AES-128 e Integridad realizada usando SHA1.
Nota: Se requerirán actualizaciones automáticas para el cumplimiento NAP habilitando esta comprobación del
mantenimiento del sistema en el Validador de mantenimiento de seguridad de Windows.
1. En NYC-DC1, abra Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del
sistema.
Nota: Para demostrar la restricción de red de clientes no compatibles, la actualización automática de equipos cliente
debe estar deshabilitada en la directiva de red no compatible.
5. Haga clic en la ficha Configuración, luego en Cumplimiento NAP, desactive la casilla Habilitar corrección
automática de equipos cliente y luego haga clic en Aceptar.
7. En NYC-CL1, en la ventana de comandos, escriba ping -t NYC-CL2 y luego presione ENTRAR. Se ejecutará
un ping continuo desde NYC-CL1 a NYC-CL2. Esto debe llevarse a cabo correctamente.
Nota: No cierre el panel de control Seguridad en NYC-CL2. Lo usará para volver a habilitar Actualizaciones de
Windows en pasos futuros.
9. En NYC-CL1, compruebe que la respuesta en la ventana de comandos haya cambiado a Se agotó el tiempo
de la solicitud.
10. En NYC-CL1, haga clic en Inicio, en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y compruebe
que el recurso compartido sea inaccesible.
11. En NYC-CL2, en el panel de control Seguridad en Actualizaciones de Windows, haga clic en Activar o
desactivar actualización automática, seleccione Instalar actualizaciones automáticamente
(recomendado) y luego haga clic en Aceptar. Esta configuración hará que NYC-CL2 envíe un nuevo SoH que
indique que es compatible con los requisitos de mantenimiento de red y NYC-CL2 obtendrá acceso total a la
red.
12. En NYC-CL1, compruebe que la respuesta en la ventana de comandos cambie a Respuesta desde
10.10.0.60. Es posible que transcurra un minuto antes de poder visualizar el cambio de estado.
Tarea 8: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
2. ¿Qué algoritmos de cifrado están disponibles para el protocolo ESP en Windows Server 2008?
3. Si necesita asegurar comunicaciones en un servidor de dominio determinado y debe admitir conexiones de los
equipos de dominio y que no son de dominio y, a su vez, desea contar con un único método de autenticación,
¿cuál método es el más adecuado?
4. ¿Es posible que un equipo en la red lógica restringida obtenga acceso a los recursos en un servidor de la red
lógica segura?
5. ¿Qué tipo de equipos encontraría comúnmente dentro de una red lógica restringida en un entorno NAP para
IPsec?
Aunque IPsec se usa para conexiones VPN en Internet para conectar clientes remotos a una intranet o sitios remotos
entre sí, IPsec fue diseñado para proteger el tráfico de intranet y de Internet en diversos escenarios.
Al usar IPsec para proteger el tráfico IP que se envía a través de Internet, algunas implementaciones VPN usan un
modo adicional de AH y ESP conocido como modo de túnel, en el cual se encapsula y protege un paquete IP entero.
Los equipos con Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP pueden usar L2TP con
IPsec (L2TP/IPsec) para conexiones VPN. Sin embargo, L2TP/IPsec no usa el modo de túnel. Por el contrario, L2TP
brinda encapsulación para un paquete IP entero y la carga de paquete IP resultante está protegida con ESP y cifrado.
IPsec sólo cifra cargas de paquetes IP cuando se elige usar ESP con cifrado. El cifrado es opcional pero se
recomienda en muchas circunstancias, incluso cuando se envían datos privados a través de una red pública (tal como
Internet) o cuando se envía información altamente confidencial a través de una intranet (tales como datos personales o
financieros).
Beneficios de IPsec
La compatibilidad IPsec en Windows brinda los siguientes beneficios:
IPsec protege los protocolos, los servicios y las aplicaciones de nivel superior. Con IPsec habilitado, los paquetes de
comunicación inicial que buscan obtener acceso a una aplicación o un servicio que se ejecuta en un servidor, por
ejemplo, no pasarán a la aplicación o servicio hasta que se haya establecido una confianza a través de la autenticación
IPsec y que se haya aplicado la protección configurada en paquetes para la aplicación o el servicio. Por lo tanto, los
intentos de ataque a aplicaciones o servicios en servidores deben primero atravesar la protección IPsec.
Nota: IPsec no ofrece protección del protocolo de nivel de aplicación de entrada a un sistema del mismo nivel
autenticado. Sin embargo, una vez que se cifra una sesión de protocolo de nivel de aplicación entre dos sistemas del
mismo nivel que usan IPsec, se protege del ataque de reproducción y del ataque de tipo "Hombre en el medio".
El requisito de autenticación del mismo nivel impide la comunicación con equipos que no son de confianza o
desconocidos.
La seguridad IPsec requiere que los sistemas del mismo nivel autentiquen sus credenciales a nivel de equipo antes de
enviar datos basados en IP. Al requerir autenticación al mismo nivel usando credenciales basadas en un modelo de
confianza común, tales como la pertenencia a un dominio de Active Directory, los equipos que no son de confianza o
desconocidos no podrán comunicarse con miembros del dominio. Esto ayuda a proteger los equipos miembro del
dominio frente a la propagación de algunos tipos de virus y gusanos por parte de los equipos que no son de confianza
o desconocidos.
IPsec ofrece un conjunto de protecciones criptográficas para el tráfico basado en IP en base a la elección de AH, ESP
sin cifrado o ESP con cifrado. El tráfico de red basado en IP es a prueba de alteraciones (usando AH o ESP sin
cifrado) o a prueba de alteraciones y cifrado (con ESP y cifrado). El requisito de protección criptográfica de tráfico IP
ayuda a evitar muchos tipos de ataques a la red.
No es necesario cambiar las aplicaciones para que sean compatibles con IPsec.
IPsec está integrado a nivel de Internet del conjunto de protocolos TCP/IP, brindando seguridad para todos los
protocolos basados en IP en el paquete TCP/IP. Con IPsec, no es necesario configurar otra seguridad para cada
aplicación que usa TCP/IP. Por el contrario, las aplicaciones que usan TCP/IP transmiten datos a IP en el nivel de
Internet, donde IPsec puede asegurarlos. Al eliminar la necesidad de modificar aplicaciones, IPsec ahorra tiempo y
costos de desarrollo de aplicaciones.
Herramientas
MMC de Firewall Se puede usar para habilitar el control total Haga clic en Inicio y elija Herramientas
de Windows con sobre las reglas de firewall y las administrativas. Seleccione la herramienta
seguridad propiedades IPsec en un único equipo. Firewall de Windows con seguridad avanzada
avanzada de las herramientas administrativas disponibles.
Netsh advfirewall Se puede usar el comando netsh para crear Abra una ventana de comandos con derechos
scripts que establezcan la configuración de administrativos y escriba Netsh advfirewall.
Firewall de Windows con seguridad
avanzada de manera automática, crear Puede escribir ayuda para obtener una lista
reglas, supervisar conexiones y mostrar la completa de los comandos disponibles.
configuración y el estado de Firewall de
Windows con seguridad avanzada.
Directiva de grupo Directiva de grupo brinda acceso a todo el Se puede establecer la configuración de
conjunto de características de Firewall de Directiva de grupo para Firewall de Windows
Windows con seguridad avanzada, con seguridad avanzada abriendo el mismo
incluyendo la configuración del perfil, las complemento a través del Editor de objetos de
reglas y las reglas de seguridad de directiva de grupo.
conexión de equipos para la instalación en
equipos cliente.
MMC de Se usa para entornos con versiones mixtas Haga clic en Inicio, luego en Ejecutar, escriba
administración de de Windows y para configurar directivas MMC y finalmente presione ENTRAR. En la
directivas de que se apliquen a todas las versiones de ventana MMC, haga clic en Archivo y luego en
seguridad IP Windows. Agregar o quitar complemento. De la lista de
complementos disponibles, seleccione
Administración de directivas de seguridad IP,
haga clic en Agregar y luego en Aceptar
Módulo 10: Supervisión y solución de problemas de IPsec
Módulo 10
Habilitar el registro de auditoria para eventos de Intercambio de claves por red (IKE) y visualizar los eventos.
Puntos clave
Es posible usar el complemento Monitor de seguridad IP para visualizar y supervisar las estadísticas relacionadas con
IPsec y la directiva IPsec aplicada a los equipos. Esta información puede resultar útil para solucionar problemas de
IPsec y probar las directivas que está creando. Este complemento puede usarse únicamente para equipos con
Windows XP o Windows Vista™.
IPSecmon
El comando Netsh
Puntos clave
Monitor de seguridad IP se implementa como un complemento de MMC e incluye mejoras que permiten visualizar
detalles sobre una directiva IPsec activa que aplica el dominio o que se aplica localmente. También es posible
visualizar estadísticas de modo rápido y de modo principal y SA de IPsec activas. Monitor de seguridad IP también
permite buscar filtros específicos de modo principal o de modo rápido. Para solucionar problemas complejos de
diseño de directiva IPsec, puede usarse Monitor de seguridad IP para buscar todas las coincidencias para los filtros
de un tipo de tráfico específico.
Puntos clave
Firewall de Windows con seguridad avanzada es un firewall con estado, basado en host que bloquea las conexiones
entrantes y salientes conforme a su configuración. Si bien la configuración típica de Firewall de Windows del usuario
final se realiza con la herramienta Panel de control del Firewall de Windows, la configuración avanzada se lleva a cabo
en un complemento MMC denominado Firewall de Windows con seguridad avanzada.
La inclusión de este complemento no sólo brinda una interfaz para configurar el Firewall de Windows localmente, sino
también para configurar el Firewall de Windows en equipos remotos y a través de Directiva de grupo. Actualmente, las
funciones del Firewall se integran con configuraciones de protección de IPsec, reduciéndose así las posibilidades de
conflictos entre los dos mecanismos de protección.
Demostración: Supervisión de IPsec
Lección 2:
Es necesario comprender los procesos de solución de problemas y de supervisión de IPsec completos para
resolverlos correctamente. Además, debe comprender los tipos de problemas de conectividad frecuentes
relacionados con IPsec e IKE y qué debe buscarse para solucionar problemas de eventos de negociación IKE.
Proceso de solución de problemas de IPSec
Puntos clave
También hay observaciones adicionales para solucionar problemas de IPsec, tales como comprobar la configuración
del firewall y habilitar el registro IKE.
Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominio
usando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec
Solución de problemas de IKE
Puntos clave
Para solucionar problemas de IKE correctamente, se deben comprender las siguientes instrucciones:
Puntos clave
Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominio
usando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec
Objetivos
Escenario:
En este ejercicio, los estudiantes habilitarán una directiva IPsec y luego visualizarán la conexión usando Monitor de
seguridad IP.
5. Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
1. Configure algunas directivas IPsec que protejan el tráfico TCP y UDP usando Directiva de seguridad local MMC
que se encuentra en Herramientas administrativas.
2. Filtre el tráfico IP que proviene de cualquier dirección IP y se dirige a cualquier dirección IP.
En la consola Directiva de seguridad local MMC, exporte las directivas IPSec a un archivo en NYC-SVR1
(guárdelo en D:\ArchivosdeLaboratorio\Módulo10\DirectivadeSeguridadIP.ipsec).
En NYC-SVR1, importe las directivas IPSec usando Directiva de seguridad local MMC.
Tarea 5: Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando
2. Usando el comando Ejecutar, cargue una consola vacía y agregue el complemento Monitor de seguridad IP.
En este ejercicio, configurará una regla de seguridad de conexión en Firewall de Windows con seguridad avanzada y
luego supervisará la conexión usando el nodo Asociaciones de seguridad.
2. Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada.
4. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 2: Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada
2. Revise los nodos Modo principal y Modo rápido para visualizar el estado de la regla Seguridad de conexión.
Tarea 4: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
En este ejercicio, se revisarán escenarios que describen problemas comunes que pueden surgir al solucionar
problemas de IPsec y luego se comentarán las posibles soluciones.
Escenario 1
Un administrador está intentado conectarse a un equipo remoto y supervisar su conectividad IPsec. El administrador
informa que no puede supervisar el servidor remoto. Se le solicita que use Visor de eventos para identificar el
problema y, al hacerlo, el administrador observa el siguiente error: “El servidor IPsec no está disponible o no es
compatible con el monitor IPsec”.
Escenario 2
Un administrador ha configurado y habilitado una Directiva de seguridad IPsec en un servidor de archivos que
almacena archivos de información confidencial. El administrador también ha creado una directiva basada en Active
Directory y la ha aplicado a la unidad organizativa (OU) de los clientes que tienen el acceso permitido al servidor
seguro. Al día siguiente, el administrador de copias de seguridad, encargado de hacer una copia de seguridad del
servidor seguro, informa que no pudo obtener acceso al servidor seguro desde el servidor de copia de seguridad. La
cuenta del equipo del servidor de copia de seguridad está almacenada en una unidad organizativa administrativa
independiente de la del cliente.
Pregunta: Según la información brindada, ¿por qué el servidor de copia de seguridad no puede obtener acceso al
servidor seguro?
Revisión y conclusiones del módulo
Preguntas de revisión
1. ¿Cuál es el nombre del archivo de registro que debería usarse para solucionar problemas de IKE?
2. ¿Cuáles son los cuatro pasos principales que deben llevarse a cabo para solucionar problemas de IPsec?
Procedimientos recomendados
Los siguientes procedimientos recomendados generales pueden ser útiles para optimizar la seguridad y reducir la
posibilidad de que surjan problemas al implementar IPsec:
1. Establecer un plan de implementación de IPsec. El plan de implementación debería contemplar las siguientes
observaciones: qué escenarios de implementación (como servidor a servidor o acceso remoto) necesitan el
uso de IPsec, qué nivel de seguridad se requiere para cada escenario, qué tipos de datos, equipos y vínculos
físicos se asegurarán, quién administrará las directivas IPsec y cómo se brindará soporte técnico y solución de
problemas de manera continua para usuarios finales después de la implementación de IPsec. Esto permite
solucionar problemas con mayor facilidad y establece quiénes son los responsables de las distintas áreas de
infraestructura de IPsec.
2. Crear y probar directivas IPsec para todos los escenarios de implementación. Antes de implementar IPsec en
un entorno de producción, deben probarse las directivas IPsec en un entorno de laboratorio realista. Para
obtener datos de rendimiento realistas, deben ejecutarse cargas de trabajo estándar en los programas. Durante
las pruebas iniciales, observe el contenido de paquete con Monitor de red o use el Encabezado de
autenticación (AH) o la Carga de seguridad encapsuladora (ESP) con cifrado nulo para visualizar contenido de
paquete para entornos de prueba.
4. Usar el algoritmo Triple Estándar de cifrado de datos (3DES) para lograr un cifrado más seguro. Usar 3DES
para optimizar la seguridad al configurar métodos de seguridad de intercambio de claves para directivas IPsec.
Es un algoritmo de cifrado más seguro que DES.
5. Crear y asignar una directiva IPsec persistente para seguridad a prueba de errores. Para optimizar la seguridad,
crear y asignar una directiva IPsec persistente para que los equipos puedan estar asegurados en caso de que
no sea posible aplicar una directiva IPsec local o una directiva IPsec basada en Active Directory. Al crear y
asignar una directiva persistente, ésta se aplica antes que una directiva local o una directiva basada en Active
Directory y sigue en efecto sin importar si se aplica la directiva local o la directiva basada en Active Directory
(por ejemplo, una directiva IPsec no se aplicará si está dañada).
Nota: No es posible configurar esta característica en la consola Administración de directivas de seguridad IP. Debe
usar la herramienta de línea de comandos Netsh IPsec para configurar esta característica.
Si se aplica la misma directiva IPsec a equipos que ejecutan distintas versiones del sistema operativo
Windows, debe probarse la directiva exhaustivamente. Para garantizar que la misma directiva IPsec funcione
del modo deseado, debe probar la directiva exhaustivamente en todos los sistemas operativos relevantes antes
de la implementación.
Usar Servicios de Terminal Server para administrar y supervisar IPsec de manera remota en equipos con
diferentes versiones del sistema operativo Windows. La administración y supervisión remota de IPsec sólo es
compatible para equipos que ejecutan la misma versión de Windows. Es posible usar Servicios de Terminal
Server para administrar y supervisar IPsec de manera remota en un equipo con una versión de Windows
diferente a la de su equipo.
Módulo 11: Configuración y administración de Sistema de archivos
distribuido (DFS)
Módulo 11
Este módulo presenta la solución Sistema de archivos distribuido (DFS) que puede usarse para abordar estos
desafíos brindando acceso tolerante a errores y replicación de los archivos compatible con WAN ubicados en toda la
empresa.
Los administradores que gestionan los servidores de archivos en una empresa requieren un acceso eficaz a los
recursos y la disponibilidad de los archivos. DFS en el sistema operativo Windows Server® 2008 brinda dos
tecnologías para abordar estos desafíos: Replicación DFS y Espacios de nombres DFS. Esta lección describe las
dos tecnologías y ofrece escenarios y requisitos para implementar una solución DFS dentro de su entorno de red.
¿Qué es el Sistema de archivos distribuido?
Puntos clave
Las tecnologías DFS en Windows Server 2008 brindan un modo simplificado de acceso a los archivos
geográficamente distribuidos en una organización. Además, DFS ofrece una replicación de archivos compatible con
WAN entre servidores. Las tecnologías DFS incluyen:
Replicación DFS
Pregunta: ¿Qué tecnología se usa para replicar archivos dentro de un entorno de Windows Server 2008?
Distributed File System Technology Center (Centro de tecnología de Sistema de archivos distribuido)
Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)
Microsoft Distributed File System - IT Value Card (Sistema de archivos distribuido de Microsoft: Tarjeta de valor
de TI)
Optimizing File Replication over Limited-Bandwidth Networks using Remote Differential Compression (Optimizar
la replicación de archivos en redes de ancho de banda limitado usando Compresión diferencial remota)
Cómo funcionan los espacios de nombres DFS y la replicación DFS
Puntos clave
Aunque los espacios de nombres DFS y la replicación DFS son tecnologías distintas, pueden usarse en conjunto para
brindar una alta disponibilidad y redundancia de datos.
El siguiente proceso describe cómo los espacios de nombres DFS y la replicación DFS funcionan en conjunto:
Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)
Distributed File System: Frequently Asked Questions (Sistema de archivos distribuido: Preguntas más
frecuentes)
Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivos
distribuido: Preguntas más frecuentes)
Ayuda acerca de Administración del Sistema de archivos distribuido: Descripción general de espacios de
nombres DFS
Escenarios de DFS
Escenarios de DFS
Puntos clave
Diversos escenarios clave pueden beneficiarse de los espacios de nombres DFS y la replicación DFS. Estos
escenarios incluyen:
Recopilación de datos
Distribución de datos
Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)
(Descripción general de la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)
Tipos de espacios de nombres DFS
Puntos clave
Puede crear un espacio de nombres independiente o basado en dominio. Cada uno de estos tipos tiene
características diferentes.
Su organización no cumple con los requisitos para un espacio de nombres basado en dominio en modo
Windows Server 2008 y cuenta con requisitos para más de 5.000 carpetas DFS. Los espacios de nombres
DFS independientes admiten hasta 50.000 carpetas con destinos.
Pregunta: ¿Cómo puede asegurarse de que los usuarios no desvíen una conexión WAN lenta para obtener acceso a
la raíz de espacio de nombres DFS?
Tema de Ayuda: Administración de Sistema de archivos distribuido: Elección de un tipo de espacio de nombres
¿Qué son las carpetas y los destinos de carpeta?
Puntos clave
Se crean una o varias carpetas dentro de un espacio de nombres DFS. Estas carpetas contienen uno o varios destinos
de carpeta. Este tema describe estos dos conceptos de manera detallada.
Carpetas. Las carpetas son los elementos principales del espacio de nombres.
Destinos de carpeta. Un destino de carpeta es una ruta de la Convención de nomenclatura universal (UNC) a
una de las siguientes ubicaciones:
Administración de DFS
Requisitos del servidor de espacio de nombres
Puntos clave
Un servidor de espacio de nombres es un controlador de dominio o un servidor miembro que hospeda un espacio de
nombres DFS. El sistema operativo que se ejecuta en el servidor determina la cantidad de espacios de nombres que
éste puede hospedar.
La siguiente tabla enumera las instrucciones que debería seguir para cumplir con los requisitos del servidor de espacio
de nombres:
Servidor que hospeda espacios de nombres Servidor que hospeda espacios de nombres basados en
independientes dominio
Debe contener un volumen del sistema de archivos Debe contener un volumen NTFS para hospedar el espacio de
NTFS para hospedar el espacio de nombres nombres
Puede ser un servidor miembro o un controlador de Debe ser un servidor miembro o un controlador de dominio en
dominio el dominio en el que está configurado el espacio de nombres
Puede ser un servidor de archivos agrupados El espacio de nombres no puede ser un recurso en clúster en
un clúster de servidores
Tema de Ayuda: Preparación para implementar espacios de nombres DFS: Revisión de los requisitos del
servidor de espacio de nombres DFS
Demostración: Instalación de DFS
Pregunta: Necesita implementar la tecnología DFS en su entorno. ¿Se considera a DFS un servicio de función o una
característica?
Pregunta: ¿Es posible instalar una replicación DFS sin instalar espacios de nombres DFS?
Lección 2: Configuración de espacios de nombres DFS
Lección 2:
La configuración de espacios de nombres DFS consiste de varias tareas que implican crear la estructura de espacio
de nombres, crear las carpetas dentro del espacio de nombres y agregar destinos de carpeta. Además, puede decidir
realizar tareas de administración adicionales, tales como configurar el orden de referencia y la replicación DFS. Esta
lección brinda información acerca de cómo completar estas tareas de configuración y administración a fin de
implementar una solución DFS eficaz.
Implementación de espacios de nombres para publicar contenido
Puntos clave
La mayoría de las implementaciones DFS constan principalmente del contenido publicado en el espacio de nombres
DFS. Para configurar un espacio de nombres para su publicación, realice los siguientes procedimientos:
Existen varias tareas opcionales que quizá desee considerar, tales como:
Pregunta: ¿Cómo puede asegurarse de que un servidor específico siempre esté primero o último en la lista de
servidores que el cliente recibe al obtener acceso a un espacio de nombres?
Tema de Ayuda: Administración de Sistema de archivos distribuido: Implementar espacios de nombres DFS
Requisitos de seguridad para crear y administrar un espacio de nombres
Puntos clave
Para realizar tareas de administración de espacio de nombres, un usuario debe ser miembro de un grupo
administrativo o bien se le debe haber delegado un permiso específico para realizar la tarea. Puede hacer clic con el
botón secundario en el espacio de nombres y luego hacer clic en Delegar permisos de administración para delegar
los permisos requeridos.
Nota: Además, debe agregar el usuario al grupo Administrador Local en el servidor de espacio de nombres.
La siguiente tabla describe los requisitos de seguridad para crear y administrar un espacio de nombres DFS:
Administrar un espacio de nombres basado en Administrador Local en cada servidor de espacio de nombres
dominio
Pregunta: Necesita administrar un espacio de nombres basado en dominio. ¿Debe contar con privilegios de Domain
Administrator?
Material de lectura adicional
Pregunta: Desea habilitar la escalabilidad avanzada y la enumeración basada en el acceso. ¿Qué opción brindan
estas características?
Incremento de la disponibilidad de un espacio de nombres
Puntos clave
Para que los clientes se conecten a un espacio de nombres DFS, deben poder conectarse a un servidor de espacio
de nombres. Esto significa que es importante asegurarse de que los servidores de espacio de nombres estén
siempre disponibles. El proceso para aumentar la disponibilidad del espacio de nombres varía para cada espacio de
nombres independiente y basado en dominio. Los espacios de nombres basados en dominio pueden hospedarse en
múltiples servidores. Los espacios de nombres independientes se limitan a un único servidor.
Destinos de carpeta. Puede aumentar la disponibilidad de cada carpeta en un espacio de nombres agregando
varios destinos de carpeta.
Pregunta: ¿Cuáles son los métodos utilizados para asegurar que el contenido esté disponible dentro de un espacio
de nombres DFS?
Puntos clave
Los espacios de nombres cuentan con varias opciones de configuración que pueden usarse para optimizar las
posibilidades de uso y el rendimiento. Para optimizar un espacio de nombres, se puede:
Tema de Ayuda: Administración de Sistema de archivos distribuido: Ajuste de espacios de nombres DFS
Pregunta: ¿Qué tipos de rutas de acceso puede usar al crear un destino de carpeta nuevo?
Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con la
característica. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidad
específicos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología de
replicación eficaz.
¿Qué es la Replicación DFS?
Puntos clave
Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con la
característica. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidad
específicos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología de
replicación eficaz.
DFS-R usa un nuevo algoritmo de compresión denominado Compresión diferencial remota (RDC).
DFS-R detecta los cambios en el volumen supervisando el diario de número de secuencia de actualización
(USN) y replica los cambios una vez que se cierran los archivos.
DFS-R usa una carpeta provisional para agregar temporalmente un archivo antes de enviarlo o recibirlo.
DFS-R usa un protocolo de intercambio de vector de versión para determinar qué archivos deben sincronizarse.
DFS-R usa el método heurístico para la resolución de conflictos “prevalece el último en escribir” para los
archivos en conflicto (es decir, un archivo que se actualiza en varios servidores al mismo tiempo) y “prevalece el
primer creador” para los conflictos de nombre.
DFS-R cuenta con recuperación automática y puede recuperarse automáticamente a partir de los ajustes del
diario USN, la pérdida del diario USN o la pérdida de la base de datos de replicación DFS.
DFS-R usa un proveedor de Instrumental de administración de Windows (WMI) que brinda interfaces para
obtener información acerca de la configuración y la supervisión desde el servicio de Replicación DFS.
Pregunta: ¿Qué dos carpetas pueden ayudar a solucionar los problemas de replicación de archivos al usar DFS-R?
Pregunta: ¿Qué sucede cuando dos usuarios actualizan simultáneamente el mismo archivo en distintos servidores?
Puntos clave
Un grupo de replicación consiste en un conjunto de servidores miembro que participan de la replicación de una o
varias carpetas replicadas. Existen dos tipos principales de grupos de replicación:
Una carpeta replicada es una carpeta que está sincronizada entre cada servidor miembro.
Pregunta: ¿Cuáles son los dos tipos de grupos que pueden configurarse para la replicación?
Puntos clave
Para usar DFS-R, debe conocer los requisitos específicos. Entre estos requisitos, se incluyen:
Asegurarse de que el esquema de Active Directory haya sido actualizado para incluir los nuevos objetos de
replicación DFS.
Los servidores que participarán de la Replicación DFS deben ejecutar el sistema operativo Windows Server
2003 R2 o Windows Server 2008.
En los clústeres de servidores, las carpetas replicadas deben ubicarse en el almacenamiento local de un nodo.
Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivos
distribuido: Preguntas más frecuentes)
Observaciones de escalabilidad para la replicación DFS
Puntos clave
Cada servidor puede tener hasta 256 conexiones (por ejemplo, 128 conexiones entrantes y 128 conexiones
salientes).
En cada servidor, la cantidad de grupos de replicación multiplicada por el número de carpetas replicadas
multiplicado por la cantidad de conexiones activas simultáneamente debe ser igual o inferior a 1.024.
Un volumen puede contener 8 millones de archivos replicados como máximo y un servidor puede incluir hasta 1
terabyte de archivos replicados.
More on DFS Replication limits (Más información acerca de los límites de replicación DFS)
Proceso de implementación de un grupo de replicación multipropósito
Puntos clave
Se usa un grupo de replicación multipropósito para replicar datos entre dos o más servidores con el fin de compartir el
contenido general o publicar datos.
Puede usar el Asistente para nuevo grupo de replicación para realizar los siguientes pasos:
Concentrador y periferia
Malla completa
Sin topología
Una vez creado un grupo de replicación inicial, es posible modificar las carpetas replicadas, la conexión o la topología.
Además, se pueden delegar permisos para que otros administradores puedan administrar el grupo de replicación.
Pregunta: ¿Cuáles son las diferencias de seleccionar entre el grupo de replicación multipropósito y el grupo de
replicación para recopilación de datos?
Al configurar la replicación por primera vez, debe seleccionar un miembro principal que tenga los archivos por
replicarse más actualizados. Se considera que este servidor es autoritativo para cualquier resolución de conflictos que
se produzca cuando los miembros receptores tengan archivos más antiguos o nuevos en comparación con los
mismos archivos del miembro principal.
La replicación inicial siempre ocurre entre el miembro principal y sus asociados de replicación de recepción.
Al recibir los archivos del miembro principal durante la replicación inicial, los miembros receptores que
contienen archivos que no se encuentran en el miembro principal mueven esos archivos a la carpeta
DfsrPrivado\PreExistente correspondiente.
Para determinar si los archivos en el miembro principal y en el miembro receptor son idénticos, la replicación
DFS comparará los archivos usando un algoritmo hash.
Puntos clave
Para ayudar a mantener y solucionar los problemas de DFS-R, se pueden generar informes de diagnóstico y realizar
pruebas de propagación.
Puede usar el Asistente para informes de diagnóstico para realizar el siguiente procedimiento:
Pregunta: ¿Qué ficha muestra a los miembros remitentes y receptores del grupo de replicación?
Laboratorio: Configuración de DFS
Objetivos
Contraseña: Pa$$w0rd
Escenario
Es un especialista en tecnología de Servicios de infraestructura de Windows para Woodgrove Bank. Para simplificar el
acceso a los archivos para los usuarios y brindar alta disponibilidad y redundancia, implementará una solución DFS
para una cantidad de recursos compartidos distintos. Para este proyecto, debe llevar a cabo las siguientes tareas:
Instalar el servicio de función Sistema de archivos distribuido para incluir los espacios de nombres DFS y la
replicación DFS.
Crear un espacio de nombres DFS basado en dominio denominado CorpDocs usando NYC-DC1 y NYC-SVR1
como los servidores host de espacio de nombres.
En este ejercicio, instalará el servicio de función Sistema de archivos distribuido tanto en NYC-DC1 como en
NYC-SVR1. Esto ofrecerá redundancia para el espacio de nombres CorpDocs y permitirá a los clientes comunicarse
con el servidor de espacio de nombres dentro de su propio sitio.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.
2. Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuido
incluyendo las opciones Espacio de nombres DFS y Replicación DFS.
3. Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,
Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.
2. Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuido
incluyendo las opciones Espacio de nombres DFS y Replicación DFS.
3. Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,
Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.
Ejercicio 2: Creación de un espacio de nombres DFS
En este ejercicio se creará el espacio de nombres DFS CorpDocs. Además, se configurará tanto NYC-DC1 como
NYC-SVR1 para hospedar el espacio de nombres CorpDocs a fin de brindar redundancia.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
2. Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo.
En NYC-DC1, abra Usuarios y equipos de Active Directory y eleve el nivel funcional del dominio a Windows
Server 2008.
Tarea 2: Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo
2. Use Asistente para nuevo espacio de nombres para crear un espacio de nombres con las siguientes
opciones:
3. En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombres y luego haga clic en
\\WoodgroveBank.com\CorpDocs.
Tarea 3: Agregar un servidor de espacio de nombres adicional para hospedar el espacio de nombres
1. En NYC-DC1, en la consola Administración de DFS, use Asistente para agregar un servidor de espacio
de nombres para agregar un nuevo servidor de espacio de nombres con las siguientes opciones:
2. En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombre y luego haga clic en
\\WoodgroveBank.com\CorpDocs.
Ejercicio 3: Configuración de destinos de carpeta y replicación de carpeta
En este ejercicio, creará inicialmente destinos de carpeta en dos servidores diferentes y luego comprobará que el
espacio de nombres CorpDocs funcione correctamente. Luego, agregará disponibilidad y redundancia creando
destinos de carpeta adicionales y configurando la replicación.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
4. Crear destinos de carpeta adicionales para la carpeta PlantilladeRH y luego configurar la replicación de
carpetas.
5. Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectivas y luego configurar la replicación
de carpetas.
3. Agregue un nuevo destino de carpeta llamado ArchivosdePlantillasdeRH usando las siguientes opciones:
Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura
5. En el panel de detalles, haga clic en la ficha Espacio de nombre. Tenga en cuenta que PlantillasdeRH se
enumera como una entrada en el espacio de nombres.
3. Agregue un nuevo destino de carpeta denominado ArchivosdeDirectiva usando las siguientes opciones:
Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura.
4. En el árbol de consola, expanda \\WoodgroveBank.com\CorpDocs y luego haga clic en
ArchivosdeDirectiva. En el panel de detalles, observe que en la ficha Destinos de carpeta haya un destino
de carpeta configurado.
Tarea 4: Crear destinos de carpeta adicionales para la carpeta PlantillasdeRH y luego configurar la replicación de carpetas
1. En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientes
opciones:
Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura
Grupo de replicación: Sí
3. En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados y
habilitados.
Tarea 5: Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectiva y luego configurar la replicación de carpetas
1. En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientes
opciones:
Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura
Grupo de replicación: Sí
3. En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados y
habilitados.
Ejercicio 4: Visualización de informes de diagnóstico para las carpetas
replicadas
En este ejercicio, generará un informe de diagnóstico para ver el estado de replicación de carpetas.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
2. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
2. Lea el informe y observe los errores o las advertencias. Una vez que haya finalizado, cierre la ventana Microsoft
Internet Explorer®.
3. Cree un informe de diagnóstico para el grupo de replicación ArchivosdeDirectiva. Lea el informe y observe
los errores o las advertencias. Una vez que haya finalizado, cierre la ventana Internet Explorer. Tenga en cuenta
que pueden informarse errores si la replicación no ha comenzado o finalizado aún.
Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
2. ¿Qué tipo de tecnología de compresión se usa para DFS en Windows Server 2008?
4. ¿Cuál es la diferencia entre un espacio de nombres DFS basado en dominio y un espacio de nombres DFS
independiente?
5. ¿Cuál es el método de orden predeterminado para las referencias de clientes a destinos de carpeta?
7. ¿Qué carpeta se usa para almacenar en la memoria caché archivos y carpetas en los que se realizan cambios
conflictivos en dos o más miembros?
Servicio de nombres NetBIOS Controladores de dominio, servidores raíz que no sean controladores 137 137
de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta
Servicio de datagramas de Controladores de dominio, servidores raíz que no sean controladores 138
NetBIOS de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta
Servicio de sesión de NetBIOS Controladores de dominio, servidores raíz que no sean controladores 139
de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta
Nombre del servicio Equipos relevantes UDP TCP
Bloque de mensajes del Controladores de dominio, servidores raíz que no sean controladores 445 445
servidor (SMB) de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta
Herramientas
La siguiente tabla enumera las herramientas que pueden usarse para configurar y administrar DFS:
Administración Realizar tareas relacionadas con espacios Haga clic en Inicio, luego elija Herramientas
de DFS de nombres y replicación DFS. administrativas y finalmente haga clic en
Administración de DFS.
Módulo 12: Configuración y administración de Tecnologías de
almacenamiento
Módulo 12
La administración de almacenamiento del sistema operativo Windows Server 2008 y Administrador de recursos del
servidor de archivos son tecnologías de almacenamiento que pueden configurarse y administrarse para abordar
desafíos comunes de administración de capacidad y almacenamiento en el entorno de empresa.
Luego de completar la lección, tendrá un conocimiento sólido acerca de cuáles son estos desafíos y podrá describir
cómo usar Administrador de recursos del servidor de archivos y la administración de almacenamiento del sistema
operativo Windows Server 2008 para solucionar estos problemas.
Desafíos comunes de la administración de capacidad
Puntos clave
La administración de capacidad es el proceso de planeación, análisis, medición y optimización de los métodos para
responder al aumento de las demandas de almacenamiento de datos de la organización. A medida que aumenta la
necesidad de almacenamiento y acceso, también aumenta la necesidad de administración de capacidad. Realizar un
seguimiento de cuánta capacidad de almacenamiento queda disponible, cuánto espacio de almacenamiento se
necesita para una expansión futura y cómo se usa el almacenamiento del entorno le permite cumplir con los requisitos
de capacidad de almacenamiento de su organización.
La administración de capacidad es también un intento de controlar el uso indebido del almacenamiento corporativo.
Muchos usuarios tienden a almacenar grandes archivos multimedia personales, como MP3 o fotografías digitales, así
como también otro tipo de datos, tales como protectores de pantalla y juegos.
Desafíos comunes de la administración de almacenamiento
Puntos clave
Luego de la administración de capacidad, el siguiente desafío es administrar los tipos de archivo que están
almacenados. Muchas organizaciones almacenan entre 60 y 100 por ciento de sus datos de trabajo, incluyendo los
mensajes de correo electrónico, documentos de Office y bases de datos de aplicaciones de línea de negocio.
Determinada información es crítica para el funcionamiento de la empresa, mientras que otra no lo es tanto. Con
frecuencia, la información crítica debe mantenerse en un estado que le permita estar siempre disponible. Es posible
que algunos datos también tengan requisitos específicos de retención debido a los estándares reglamentarios o del
sector.
Los archivos y programas no aprobados también crean problemas de administración de almacenamiento. Muchos
usuarios tienden a almacenar archivos y programas no relacionados con trabajo que pueden consumir el
almacenamiento. La administración de almacenamiento intenta controlar el uso indebido del espacio corporativo.
Pregunta: Considere las directivas de retención internas. ¿Se implementan estas directivas debido a requisitos
internos o externos?
Puntos clave
Las empresas en la era digital están ligadas a la información, que debe almacenarse. Como profesional de tecnología
de la información (TI), cumplir con los requisitos de almacenamiento de su organización presenta desafíos constantes.
Para resolver estos desafíos deberá:
Puntos clave
FSRM es un conjunto completo de herramientas que permite a los administradores resolver los siguientes desafíos
clave de administración del servidor de archivos:
Informes. Brinda informes de uso de capacidad de almacenamiento para cumplir con los requisitos
reglamentarios que otorgan a los administradores, los grupos de seguridad y el personal administrativo la
capacidad de realizar funciones de supervisión y auditoría.
Lección 2: Administración de almacenamiento usando Administrador de
recursos del servidor de archivos
Lección 2:
Se usa FSRM para configurar la administración de cuotas, implementar el filtrado de archivos y generar informes de
almacenamiento. Esta lección brinda información acerca de cómo administrar el almacenamiento usando FSRM.
Funciones de FSRM
Funciones de FSRM
Puntos clave
Administrador de recursos del sistema de archivos brinda varias características para llevar a cabo tareas de
administración de almacenamiento. La siguiente tabla describe las funciones de FSRM:
Función Descripción
Crear cuotas para limitar el Permite establecer la cantidad máxima de espacio asignada a un
espacio permitido para un usuario. También permite notificar al administrador si se excede la
volumen o carpeta cuota.
Generar cuotas automáticamente Permite especificar que las cuotas se generen dinámicamente cuando
se crean subcarpetas. Esto permite administrar el volumen de
almacenamiento sin tener que aplicar cuotas cada vez que se modifica
una estructura de directorio.
Supervisar los intentos de Habilita a los administradores para que se los notifique cuando los
guardar archivos no autorizados usuarios intenten guardar un tipo de archivo no aprobado.
Generar informes de Permite crear informes a intervalos regulares para revisión o crear
almacenamiento programados o a informes a petición, lo cual permite generar un informe rápidamente
petición para su uso inmediato.
Puntos clave
La consola FSRM permite visualizar todos los recursos locales de almacenamiento desde una única consola y crear y
aplicar directivas que controlan estos recursos. Las tres herramientas incluidas en la consola FSRM son:
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Opciones de configuración de FSRM
Puntos clave
Al instalar FSRM, se configurará la consola FSRM automáticamente, que se encuentra disponible en la carpeta
Herramientas administrativas y en la consola Administrador de servidores. Al abrir FSRM, se visualizarán tres nodos:
Administración de cuotas, Administración de filtrado de archivos y Administración de informes de almacenamiento.
Crear, administrar y obtener información acerca de cuotas, que establecen un límite de espacio en un volumen
o carpeta.
Crear, administrar y obtener información acerca de filtros de archivos, que bloquean tipos de archivos
seleccionados de un volumen o carpeta.
Crear excepciones al filtrado de archivos para invalidar determinadas reglas de filtrado de archivos.
Crear y administrar plantillas de filtro de archivos para simplificar la administración de filtrado de archivos.
Se usa el nodo Administración de informes de almacenamiento para configurar y programar distintos tipos de informes
de almacenamiento y crear informes a petición.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Configuración de opciones de FSRM
Se usa Administración de cuotas para crear cuotas que limiten el espacio permitido para un volumen o carpeta y para
generar notificaciones cuando los límites de cuota se alcanzan o exceden. FSRM brinda plantillas de cuota que se
pueden aplicar fácilmente a nuevos volúmenes o carpetas y que pueden usarse en toda la organización. Además, se
pueden aplicar plantillas de cuota de manera automática a todas las carpetas existentes en un volumen o carpeta, así
como también a cualquier subcarpeta nueva que cree en el futuro.
¿Qué es Administración de cuotas?
Puntos clave
En Administrador de recursos del servidor de archivos, se pueden crear cuotas que limiten el espacio permitido para
un volumen o carpeta y luego generar notificaciones cuando los límites de cuota se alcanzan o exceden. Al crear una
cuota para un volumen o carpeta, se limitará el espacio en disco asignado. El límite de cuota se aplica a todo el
subárbol de carpetas.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Cuotas de FSRM frente a Cuotas de disco NTFS
Puntos clave
Los sistemas operativos Microsoft Windows® 2000 Server, Windows Server® 2003 y Windows Server 2008 son
compatibles con las cuotas de disco, que pueden usarse para rastrear y controlar el uso de disco por usuario y/o por
volumen.
La siguiente tabla describe las ventajas de usar las herramientas de administración de cuotas de FSRM en
comparación con las cuotas de disco NTFS:
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué son las Plantillas de cuota?
Puntos clave
Las plantillas de cuota simplifican las tareas asociadas con la administración de cuotas. Si las cuotas se basan en una
plantilla de cuota y luego se decide cambiar la configuración de cuota, es posible simplemente actualizar la plantilla de
cuota y luego elegir actualizar automáticamente todas las cuotas que estén basadas en esta plantilla. Por ejemplo, se
podría elegir otorgar a cada usuario espacio adicional en el servidor de almacenamiento. Al actualizar la plantilla de
cuota, se actualizarán automáticamente todas las cuotas basadas en esta plantilla.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Creación y modificación de una cuota
Puntos clave
Su puede usar el nodo Administración de cuotas de FSRM para crear y modificar cuotas. Al crear una cuota para un
volumen o carpeta, se limitará el espacio en disco asignado a ese volumen o carpeta. El nodo Administración de
cuotas de FSRM incluye todas las opciones necesarias para trabajar con cuotas.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Supervisión de uso de cuotas
Puntos clave
Luego de configurar y aplicar cuotas a los recursos compartidos de archivos o volúmenes, es importante comprender
cómo supervisar el uso de disco para cumplir de manera eficaz con los requisitos de almacenamiento continuo en su
organización.
Además de la información incluida en las notificaciones, se puede supervisar el uso de cuota al:
Nota: Las cuotas reducen el rendimiento de entrada/salida (E/S) por segundo del subsistema de almacenamiento por
una pequeña cantidad (10 por ciento o menor). Los servidores que aplican cuotas a más de 10.000 carpetas pueden
experimentar una sobrecarga de rendimiento mayor.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Cómo crear y administrar cuotas
La directiva de seguridad podría prohibir que determinados tipos de archivos se coloquen en servidores de la
compañía y quizá desee que se lo notifique cuando un tipo de archivo determinado se guarde en un servidor de
archivos. Esta lección explica los conceptos relacionados con el filtrado de archivos que puede usarse para administrar
los tipos de archivos que los usuarios pueden guardar en servidores de archivos corporativos.
¿Qué es el Filtrado de archivos?
Puntos clave
Muchas organizaciones enfrentan problemas con usuarios de red que almacenan datos no autorizados o personales
en servidores de archivos corporativos. Esto no sólo implica un uso indebido del valioso espacio de almacenamiento,
sino que también aumenta la duración del proceso de copia de seguridad, podría ocasionar problemas de
cumplimiento de seguridad e incluso violar la privacidad dentro de la compañía.
También se puede implementar un proceso de filtrado para notificarlo por correo electrónico cuando se almacena un
tipo de archivo no autorizado en una carpeta compartida. El mensaje de correo electrónico puede incluir información tal
como el nombre del usuario que almacenó el archivo y su ubicación exacta de manera tal que puedan tomarse los
pasos de precaución correspondientes.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué son los grupos de archivos?
Puntos clave
Antes de comenzar a trabajar con los filtros de archivos, debe comprender la función que cumplen los grupos de
archivos al determinar el proceso de filtrado de archivos. Un grupo de archivos se usa para definir un espacio de
nombres para un filtro de archivos, una excepción al filtro de archivos o un informe de almacenamiento.
Un grupo de archivos consiste en un conjunto de patrones de nombre de archivo, que se agrupan en dos grupos:
Archivos para incluir y archivos para excluir:
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una Excepción al filtro de archivos?
Puntos clave
En ocasiones será necesario permitir excepciones al filtrado de archivos. Por ejemplo, es posible que desee bloquear
archivos de vídeo de un servidor de archivos pero necesitará permitirle a su grupo de entrenamiento que guarde los
archivos de vídeo para el aprendizaje asistido por PC. Para permitir archivos bloqueados por otros filtros de archivos,
cree una excepción al filtro de archivos.
Una excepción al filtro de archivos es un filtro de archivos que invalida cualquier filtrado de archivos que, de otra
manera, se aplicaría a una carpeta y a todas sus subcarpetas en una ruta de excepción designada. En otras palabras,
la excepción al filtro de archivos crea una excepción a cualquier regla derivada de una carpeta principal.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para Administrador
de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una Plantilla de filtro de archivos?
Puntos clave
Para simplificar la administración del filtro de archivos se recomienda basar los filtros de archivo en plantillas de filtro
de archivos. Una plantilla de filtro de archivos define lo siguiente:
Al crear filtros de archivos exclusivamente a partir de plantillas, podrá administrar los filtros de archivos de manera
central actualizando las plantillas en lugar de los filtros de archivos individuales.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Implementación de Filtrado de archivos
Para asistir en la planeación de capacidad, debe poder configurar y generar informes extensos basados en números
actuales de almacenamiento. En esta lección se describe cómo configurar, programar y generar informes de
almacenamiento usando FSRM.
¿Qué son los Informes de almacenamiento?
Puntos clave
Los informes de almacenamiento brindan información acerca del uso de archivos en un servidor de archivos. La
característica Administración de informes de almacenamiento FSRM permite generar informes de almacenamiento a
petición y programar informes de almacenamiento periódicos que ayuden a identificar las tendencias en el uso de
disco. También se pueden crear informes para supervisar intentos de almacenar archivos no autorizados para todos
los usuarios o un grupo seleccionado de usuarios.
Informe Description
Enumera los archivos que superan el tamaño especificado. Use este informe para
Archivos grandes identificar archivos que consumen un espacio excesivo en el disco del servidor.
Archivos por propietario Enumera los archivos agrupados por propietario. Use este informe para analizar los
patrones de uso del servidor y para identificar usuarios que usan una gran cantidad
de espacio en disco.
Archivos por grupo de Enumera los archivos que pertenecen a grupos de archivos especificados. Use
archivos este informe para identificar patrones de uso de grupos de archivos y para
identificar grupos de archivos que ocupan una gran cantidad de espacio en disco.
Esto le permitirá determinar qué filtros de archivos debe configurar en el servidor.
Archivos duplicados Enumera los archivos duplicados (archivos con el mismo nombre, tamaño y fecha de
última modificación). Use este informe para identificar y recuperar el espacio en
disco perdido debido a archivos duplicados.
Archivos no usados Enumera archivos a los que no se tuvo acceso durante un número especificado de
recientemente días. Este informe puede ayudar a identificar los datos usados con poca frecuencia
que podrían almacenarse y quitarse del servidor.
Archivos no usados
recientemente Enumera archivos a los que se tuvo acceso dentro de un número especificado de
días. Use este informe para identificar los datos usados con frecuencia que deberían
tener una alta disponibilidad.
Uso de cuotas Enumera las cuotas para las que el uso de cuotas supera un porcentaje
especificado. Use este informe para identificar cuotas con niveles de uso elevados,
de manera tal que puedan llevarse a cabo las acciones correspondientes. Este
informe incluye cuotas creadas sólo para volúmenes y carpetas en FSRM: No incluye
cuotas aplicadas a volúmenes en sistemas de archivos NTFS.
Auditoría de filtrado de Enumera las violaciones al filtrado de archivos que han ocurrido en el servidor
archivos durante un número determinado de días. Use este informe para identificar individuos
o aplicaciones que violan la directiva de filtrado de archivos.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una tarea de informes?
Puntos clave
Para generar un conjunto de informes de manera regular, se debe programar una tarea de informes. La tarea de
informes permite especificar lo siguiente:
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Generación de informes a petición
Puntos clave
Durante las operaciones diarias, quizá desee generar informes a petición para analizar los aspectos del uso actual del
disco del servidor. Use la acción Generar informes ahora para generar uno o varios informes. Los datos actuales se
agrupan antes de generar los informes.
Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Laboratorio: Configuración y administración de Tecnologías de
almacenamiento
Objetivos
Contraseña: Pa$$w0rd
Escenario
Como especialista en tecnología de Servicios de infraestructura de Windows (WIS), se le ha solicitado que configure
el almacenamiento en un servidor para cumplir con los estándares corporativos. Debe crear el almacenamiento con
una administración mínima a largo plazo usando filtrado de archivos y administración de cuotas.
Ejercicio 1: Instalación del servicio de función FSRM
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
Usando Administrador del Servidor, instale el servicio de función Administrador de recursos del sistema de
archivos. El servicio de función esta ubicado debajo de la función Servicios de archivo.
Ejercicio 2: Configuración de cuotas de almacenamiento
En este ejercicio, deberá configurar una plantilla de cuota que otorgue a los usuarios un máximo de 100 MB de datos
en sus carpetas de usuario. Cuando los usuarios excedan el 85 por ciento de la cuota o cuando intenten agregar
archivos que superen los 100 MB, deberá registrarse un evento en Visor de eventos en el servidor.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
En la consola Administrador de recursos del servidor de archivos, use el nodo Plantillas de cuota para
configurar una plantilla que establezca un límite máximo de 100 MB en el tamaño máximo de carpeta.
Asegúrese de que esta plantilla también notifique a Visor de eventos cuando la carpeta alcance el 85 por ciento
y el 100 por ciento de capacidad.
1. Use la consola Administrador de recursos del servidor de archivos y el nodo Cuotas para crear una cuota
en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios usando la plantilla de cuota creada en la Tarea
1.
1. Abra el símbolo del sistema y use el comando fsutil file createnew file1.txt 89400000 para crear un archivo
en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios\Usuario1.
3. Pruebe que la cuota funcione intentando crear un archivo de 16.400.000 bytes y luego presione Entrar.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
2. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
En la consola Administrador de recursos del servidor de archivos, use la opción Generar informe ahora
en el nodo Informes para generar un informe Eventos de auditoría de filtrado y Uso mínimo de cuota en la
carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios.
Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
2. Cuando es necesario bloquear un conjunto común de tipos de archivo, ¿qué debe crearse para bloquearlos de
la manera más eficaz?
3. Si desea aplicar una cuota a todas las subcarpetas en una carpeta, incluyendo las carpetas que se crearán en el
futuro, ¿qué opción debe configurarse en la directiva de cuota?
Herramientas
La siguiente tabla describe las herramientas que pueden usarse para configurar FSRM:
Herramienta Descripción
Copias de seguridad de Windows Server es una característica de Windows Server 2008 que ofrece una solución de
copias de seguridad y recuperación básica para el servidor en el que está instalada. Esta versión de Copias de
seguridad de Windows Server reemplaza la característica Copias de seguridad disponible en las versiones anteriores
del sistema operativo Windows.
Descripción general de Copias de seguridad de Windows Server
Puntos clave
Copias de seguridad es una característica opcional de Windows Server 2008 que ayuda a hacer copias de seguridad y
recuperar el sistema operativo y a restaurar archivos y carpetas almacenados en el servidor de manera confiable.
Copias de seguridad consta de un complemento Microsoft Management Console (MMC) y herramientas de línea de
comandos.
Importante: El complemento MMC no se encuentra disponible en la edición del sistema operativo Windows Server®
2008 Standard ni en todas las instalaciones principales. Para administrar copias de seguridad en un equipo con
Windows Server 2008 Standard, se debe usar el complemento en otro equipo para administrar las copias de
seguridad de manera remota o usar las herramientas de línea de comandos del equipo local.
Nuevas características de Copias de seguridad de Windows Server
Puntos clave
Restauración simplificada
Programación mejorada
Eliminación fuera del sitio de copias de seguridad para protección ante desastres
Administración remota
También se puede usar la herramienta Ntbackup.exw para montar cintas de versiones de copias de seguricad
anteriores en los sistemas operativos Windows® 2000 Server y Windows Server® 2003. No obstante, no puede
usarse para crear nuevas copias de seguridad en Windows Server 2008.
Pregunta: ¿Por qué una compañía podría querer separar las funciones Copias de seguridad y Restauración?
Puntos clave
De manera predeterminada, los miembros del grupo Administradores u Operadores de copia de seguridad pueden
obtener acceso a la herramienta Copias de seguridad. Es posible eliminar este derecho a otros grupos o personas.
Nota: Limite la cantidad de usuarios que pertenecen a los grupos Administradores u Operadores de copia de
seguridad en el servidor. Estos miembros del grupo pueden usar Copias de seguridad.
Puntos clave
Windows Server 2008 no hace copias de seguridad ni recupera datos de estado del sistema de la misma manera que
los servidores con Windows Server 2003 o Windows 2000 Server. En Windows Server 2008 se deben hacer copias
de seguridad de volúmenes críticos; no sólo de datos de estado del sistema.
En Windows Server 2008, los componentes del sistema que conforman los datos de estado del sistema dependen de
las funciones del servidor instaladas en el equipo y de los volúmenes que hospedan los archivos críticos que usan
tanto el sistema operativo como las funciones instaladas.
Puntos clave
Es posible optimizar el rendimiento de las copias de seguridad eligiendo una de las siguientes configuraciones
disponibles en la opción Establecer configuración de rendimiento en el panel Acciones de Copias de seguridad
de Windows Server:
Hacer siempre una copia de seguridad completa. Esta opción disminuye la velocidad de la copia de seguridad
pero no influye en el rendimiento total.
Hacer siempre una copia de seguridad incremental. Esta opción aumenta la velocidad de la copia de seguridad
pero podría incidir en el rendimiento de escritura ya que se dejan las instantáneas.
Personalizada Esta opción permite configurar todos los volúmenes de manera independiente para que realicen
copias de seguridad completas o incrementales.
Puntos clave
Cuando se ha creado una programación de copias de seguridad, éstas se llevan a cabo automáticamente todos los
días. Al crear una programación de copias de seguridad, es posible:
Pregunta: ¿Hay datos en su organización para los que podría necesitar una programación de copias de seguridad
personalizada? Una programación que haga copias de seguridad de datos varias veces al día, por ejemplo.
Windows Server 2008 Backup and Recovery Step-by-Step Guide (Guía paso a paso de Copias de seguridad y
recuperación de Windows Server
¿Cómo se restauran los datos?
Puntos clave
La restauración de datos se realiza mediante la herramienta Copias de seguridad de Windows Server. Esta
herramienta no está instalada de manera predeterminada. Debe instalarse usando el Asistente para configuración
inicial o la herramienta Administrador de servidores.
Después de hacer las copias de seguridad de los datos correctamente, es posible usar la opción Recuperar en el
panel Acciones de la herramienta Copias de seguridad de Windows Server para recuperar volúmenes, carpetas y
archivos en el servidor local o en otro servidor al que se conecta de manera remota.
Pregunta: ¿En qué casos consideraría la restauración de datos a una ubicación distinta a la original?
Configuración de instantáneas
En Windows Server 2008, al igual que en Windows Server 2003, es posible habilitar instantáneas conforme a un
volumen a fin de que se supervisen las modificaciones realizadas en los recursos compartidos de la red, ofreciendo
así al usuario la oportunidad de recuperar archivos y carpetas.
¿Qué son las instantáneas?
Puntos clave
La característica Versiones anteriores en Windows Server 2008 permite que los usuarios tengan acceso a versiones
anteriores de archivos y carpetas en la red. Esto resulta útil ya que los usuarios pueden:
Programación de instantáneas
Puntos clave
Si se usan los valores predeterminados para habilitar instantáneas de carpetas compartidas en un volumen, se
programarán las tareas para crear instantáneas a las 7:00 a.m. y al mediodía. El área de almacenamiento
predeterminada será en el mismo volumen y el tamaño se limitará al 10 por ciento del espacio disponible.
Si decide hacer instantáneas con mayor frecuencia, debe comprobar que el espacio asignado para almacenamiento
sea suficiente y que no se hagan instantáneas con una frecuencia que perjudique el rendimiento del servidor.
Pregunta: ¿Cómo consideraría modificar la programación predeterminada para su entorno? ¿Posee datos en los
recursos compartidos que podrían necesitar una programación más exigente?
Tema de Ayuda de Windows Server 2008: Habilitar y configurar instantáneas de carpetas compartidas
Demostración: Configuración de instantáneas
Puntos clave
Para versiones anteriores del sistema operativo Windows, debe estar instalado el software de cliente Versiones
anteriores para que el usuario pueda usar las instantáneas. Como el sistema operativo Windows Vista™ posee el
cliente de Versiones anteriores integrado al sistema operativo, la configuración del cliente no es necesaria.
Pregunta: ¿Cuál sería el problema si un usuario llama al Departamento de soporte técnico e informa que la ficha
Versiones anteriores no está en las propiedades de carpeta/archivo compartido?
Restauración de instantáneas
Puntos clave
Una vez que se han habilitado las instantáneas de carpetas compartidas y se comienzan a crear instantáneas, se
puede usar la característica Versiones anteriores para recuperar versiones anteriores de archivos y carpetas o
recuperar archivos y carpetas cuyos nombres se han modificado o que se han eliminado.
Tema de Ayuda de Windows Server 2008: ¿Cómo restaurar una versión anterior de un archivo o carpeta?
Demostración: Restauración de instantáneas
NLB es una tecnología de clúster que usa un algoritmo distribuido para equilibrar la carga de tráfico de red entre varios
hosts. Esto mejora la escalabilidad y disponibilidad de servicios basados en IP críticos, como la web, redes privadas
virtuales (VPN), multimedia de transmisión por secuencias, Terminal Services, Proxy, etc. También ofrece alta
disponibilidad al detectar errores de host y redistribuir automáticamente el tráfico a hosts operativos.
Descripción general de Administrador de equilibrio de carga de red
Puntos clave
Cuando se instala Equilibrio de carga de red como un controlador de red en cada uno de los servidores miembro o
hosts de un clúster, el clúster presenta una dirección IP virtual para las solicitudes de cliente. Las solicitudes de cliente
se difunden a todos los hosts en el clúster, pero sólo el host al que se asignó la solicitud de ese cliente acepta y
controla la solicitud. Todos los hosts restantes rechazan la solicitud. Según la configuración de cada uno de los hosts
en el clúster, el algoritmo de asignación estadística, que se encuentra en todos los hosts del clúster, asigna las
solicitudes de cliente a determinados hosts para que las procesen.
Usar NLB con Servicios de Terminal Server ofrece los beneficios de mayor disponibilidad, escalabilidad y rendimiento
de equilibrio de carga, como así también la posibilidad de distribuir gran cantidad de clientes de Servicios de Terminal
Server en un grupo de servidores de terminal.
Pregunta: ¿Posee algún servidor que hospede información sin estado que podría beneficiarse a partir de Equilibrio
de carga de red en su entorno?
How Network Load Balancing Technology Works (Cómo funciona la tecnología de Equilibrio de carga de red)
Puntos clave
Para configurar el clúster de Equilibrio de carga de red, es necesario configurar tres tipos de parámetros:
Parámetros de host, que son específicos para cada host en un clúster NLB.
Debe ser miembro del grupo Administradores en el host que se está configurando o se le debe haber delegado la
autoridad apropiada para usar Administrador de equilibrio de carga de red. Si está configurando un clúster o host
ejecutando Administrador de equilibrio de carga de red desde un equipo que no forma parte del clúster, no es
necesario ser miembro del grupo Administradores en ese equipo.
Tema de Ayuda de Equilibrio de carga de red de Windows Server 2008: Crear un nuevo clúster de Equilibrio de
carga de red
Demostración: Configuración de un clúster de Equilibrio de carga de red
Puntos clave
Un clúster de conmutación por error es un grupo de equipos independientes que trabajan en conjunto para aumentar la
disponibilidad de aplicaciones y servicios. Los servidores agrupados, denominados nodos, se conectan mediante
cables físicos y software. Si se produce un error en uno de los nodos del clúster, otro nodo comenzará a brindar el
servicio (proceso denominado conmutación por error). Por lo tanto, los usuarios experimentan ínfimas interrupciones
en el servicio.
Nota: La característica Clúster de conmutación por error no se encuentra disponible en las ediciones Windows® Web
Server 2008 ni Windows Server 2008 Standard.
Los clústeres de conmutación por error incluyen las nuevas funciones que se presentan a continuación:
Compatibilidad con discos de tabla de particiones (GPT) de identificador global único (GUID) en
almacenamiento de clúster
Entre las mejoras realizadas a la funcionalidad de clúster de conmutación por error existente, cabe mencionar:
Puntos clave
Debe revisarse cuidadosamente el hardware en el que se planea implementar un clúster de conmutación por error para
garantizar que sea compatible con Windows Server 2008. Esto es particularmente necesario si actualmente está
usando ese hardware para un clúster de servidores con Windows Server 2003. El hardware compatible con un clúster
de servidores con Windows Server 2003 no será necesariamente compatible con un clúster de conmutación por error
con Windows Server 2008.
Nota: No es posible realizar una actualización gradual desde un clúster de servidores con Windows Server 2003 a un
clúster de conmutación por error con Windows Server 2008. No obstante, después de crear un clúster de
conmutación por error con Windows Server 2008, es posible usar un asistente para migrar a éste determinados
valores de recursos de un clúster de servidores con Windows Server 2003.
Servidores
Almacenamiento
Pregunta: Si actualmente posee un clúster de servidores en una versión anterior de servidor, ¿es posible hacer una
actualización gradual a Clúster de conmutación por error de Windows Server 2008?
Tema de Ayuda de Administración del clúster de conmutación por error: Comprender los requisitos de los
clústeres de conmutación por error
Laboratorio: Configuración de disponibilidad de recursos de red
Objetivos
Configurar instantáneas
Escenario
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
2. En el panel de la lista Administración de equipos, expanda Carpetas compartidas y luego haga clic con el
botón secundario en Recursos compartidos.
4. Usando Asistente para nuevo recurso compartido, cree un nuevo recurso compartido en la unidad de disco C:\
denominado CopiadeSeguridaddeRed.
5. En la página Permisos de carpeta compartida, seleccione Los administradores tienen acceso total;
ningún otro usuario tiene acceso y luego haga clic en Finalizar.
Tarea 5: Hacer copias de seguridad manuales de los archivos a una ubicación de red
1. En NYC-DC1, abra la herramienta administrativa Copia de seguridad de Windows Server desde el menú
Inicio, ubicada en Herramientas administrativas.
2. En el panel Acciones de la ventana Copia de seguridad de Windows Server (Local), seleccione Hacer
copia de seguridad una vez.
3. En la página Opciones de copia de seguridad de Asistente para Hacer copia de seguridad una vez,
haga clic en Siguiente.
4. En la página Especificar tipo de copia de seguridad, seleccione Personalizar y luego haga clic en
Siguiente.
6. En la página Especificar tipo de destino, seleccione Carpeta compartida remota y luego haga clic en
Siguiente.
8. En la página Especificar tipos de copia de seguridad de VSS, seleccione Copia de seguridad completa
de VSS y luego haga clic en Siguiente.
10. En la página Progreso de copia de seguridad, compruebe que el estado sea Copia de seguridad
completa y luego haga clic en Cerrar.
1. Haga clic en Inicio, luego en Equipo y después haga doble clic en TodoslosArchivos (D:).
4. En la página Asistente para recuperación, Introducción, seleccione Otro servidor y luego haga clic en
Siguiente.
5. En la página Especificar tipo de ubicación, seleccione Carpeta compartida remota y luego haga clic en
Siguiente.
7. En la página Seleccione la fecha de la copia de seguridad, haga clic en la fecha de hoy (en negrita) y luego
haga clic en Siguiente.
10. En la página Especificar opciones de recuperación, acepte los valores predeterminados y luego haga clic
en Siguiente.
12. En la ventana Progreso de recuperación, compruebe que el estado sea Restauración de archivos
completada y luego haga clic en Cerrar.
4. Visualizar las versiones anteriores del archivo y restaurar una versión anterior.
2. En el árbol de consola de la ventana Administración de equipos, haga clic con el botón secundario en
Carpetas compartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.
3. En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Habilitar.
4. En el cuadro de diálogo Habilitar instantáneas que aparece, haga clic en Sí y luego en Aceptar.
1. En NYC-DC1, en la consola Administración del equipo, haga clic con el botón secundario en Carpetas
compartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.
2. En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Crear ahora.
Debería haber dos entradas enumeradas para las instantáneas del volumen seleccionado.
Tarea 4: Visualizar las versiones anteriores del archivo y restaurar una versión anterior
1. En NYC-CL1, haga clic en Inicio, escriba \\NYC-DC1\Shadow en el cuadro de texto Buscar y luego presione
Entrar.
2. Haga clic con el botón secundario en ShadowTest.txt y seleccione Propiedades del menú contextual.
4. En Versiones de archivo, observará la última instantánea que creó. Haga clic en Abrir para ver el contenido
del archivo. El archivo que está visualizando debería corresponder a la versión anterior del archivo que modificó
con texto.
5. Cierre el archivo y seleccione Restaurar en la ventana Versiones anteriores para restaurar el archivo a su
estado anterior, antes de que se le realizaran cambios.
5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
2. En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características e
instale Equilibrio de carga de red.
3. En la página Resultados, compruebe que la instalación se haya realizado correctamente y luego cierre el
Asistente para agregar características.
2. En la consola Administrador de Equilibrio de carga de red, haga clic con el botón secundario en Clústeres
de Equilibrio de carga de red en el panel de la lista y luego haga clic en Nuevo clúster.
3. En el cuadro de diálogo Nuevo clúster: Conectar, escriba el nombre de host NYC-DC1 y luego haga clic en
Conectar. Debería ver que la sección Nombre de la interfaz se carga con los datos de Conexión de área
local y Dirección IP de la interfaz. Haga clic en Siguiente.
4. En el cuadro de diálogo Nuevo clúster: Parámetros de Host, compruebe que el estado predeterminado sea
Iniciado y luego haga clic en Siguiente.
5. En el cuadro de diálogo Nuevo clúster: Clúster de direcciones IP, haga clic en Agregar y especifique la IP
de clúster IPv4 en 10.10.0.100 con una máscara de subred de 255.255.0.0 y luego haga clic en Aceptar.
6. En el cuadro de diálogo Nuevo clúster: Clúster de parámetros, escriba el Nombre completo de Internet:
imprimirsvr.woodgrovebank.com. Especifique el modo de operación de clúster Multidifusión y luego haga
clic en Siguiente.
8. En el panel de la lista de la consola Administrador de Equilibrio de carga de red, haga clic con el botón
secundario en imprimirSVR.woodgroovebank.com y luego haga clic en Agregar Host al clúster desde el
menú contextual.
9. En el cuadro de diálogo Agregar Host al clúster: Conectar especifique el nombre de host NYC-SVR1 y
luego haga clic en Conectar.
10. En Interfaces disponibles para configurar el clúster, haga clic en Conexión de área local y luego haga
clic en Siguiente.
11. En el cuadro de diálogo Agregar Host al clúster: Parámetros del Host, acepte los valores predeterminados
y luego haga clic en Siguiente.
12. En el cuadro de diálogo Agregar Host al clúster: Reglas de puerto, acepte los valores predeterminados y
luego haga clic en Finalizar.
1. En NYC-DC1, haga clic en Inicio, luego en Panel de control y, por último, haga doble clic en el applet de
Impresoras.
3. Agregue una impresora local con un Puerto estándar TCP/IP con la dirección 10.10.0.80. Desactive la casilla
Consultar la impresora y seleccionar automáticamente el controlador de impresora que se debe usar
y luego haga clic en Siguiente.
4. Espere a que finalice la detección del puerto TCP/IP y luego en el cuadro de diálogo Se requiere información
adicional sobre puertos, haga clic en Siguiente.
6. En el cuadro de diálogo Escriba un nombre de impresora, acepte los valores predeterminados y luego haga
clic en Siguiente.
7. En el cuadro de diálogo Impresoras compartidas, acepte los valores predeterminados y luego haga clic en
Siguiente.
8. En el cuadro de diálogo HP LaserJet 6MP se agregó con éxito, haga clic en Finalizar.
1. En NYC-CL1, haga clic en Inicio, escriba \\10.10.0.100 en el cuadro de texto Iniciar búsqueda y luego
presione Entrar.
Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. ¿Cuáles son los beneficios de usar tecnologías VSS y a nivel de bloque en comparación con los tipos
tradicionales de copias de seguridad basadas en archivos?
3. ¿Cuál es la diferencia entre los clústeres de conmutación por error y el Equilibrio de carga de red?
Procedimientos recomendados
Equilibrio de carga de red no ofrece seguridad adicional para los hosts de carga equilibrada y no puede usarse
como un firewall. Es importante asegurar correctamente las aplicaciones y hosts de carga equilibrada. Por lo
general, es posible encontrar los procedimientos de seguridad en la documentación de cada una de las
aplicaciones. Si está usando NLB para equilibrar la carga de un clúster de servidores IIS, por ejemplo, deberían
realizar los procedimientos y las instrucciones para asegurar IIS.
Debe proteger la subred NLB de la intrusión de equipos y dispositivos no autorizados para evitar la interferencia
de paquetes de latidos no autorizados.
Mientras no se solicite, use dos o más adaptadores de red en cada host de clúster, de ser posible:
Si el clúster está funcionando en el modo de unidifusión predeterminado, NLB no puede distinguir adaptadores
únicos en cada host. En consecuencia, no es posible ningún tipo de comunicación entre hosts de clúster a
menos que cada host de clúster posea dos adaptadores de red como mínimo.
Es posible configurar Equilibrio de carga de red en más de un adaptador de red. Sin embargo, si usa un
segundo adaptador de red como se indica en este procedimiento, asegúrese de instalar Equilibrio de carga de
red en un solo adaptador (denominado adaptador de clúster).
Es posible configurar Administrador de equilibrio de carga de red (NLBM) para que registre todos los eventos
NLBM. Este registro puede ser muy útil para solucionar problemas o resolver errores que surjan al usar NLBM.
Habilite el registro de NLBM haciendo clic en Configuración de registro en el menú Opciones del Administrador
de equilibrio de carga de red. Seleccione la casilla Habilitar registro y luego especifique un nombre y una
ubicación para el archivo de registro.
Como el archivo de registro del Administrador de equilibrio de carga de red posiblemente contiene información
reservada acerca del clúster y los hosts de Equilibrio de carga de red, debe estar correctamente asegurado. De
manera predeterminada, el archivo de registro hereda la configuración de seguridad del directorio en el que se creó;
por lo tanto, tal vez deba modificar los permisos explícitos en el archivo para restringir el acceso de lectura y escritura a
aquellas personas que no necesitan control total del archivo. Tenga en cuenta que la persona que usa NLBM necesita
control total sobre el archivo de registro.
Compruebe que la aplicación de carga equilibrada se haya iniciado en todos los hosts de clúster en que está
instalada la aplicación:
Esta lección explica cómo asegurar una función del servidor dentro de una infraestructura de Windows. A medida que
las organizaciones amplían la disponibilidad de datos, aplicaciones y sistemas de red, garantizar la seguridad de una
infraestructura de red se vuelve un desafío aún mayor. Las tecnologías de seguridad del sistema operativo Windows
Server® 2008 permiten a las organizaciones brindar una mejor protección a sus recursos de red y sus activos en
entornos cada vez más complejos y escenarios de negocios.
Desafíos de seguridad de una infraestructura de Windows
Puntos clave
Cada función del servidor requiere una configuración de seguridad específica, dependiendo del escenario de
implementación y de los requisitos de infraestructura. La documentación compatible con cada función del servidor
contiene información de seguridad y otras observaciones de seguridad. Además, algunas funciones del servidor están
más enfocadas en la seguridad, tales como Servicios de administración de derechos de Active Directory® (AD RMS) o
Servicios de certificados de Active Directory (AD CS). Para obtener una lista completa de las funciones del servidor
disponibles, ejecute el Asistente para Administrador de servidores, en el menú Herramientas administrativas.
Puntos clave
Luego de descubrir y documentar los riesgos que enfrenta su organización, el siguiente paso es examinar y organizar
las defensas que usará para brindar una solución de seguridad. El modelo de seguridad de defensa específica es un
punto de partida excelente. Este modelo identifica siete niveles de defensas de seguridad que garantizan que
cualquier intento de poner en riesgo la seguridad de una organización se enfrentará a un conjunto sólido de defensas.
Cada conjunto es capaz de desviar ataques en muchos niveles diferentes.
Pregunta: ¿Cuál es la parte más importante del modelo de seguridad de defensa específica?
Puntos clave
Sin seguridad física no se tiene seguridad. Los procedimientos principales para la seguridad del servidor son
relativamente fáciles de adoptar y se los debe integrar a la configuración de seguridad estándar de todos los
servidores. Algunos de los procedimientos principales para la seguridad del servidor deben incluir:
Aplicar el último Service Pack y todas las actualizaciones críticas y de seguridad disponibles.
Usar el Asistente para configuración de seguridad para examinar e implementar la seguridad del servidor en
base a las funciones del servidor.
Usar Directiva de grupo y plantillas de seguridad para proteger los servidores y reducir la superficie de ataque.
Restringir el ámbito de acceso para las cuentas de servicio, lo que reduce el daño en caso de que la cuenta
esté en riesgo.
Usar opciones de seguridad para restringir quiénes pueden iniciar sesión local en las consolas del servidor.
Pregunta: ¿Cuenta su compañía con una “guía” detallada de todas las instalaciones nuevas que ocurren en el
hardware nuevo? ¿Qué puede hacer para reducir la superficie de ataque en su infraestructura?
Puntos clave
El Asistente para configuración de seguridad (SCW) sirve de guía a través del proceso de creación, edición, aplicación
o reversión de una directiva de seguridad. Una directiva de seguridad creada con SCW es un archivo .xml que, cuando
se aplica, configura servicios, seguridad de red, valores de registro específicos y directivas de auditoría.
SCW es una herramienta basada en funciones que puede usarse para crear una directiva que habilite servicios, reglas
de firewall y configuración que un servidor seleccionado requiere para realizar funciones específicas. Por ejemplo, un
servidor podría ser un servidor de archivos, un servidor de impresión o un controlador de dominio.
Pregunta: ¿Su organización usa el Asistente para configuración de seguridad para la configuración de seguridad
basada en funciones? ¿Cuál es la diferencia entre una plantilla de seguridad y la directiva definida por SCW?
Tema de Ayuda de Windows Server 2008: Asistente para configuración de seguridad: Ayuda
¿Qué es Firewall de Windows?
Puntos clave
Firewall de Windows con seguridad avanzada combina un firewall host e IPsec. A diferencia de un firewall perimetral,
Firewall de Windows con seguridad avanzada se ejecuta en cada equipo con Windows Server 2008 y brinda
protección local contra los ataques a la red que puedan atravesar su red perimetral u originarse dentro de su
organización. También brinda seguridad a conexiones de equipo a equipo, lo que permite solicitar autenticación y
protección de datos para las comunicaciones.
Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada
Demostración: Uso del Asistente para configuración de seguridad para
asegurar las funciones del servidor
Demostración: Uso del Asistente para configuración de seguridad para asegurar las funciones del
servidor
Lección 2: Uso de plantillas de seguridad para asegurar servidores
Lección 2:
Las plantillas de seguridad han existido desde Windows NT 4.0 Service Pack 4. Estas plantillas de seguridad se han
vuelto un método popular para aplicar la configuración de seguridad tanto a servidores como a entornos de escritorio.
Una razón del éxito de las plantillas de seguridad es que brindan una amplia gama de valores de seguridad y son
fáciles de implementar en diversos entornos. Una única plantilla de seguridad puede establecer un ámbito amplio de
configuraciones de seguridad en muchos servidores y equipos de escritorio.
¿Qué es una Directiva de seguridad?
Puntos clave
Una directiva de seguridad en un entorno de Windows es una colección de configuraciones de seguridad que se
relacionan y se aplican a diferentes áreas del sistema.
Las directivas locales pueden resultar útiles en entornos que no sean de Servicios de dominio de Active Directory (AD
DS) porque se aplican a nivel del equipo local. Las directivas de dominio tienden a contar con más configuraciones
disponibles para establecer y se puede usar Directiva de grupo como medio para implementarlas.
Pregunta: ¿Su organización usa plantillas de seguridad a nivel del equipo local o GPO basado en dominio con
plantillas importadas?
Puntos clave
Una plantilla de seguridad contiene cientos de configuraciones posibles que pueden controlar uno o múltiples equipos.
Las plantillas de seguridad pueden controlar áreas tales como derechos del usuario, permisos y directivas de
contraseña. Es posible usar Objetos de directiva de grupo (GPO) para implementar plantillas de seguridad de manera
centralizada. También se pueden personalizar plantillas de seguridad para que incluyan casi todas las configuraciones
de seguridad en un equipo de destino.
Puntos clave
La herramienta Configuración y análisis de seguridad puede usarse para analizar y configurar la seguridad del sistema
local.
El análisis periódico permite realizar un seguimiento y garantizar un nivel de seguridad adecuado para cada equipo
como parte de un programa de administración de riesgos de la empresa. Se pueden ajustar los niveles de seguridad y,
además, se pueden detectar imperfecciones de seguridad que pueden ocurrir en el sistema a través del tiempo.
También se puede usar Configuración y análisis de seguridad para configurar la seguridad del sistema local.
Se puede configurar una directiva de auditoría que registre la actividad del usuario o del sistema en categorías de
eventos especificadas. Además, se puede supervisar la actividad relacionada con la seguridad, como por ejemplo
quién tiene acceso a un objeto, si un usuario inicia o cierra sesión en un equipo o si ocurren cambios en la
configuración de una directiva de auditoría.
Como procedimiento recomendado se debería crear un plan de auditoría antes de implementar Directiva de auditoría.
¿Qué es la auditoría?
¿Qué es la auditoría?
Puntos clave
La auditoría es el proceso que realiza un seguimiento de la actividad de los usuarios almacenando los eventos
seleccionados en un registro de seguridad del servidor o de la estación de trabajo.
Mencione que los tipos de eventos más frecuentes para auditar son:
Pregunta: ¿Cuáles son algunas de las razones por las que se deberían auditar ciertas áreas de un sistema o recurso
compartido determinado?
Introducción a la auditoría
¿Qué es una Directiva de auditoría?
Puntos clave
Una directiva de auditoría determina los eventos de seguridad que serán informados al administrador de red. Al
implementar una directiva de auditoría:
Audite el acceso del servicio de directorio o el acceso a objetos determinando para qué tipo de objetos se
desea supervisar el acceso y qué tipo de acceso se desea supervisar. Por ejemplo, si desea auditar cualquier
intento por parte de los usuarios de abrir un archivo determinado, puede establecer la configuración de la
directiva de auditoría en la categoría de evento de acceso a objetos a fin de que se registren tanto los intentos
correctos e incorrectos de leer un archivo.
Introducción a la auditoría
Tipos de eventos para auditar
Puntos clave
Antes de implementar una directiva de auditoría, debe determinar qué categorías de eventos desea auditar. La
configuración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. La
configuración de auditoría para las categorías de eventos no está definida de manera predeterminada en los
servidores miembro y las estaciones de trabajo que se unen a un dominio. Los controladores de dominio activan la
auditoría de manera predeterminada.
Se puede crear una directiva de auditoría que se ajuste a las necesidades de seguridad de su organización, definiendo
la configuración de auditoría para categorías de eventos específicas.
Pregunta: ¿Qué categorías de eventos audita su compañía actualmente? Si su compañía no está auditando, ¿qué
categorías de eventos desearía que se auditen en su organización?
Introducción a la auditoría
Demostración: Cómo configurar la auditoría
Esta lección describe Windows Server Update Services (WSUS), que es una herramienta para administrar y distribuir
actualizaciones de software que resuelve las vulnerabilidades de seguridad y otros problemas de estabilidad.
WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con el sistema operativo
Windows.
¿Qué es Windows Server Update Services?
Puntos clave
WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con los sistemas
operativos Microsoft Windows Server 2003, Windows Server® 2008, Windows Vista™, Microsoft Windows® XP con
Service Pack 2 y Windows 2000 con Service Pack 4. Usar WSUS le permite administrar la distribución de
actualizaciones que lanza Microsoft Update a los equipos de su red.
Facilidad de uso
La capacidad de ampliar WSUS 3.0 usando interfaces de programación de aplicaciones (API) mejoradas.
Pregunta: ¿Qué sistemas operativos de Microsoft pueden usar los servicios WSUS?
Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server Update
Services 3.0)
New in Windows Server Update Services 3.0 (Novedades en Windows Server Update Services 3.0)
Proceso de Windows Server Update Services
Puntos clave
Se recomienda un enfoque continuo de cuatro fases para el proceso de administración de actualizaciones: evaluar,
identificar, evaluar y planear e implementar. Es esencial repetir el proceso de administración de actualizaciones de
manera continua, ya que las actualizaciones nuevas que se encuentren disponibles pueden optimizar y proteger su
entorno de producción.
Cada fase cuenta con diferentes objetivos y métodos para el uso de las características de WSUS a fin de garantizar
que el proceso de administración de actualizaciones se lleve a cabo correctamente. Es importante observar que
pueden emplearse muchas características en más de una fase.
Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server Update
Services 3.0)
Requisitos del servidor para WSUS
Puntos clave
El número de equipos cliente que su organización esté actualizando es lo que controla los requisitos de hardware y de
software de base de datos. Un servidor WSUS que usa el hardware recomendado admite 20.000 clientes como
máximo. Se debe formatear tanto la partición del sistema como la partición en la que se instala WSUS con el sistema
de archivos NTFS.
Pregunta: ¿Cómo afectan las opciones de idioma para actualizaciones los requisitos del servidor para WSUS 3.0?
Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows Server
Update Services 3.0)
Configuración de Actualizaciones automáticas
Puntos clave
Es posible usar Directiva de grupo o el Registro para configurar Actualizaciones automáticas. Configurar
Actualizaciones automáticas implica dirigir los equipos cliente al servidor WSUS, garantizar que el software de
Actualizaciones automáticas que usa sea actual y configurar cualquier otro valor del entorno.
La mejor manera de configurar Actualizaciones automáticas y las opciones del entorno WSUS dependerá de su
entorno de red. En un entorno de Active Directory se usa Directiva de grupo. En un entorno que no es de Active
Directory, se puede usar Objeto de directiva de grupo local (GPO) o editar el Registro directamente.
Pregunta: ¿Cuándo usaría la configuración basada en registro para la configuración del cliente de Actualizaciones
automáticas, en lugar de usar Directiva de grupo?
Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows Server
Update Services 3.0)
Demostración: Instalación y configuración de WSUS
Administración de WSUS
Esta lección explica cómo se puede administrar WSUS realizando tareas administrativas con la consola Administración
de WSUS 3.0, o mediante la administración de grupos de equipos para destinar las actualizaciones a equipos
específicos y la aprobación de la instalación de actualizaciones en todos los equipos en su red WSUS o para
diferentes grupos de equipos.
Administración de WSUS
Administración de WSUS
Puntos clave
La consola Administración de WSUS 3.0 ha pasado de ser una consola basada en web a un complemento para la
MMC versión 3.0.
Pregunta: ¿Cómo se administra la infraestructura WSUS de manera remota desde otro servidor o estación de
trabajo?
Client Behavior with Update Deadlines (Comportamiento del cliente con fechas límite de actualización)
Administración de grupos de equipos
Puntos clave
Los grupos de equipos son una parte importante de las implementaciones de WSUS, incluso de una básica. Los
grupos de equipos permiten destinar actualizaciones a equipos específicos. Existen dos grupos de equipos
predeterminados: Todos los equipos y Equipos sin asignar. De manera predeterminada, cuando un equipo cliente
contacta inicialmente al servidor WSUS, éste último agrega dicho equipo cliente a cada uno de estos grupos.
Se pueden crear grupos de equipos personalizados. Una de las ventajas de crear grupos de equipos es que permiten
probar las actualizaciones antes de implementarlas ampliamente. Si la prueba resulta exitosa, se puede extender las
actualizaciones al grupo Todos los equipos. No existe un límite para el número de grupos personalizados que se
pueden crear.
Pregunta: ¿Cuáles son algunas de las ventajas de usar grupos de equipos en WSUS para implementar
actualizaciones?
Objetivos
Usar el Asistente para configuración y análisis de seguridad para analizar plantillas de seguridad.
Escenario
En este ejercicio, configurará y analizará la seguridad usando el Asistente para configuración de seguridad.
2. Abrir el Asistente para configuración de seguridad en 6822A-NYC-SVR1 y usarlo para configurar la seguridad
para una función del servidor determinada.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.
5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.
3. En la página Acciones de configuración, en Seleccione la acción que desea realizar, asegúrese de que
esté seleccionado Crear una nueva directiva de seguridad y luego haga clic en Siguiente.
4. En la página Seleccionar servidor, compruebe que el servidor especificado en el cuadro de texto Servidor
sea NYC-SVR1 y luego haga clic en Siguiente.
6. Cuando se abre Visor de Asistente para configuración de seguridad (SCW), puede aparecer un cuadro de
mensaje de Microsoft Internet Explorer® solicitando permiso para permitir un control Active X. En este cuadro
de mensaje haga clic en Sí.
7. Desplácese y lea la lista de Funciones del Servidor, Características del cliente, Opciones de
Administración y otras, Servicios y Firewall de Windows.
9. En las páginas Configuración del servicio basado en funciones, Seleccionar funciones del servidor,
Seleccionar características del cliente, Seleccionar administración y otras opciones y Seleccionar
servicios adicionales, acepte la configuración predeterminada y luego haga clic en Siguiente.
10. En la página Tratamientos de servicios sin especificar, asegúrese de que esté seleccionado No cambiar
el modo de inicio del servicio y luego haga clic en Siguiente.
11. En la página Confirmar cambios de servicio, desplácese por la lista y observe qué servidores se
deshabilitarán y luego haga clic en Siguiente.
12. En la página Seguridad de red, haga clic en Siguiente para comenzar a configurar la seguridad de red.
13. En la página Reglas de seguridad de red, desplácese por la lista de puertos que estará abierta y luego haga
clic en Siguiente.
14. En las páginas Configuración del Registro y Directiva de auditoria, seleccione Omitir esta sección y
luego haga clic en Siguiente.
17. En la página Aplicar directiva de seguridad, seleccione Aplicar ahora y luego haga clic en Siguiente.
18. Aparece la página Aplicar directiva de seguridad y el asistente prepara y aplica la directiva.
19. Cuando aparezca Aplicación completada en la barra de estado haga clic en Siguiente.
20. En la página Finalización del Asistente ara configuración de seguridad, haga clic en Finalizar.
Ejercicio 2: Análisis de Plantillas de seguridad
2. Analizar la configuración actual del equipo comparándola con la configuración de las plantillas seguras.
1. En NYC-SVR1, cree una MMC personalizada con los complementos Plantillas de seguridad y
Configuración y análisis de seguridad.
2. Usando Consola1 MMC que se creó en el paso anterior, cree una plantilla con el nombre Segura.
3. Expanda Directiva segura, expanda Directivas locales y luego selecciones Opciones de seguridad.
4. Haga doble clic en Inicio de sesión interactivo: no mostrar el último nombre de usuario.
5. Seleccione la casilla Definir esta directiva de configuración en la plantilla, haga clic en Habilitado y luego
en Aceptar.
Tarea 2: Analizar la configuración actual comparándola con la configuración de las plantillas seguras
1. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego haga clic en Abrir base de datos.
2. En el cuadro de diálogo Abrir base de datos, escriba el nombre de archivo Seguro y luego haga clic en Abrir.
3. En el cuadro de diálogo Importar plantilla, seleccione plantilla Segura y luego haga clic en Abrir.
4. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego haga clic en Analizar el equipo ahora.
5. En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registro
predeterminado.
6. Una vez finalizado el análisis, en el panel de lista, expanda Configuración y análisis de seguridad, expanda
Directivas locales y luego seleccione Opciones de seguridad.
7. Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario y
compare el valor de la base de datos con la configuración del equipo. Debería ver una “x” roja en el elemento.
Esto indica que los valores de la configuración del equipo y los de la configuración de la base de datos son
diferentes.
1. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y, luego, entre las opciones disponibles, seleccione Configurar el equipo ahora.
2. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego seleccione Analizar el equipo ahora.
3. En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registro
predeterminado.
4. Una vez finalizado el análisis expanda Directivas locales y luego seleccione Opciones de seguridad.
5. Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario y
compruebe que aparezca la marca de verificación que indica que la configuración de la base de datos y del
equipo es la misma.
1. Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio a fin de
configurar actualizaciones de cliente.
5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio para configurar
actualizaciones de clientes
2. En el panel de la lista, haga clic con el botón secundario en WoodGroveBank.com, haga clic en Crear un
GPO en este dominio y vincularlo aquí y luego denomine WSUS al GPO.
3. Haga clic con el botón secundario en el vínculo del GPO WSUS, en WoodGroveBank.com y luego haga clic
en Editar.
4. En la ventana Editor de Administración de directivas de grupo, expanda Configuración del equipo, luego
Directivas, Plantillas administrativas y Componentes de Windows y finalmente haga clic en Actualización
de Windows.
11. En el símbolo del sistema, escriba gpupdate /force y luego presione Entrar.
Tarea 2: Usar la herramienta de administración WSUS para configurar las propiedades de WSUS
1. En NYC-SVR1, abra Microsoft Windows Server Update Services 3.0 SP1 en el menú Herramientas
administrativas.
2. En la ventana de la herramienta administrativa Update Services, en el panel de la lista de NYC-SVR1, haga clic
en Opciones.
3. Usando el Panel de detalles, visualice los valores de configuración disponibles en WSUS y haga clic en
Cancelar por cada elemento que se haya completado.
2. En el panel Acciones, haga clic en Agregar grupo de equipos y nombre al grupo HO Equipos.
3. Cambie la pertenencia del objeto de equipo nyc-cl2.woodgrovebank.com para que forme parte del grupo HO
Equipos.
1. En la herramienta administrativa Update Services, en el panel de la lista expanda Actualizaciones y luego haga
clic en Actualizaciones críticas.
2. En el panel de detalles, cambie los filtros Aprobación y Estado a Cualquiera y luego haga clic en Actualizar.
Observe todas las actualizaciones disponibles.
3. En el panel de detalles Actualizaciones críticas, haga clic con el botón secundario en Actualización para
Windows Vista (KB936357) y luego seleccione Aprobar en el menú contextual.
4. En la ventana Aprobar actualizaciones que aparece, haga clic en la flecha junto a Todos los equipos,
seleccione Aprobado para su instalación y luego haga clic en Aceptar.
5. En la página Progreso de aprobación, haga clic en Cerrar una vez que haya finalizado el proceso.
Nota: Observe que aparece un mensaje que indica que la actualización ha sido aprobada pero que debe descargarse
para finalizar.
7. Vea los diversos informes de WSUS disponibles y determine cuántas actualizaciones requiere NYC-CL2.
Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).
2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.
Preguntas de revisión
1. ¿Qué clase de desafíos podría experimentar una empresa mediana que no serían un problema grave para una
empresa más grande?
2. ¿Cuál es la ventaja de usar la herramienta Configuración y análisis de seguridad para comparar la configuración
de las plantillas con la configuración aplicada actualmente en el equipo?
3. Si decide aplicar una directiva de auditoría, ¿cómo debe configurar las propiedades del registro de seguridad
en Visor de eventos?
4. ¿Qué debe hacer un administrador antes de que se envíe una actualización a los clientes y servidores a través
de WSUS?
5. ¿Cuál es la razón del establecimiento de una fecha pasada como fecha límite para una instalación automática?
Procedimientos recomendados
Los pasos básicos para asegurar un sistema operativo son los mismos para cualquier sistema operativo que use.
Considere los siguientes procedimientos recomendados para asegurar un sistema operativo:
Configurar el registro del sistema para que almacene los eventos importantes.