Академический Документы
Профессиональный Документы
Культура Документы
Instalación y Configuración
El examen 70-410 "Instalación y Configuración de Windows Server 2012" es el primero de
tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012.
Este examen valida sus competencias y conocimientos acerca de la puesta en marcha de
una infraestructura Windows Server 2012 básica en un entorno empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos
oficiales, tanto desde un punto de vista teórico como práctico. Ha sido redactado por un
formador profesional reconocido, también consultor, certificado técnica y pedagógicamente
por Microsoft. De esta forma, su saber hacer pedagógico y técnico conducen a un enfoque
claro y visual, de un alto nivel técnico.
Capítulo tras capítulo, podrá validar sus conocimientos teóricos, empleando un gran
número de preguntas-respuestas (145 en total) haciendo hincapié tanto en los
fundamentos como las características específicas de los conceptos abordados.
Cada capítulo esta terminado por los prácticas (42 en total) gracias a las que tendrá los
medios para medir su autonomía. Estas operaciones concretas, llegando más allá de los
objetivos fijados para el examen, le permitirán forjar una primera experiencia significativa
y adquirir verdaderas competencias técnicas en situaciones reales. Los scripts incluidos en
el libro pueden descargarse en el sitio www.ediciones-eni.com.
A este dominio del producto y sus conceptos, se añade la preparación específica para la
certificación: en el sitio www.edieni.com podrá acceder de forma gratuita a 1 examen
en línea, destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio,
cada pregunta está planteada dentro del espíritu de la certificación y, para cada una, se
encuentran respuestas suficientemente comentadas para cubrir o identificar sus lagunas.
Descripción
El examen 70-410 "Instalación y Configuración de Windows Server 2012" es el primero de
los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012
certification. Este examen valida sus competencias y conocimientos acerca de la puesta en
marcha de una infraestructura Windows Server 2012 básica en un entorno empresarial
existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos
oficiales (se proporciona la lista en el anexo) tanto desde un punto de vista teórico como
práctico.
• Una definición de los objetivos a alcanzar: permite definir de forma precisa las
competencias proporcionadas por el capítulo una vez validado.
• Una parte teórica: permite definir los términos y conceptos abordados y
esquematizar en forma de hilo conductor los diferentes puntos a asimilar.
• Una parte de validación de conocimientos que se presenta bajo la forma de
preguntas/respuestas (145 en total). Estas preguntas y sus respuestas comentadas
destacan tanto los elementos fundamentales como las características específicas de
los conceptos tratados.
• Los talleres (42 en total): permiten ilustrar con precisión ciertas partes del curso y
le aportan los medios para evaluar su autonomía. Estas operaciones, en particular, le
permitirán forjar una primera experiencia significativa y adquirir verdaderas
competencias técnicas sobre todo un conjunto de situaciones reales, más allá de los
objetivos fijados para el examen.
A este dominio del producto y sus conceptos se añade la preparación específica para la
certificación: en el sitio www.edieni.com podrá acceder de forma gratuita a 1 examen
en línea, destinado a entrenarle en condiciones similares a las de la prueba. En este sitio,
cada pregunta está planteada dentro del espíritu de la certificación y, para cada una, se
encuentran respuestas suficientemente comentadas que le permitirán cubrir o identificar sus
lagunas.
Introducción
El antiguo plan de certificación permitía obtener la certificación MCITP (Microsoft
Certified IT Professional). Éstas han sido rebautizadas MCSA (Microsoft Certified Solution
Associate) y MCSE (Microsoft Certified Solutions Expert).
Organización de las certificaciones
Plan de estudios MCSA
El plan de estudios MCSA está compuesto por tres exámenes. El examen 70-410, que trata
sobre la Instalación y configuración de Windows Server 2012. Se requiere aprobar, a
continuación, el segundo examen cuyo número es el 70-411. Éste trata sobre la
Administración de Windows Server 2012. Finalmente, para aprobar el plan de estudios,
es necesario aprobar el examen 70-412. Éste tiene por objeto la Administración avanzada
de Windows Server 2012.
A partir de ahora, existen tres planes de estudio MCSE (Microsoft Certified Solutions
Expert).
Se deben aprobar dos exámenes para obtener esta certificación. Además del plan de
estudios MCSA, es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el
examen 70-414, Implementación de una infraestructura de servidor avanzada para validar el
plan de estudios.
Este plan de estudios se compone de tres exámenes. Se deben aprobar los exámenes 70-
415, Implementación de una infraestructura de puestos de trabajo y el 70-416,
Implementación de entorno de aplicación ofimática.
Para obtener la certificación MCSE Private Cloud, se requiere aprobar los exámenes 70-
246 Monitorización y uso de un cloud privado con System Center 2012 y 70-247
Configuración y despliegue de un cloud privado con System Center 2012.
Es preferible seguir los capítulos en su orden. En efecto, estos confieren las competencias
necesarias para aprobar el examen de forma progresiva al lector. Al final de cada capítulo,
una serie de preguntas validarán el nivel que debe ser alcanzado. Si se supera, el lector
podrá pasar al siguiente capítulo.
El primer capítulo introduce el libro y permite una mejor comprensión de la forma en la que
el libro está construido.
Los tres capítulos siguientes tratan sobre Active Directory. Los primeros puntos permiten
obtener o revisar los conceptos básicos necesarios para Active Directory. Después de haber
visto las diferentes maneras de promover un servidor a controlador de dominio (promover
con IFM), se abordan las diferentes características (papelera de reciclaje, directiva de
contraseñas muy específica). Se abordan, a su vez, los objetos Active Directory (usuario,
equipo...) que es posible crear. Los talleres permiten implementar delegaciones, la gestión
de cuentas de usuario o el restablecimiento de un canal seguro. La parte Active Directory
termina con el capítulo de automatización de la administración. Los puntos tratados son la
administración por línea de comandos y mediante PowerShell.
La sección acerca de las redes se aborda posteriormente a estos capítulos. Se estudian los
protocolos IPv4 e IPv6. Se abordan la conversión binario/decimal, las direcciones
privadas/públicas y el direccionamiento IPv4. Esta sección se complementa con la
implantación de subredes y los diferentes comandos (ping, tracert e ipconfig). Finalmente,
la sección sobre IPv6 (información general del protocolo y las diferentes direcciones)
completa y cierra el capítulo.
Los dos capítulos siguientes tratan sobre la administración del espacio de almacenamiento y
el servidor de archivos. En el primer capítulo, se proporciona una definición de DAS
(Direct Attached Storage), NAS (Network Attached Storage) y SAN (Storage Area
Network) para seguidamente estudiar la gestión de discos y volúmenes (MBR, GPT, FAT,
NTFS y ReFS) y el despliegue de un espacio de almacenamiento. El capítulo siguiente
permite comprender la gestión de los diferentes controladores, las instantáneas y ABE
(Access Based Enumération).
El capítulo decimocuarto y último del libro trata sobre las herramientas de análisis incluidas
en Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
1. El examen de certificación
El examen de certificación está compuesto de varias preguntas. Para cada una, se ofrecen
varias respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener
una nota de 700 para aprobar el examen.
El día indicado, contará con varias horas para responder al examen. No dude en tomarse
todo el tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es
posible marcar las preguntas para una relectura antes de terminar el examen. El resultado se
emite al finalizar el examen.
Para preparar el examen de una forma óptima es necesario, en primer lugar, leer los
diferentes capítulos y luego realizar los talleres.
Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte
ningún capítulo y repítalo tantas veces como sea necesario. Se ofrece un examen de prueba
con este libro que le permite evaluar sus conocimientos antes de presentarse al examen.
Máquinas virtuales utilizadas
Para realizar los talleres y evitar multiplicar el número de máquinas, se instala un sistema
de virtualización. El capítulo permite la instalación del Sandbox o maqueta. Éste emplea el
hipervisor de Microsoft Hyper-V. Puede utilizar, si lo desea, su propio sistema de
virtualización.
A continuación, se instalan varias máquinas virtuales que ejecutan Windows Server 2012 o
Windows 8.
http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
http://technet.microsoft.com/es-es/evalcenter/hh670538.aspx
2. Objetivos
Existen varios sistemas de virtualización, cada uno utiliza un disco virtual (un archivo en
formato vhd, vhdx…) así como una red virtual (interna al equipo o empleando la red
física).
Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo,
esta tecnología llamada VDI (Virtual Desktop Initiative) permite la virtualización del
sistema operativo pero también de las aplicaciones. El puesto puede, entonces, ser de tipo
cliente ligero o de tipo PC.
2. Virtualización de aplicaciones
3. Hyper-V en Windows 8
Se puede instalar el rol Hyper-V en Windows 8 (solo en las ediciones Pro y Enterprise).
Los requisitos previos a nivel de procesador son idénticos a Windows Server 2012. El
procesador debe soportar SLAT (Second Level Address Translation). También es necesario
un mínimo de 4 GB de RAM. Si se instala Hyper-V en Windows 8, no se contará con las
características llamadas ”Enterprise” (live migration…) .
Implementación de Hyper-V
Hyper-V es un sistema de virtualización disponible en los sistemas operativos servidor a
partir de Windows Server 2008. Está disponible actualmente en versión 3. La ventaja de
este hipervisor es el acceso directo al hardware de la máquina host (y por ende un mejor
tiempo de respuesta). El rol Hyper-V puede instalarse con Windows Server 2012 en modo
instalación completa (con el interfaz gráfico instalado) o en una instalación mínima (sin
interfaz gráfico).
Como muchos de los roles en Windows Server 2012, Hyper-V tiene sus requisitos previos.
Esto concierne al hardware del equipo.
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second
Level Address Translation). La capacidad del procesador debe responder a las necesidades
de las máquinas virtuales. Estas últimas pueden soportar como máximo 32 procesadores
virtuales. La cantidad de memoria en el servidor host debe ser superior a la asignada a las
máquinas virtuales. Durante la asignación de la memoria a las máquinas virtuales, es
necesario reservar una parte para el funcionamiento de la máquina física. Si el equipo
consta de 32 GB de RAM, es aconsejable reservar de 1 a 2 GB para el funcionamiento del
servidor físico (el tamaño de la reserva varía en función de los roles instalados en la
máquina física).
La memoria dinámica permite asignar una cantidad mínima de memoria. Sin embargo, si la
máquina virtual tiene necesidad de más memoria, está autorizada a solicitar una cantidad
suplementaria (esta última no puede exceder la cantidad máxima asignada). Esta
característica se introdujo en los sistemas operativos servidor posteriores a Windows Server
2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los
valores mínimos y máximo de la memoria durante el arranque.
La memoria búffer es una característica que permite a la máquina virtual contar con una
cantidad adicional de memoria RAM en caso de necesidad.
La ponderación de memoria permite establecer prioridades para la memoria disponible.
VM de generación 1
Este tipo de máquina virtual proporciona las mismas ventajas que las versiones anteriores
de Hyper-V.
VM de generación 2
Las máquinas virtuales de esta generación no permiten utilizar tarjetas de red heredadas o
unidades conectadas a un controlador IDE. Adicionalmente, solo están soportados los
siguientes sistemas operativos:
En adelante es posible, en Hyper-V, redirigir los recursos locales a una máquina virtual. De
esta forma, esta funcionalidad proporciona funciones similares a la conexión de escritorio
remoto.
• Configuración de vista
• Dispositivos de audio
• Impresoras
• Portapapeles
• Tarjetas inteligentes
• Dispositivos USB
• Dispositivos plug and play soportados
Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.
Durante la conexión a una máquina virtual que soporte esta funcionalidad, se abre un
cuadro de diálogo que permite configurar la visualización.
También es posible configurar la redirección de recursos locales.
Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD
(Virtual Hard Disk). Con este formato, el tamaño de los archivos ya no está limitado a 2
TB, cada disco duro virtual puede tener un tamaño máximo de 64 TB. El formato VHDX es
menos sensible a la corrupción de archivos por un cierre inesperado (por un corte de luz por
ejemplo) del servidor. Es posible convertir los archivos VHD existentes en VHDX (este
punto se aborda en profundidad en este capítulo).
Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de
discos, incluyendo discos de tamaño fijo, dinámico y de acceso directo ”pass-through”. Al
crear un disco virtual de tamaño fijo se reserva el tamaño total del archivo en el disco. De
esta forma, se puede limitar la fragmentación del disco duro de la máquina host y mejorar
su rendimiento. Sin embargo, este tipo de disco presenta el inconveniente de consumir
espacio en disco incluso si el archivo VHD no contiene datos.
El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder
directamente a un disco físico. El sistema operativo de la máquina virtual considera el disco
como interno. Esto puede ser útil para conectar la máquina virtual a una LUN (Logical Unit
Number) iSCSI. Sin embargo, esta solución requiere un acceso exclusivo de la máquina
virtual al disco físico empleado. El disco deberá quedar operativo mediante la consola de
Administración de discos.
2. Administración de un disco virtual
Se pueden realizar ciertas operaciones con los archivos VHD. Es posible, por ejemplo,
comprimirlos para reducir el espacio utilizado o para convertir su formato de vhd a vhdx.
Durante la conversión del disco duro virtual, el contenido se copiará al nuevo archivo
(conversión de un archivo de tamaño fijo en un archivo de tamaño dinámico, por ejemplo).
Una vez se copian los datos al nuevo disco, el archivo antiguo se elimina.
Se pueden llevar a cabo otras operaciones como la reducción de un archivo dinámico. Esta
opción permite reducir el tamaño de un disco si este último no emplea todo el espacio que
le ha sido asignado. Para los discos de tamaño fijo, eventualmente será necesario convertir
los archivos VHD en archivos de tipo dinámico.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros
virtuales, opción Editar disco… en el panel Acciones. La ventana proporciona acceso a
varias opciones.
Al utilizar discos de diferenciación, cada uno contiene los datos agregados desde la última
instantánea realizada.
• Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red
de la máquina host desde la máquina virtual. De esta forma, la última tiene una
conexión a la red física, permitiéndole acceder a los equipos o servidores de la red
física.
• Interno: permite la creación de una red entre la máquina física y las máquinas
virtuales. Es imposible para las máquinas de la red física comunicar con las
máquinas virtuales.
• Privado: la comunicación puede hacerse exclusivamente entre las máquinas
virtuales, la máquina host no puede contactar con ninguna de las máquinas virtuales.
Una vez creado, es conveniente vincular el adaptador de red de la máquina virtual con el
conmutador deseado.
Talleres
Esta sección precede a la puesta en marcha del ”Sandbox” que tendrá como objetivo
familiarizarle con Hyper-V.
Objetivo: el objetivo de este ejercicio es crear los conmutadores virtuales que podrán ser
utilizados en el ”Sandbox” (sección siguiente).
El Sandbox
El ”Sandbox” consiste en la creación de un entorno virtual o físico de pruebas que permita
realizar las pruebas sin perturbar las máquinas o servidores de producción.
Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales,
como por ejemplo una máquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM.
El sistema operativo será Windows Server 2012.
Una instalación completa, se instala una interfaz gráfica que permite administrar el servidor
de forma gráfica o por línea de comandos.
Una instalación mínima, se instala el sistema operativo, sin embargo no está presente
ninguna interfaz gráfica. Solo se cuenta con un símbolo de sistema, la instalación de roles,
características o la administración diaria se realizan por línea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote
Server Administration Tools) en un puesto remoto.
Una vez terminada la instalación del servidor, se requiere configurar el nombre del servidor
y su configuración IP.
Hyper-V es un rol, marque la opción por defecto y luego haga clic en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en Siguiente.
Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
características.
Haga clic en Siguiente en la ventana de instalación de características.
Es necesario crear un conmutador virtual, haga clic en el adaptador de red para establecer
un puente entre la red física y la máquina virtual.
Si no desea utilizar el adaptador de red físico, será necesario crear un conmutador virtual
antes de volver a arrancar el servidor.
Haga clic tres veces en Siguiente y luego en Instalar.
Ubique el puntero del ratón en la esquina inferior izquierda para mostrar la vista en
miniatura de la interfaz Windows.
Se crearán cinco máquinas virtuales, los sistemas operativos serán Windows Server 2012 y
Windows 8.
Se puede descargar el archivo ISO de la versión de evaluación de Windows Server 2012 del
sitio web siguiente:
http://technet.microsoft.com/es-
es/evalcenter/hh670538.aspx?ocid=&wt.mc_id=TEC_108_1_33
a. Creación y configuración de la VM
Haga doble clic en la máquina virtual en la consola Hyper-V y luego haga clic en el botón
Iniciar (botón verde).
La máquina arranca y se inicia la instalación de Windows Server 2012.
Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por
defecto).
c. Configuración post-instalación
Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Haga clic en el nombre de equipo para abrir las propiedad del sistema.
Haga clic en Modificar y luego introduzca el nombre del servidor (AD1).
Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidos
y luego haga clic en Abrir.
Este servidor es un miembro del dominio, se llama SV1. La cantidad de memoria asignada
es de 1024 MB, el disco virtual de 60 GB particionado en dos particiones.
Este servidor es un segundo servidor miembro del dominio, se llama SV2. La cantidad de
memoria asignada es de 1024 MB, el disco virtual de 60 GB particionado en dos
particiones.
Este servidor se instala en modo sin interfaz de usuario (modo core), todas las opciones se
proporcionan en los capítulos siguientes.
Puesto cliente con Windows 8, esta máquina es miembro del dominio. La configuración IP
se realizará por medio de DHCP. Conecte el archivo ISO de Windows 8 a la máquina
virtual para proceder a la instalación.
Segundo puesto cliente con Windows 8, esta máquina es miembro del dominio. La
configuración IP se realizará por medio de DHCP. Conecte el archivo ISO de Windows 8 a
la máquina virtual para proceder a la instalación.
8. Las instantáneas
Las instantáneas permiten guardar el estado de la máquina virtual. De esta forma es posible
revertir de forma sencilla a un estado anterior restableciendo la instantánea.
Esta funcionalidad nos permitirá en los capítulos siguientes poner en práctica los talleres
(promoción de servidores a controlador de dominio, puesta en marcha de un RODC...).
Haga un clic con el botón derecho en la máquina virtual y luego seleccione Instantánea.
4 ¿Cuál es el nuevo formato para el archivo del disco virtual de una máquina? ¿Qué
novedades aporta?
2. Resultados
3. Respuestas
La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). También es necesario que la cantidad de memoria sea superior a la
asignada a las máquinas virtuales.
4 ¿Cuál es el nuevo formato para el archivo del disco virtual de una máquina? ¿Qué
novedades aporta?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco
duro. El formato vhdx proporciona novedades. El tamaño del archivo puede ahora tener un
tamaño máximo de 64 TB y resuelve el problema de la corrupción de archivos después de
un fallo inesperado.
• Los discos de tamaño fijo, el tamaño total del archivo se reserva en el disco, este
tipo de disco permite limitar la fragmentación del archivo. Tiene sin embargo el
inconveniente de consumir el espacio en disco incluso si el archivo está vacío.
• Los discos dinámicos, se define un tamaño máximo durante su creación. El tamaño
aumenta en función del contenido.
• Los discos de acceso directo "pass-through", que permiten conectar un disco físico
directamente a la máquina virtual. El acceso al disco por la VM es exclusivo.
Una instantánea permite capturar el estado de una máquina virtual en un momento dado,
con el fin de poder restaurar el estado de la instantánea.
2. Objetivos
Podemos encontrar diferentes ediciones de Windows Server 2012. Así cada empresa tiene
la posibilidad de elegir la edición en función de sus necesidades.
• Edición Standard: esta edición incluye todos los roles y características. Soporta
hasta 4 TB de memoria RAM e incluye dos licencias para dos máquinas virtuales.
• Edición Datacenter: esta edición incluye todos los roles y características. Permite
instalar un número ilimitado de máquinas virtuales y soporta un procesador con
hasta 640 núcleos y 4 TB de memoria RAM.
• Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios,
incluye un número limitado de roles y no puede unirse a un dominio. Soporta un
procesador con un solo núcleo y hasta 32 GB de memoria RAM.
• Edición Essentials: esta edición reemplaza a las versiones Small Business Server.
Puede actuar como servidor raíz en un dominio pero no puede poseer los roles
Hyper-V, clúster de conmutación o servidor Core. Esta edición limita el número de
usuarios a 25, la cantidad de memoria RAM no puede exceder 64 GB.
Los roles hicieron su aparición con Windows Server 2008, permiten proporcionar a un
servidor funciones suplementarias (controlador de dominio...).
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una
empresa.
1. Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Se despliega
un mecanismo de protección contra usos no autorizados. Los usuarios se identifican
y se les asigna una licencia para la información protegida. De este modo resulta más
sencillo prohibir a un usuario realizar una copia de un documento en una llave USB
o imprimir un archivo confidencial. Durante la instalación del rol es posible instalar
dos servicios de rol:
Existen otros roles disponibles en Windows Server 2012, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
Una característica aporta herramientas adicionales al sistema operativo. Al igual que para
un rol, una característica puede instalarse de forma manual o automática.
1. El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de
datos en caso de pérdida o robo del equipo. Se requiere la presencia de una tarjeta
TPM en la máquina para una verificación del sistema de propagación.
2. El clúster de conmutación por error permite a los servidores funcionar
conjuntamente, para proporcionar alta disponibilidad. En caso de fallo de uno de los
servidores, los otros garantizan la continuidad del servicio.
3. El equilibrio de carga de red realiza una distribución del tráfico para evitar la
saturación de uno de los servidores.
4. El servicio de administración de direcciones IP instala una infraestructura que
permite gestionar un espacio de direcciones IP y los servidores correspondientes
(DHCP…). IPAM se encarga de descubrir los servidores en el bosque Active
Directory de forma automática.
Al igual que los roles, las características pueden instalarse con la consola Administrador del
servidor o mediante PowerShell.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Eventos
está precedido de la cifra 1 que indica al administrador que un evento está pendiente de
visualizar.
Haciendo clic en Eventos, se muestra una ventana presentando los detalles del evento.
Así, es posible intervenir en un problema (reiniciar un servicio...) muy rápidamente.
Adicionalmente, el aspecto visual proporciona una vista inmediata del estado de salud del
servidor o servidores.
1. Métodos de instalación
• El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo
de instalación es mucho más larga que el uso de un medio USB y presenta el
inconveniente de no poder modificar la imagen (sin cambiar el medio).
• El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar
nuevo software o un controlador) sin tener que volver a crear el medio. Se puede
usar un archivo de respuestas para automatizar las etapas de la instalación. Esto
requiere sin embargo permisos de administración para algunas etapas.
• El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft
Deployment Toolkit…). De esta forma no es necesario tener un soporte USB o un
lector DVD. Esta solución consume muchos recursos de red.
Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware.
Conviene respetarlos para garantizar que el sistema operativo ejecuta en buenas
condiciones. Evidentemente conviene adaptarlos en función de los roles instalados, Hyper-
V tiene, como es natural, requisitos más exigentes para poder hacer funcionar las máquinas
virtuales.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Es, por tanto, necesario realizar esas operaciones después de la instalación, para esto es
necesario usar el nodo Servidor local de la consola Administrador del servidor.
1. Configuración del adaptador de red
Toda máquina conectada a una red debe tener una configuración IP. Ésta tiene como
mínimo una dirección IP, una máscara de subred, la dirección IP de la puerta de enlace
predeterminada y la del servidor DNS. La dirección IP asignada a la máquina le permite ser
identificada y comunicarse con sus pares.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática.
Estos contratos DHCP tienen una duración limitada en el tiempo y contienen toda la
configuración IP necesaria para que la máquina se comunique en la red. También se puede
asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la consola
Administrador del servidor (nodo Servidor local).
También es posible realizar la configuración por línea de comando DOS. El comando netsh
permite realizar esta operación.
Una vez abierta la conexión a la máquina virtual, haga clic en Archivo y luego en
Configuración....
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic en el enlace Deshabilitado al lado de Formación de equipos de NIC.
El ping continúa…
Desactive ahora el segundo y último adaptador de red del servidor.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz continúa con la
comunicación. Adicionalmente, el conjunto de adaptadores comparten la misma
configuración de red.
La unión a un dominio sin conexión permite a un equipo unirse a un dominio. Con esta
característica, no es necesario que la máquina posea una conexión a la red de la empresa.
Para realizar esta operación, debe emplearse el comando djoin.exe. En primer lugar será
necesario ejecutar, en el controlador de dominio, el comando djoin con la opción
/provision.
El archivo Union.txt contiene toda la información necesaria para unirse al dominio. Puede
copiarlo al equipo. Utilice, una vez más, el comando djoin y el parámetro /requestODJ.
Un servidor Core no posee interfaz gráfica, la configuración debe hacerse por línea de
comandos. El comando sconfig, presente en las instalaciones mínimas, evita a los
administradores tener que escribir los diferentes comandos empleados para configurar el
nombre del servidor o la configuración IP.
Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor
Core.
Introducción a PowerShell
PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas
de administración.
1. Presentación de PowerShell
Import-Module NombreModulo
Un cmdlet utiliza un nombre y un verbo, los nombres tienen cada uno una colección de
verbos asociados.
• Get
• New
• Set
• Restart
• Resume
• Remove
• Add
• Show
• …
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012.
Finalmente, se pueden visualizar los diferentes cmdlets por módulo, esto permite saber que
módulo cargar.
Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].
En la consola Administrador del servidor, haga clic en Agregar roles y características.
Seleccione el nivel funcional Windows Server 2012, deje la casilla Servidor DNS marcada
para instalar y configurar el rol.
Objetivo: configurar SVCore que ejecuta Windows Server 2012 en modo instalación
mínima. El taller permite efectuar la configuración del nombre del servidor, la fecha y hora
al igual que el adaptador de red. Seguidamente, el servidor se agregará al dominio
Formacion.local.
Después del reinicio, abra una sesión como administrador y verifique el nombre usando el
comando hostname.
Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y
hora.
Introduzca el índice del adaptador de red deseado y luego pulse la tecla [Intro].
Seleccione la opción 1 para definir la dirección del adaptador de red.
Haga clic en Aceptar en la ventana Configuración de red y luego pulse [Intro] sin
introducir ningún valor para volver al menú.
Seleccione la opción 4) Regresar al menú principal.
Salga del menú sconfig seleccionando la opción 15) Salir a la línea de comandos.
Introduzca el comando:
3. Administración de servidores
Abra una sesión en AD1 y luego ejecute la consola Administrador del servidor.
Seleccione SVCore como servidor de destino de la instalación del rol y luego haga clic en
Siguiente.
Seleccione el rol Servidor Web (IIS) y luego haga clic en Siguiente.
En la ventana Seleccionar características, haga clic en Siguiente.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-
Formacion.
Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows
PowerShell.
Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones
IPv4 e IPv6 del servidor consultado.
Objetivo: unir un servidor utilizando el método sin conexión. El taller consiste en crear el
archivo necesario para unir un servidor a un dominio y utilizar el comando DJoin.
Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.
Introduzca el comando Djoin /requestODJ /loadfile c:\union.txt /windowspath
%systemroot% /localos en SV1.
SV1 será miembro del dominio, la unión al dominio sin conexión ha funcionado.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar
roles de forma remota?
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012?
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo)
unirse a un dominio sin conexión.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
2. Resultados
3. Respuestas
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar
roles de forma remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y
característica de forma remota.
Empleando un código de color (rojo, blanco) es, en adelante, muy fácil distinguir si existe
un problema en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar
resolver el problema (por ejemplo: iniciar o detener el servicio que está detenido).
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar
Windows Server 2012 en modo completo (interfaz gráfica presente en el servidor) o en
modo instalación mínima (sin interfaz gráfica).
Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al
servidor. Podemos encontrar los siguientes roles: Servidor de aplicaciones, DNS (Domain
Name System), DHCP (Dynamic Host Configuration Protocol), AD DS (Active Directory
Domain Services), AD CS (Active Directory Certificate Services), AD FS (Active
Directory Federation Service), AD RMS (Active Directory Rights Management
Services)…
Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red (dos
como mínimo) con la misma configuración IP. Esto permite, de forma muy simple, contar
con una mayor redundancia en caso de fallo de uno de los adaptadores.
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo)
unirse a un dominio sin conexión.
El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. Debe
ejecutarse con permisos de administrador en el controlador de dominio, con el objetivo de
poder crear el archivo necesario para la operación. A continuación, se utilizará el ejecutable
en el equipo que se unirá al dominio.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
El archivo utilizado por el comando djoin es de tipo txt, contiene la información necesaria
para unirse al dominio AD.
Un servidor en modo instalación Core puede administrarse por línea de comandos. Ciertos
elementos (IP, etc.) pueden configurarse mediante una interfaz de configuración. Es posible
mostrarla utilizando el comando sconfig.
2. Objetivos
Introducción
Active Directory es un directorio implementado en los sistemas operativos Microsoft a
partir de Windows 2000 Server. Como los otros directorios, se basa en la normativa LDAP.
Se han aportado muchas mejoras desde entonces.
Los componentes físicos van a englobar varios elementos clave en un dominio Active
Directory:
• El controlador de dominio, que contiene una copia de la base de datos Active
Directory.
• La base de datos y la carpeta sysvol, que contendrán el conjunto de la información
de Active Directory, cada controlador de dominio del dominio Active Directory
contiene una copia.
• El servidor de directorio global, que contiene una copia parcial de los atributos y
objetos del bosque. Permite realizar búsquedas rápidas sobre los atributos de algún
objeto de un dominio diferente al del bosque.
Todos los componentes funcionan con componentes lógicos, los cuales permiten la puesta
en marcha de la estructura de Active Directory deseada.
• Las particiones, que son selecciones de la base de datos de Active Directory. Así,
podremos encontrar la partición de configuración, la partición de dominio, la
partición DNS…
• El esquema de Active Directory, que contiene los atributos de todos los objetos que
pueden ser creados en Active Directory.
• El dominio, que permite poner en marcha un límite administrativo para los objetos
usuarios y equipos.
• Una arborescencia de dominio, contiene un conjunto de dominios que comparten un
espacio de nombres DNS contiguo.
• El bosque Active Directory, que contiene el conjunto de dominios Active Directory.
• El sitio de Active Directory, que permite dividir un dominio en varias partes, para
así limitar y controlar la replicación entre dos sitios remotos.
• La unidad organizativa, que permite aplicar una directiva de grupo e igualmente
implementar una delegación.
• La cuenta de usuario, que permite efectuar una autenticación y autorizar los accesos
a los diferentes recursos compartidos.
• La cuenta de equipo, que permite autenticar la máquina en la que el usuario inicia
una sesión.
• Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el
objetivo de autorizar el acceso a un recurso, una delegación…
2. Las unidades organizativas
Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que
permiten la agrupación de cuentas de usuario o de equipo. La creación de este tipo se utiliza
con el fin de asignar una directiva de grupo al conjunto de objetos presentes en el
contenedor. La segunda función de este tipo de objeto es la puesta en marcha de una
delegación para permitir a una persona diferente al administrador gestionar objetos
presentes en el contenedor.
De esta forma las OU representan una jerarquía lógica en el dominio Active Directory. Es,
por ejemplo, posible crear una unidad organizativa por ciudad (Alicante, Madrid...) o por
tipo de objeto (usuario, equipo...). Durante la creación del dominio se encuentran presentes
las carpetas de sistema y unidades organizativas predeterminadas:
Un bosque está formado por uno o más dominios Active Directory. Hablamos de dominio
raíz para el primer dominio del bosque, adicionalmente este último proporciona el nombre
al bosque. En nuestra maqueta el dominio raíz es Formacion.local, el bosque tiene pues el
nombre de este último, es decir Formacion.local. En un bosque Active Directory
encontramos una sola configuración y un solo esquema que son compartidos por el
conjunto de los controladores de dominio presentes en el bosque. Tiene asimismo como
objetivo la puesta en práctica de una frontera de seguridad, los otros bosques no tienen
ningún permiso sobre éste y no se replica ningún dato fuera del bosque.
Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos últimos comparten un espacio de nombres contiguo. La
relación entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que
dispone de un espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite
la autenticación de una entidad (persona física de la empresa...) se define por cada dominio.
Este último contiene al menos un controlador de dominio, siendo dos lo recomendable en
términos de alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar
los objetos usuarios y equipos en un dominio AD.
Active Directory está compuesto de varias particiones. Son cuatro, y se comparten entre los
controladores de dominio.
En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single
Master Operation). Dos de estos se encuentran solamente en uno de los controladores de
dominio del bosque, los otros tres se encuentran en cada dominio.
Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Este último
es el único que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar
esta operación, es necesario que la cuenta empleada sea miembro del grupo
Administradores de esquema. Los otros servidores solo tienen un acceso de lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol
se encuentra únicamente en un único controlador de dominio del bosque. El Maestro de
nomenclatura de dominios es necesario al añadir o eliminar un dominio del bosque. Se
contacta este servidor para garantizar la coherencia de los nombres de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC
están presentes en cada dominio del bosque.
Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.
Los dominios Active Directory están divididos en sitios AD que representan la topología
física de la empresa. Si consideramos la conectividad de red de un sitio como buena,
hablaremos de una replicación intra-sitio. La replicación inter-sitio se refiere a la realizada
entre dos sitios Active Directory.
Los sitios Active Directory permiten definir fronteras de replicación, lo cual permite
ahorrar ancho de banda en la línea que conecta dos sitios remotos.
La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de
grupo. A diferencia de la base de datos, la replicación de la carpeta sysvol se efectúa
utilizando el servicio de replicación de archivos (FRS) o más recientemente mediante el
sistema DFS (Distributed File System). En un dominio es necesario contar con al menos un
servidor que tenga el rol de catálogo global. Es aconsejable contar con al menos dos
controladores de dominio por dominio. Los sitios remotos que cuenten con un número muy
restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller -
Controlador de dominio de solo lectura ).
2. Presentación de los catálogos globales
Al iniciar una sesión en un dominio Active Directory, el sistema busca los registros de tipo
SRV en el DNS para poder encontrar el controlador de dominio más cercano. Si la
autenticación tiene éxito, la autoridad de seguridad local (LSA - Local Security Authority)
genera un token de acceso y se lo atribuye al usuario. Este token contiene el identificador
de seguridad (SID) del usuario al igual que el conjunto de los grupos de los que es
miembro. Del mismo modo, el controlador de dominio atribuirá al usuario un ticket
llamado TGT (Ticket-Granting Ticket). Al intentar acceder a un recurso de la red, el
usuario envía su ticket TGT al controlador de dominio. Este último le responde con otro
ticket que le autoriza el acceso al recurso.
Como hemos visto en el taller del capítulo precedente, es necesario instalar el rol Servicios
de dominio de Active Directory.
El comando dcpromo solo puede utilizarse por línea de comandos. Después de haber
instalado el rol en un servidor con interfaz gráfica, es necesario iniciar el asistente para
promover el servidor. Este último ofrece la posibilidad de crear un nuevo bosque, de
agregar un nuevo dominio o de agregar un controlador de dominio suplementario.
Para obtener más información sobre las diferentes opciones, puede consultar la página
Technet que se encuentra en: http://technet.microsoft.com/es-
es/library/cc732887(v=ws.10).aspx
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
Se dedica un taller a la puesta en marcha de un controlador de dominio utilizando IFM.
La papelera de reciclaje AD
No hay nada más molesto que una eliminación accidental de un objeto de Active Directory.
Esto puede tener un impacto más o menos importante en la producción. En los sistemas
operativos anteriores a Windows Server 2008 R2, se podía utilizar el tombstoned. Esta
funcionalidad permite la recuperación de una cuenta donde el atributo isDeleted se ha
configurado como True. La herramienta LDP permite efectuar esta operación. Elimina el
atributo isDeleted, sin embargo se pierden los atributos (pertenencia a grupo, etc.) de este
objeto. Se han desarrollado herramientas de terceros, no oficiales, que permiten efectuar
esta operación de forma gráfica y más rápida.
A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada
papelera de reciclaje de Active Directory. Esta última permite efectuar la restauración de un
objeto eliminado del directorio al igual que los parámetros del objeto eliminado.
Windows Server 2012 aporta una novedad interesante ya que es posible realizar la
restauración de un objeto y la activación de la funcionalidad desde el Centro de
administración de Active Directory. Todas las operaciones se realizarán, en adelante,
empleando una interfaz gráfica.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la
creación de directivas de contraseña muy específicas. Esto permite a una empresa definir
varias directivas de contraseña o de bloqueo. Éstas se atribuyen, a continuación, a un
usuario o a un grupo de seguridad global. El sistema operativo utilizado en el controlador
de dominio deberá ser por lo menos Windows Server 2008. El nivel funcional deberá estar,
a su vez, configurado a nivel Windows Server 2008. La operación debe realizarla un
administrador de dominio, sin embargo es posible implementar una delegación para un
usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el
esquema:
• Histórico de contraseñas.
• Duración máxima de la contraseña.
• Duración mínima de la contraseña.
• Longitud mínima de la contraseña.
• Cumplir los requisitos de complejidad.
• Grabación utilizando cifrado reversible.
• Duración de bloqueo de cuenta.
• Umbral de bloqueo de cuenta.
• Reinicio del contador de bloqueo de cuenta después de un tiempo definido por el
administrador.
Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra
vinculada esta directiva.
Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación
de varias PSO a un objeto.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una
novedad con la gestión y la creación de las directivas de contraseña muy específicas.
En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas
directivas pero, sobre todo, para visualizar las directivas creadas. Estas acciones se operan
ahora desde el Centro de administración de Active Directory. Esta consola permite en
adelante la visualización de la directiva resultante de un usuario.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil.
Haga clic con el botón derecho y luego en el menú contextual, seleccione la opción
Ejecutar.
Introduzca en el menú Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor
AD1.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en
Agregar roles y características.
Se inicia el asistente; haga clic en Siguiente.
Marque Instalar desde medios y haga clic en el botón con el símbolo ....
Verifique que el nivel funcional es Windows Server 2012 para el nivel de dominio y del
bosque.
Inicie la consola Centro de administración de Active Directory desde la interfaz
Windows.
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas
Alumno son miembros del grupo Alumnos.
En el panel de la derecha, haga doble clic en la raíz del dominio Formacion (local).
Modifique el valor de la vigencia máxima de contraseñas para que sea igual a 90 días.
Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad
organizativa Formacion.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuración de
contraseña resultante.
Se muestra la directiva de contraseña muy específica que se le ha atribuido.
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012?
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo
global?
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de
esta solución.
2. Resultados
3. Respuestas
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender
el esquema), es necesario ejecutar el comando Adprep. Éste se ejecuta al migrar un servidor
o al instalar el primer servidor Exchange…
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012?
No, con Windows Server 2012 ya no es necesario efectuar esta operación. La etapa de
actualización se realiza automáticamente (si es necesaria) al promover el nuevo controlador
de dominio.
Un servidor con el rol catálogo global posee una base de datos de todos los objetos
presentes en el bosque así como algunos de sus atributos. Este tipo de servidor facilita la
búsqueda de objetos.
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo
global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el
dominio solo cuenta con un controlador de dominio, es posible (solo en este caso) albergar
el Maestro de infraestructura en el servidor con el catálogo global.
• Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el único poseedor de estos permisos.
• Maestro de nomenclatura de dominio: utilizado solamente al agregar, modificar o
eliminar el nombre de dominio.
• Maestro RID: permite asignar bloques de identificador relativos (RID) a los
diferentes controladores de dominio de su dominio. Este identificador único está
asociado al SID del dominio para crear el SID (identificador de seguridad) del
objeto.
• Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su
dominio, que están presentes en los grupos de seguridad o en las ACL.
• Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a
un servidor PDC NT4. Permite, de este modo, la migración entre Windows 2000
(uso del controlador de dominio Active Directory) y Windows NT4 (uso del
servidor PDC y BDC). Su segundo rol es la sincronización del reloj para el conjunto
del dominio.
Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de
ahorrar ancho de banda de la línea que conecta dos sitios remotos.
No, a partir de Windows Server 2012 este comando solo puede utilizarse por línea de
comandos. Para promover un controlador de dominio, es necesario instalar el rol Servicios
de directorio Active Directory.
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de
esta solución.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores
remotos. El archivo de medios contiene todos los datos (objetos, carpeta sysvol...)
necesarios para promover un nuevo servidor, de esta forma este último no tiene más que
replicar los cambios de los objetos creados después de la creación del archivo de medios.
Esto permite evitar sobrecargar la línea de comunicación durante la primera replicación.
Para esto es necesario utilizar la directiva de contraseña muy específica que permite crear y
asignar varias directivas de seguridad.
2. Objetivos
Introducción
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno
permite autenticar las personas físicas y los equipos unidos al dominio.
Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así
como la topología de red. La gestión de las relaciones de confianza y del nivel funcional del
bosque se realiza mediante la consola Dominios y confianzas de Active Directory. Por
último, la consola Esquema de Active Directory, que necesita el comando regsvr32.dll
para ser visualizada, permite administrar el esquema de Active Directory.
Es posible utilizar estas consolas desde un equipo cliente (Windows Vista, Windows 7 o
Windows 8) después de descargar e instalar el archivo RSAT (Remote Server
Administration Tools).
Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la contraseña
deben ser introducidos obligatoriamente. El nombre de usuario debe ser único en el
dominio y el bosque. Después de seleccionar la unidad organizativa que va a contener la
cuenta de usuario, es posible crearla.
Podemos ver, así, que el atributo givenName tiene por valor Alumno 4. Si modificamos el
Nombre de pila en la pestaña General:
El atributo se actualiza correctamente:
3. Creación de un perfil de usuario móvil
Un perfil de usuario puede ser local o móvil. En el caso de un perfil local, se crea un
directorio en la carpeta Usuarios de cada máquina en la que el usuario abre una sesión.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es
necesario emplear un perfil móvil. Éste se encuentra en una carpeta compartida en el
servidor.
Es, también, posible configurar un script (en formato vbs o bat), este último se ejecuta
cuando el usuario abre una sesión. Si este se almacena en la carpeta SYSVOL, solo será
necesario introducir el nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello
será necesario especificar la letra de la unidad.
Administración de grupos
Los grupos en Active Directory permiten facilitar la administración. Es más fácil agregar el
grupo a la ACL (Access Control List) de un recurso compartido en lugar de añadir a todos
los usuarios. Una vez ubicado el grupo, el administrador solo tendrá que agregar o eliminar
los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administración no se efectúa más a nivel de la ACL, sino al nivel de Active Directory
(consola Usuarios y equipos de Active Directory, Centro de administración de Active
Directory o directamente en PowerShell). Adicionalmente, un grupo se puede colocar en
una lista de control de acceso de varios recursos. Es posible crear grupos por perfiles (un
grupo Conta que agrupa las personas del departamento de contabilidad, RRHH...) o por
recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible.
Sugerimos nombrar los grupos de esta forma:
• El ámbito, trataremos este punto más adelante en el capítulo (G para global, U para
universal o DL para dominio local).
• El nombre del recurso (Conta, Fax, BALNicolas, RH…).
• El derecho NTFS que será atribuido al grupo (w para escritura, m para
modificación, r para lectura...).
De esta forma, si un grupo se llama G_Conta_w, podrá deducir con seguridad que es un
grupo global ubicado en la carpeta compartida Conta y que proporciona derechos de
escritura a sus miembros.
Se puede crear dos grupos en Windows Server. La elección se realiza durante la creación
del grupo. El administrador podrá elegir entre un grupo de distribución y un grupo de
seguridad.
También es posible convertir el grupo después de su creación.
El grupo de distribución lo utilizan los servidores de mensajería (Exchange por ejemplo).
No se atribuye un SID al grupo, por lo que es imposible incluirlo en la lista de control de
acceso de un recurso. El enviar un correo electrónico al grupo, el conjunto de miembros
reciben el correo.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo
para asignar permisos a sus usuarios o para crear listas de distribución de correo.
2. El ámbito de un grupo
El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así
como los objetos que pueden ser miembros.
• Local: presente solamente en un servidor miembro o puesto de trabajo, este grupo
no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente
las cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los
usuarios locales o del bosque Active Directory.
Así, si un nuevo grupo llamado G_Tec_w debe tener acceso al recurso compartido
denominado informática, no será necesario acceder a la ACL. Agregando el grupo a
DL_TEC_W (el cual está, por supuesto asignado al recurso) se proporciona el acceso
deseado.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las
cuentas de equipo de las máquinas unidas al dominio. No es una unidad organizativa, no es
posible añadir una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar
los objetos equipo a la OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores,
OU Puestos, OU Portátiles); para poder vincular las diferentes directivas de grupo o
simplemente para delegar en otras personas diferentes la gestión de los diversos objetos.
Para efectuar la unión al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El
usuario que efectúe la unión debe ser necesariamente miembro del grupo de
administradores locales del equipo.
redircmp ou=Aix,DC=Formacion,dc=local
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del
equipo ya existe en el dominio.
Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo
(sAMAccountName) y una contraseña. Se efectúa un cambio de contraseña cada 30 días.
Estos identificadores los utiliza el servicio NetLogon para iniciar una sesión y establecer un
canal seguro con su controlador de dominio. Ciertas casos impactan el canal seguro e
impiden el inicio de sesión (no se autoriza al equipo):
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podrá
unir el equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el
canal. Al volver a unirse al dominio, se genera un nuevo SID, la lista de grupos de los que
era miembro el equipo antes del problema del canal seguro se crean nuevamente de forma
idéntica. Para reiniciar el canal seguro es, también, posible efectuar otras operaciones:
1. Implementar la delegación
Objetivo: implementar una delegación para que un usuario pueda administrar la unidad
organizativa sobre la que se ha establecido la delegación.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas
de usuario y Crear, eliminar y administrar grupos.
Ahora es necesario instalar los archivos RSAT (Remote Server Administration Tool) en el
puesto del usuario para permitirle administrar su unidad organizativa desde el equipo
cliente. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de seguridad
para poder abrir una sesión en el controlador de dominio. El usuario utilizado debe ser
miembro del grupo Formadores.
En la interfaz Windows, haga clic en el nombre del usuario y luego en el menú contextual,
seleccione Cerrar sesión.
Los iconos que permiten crear un usuario o un grupo están activos, sin embargo el usuario
no tiene la posibilidad de crear una OU.
Objetivo: el objetivo del taller es efectuar la creación de una cuenta plantilla a partir de un
perfil temporal.
En CL8-01, abra una sesión y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuración del adaptador y, a continuación, haga doble clic en
el adaptador de red y luego en el botón Propiedades.
En AD1, abra una sesión como administrador y luego inicie la consola Usuarios y
equipos de Active Directory.
En la segunda partición del servidor AD1, cree una carpeta llamada Perfiles.
En las propiedades de la carpeta creada, seleccione la pestaña Compartir y luego haga clic
en Uso compartido avanzado....
Marque la opción Compartir esta carpeta y luego haga clic en Permisos.
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a
continuación:
Haga clic en el botón Agregar y luego en el enlace Seleccione una entidad de seguridad
en la ventana Entrada de permiso para perfiles.
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la información
haciendo clic en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
3 Escriba la UPN para el usuario nbonnet del dominio Formacion.local.
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores
que contiene?
2. Resultados
3. Respuestas
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios
un apellido o nombre de pila, un nombre de usuario y una contraseña .
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores
que contiene?
La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto
usuario seleccionado. Estos valores están, también, presentes en las diferentes pestañas
(apellido, nombre de pila, nombre de inicio de sesión). Es perfectamente posible modificar
el valor de un atributo.
5 ¿Cómo funciona un perfil móvil?
• Local
• Global
• Dominio local
• Universal
La diferencia estriba a nivel del SID, el grupo de seguridad posee este identificador único.
Puede entonces utilizarse en una ACL o tener la función de lista de distribución de correo.
Al contrario que este último, un grupo de distribución no cuenta con este identificador y
solo puede utilizarse como lista de distribución.
Al realizar la unión al dominio de un equipo que no posee una cuenta, ésta se crea
automáticamente en la carpeta de sistema Computers. El comando redircmp permite alojar
la cuenta creada automáticamente en otro contenedor (por ejemplo, en una unidad
organizativa).
2. Objetivos
Introducción
Es posible utilizar comandos PowerShell para automatizar la administración de Active
Directory. Esto permite ganar tiempo y una mayor fiabilidad en comparación con una
administración manual.
CSVDE es una herramienta de línea de comandos que permite importar o exportar los
objetos del directorio Active Directory. Estas operaciones se efectúan desde o sobre un
archivo en formato csv (Comma-separated values). Este tipo de archivo puede utilizarlo de
igual forma una base de datos o visualizarse en una hoja de cálculo Excel. Sin embargo,
esta herramienta no puede modificar o importar un objeto existente.
Csvde -f ArchivoCsv
El archivo LDAP utilizado posee una linea de cabecera, compuesta por el nombre de los
atributos LDAP. Este comando no se puede utilizar para importar las contraseñas porque
éstas aparecen sin cifrar. Por lo tanto, la cuenta no posee contraseña y se deshabilita.
Al igual que CSVDE, LDIFDE es una herramienta por línea de comandos que permite
efectuar operaciones de exportación o creación de objetos. Permite, a diferencia del
comando anterior, modificar o eliminar objetos ya existentes. El archivo debe estar en
formato LDAP Data Interchange Format (LDIF).
Este tipo de archivo de texto contiene bloques de líneas, cada una permite efectuar una
operación. Cada linea del bloque contiene información sobre la operación a realizar, el
atributo afectado…
Cada operación a realizar se separa por una linea vacía. El atributo chagetype permite
definir la acción a realizar. Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Ldifde -f ArchivoLDIF
La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando
va a realizar una importación y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Los cmdlets PowerShell permiten crear, modificar y eliminar una cuenta de usuario. Es
posible ejecutar las diferentes instrucciones directamente en la consola PowerShell o
ejecutando un script.
Se pueden usar diferentes cmdlets, cada uno con una función bien definida:
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede también incluirse la contraseña en este comando.
• Nombre: BAK
• Nombre de pila: Jean
• Nombre de inicio de sesión: jbak
• Contraseña: Pa$$w0rd
• Contenedor del objeto: OU Formacion
La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa.
El comando PowerShell que debe utilizar para realizar esta operación es el siguiente:
El nombre de inicio de sesión del usuario es, efectivamente, jbak, para el UPN (User
Principal Name) o el SamAccountName (nombre de inicio de sesión anterior a Windows
2000).
La opción que indica el cambio durante el inicio de sesión también está habilitada.
Los campos Nombre y Nombre de pila también están correctamente configurados.
Se han tenido en cuenta todos los parámetros del script.
Al igual que para los usuarios, la creación y la gestión de los grupos puede hacerse
empleando comandos PowerShell.
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creación del grupo. Debemos utilizar el cmdlet New-
ADGroup. Lo componen varios parámetros que permiten configurar los diferentes atributos
de un grupo.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un ámbito global),
debemos utilizar el comando siguiente:
Get-ADGroup Alumnos
Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes
cmdlets.
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto.
Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los
que aplicaremos una directiva de grupo. También es posible implementar la delegación
sobre este tipo de objeto.
Set-ADOrganizationalUnit "OU=Formacion,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Taller: Automatización de la
administración de AD DS
El capítulo se compone de operaciones (creación de usuario, unidad organizativa...) que
puede reproducir. La parte práctica se reduce a un solo taller.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
2 ¿Qué sintaxis es necesario utilizar para efectuar una exportación y una importación?
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o
de eliminación?
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos
para aprobar el capítulo.
3. Respuestas
2 ¿Qué sintaxis es necesario utilizar para efectuar una exportación y una importación?
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o
de eliminación?
Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New-ADUser.
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
2. Objetivos
Establecimiento de subredes.
Introducción
El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet
o en redes locales.
• Aplicación
• Transporte
• Internet
• Interfaz de red
La capa de Aplicación
Esta capa permite a una aplicación acceder a los recursos de red. Contiene diferentes
protocolos de aplicación. Corresponde a las capas de aplicación, sesión y presentación del
modelo OSI (Open System Interconnection).
La capa de Transporte
El protocolo TCP permite establecer una conexión fiable. Garantiza antes de iniciar los
intercambios de datos que el receptor está listo para recibir las diferentes tramas,
adicionalmente cada intercambio es seguido de un acuse de recibo. De esta forma, se
garantiza la correcta recepción de cada paquete. El protocolo UDP proporciona una
transmisión de datos sin conexión. La entrega de paquetes se considera poco fiable, sin
embargo la transmisión es más rápida (no se envía acuse de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:
Para establecer una conexión con una aplicación o un equipo remoto, es necesario
establecer un socket TCP o UDP. Este último cuenta con tres parámetros:
El número de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se
encuentran reservados para aplicaciones específicas. La reserva de estos puertos permite a
las aplicaciones cliente una comunicación más fácil con el servidor.
1. El direccionamiento IPv4
Una dirección IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte está
separado por puntos y escrito en forma decimal (de 0 a 255).
Una dirección posee un ID de red que identifica la red a la que está conectado el equipo.
Luego un ID de host que permite una identificación univoca del equipo en la red. En
función de la dirección utilizada (consulte la sección Las diferentes clases de direcciones
más adelante en este capítulo), se atribuyen uno o varios bytes a los diferentes ID. Antes del
envío de una trama, es necesario que el equipo emisor sepa si el destinatario está en una red
diferente de la suya.
Para efectuar esta verificación, el equipo utiliza la máscara de subred y efectúa un Y lógico
(para tener un resultado 1 los dos valores deberán ser iguales a 1).
En primer lugar, es necesario convertir de decimal a binario (este punto será tratado en
profundidad posteriormente en este capítulo).
Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos
valores son iguales a 1).
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo
destino tiene un ID de red diferente, estará necesariamente en una red diferente. En ese
caso, el equipo emisor de la trama debe enviarla a la puerta de enlace especificada en su
configuración IP.
Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de
información.
Los equipos en una red local utilizan por su parte una dirección privada. Esta última no es
accesible desde Internet (ningún equipo en una red pública posee este tipo de dirección).
Solo es única en una red de área local. Dos empresas diferentes que no están conectadas
entre sí pueden tener las mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP públicas para las direcciones
de equipos en una red local. De esta forma cada clase posee su propio conjunto de
direcciones reservadas.
Como hemos podido ver, una dirección IP está compuesta por bytes cuyo valor se
encuentra en formato decimal. Sin embargo este número se calcula empleando cifras
binarias (dos estados posibles, 0 o 1).
Si descomponemos un byte, nos daremos cuenta de que éste posee 8 bits y cada uno tiene
un rango. El de menor valor, el de la derecha, tiene un rango 0, a diferencia del de mayor
valor, situado más a la izquierda, que tiene un rango 8. Para obtener el valor decimal de
cada rango, hace falta elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 20=1, el del rango 1 tiene
el valor de 2 por 22=1…
Para efectuar la conversión de binario a decimal debemos añadir los valores decimales de
los bits con valor 1.
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 75:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 75.
Esta conversión es más compleja. Para explicarla tomemos un ejemplo: debemos convertir
a binario el valor 102.
Para efectuar la conversión, debemos comenzar por el bit de mayor valor, es decir, con
rango 7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del
rango 7 es entonces igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del
rango 6 es entonces igual a 1. Falta convertir el número 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del
rango 5 es entonces igual a 1. Falta convertir el número 6 (38-32).
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del
rango 4 es entonces igual a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del
rango 3 es entonces igual a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del
rango 2 es entonces igual a 1. Falta convertir el número 2 (6-4).
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango
1 es entonces igual a 1.
De esta forma hemos terminado de convertir el número 102. El valor binario del rango 0 es
0.
La clase A
Las direcciones contenidas en esta clase permiten direccionar 224 equipos. En efecto, se
reservan tres bytes para la dirección del ID del equipo y uno solo para el ID de la red.
El primer bit de todas las direcciones comienza por 0. El resto varía desde todos los bits en
0 para la dirección inicial hasta todos los bits en 1 para la dirección final. O sea:
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La máscara utilizada es
255.255.0.0. El rango de direcciones va desde 128.0.0.0 a 192.255.0.0.
La clase C
Esta es la clase que proporciona menor número de direcciones para los equipos. Tiene un
único byte disponible para los equipos. Su máscara es igual a 255.255.255.0. Posee un
rango de direcciones entre 192.0.0.0 y 223.255.255.0.
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase
A. Si el valor se encuentra entre 128 y 191 la dirección es de clase B. Por último, si el valor
se encuentra entre 192 y 223 la dirección es de clase C.
5. El CIDR
Establecimiento de subredes
Una subred consiste en dividir una red informática en varias subredes. La máscara de
subred se utiliza para identificar la red en la que está conectado el equipo. Al igual que una
dirección IP, está compuesto de 4 bytes, donde los bits valen todos 1 (valor decimal 255) o
0 (valor decimal 0). Los bits a 1 permiten identificar el ID de red, mientras que los puestos
a 0 identifican el ID del host.
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes.
El primer byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que
reduce el numero de hosts direccionables.
La ventaja de una subred es la posibilidad de realizar una división lógica de la red física.
Esto permite impedir que las máquinas físicas se vean entre si, con el objetivo de crear
redes distintas.
Empleando subredes, cada sitio remoto puede también tener su propia dirección
manteniendo el mismo ID de red. La división lógica permite reducir el trafico de red y las
tramas de tipo broadcast que un router debe transferir entre las diferentes redes.
También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de
producción no puede acceder a la red de administración). De esta forma garantizamos la
seguridad de los datos. Sin embargo esta operación necesita un cortafuegos.
2. Calcular una subred
La empresa ABC posee una dirección 192.168.1.0 y una máscara de subred igual a
255.255.255.0. Esta empresa quiere crear tres subredes.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.
Para comprobar que el cálculo es correcto, debemos verificar el paso de una subred a la
otra. De esta forma podemos confirmar que es igual a 64, de hecho si sumamos 64 a la
dirección de la subred 1, entonces el resultado es la dirección de la subred 2. Esta
comprobación debe ser cierta para el conjunto de subredes.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo
número para la máscara de subred. A diferencia de las direcciones, estos bits no variarán y
tendrán el valor 1. La dirección empleada es una clase C. La máscara será 255.255.255.0.
Descomponiendo una vez más el último byte, los bits de subred deberán estar en 1:
Para conocer el rango de direcciones que es posible distribuir, debemos hacer variar el ID
de host de todos los bits a 0 a todos los bits a 1, o sea:
Subred 1:
192.168.1.0 a 192.168.1.63
Subred 2:
192.168.1.64 a 192.168.1.127
Subred 3:
192.168.1.128 a 192.168.1.191
a. El comando ipconfig
Utilizando las distintas opciones, es posible realizar operaciones u obtener diferentes datos.
b. El comando ping
Este comando permite comprobar la comunicación entre dos equipos. De esta forma se
pueden reparar rápidamente problemas de comunicación en un equipo o servidor. El
comando cuenta con opciones y luego el nombre o dirección IP del equipo a verificar.
Ejecutado sin opciones solo se envían cuatro tramas. Si el puesto está encendido y
conectado a la red se recibe una respuesta. En caso contrario, se recibe una respuesta
negativa.
-t: a diferencia de -n, se efectúa el envío de tramas hasta que se solicita la interrupción.
c. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para
alcanzar un destino. La trama es de tipo ICMP. Es inútil utilizar este comando si el destino
se encuentra en la misma red de área local. De hecho, el comando reenvía el nombre o la
dirección IP del router que devuelve la trama echo.
Este comando es muy útil para conocer qué router tiene un problema.
Una dirección IPv6 es cuatro veces mayor que una dirección IPv4, es decir 128 bits para la
versión 6 y 32 bits para la versión 4. Este protocolo ofrece un rango de direcciones casi
ilimitado.
Adicionalmente, al contrario que una dirección IPv4, es posible realizar un configuración
automática sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). El
router presente en la red proporciona al cliente la información sobre la subred y el prefijo.
Esto permite a los clientes configurarse automáticamente. Hablamos entonces de
configuración automática de direcciones sin estado (RFC 2462). La configuración de
direcciones sin estado necesita la presencia de un servidor DHCPv6 (Windows Server 2008
como mínimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensión del protocolo anterior. Los periféricos de red cuentan con la posibilidad de
determinar el ancho de banda deseado para la gestión del paquete. Es posible administrar la
prioridad del tráfico. Ciertos paquetes (difusión de vídeo continuo...) son prioritarios. Los
periféricos de la red se percatan de esto mediante el empleo del campo QoS.
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
IPv4 IPv6
Fragmentación Fragmentación realizada en los Fragmentación efectuada
ruters y el emisor. solamente por el emisor.
Protocolo ARP Utilización de tramas broadcast. Utilización de tramas multicast.
Registro en el Registro de host (A) en la zona Registro de host (AA AA) en la
DNS de búsqueda directa y PTR en la zona de búsqueda directa y
zona de búsqueda inversa (IN- PTR en la zona de búsqueda
ADDR.ARPA). inversa (IP6.ARPA).
Los formatos de las direcciones son, a su vez, diferentes. La versión anterior utiliza un
formato decimal (192.168.1.2) mientras que las direcciones se escriben en formato
hexadecimal con la versión 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se recomienda el
uso de nombres de host en lugar de direcciones IPv6.
El direccionamiento IPv6
Cada dirección está compuesta por 128 bits. Se utiliza un prefijo para indicar el número de
bits utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en
IPv4. Si un prefijo de 64 bits se asigna a la dirección, que es la mitad de los bits para
identificar la red, los restantes 64 permiten una identificación única del host (identificador
de interfaz). Éste puede ser generado de manera aleatoria y asignado por DHCP o basado
en el control de acceso o soporte (MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
Dirección no especificada 0.0.0.0 ::
Dirección de bucle invertido 127.0.0.1 ::1
Dirección APIPA 169.254.0.0/16 FE80::/64
Dirección de broadcast 255.255.255.255 Utilización de tramas multicast
Dirección de multicast 224.0.0.0/4 FF00::/8
Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC
1918). Este tipo de dirección puede encaminarse solamente hacia el interior de una
organización. Para evitar los problemas de duplicación que podían ocurrir en IPv4 al
interconectar varias redes, la dirección está compuesta por un prefijo de 40 bits. Ésta tiene
la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequeña de tener dos
prefijos idénticos.
1. Los siete primeros bits poseen un valor fijo igual a 1111110. El prefijo de la
dirección es igual a fc00://7.
2. El identificador de organización de 40 bits permite evitar problemas durante la
conexión entre redes. El identificador se genera automáticamente.
3. La identificación de subred permite la creación de subredes.
4. Los últimos 64 bits se utilizan para representar el identificador de la interfaz.
Este tipo corresponde a las direcciones IPv4 públicas. Permiten designar un equipo en la
red Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques
están reservados para implementar túneles 6to4 (por ejemplo el bloque 2002::/16).
1. Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits)
permiten formar un primer bloque de 48 bits. Éste lo asigna el proveedor de acceso.
2. El identificador de subred, codificado en 16 bits, permite crear subredes en una
organización.
3. El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo
específico en una subred. Este bloque se genera aleatoriamente o lo asigna un
servidor DHCPv6.
Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar
con la red local. Este tipo de dirección se genera automáticamente y no se puede encaminar.
Son homólogos a las direcciones IPv4 correspondientes a las direcciones
APIPA(169.254.x.x).
El prefijo utilizado por este tipo de dirección es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
• 192
• 224
• 1110 0111
• 192.168.1.102
• 0011 1100
• 1001 1100
Solución:
• 192
El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del
rango 7 es entonces igual a 1. Falta convertir el número 64 (192-128).
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
El valor binario de los otros rangos está en 0.
• 224
El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del
rango 7 es entonces igual a 1. Falta convertir el número 96 (224-128).
El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del
rango 6 es entonces igual a 1. Falta convertir el número 32 (96-64).
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
• 1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+26+25+22+21+20 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
• 192.168.1.102
1: 0000 0001
• 0011 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
25+24+23+22= 32+16+8+4
Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.
• 1001 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+24+23+22= 128+16+8+4
Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.
Debemos dividir la red con la dirección 172.16.0.0 en 8 subredes. Proporcione, para cada
una, la dirección de subred, la dirección de la máscara de subred y los rangos de dirección
que pueden ser distribuidos.
Solución:
• Máscara de subred:
• Subred 1:
• Dirección de subred 2:
• Dirección de subred 3:
• Dirección de subred 4:
• Dirección de subred 5:
• Dirección de subred 6:
• Dirección de subred 7:
172.16.110 0 0000.0 o sea la dirección de red 172.16.192.0
• Dirección de subred 8:
Objetivo: configurar los servidores AD1 y SV1 para que puedan usar el protocolo IPv6
para comunicarse.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor
local.
Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del
comando.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del
comando.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
8 ¿Cuáles son los comandos y opciones necesarios par ver la caché DNS?
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
2. Resultados
3. Respuestas
Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicación.
Cada una tiene su propia función. Los diferentes protocolos que comprenden la suite
TCP/IP están organizados en las diferentes capas.
En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango
10.0.0.0 a 10.255.255.255 está reservado a la clase A. Con la clase B es posible utilizar las
direcciones entre 172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre
192.168.0.0 y 192.168.255.255 están reservadas para la clase C.
Permite efectuar una división de la red física de forma lógica. Es también más fácil limitar
el número de equipos en la red o garantizar la seguridad de los datos.
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns.
8 ¿Cuáles son los comandos y opciones necesarios par ver la caché DNS?
Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /flushdns.
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
El comando ping envía por defecto cuatro tramas echo. Para enviar un número mayor de
tramas, debemos usar la opción -n seguida del número deseado.
2. Objetivos
Introducción
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en
una arquitectura de red. Su función es la distribución de la configuración IP, lo que permite
a los equipos conectados comunicarse entre ellos.
Un configuración IP incluye una dirección IP, una máscara de subred y una puerta de
enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuración
adecuada para cada equipo. Muy útil para los usuarios itinerantes, a éstos se les asigna una
configuración sin intervención del administrador. A partir de Windows Server 2008, es
posible vincular el servidor DHCP y NAP (Network Address Protection) para distribuir las
concesiones DHCP en función del estado de salud del equipo (antivirus actualizado,
cortafuegos activado…). Este rol puede instalarse en un servidor en modo Core para limitar
la superficie de ataque.
Se provee una asignación a un adaptador de red por una duración limitada a varias horas,
días o simplemente ilimitada. Las tramas utilizadas son de tipo broadcast. Éstas no pueden
atravesar los routers.
Al utilizar tramas de tipo broadcast, éstas no pueden atravesar los routers. Esto implica la
necesidad de un servidor para cada subred IP. La necesidad de muchos servidores puede
conllevar un coste excesivo para la empresa. Para remediar este problema, es posible
implementar un relay DHCP. Éste permite transferir las solicitudes de asignación a un
servidor ubicado en otra subred.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP
hechas en la subred IP. Transfiere a continuación las diferentes solicitudes que recibe al
servidor DHCP presente en la red B.
Debemos sin embargo verificar el ancho de banda de la línea y los tiempo de respuesta.
El ámbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Está limitado
a una subred IP.
Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de
direcciones entre 172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red
172.16.0.0 solicita una asignación DHCP recibe una dirección del ámbito configurado para
la red 172.16.0.0. El resultado es idéntico si el servidor posee ámbitos para redes diferentes.
A partir de Windows Server 2008, es posible añadir un ámbito para el protocolo IPv6. Al
igual que para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la
solicitud.
2. Reserva de concesiones DHCP
Para ciertos equipos (impresora de red...), es necesario asignar una configuración IP. Ésta
no debe sufrir ninguna modificación, lo que obligaría a una reconfiguración en los puestos
de trabajo.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una
reserva en DHCP. Ésta permite garantizar la recepción de la misma configuración IP para
cada cliente.
La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig
/all, y aparece también en el nodo Concesiones de direcciones (campo ID exclusivo).
4. Implementación de filtros
La implementación de filtros permite crear listas verdes y listas de exclusión. Cada una
tiene un uso bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una
concesión DHCP.
De esta forma, todos los adaptadores de red cuya dirección MAC se encuentre en la lista
verde tienen la posibilidad de recibir una concesión. Está representada en la consola por el
nodo Permitir. La lista de exclusión permite anotar los adaptadores de red que no recibirán
respuesta del servidor. La lista de exclusión se puede configurar por medio del nodo
Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro),
en el caso contrario el servidor no responderá a las solicitudes del cliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusión y viceversa. Esta
característica permite garantizar que solo los puestos autorizados recibirán una
configuración IP. Sin embargo, al añadir un nuevo equipo, es necesario crear un nuevo
filtro. Esta operación puede ser muy sencilla de realizar pero se vuelve muy restrictiva en
caso de contar con un número muy elevado de equipos.
• dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange
Server JET.
• dhcp.tmp: este archivo se emplea como archivo de intercambio durante el
mantenimiento de los índices de la base.
• j50.log: permite registrar las transacciones.
• j50.chk: archivo con puntos de control.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Pa
rameters
Ejemplo
Primera solución: se ha creado una cantidad de reservas han sido creadas y se han
implementado, a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo
ámbito en el nuevo servidor DHCP y luego efectuar la etapa de creación de las reservas y
exclusiones. Es tedioso y puede causar errores más o menos perjudiciales para el sistema de
información. Es entonces necesario hacer copia de seguridad del antiguo servidor y luego
restaurarlo en el nuevo o desplazar la base de datos a otro volumen.
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic
derecho en el servidor y luego Propiedades en el menú contextual).
Empleando el botón Examinar asociado al campo Ruta de acceso de la base de datos,
seleccione otra carpeta.
La actualización se efectúa después de reiniciar el servidor.
Si, durante el reinicio del servicio, el ámbito no está presente, copie todos los archivos
contenidos en Widnows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.
Segunda solución: no se han creado reservas en el servidor, o se ha creado un número muy
reducido. En este caso se puede considerar la opción de crear un nuevo ámbito. Sin
embargo, si esta solución se implementa erróneamente, puede causar graves problemas. De
hecho, si el nuevo servidor carece de información acerca de las concesiones DHCP que se
han distribuido antes de la creación, se corre el riesgo de distribuir direcciones ya asignadas
a equipos cliente. Es preciso, en este caso, solicitar al servidor DHCP que realice una
prueba antes de asignar una dirección.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A
continuación, en la pestaña Avanzadas, bastará con configurar el número de intentos de
detección de conflictos que el servidor debe efectuar.
La obtención de una concesión permite el acceso a la red. De esta forma, una persona
malintencionada puede fácilmente intentar corromper los datos o simplemente obtener
datos confidenciales. Es necesario poner en práctica un esquema de seguridad adecuado. En
primer lugar es posible reducir el acceso físico activando en el conmutador solamente los
puertos utilizados. Es posible realizar una auditoria para ver un historial de accesos validos.
Sin embargo, es preferible implantar una solución de autenticación robusta. Esta última
puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-
In User Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un
equipo (conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El
equipamiento debe ser, a su vez, compatible con la norma 802.1x.
IPAM
IPAM (IP Address Management) es una característica integrada a partir del sistema
operativo Windows Server 2012. Permite descubrir, supervisar y auditar un grupo de
direcciones IP. La administración y seguimiento de servidores DHCP (Dynamic Host
Configuration Protocol) y DNS (Domain Name Service) puede realizarse desde IPAM.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS
y DHCP para servidores que están dentro del alcance del área de descubrimiento
especificada. Para poder ser gestionados por IPAM y autorizar su acceso, se deben
configurar los parámetros de seguridad y los puertos del servidor.
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque
Active Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben
ejecutar Windows Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos
elementos de red (WINS - Windows Internet Name Service, proxy…) no están
contemplados por el servidor IPAM. Solo se actualizan las bases de datos internas de
Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y
150 zonas DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo,
el administrador debe hacerlo manualmente.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles
y características.
Objetivo: una ves instalado, este taller tiene por objetivo realizar la configuración del
servidor.
En la consola Administrador del servidor, haga clic en el icono con forme de bandera.
Haga clic con el botón derecho en IPv4 y a continuación, en el menú contextual, haga clic
en Ámbito nuevo....
Marque la opción Configuraré estas opciones más tarde y haga clic en Siguiente.
Haga clic en Finalizar para cerrar el asistente.
Verifique en los equipos CL8-01 y CL8-02 que la dirección está configurada para
Obtener una dirección IP automáticamente.
Haga clic en Concesiones de direcciones y, a continuación, haga clic con el botón derecho
en la concesión de CL8-02. En el menú contextual seleccione Agregar a filtro y, a
continuación, Denegar.
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar
una restauración.
En la ventana Buscar carpeta, haga clic en Disco local (C:) y luego haga clic en Crear
nueva carpeta.
Llame a la nueva carpeta CopiaSeguridadDHCP y haga clic en Aceptar.
Haga clic con el botón derecho en el ámbito presente en DHCP y, en el menú contextual,
seleccione la opción Eliminar.
4. Implementación de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar
una restauración.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles
y características.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
función.
Deje la opción por defecto en la ventana Seleccione el tipo de instalación y luego haga
clic en Siguiente.
Verifique la selección de SV2.Formacion.local y luego haga clic en Siguiente.
En la ventana de selección de características, marque la característica Servidor de
administración de direcciones IP (IPAM).
Haga clic en el botón Agregar características en la ventana que se muestra y luego en el
botón Siguiente.
En el Administrador del servidor, haga clic en IPAM para mostrar la página inicial.
Haga clic en el vínculo Aprovisionar el servidor IPAM.
Cuando el campo Fase tenga el valor Completada, cierre la ventana Detalles de tarea de
Overview.
Haga clic en el vínculo Seleccionar o agregar servidores para administrar y
comprobar el acceso de IPAM.
El o los servidores mostrarán su estado como Bloqueado en Estado de acceso IPAM y Sin
especificar en Estado de manejabilidad.
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (al lado del identificador de
notificación).
Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Se utilizan los
objetos de directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic
Host Configuration Protocol) y DNS (Domain Name System).
En la consola de configuración de IPAM, haga clic con el botón derecho en la línea AD1 y
luego seleccione Editar servidor.
En la lista desplegable Estado de capacidad de administración, seleccione
Administrado.
Haga clic en Aceptar.
En el servidor AD1, abra un símbolo del sistema DOS y luego introduzca el comando
gpupdte /force. Esto permite aplicar las directivas de grupo previamente creadas con el
comando PowerShell.
Actualice la consola IPAM, el campo Estado de acceso IPAM muestra ahora el estado
Desbloqueado.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos
posibilidades que se me presentan?
2. Resultados
3. Respuestas
Cuando un cliente emite una trama para solicitar una configuración IP, ésta se envía a todos
los equipos de la red. Esta trama está basada en un tipo broadcast. Estas tramas no pueden
atravesar los enrutadores. Para evitar costes excesivos por la proliferación de servidores
DHCP, debemos implantar relay DHCP cuya función es la retransmisión de las diferentes
solicitudes a los servidores DHCP.
Si, es posible configurar varios ámbitos en un servidor DHCP. Cada uno posee un rango de
direcciones diferente.
Un ámbito posee varias propiedades, entre las que se encuentran una nombre y una
descripción. Encontramos, también, un conjunto de direcciones IP que pueden distribuirse,
así como la máscara de subred y las listas de exclusión. Estas opciones pueden, a su vez,
configurarse.
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir
direcciones a los equipos incluidos en esta lista. La lista negra permite prohibir la concesión
a los equipos incluidos.
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos
posibilidades que se me presentan?
2. Objetivos
Introducción
Para acceder a un puesto de trabajo en la red, es posible utilizar su dirección IP o su
nombre. Para esto último, se ha implantado un mecanismo de resolución de nombre en
direcciones IP y viceversa.
Funcionamiento de DNS
El servicio DNS permite la resolución de nombres de host o de FQDN (Fully Qualified
Domain Name) en direcciones IP. Este servicio se incluye en todos los sistemas operativos
servidor que permiten a los usuarios utilizar los recursos de red (acceso a un servidor...).
De esta forma una persona que desee acceder a un sitio web no tiene la necesidad de
conocer su dirección IP para acceder a él. Introduciendo la dirección URL, se efectúa una
resolución DNS para poder traducir el nombre a su dirección IP.
Se utiliza una base de datos para almacenar los registros. Ésta puede almacenarse en un
archivo o en el directorio Active Directory. Contiene los nombres de equipo y sus
direcciones IP para poder efectuar las operaciones de resolución necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efectúa las consultas
y actualizaciones en la base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se envía una consulta al servidor DNS
para resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se envía
la dirección IP al cliente que ha realizado la solicitud.
DNS está construido sobre un sistema jerárquico. Los servidores en la parte superior de la
jerarquía, se llaman servidores raíz, se representan por un punto. Permiten la redirección de
las consultas a los servidores DNS de primer nivel (org, net...).
Situados debajo de los servidores raíz, los servidores con autoridad sobre los dominios de
primer nivel permiten la gestión de las zonas es, net... Cada uno de los dominios es
gestionado por un organismo (ESNIC...).
En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un
proveedor de acceso, que puede hospedar un servidor web o solamente proporcionar un
nombre de dominio.
Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad
sobre su zona (el servidor raíz contiene solamente el nombre de los servidores de primer
nivel, y es el mismo para todos los servidores de cada nivel).
Es posible para una empresa o particular añadir registros o subdominios para el nombre de
dominio que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi
tráfico de correo electrónico a mi router, en concreto a la dirección de mi IP pública).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la
zona FR puede resolver el registro nibonnet, pero no podrá resolver el nombre de dominio
shop.nibonnet.fr.
Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para
intentar realizar la resolución de los nombres que no se encuentran en la base de datos.
Con las consultas iterativas, el equipo cliente envía a su servidor DNS una consulta para
resolver el nombre www.nibonnet.fr. El servidor consulta al servidor raíz. Éste le redirige
al servidor que tiene la autoridad sobre la zona FR. También conoce la dirección IP del
servidor DNS que tiene la autoridad sobre la zona nibonnet. La consulta a este último
permite resolver el nombre www.nibonnet.fr. El servidor DNS interno responde a la
consulta que recibió previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Envía la
petición a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor
necesita un servidor externo para efectuar la resolución. La petición se transmite al
reenviador configurado por el administrador (el servidor DNS del ISP que posee una caché
mayor, por ejemplo). Si la respuesta no se encuentra en su caché, el servidor DNS del ISP
efectúa una consulta iterativa y luego transmite la respuesta al servidor que ha realizado la
petición. Éste puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador.
En ciertos casos (aprobación de bosque AD...), es necesario que la solicitud de resolución
que se va a reenviar a otro servidor DNS sea redirigida en función del nombre de dominio
(para el dominio eni.fr enviar la petición a, por ejemplo, el servidor SRVDNS1). El
reenviador condicional permite efectuar esta modificación y redirigir las consultas al
servidor correcto si la consulta (nombre de dominio) es válida.
Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona
secundaria y una zona de rutas internas.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que
contiene. Este tipo de zona puede integrarse en Active Directory o simplemente estar
contenido en un archivo de texto. En el caso de que la zona no esté integrada en Active
Directory, es necesario configurar la transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este
tipo de zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una
transferencia de zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta última contiene
solamente los registros necesarios para la identificación del servidor DNS que cuenta con
autoridad sobre la zona que se ha añadido.
La creación de una zona de rutas internas se realiza para poder resolver los registros del
dominio nibonnet.local.
Una vez que el servidor AD1 recibe una solicitud de resolución para el dominio
nibonnet.local, la solicitud se redirige a los servidores DNS configurados en la zona de
rutas internas. De esta forma se podrá efectuar la resolución.
2. La zona GlobalNames
La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos
(nombres NetBIOS). Estos últimos pueden resolverse mediante un servidor DNS. En
ciertos casos puede ser necesario implantar un servidor WINS. Más antiguo que DNS,
emplea NetBIOS sobre TCP/IP (NetBT). WINS y NetBT no tienen en cuenta IPv6. Están
llamados a desaparecer en unos años.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la
migración en el servidor DNS para la resolución de nombres cortos. Para esto, se debe
utilizar una zona llamada GlobalNames. Esta zona contiene los registros estáticos que
contienen los nombres.
El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para
ello, el Asistente para agregar roles y características presente en la consola
Administrador del servidor permite efectuar esta operación.
Al promover un servidor miembro a controlador de dominio, es posible efectuar también la
instalación del rol DNS. La consola que se agrega tras la instalación en las herramientas de
administración o la consola Administrador del servidor permiten administrar este servicio.
2. La actualización dinámica
La actualización dinámica consiste en una actualización del servidor DNS en tiempo real.
Esta función es muy importante. Permite, de hecho, actualizar un registro cuando el cliente
cambia de dirección IP. La operación de actualización se efectúa en varios momentos:
Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten
resolver un nombre de equipo, una dirección IP o simplemente a un equipo encontrar un
controlador de dominio, un servidor de nombres o un servidor de correo electrónico.
1. El comando nslookup
Ejecutado sin argumentos, la consola DOS muestra el nombre y la dirección IP del servidor
de nombres primario. Posteriormente, es posible interrogar al servidor.
La opción set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opción devuelve información acerca del servidor de correo electrónico.
2. El comando dnslint
Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS
(Domain Name System). Se crea un informe en formato HTML para poder ver los
resultados.
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opción /ad,
debe emplearse una dirección IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
4. El comando dnscmd
La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts.
Empleando esta herramienta pueden automatizarse tareas de administración del servicio
DNS. Este comando permite de igual manera la instalación desatendida y la configuración
de nuevos servidores.
Objetivo: creación de un redirector con el objeto de redirigir las consultas del dominio
Formintra.msft al dominio SV2.
Haga clic con el botón derecho en el adaptador de red y luego seleccione la opción
Propiedades en el menú contextual.
Inicie la consola Administrador del servidor y haga clic en el vínculo Agregar roles y
características.
Se inicia un asistente, haga clic en Siguiente.
Objetivo: utilización de la zona GlobalNames con el fin de resolver con DNS los nombres
cortos. El nombre SQL debe estar asociado a AD1 y éste debe responder con su
información cuando se utiliza el nombre corto.
Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y seleccione
Zona nueva.
La zona creada es una zona principal integrada en Active Directory. Deje el valor
predeterminado en la ventana Tipo de zona.
Seleccione el botón de opción Para todos los servidores DNS que se ejecutan en
controladores de dominio en este bosque: Formacion.local y luego haga clic en
Siguiente.
Introduzca GlobalNames en el campo Nombre de zona.
Los registros los crea el administrador, no es necesaria actualización dinámica alguna.
Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo
(CNAME).
En el equipo CL8-01, inicie un símbolo del sistema DOS y luego introduzca ping SQL.
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
2. Resultados
3. Respuestas
La base de datos del servicio DNS se almacena en dos entornos. Puede estar almacenada en
un archivo o en el directorio Active Directory (solamente para las zonas integradas en AD).
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo
tiene autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz, dominio de
primer nivel...), cada uno tiene su función específica.
Cuando un servidor efectúa una consulta iterativa, envía una consulta a los servidores DNS
de diferentes niveles (raíz, dominio de primer nivel...). Su objetivo es responder a la
consulta que ha recibido.
Se pueden crear tres tipos de zonas en un servidor DNS. Podemos crear zonas primarias,
secundarias o zonas de rutas internas.
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado
en un controlador de dominio es posible integrarlas en Active Directory. Las zonas
secundarias son de solo lectura y no pueden ser integradas en AD.
Una zona de rutas internas es una copia de una zona, donde solo existen los registros que
permiten la identificación de los servidores DNS.
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona
GlobalNames permite crear registros estáticos del tipo CNAME para que el servidor pueda
resolver los nombres.
2. Objetivos
Introducción
La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Las
diferentes aplicaciones tienen una necesidad creciente de espacio de almacenamiento. Por
lo tanto, es necesario gestionar el espacio de almacenamiento cuidadosamente.
El sistema de almacenamiento
Durante la implantación de un servidor en un sistema de información, es necesario evaluar
la solución de almacenamiento (discos locales, cabina de almacenamiento...) que será
desplegada. Puede ser necesaria la tolerancia a fallos y el número de discos a emplear
variará en función de la solución escogida.
Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una
capacidad de almacenamiento a los servidores o puestos de trabajo.
En caso de parada del servidor (mantenimiento, parada por fallo, reinicio...), los archivos y
carpetas contenidos no estarán accesibles. Los discos de tipo SATA, SAS o SSD pueden
utilizarse con esta solución, presentando cada uno sus ventajas e inconvenientes (velocidad,
rendimiento...).
Ventajas de DAS
Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro
equipo por medio de un adaptador de bus host (HBA). No puede existir ningún equipo de
red de tipo hub, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el
despliegue de esta solución es muy sencillo, basta con conectar el periférico y verificar que
el sistema operativo lo reconoce. Tratándose de una solución más económica, existen
discos disponibles de diferentes velocidades y tamaños. Esto permite una mejor adaptación
a las diferentes soluciones que pueden implementarse. La administración y la configuración
se realizan mediante la consola Administración de discos.
Inconvenientes de DAS
Esta solución no permite centralizar los datos, que se encuentran repartidos entre varios
servidores. Adicionalmente a la administración, la copia de seguridad y el acceso a los
diferentes recursos es también difícil de gestionar. Además, el rendimiento del servidor
(velocidad del procesador, memoria) impacta en el acceso al DAS.
Ventajas de NAS
Como hemos visto, la solución NAS ofrece la ventaja de proporcionar acceso a varios
clientes con un acceso directo desde la red. Es frecuente tener un equipo de tipo
"appliance", que permite evitar cualquier problema de rendimiento vinculado al servidor,
estando el equipo reservado exclusivamente a la presentación de los archivos y carpetas. Al
estar los recursos almacenados en un punto central, la administración y la copia de
seguridad son muy sencillas de realizar. Adicionalmente, la solución es independiente de la
versión del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solución está basada en
red. No es aconsejable almacenar aquí archivos de aplicaciones tales como SQL Server o
Microsoft Exchange.
Las SAN pueden utilizar fibra óptica o iSCSI. Este último tipo de interfaz permite la
transmisión de comandos SCSI a través del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el número de discos, y por ende la
cantidad total de almacenamiento. Es posible agregar un disco o una cabina de forma muy
sencilla en comparación con una solución de almacenamiento de tipo DAS. La
centralización del almacenamiento permite una mejor gestión y administración de los
recursos albergados. Los rendimientos en lectura y escritura son más elevados en este tipo
de almacenamiento, adicionalmente es posible configurar una redundancia a nivel de
ciertos componentes (alimentación, disco duro).
Inconvenientes de SAN
La tecnología RAID puede emplearse para proporcionar a una empresa una solución de alta
disponibilidad o de alto rendimiento. El concepto se basa en la utilización de varios discos
en una única unidad lógica. Variará en función del nivel RAID seleccionado, el número de
discos utilizados o la posibilidad de tener un fallo de disco.
En la actualidad, esta tecnología está muy extendida en las empresas porque garantiza (en
función del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de
indisponibilidad de los servidores (generalmente contamos con una redundancia a nivel de
alimentación, discos y tarjeta de red).
Funcionamiento de RAID
• Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit
se escribe en el disco espejo. En caso de fallo de un disco, los datos están todavía
disponibles mediante el segundo disco.
• Información de paridad: empleado en caso de fallo de un disco, la información de
paridad permite recuperar los datos que se encuentran en el disco fuera de servicio.
La información de paridad se calcula para cada dato escrito en el disco, esta
operación la realiza el servidor o la controladora RAID. En caso de error, la
información de paridad se asocia a los datos que siguen disponibles en los otros
discos para recuperar la información faltante.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurándola mediante diferentes herramientas. Esta configuración no está disponible
para el sistema operativo. Éste solo puede efectuar la creación de volúmenes. El RAID por
software es un poco diferente porque la configuración RAID se realiza esta vez en el
sistema operativo. Se emplea la consola Administración de discos para la gestión de los
diferentes niveles de RAID.
Niveles de RAID
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los
discos. Los n discos presentes en el RAID trabajan en paralelo, lo que permite una mejora
en el acceso de lectura y de escritura. Esta configuración posee, sin embargo, un
inconveniente en el tamaño de los discos. En efecto, la capacidad del volumen es igual al
tamaño del disco más pequeño multiplicado por el número de los discos que componen el
clúster.
Ejemplo
Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se
escriben datos cuando el disco más pequeño está lleno. Es muy aconsejable utilizar discos
de igual tamaño.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se
pierde el conjunto de los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los
mismos datos. Hablamos de espejo o "mirroring" en inglés. La capacidad del volumen es
igual al menor de los discos presentes en el clúster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamaño. Este tipo de
RAID ofrece una buena protección de datos. En caso de fallo de uno de los discos, la
controladora RAID lo desactiva sin que el usuario se percate. Al reemplazarlo, la
controladora reconstruye el espejo. Una vez reconstruido, se garantizan nuevamente la
redundancia y la alta disponibilidad.
RAID 5
RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad.
De esta forma los datos no se escriben nunca de la misma forma en los diferentes discos.
Esto permite tener en cada disco la información de paridad y los datos. Esta solución
garantiza la reconstrucción del RAID combinando los bits de paridad y los datos. Sin
embargo, en caso de pérdida de más de un disco los datos no podrán ser recuperados.
Esta solución RAID aporta un buen acceso de lectura, sin embargo el cálculo de la paridad
implica tiempos de escritura mucho más largos.
Desde 1980, los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot
Record) en sus discos duros. Este tipo de tabla de particiones posee ciertas características.
Un disco no puede tener más de 4 particiones y cada una puede tener un tamaño máximo de
2 TB. Es recomendable emplear una tabla de particiones de tipo GPT (GUID Partition
Table) para los discos de más de 2 TB.
Windows Server 2012 permite el uso de dos discos diferentes (los discos básicos y los
discos dinámicos).
Los discos básicos, utilizados en todas las versiones del sistema operativo Windows,
utilizan tablas de particiones de tipo MBR o GPT. Un disco básico contiene particiones
principales o particiones extendidas. Estas últimas estarán divididas en unidades lógicas. Al
instalar un disco, la opción por defecto es el disco básico. Sin embargo, se puede realizar la
conversión a un disco dinámico. Esta conversión no tiene impacto sobre los datos
presentes.
No obstante, el paso de disco dinámico a disco básico causa la pérdida del conjunto de
datos contenidos en el disco. Los discos dinámicos no aportan rendimientos superiores,
adicionalmente algunas aplicaciones no pueden tratar los datos en este tipo de discos.
Los discos dinámicos aparecieron con Windows Server 2000. La noción de volumen hizo
su aparición con este tipo de discos. En efecto, ya no hablamos de particiones sino de
volúmenes dinámicos. Estos son unidades de almacenamiento que se extienden sobre uno o
más discos. Al igual que para los discos básicos, los volúmenes pueden formatearse con el
sistema de archivos deseado y se les puede asignar una letra de unidad. Están disponibles
varios tipos de volumen, los volúmenes simples utilizan un solo disco y poseen las mismas
características que una partición principal. No existe ningún límite (salvo el espacio en
disco) en el número de volúmenes simples por disco, a diferencia de las
particiones principales que están limitadas a 4 por disco. El volumen distribuido se crea
utilizando el espacio en disco libre en varios discos. Este volumen puede extenderse a un
máximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna tolerancia a
errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios
discos (como mínimo dos). Los datos se escriben de forma alternativa en los diferentes
discos que componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta
solución no ofrece tolerancia a errores. Los volúmenes reflejados, más conocidos como
RAID 1, permiten implementar un volumen con tolerancia a errores. Empleando dos
discos, los datos escritos en uno se replican, automáticamente, en el otro.
FAT
FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar
con Windows Server 2012. Al formatear un disco con un sistema de archivos FAT, se
realiza una división en clúster (grupo de sectores). La versión original de FAT no permitía
tener particiones de más de 2 GB, a causa de la limitación en el tamaño de la tabla de
asignación de archivos. El sistema FAT32 fue desarrollado por Microsoft para permitir la
creación de particiones de un tamaño máximo de 2 TB. Sin embargo, no se implementa
seguridad para los archivos en ninguna de las dos versiones. No es recomendable utilizar
este tipo de sistema en las particiones internas de un servidor que ejecute Windows Server
2012.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este
sistema proporciona características muy útiles que el sistema FAT no tiene. Implementa
ACL (Access Control Lists) para los archivos y carpetas. Esta funcionalidad, que consiste
en proporcionar autorizaciones de acceso a los archivos, carpetas o cualquier recurso
compartido permite obtener una mejor seguridad en un sistema de información. Los
sistemas operativos que emplean este sistema cuentan a su vez con cifrado empleando el
protocolo EFS. Finalmente, es posible implementar la compresión de archivos y cuotas por
volumen. Se puede realizar conversión de una partición FAT a una de tipo NTFS sin
pérdida de datos empleando el comando convert. El tamaño de las particiones formateadas
con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamaño teórico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor
tamaño de archivo, carpeta o partición. Se han mejorado a su vez la corrección de errores y
la verificación de datos. Es preciso utilizar este tipo de sistema para rebasar los límites
impuestos por NTFS. Se han mejorado la integridad de datos, así como la protección contra
la corrupción. Esta novedad hereda funcionalidades presentes en el sistema NTFS tales
como la encriptación BitLocker o la implementación de la seguridad mediante el despliegue
de ACL. Esto permite garantizar la compatibilidad hacia atrás con el sistema NTFS. Si el
disco se formatea con este sistema, no se reconocerá si se conecta a un sistema operativo
anterior a Windows Server 2012. A diferencia de NTFS que permite la modificación del
tamaño de los clústers, con ReFS cada clúster tiene un tamaño de 64 KB. El sistema EFS
(Encrypted File System) no es compatible con ReFS.
En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista
para los clientes, la reducción o ampliación de una partición debía efectuarse empleando
software adicional. En adelante, la consola Administración de discos permite realizar esta
operación. Sin embargo, solo es posible redimensionar las particiones NTFS. Las
particiones formateadas en FAT no pueden ser ni extendidas ni reducidas, mientras que los
volúmenes ReFS solo pueden ser extendidos. No obstante, la opción que permite extender
los datos solo puede utilizarse si un espacio no asignado es adyacente a la partición que
sufre la acción. En caso de utilizar un volumen dinámico, es posible extender el volumen
con espacio no asignado de otro disco (volumen agregado). Recuerde que los volúmenes
agregados no aplican la tolerancia a fallos, además no es posible utilizar este tipo de
volumen para una partición del sistema. Un clúster defectuoso puede causar la
imposibilidad de reducir la partición. Al reducir una partición, aquellos archivos que no se
pueden mover (pagefile.sys...) no se desplazan. Esto obligará al administrador a eliminar o
desplazar estos archivos que no se pueden mover antes de realizar la operación de
reducción. También es posible utilizar el cmdlet Resize-Partition.
Implementación de un espacio de
almacenamiento
La implementación de un espacio de almacenamiento puede ser costosa en función de la
solución que haya que desplegar. Con Windows Server 2012 se ha implementado una
nueva funcionalidad que permite desplegar un espacio de almacenamiento.
Existen tres opciones. Un espacio simple permite obtener los mejores rendimientos
mediante RAID 0. No se despliega ninguna redundancia, en caso de fallo los datos se
pierden. El Espejo permite la redundancia de datos garantizando la duplicación de los datos
en varios discos. Esta solución proporciona gran capacidad con una latencia de acceso
relativamente baja. Adicionalmente se garantiza una tolerancia a errores. Finalmente la
Paridad es similar al RAID 5. Los datos, así como los bits de paridad, se reparten entre
varios discos. Esta última solución requiere tres discos físicos. Al igual que para el espejo,
esta solución incluye tolerancia a fallos.
La máquina virtual está arrancada, resulta imposible agregar un disco IDE. Vamos a
agregar discos duros de tipo SCSI.
En la página Elegir formato de disco, seleccione el formato VHDX y luego haga clic en
Siguiente.
Deje el valor predeterminado en Elegir tipo de disco.
Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la
ubicación y haga clic en Siguiente.
Introduzca 10 en el campo Tamaño y luego haga clic en Siguiente.
El nombre del archivo vhdx debe modificarse, los demás parámetros son idénticos.
Haga clic en Aceptar, luego en la máquina virtual SV1, abra la consola Administrador
del servidor.
El número de disco puede variar en función del número de lectores incluidos en la máquina
virtual. Si la opción En línea no aparece, significa que no se ha hecho clic en el lugar
adecuado. La operación debe hacerse en el texto encima del enlace Ayuda.
En el campo Tamaño de volumen simple en MB, introduzca 1000 y luego haga clic en
Siguiente.
En la ventana Asignar letra de unidad o ruta de acceso, haga clic en Siguiente.
Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en
Siguiente.
Haga clic en Terminar para proceder a la creación del volumen.
La creación de un volumen con un sistema MBR y GPT es idéntica. Solo difieren el tamaño
y el nombre del las particiones.
2. Reducción de una partición
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
en Reducir volumen.
En el campo Tamaño del espacio que desea reducir, en MB, introduzca 200.
Haga clic en el botón Reducir.
Después de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la partición D porque está ubicado antes que
ella.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
en Extender volumen.
Este campo indica al sistema operativo el valor que se agregará a la partición a extender.
La partición del sistema puede reducirse o extenderse mientras el sistema operativo está
cargado.
Objetivo: crear los diferentes volúmenes que se pueden crear desde la consola
Administración de discos y luego simular un error desconectando un disco.
Haga clic con el botón derecho en Disco 2 y luego seleccione la opción En línea.
Haga de nuevo clic con el botón derecho y seleccione esta vez Inicializar disco.
Marque la opción GPT (Tabla de Partición GUID) y luego haga clic en el botón
Aceptar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen distribuido.
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen introduzca
Distribuido en el campo Etiqueta del volumen.
Haga clic en Siguiente y luego en Finalizar.
En el mensaje de advertencia, haga clic en Sí para que los discos se conviertan a discos
dinámicos.
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen, introduzca
Seccionado en el campo Etiqueta del volumen.
Haga clic en Siguiente y luego en Finalizar.
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen introduzca
Reflejado en el campo Etiqueta del volumen.
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen, introduzca
RAID-5 en el campo Etiqueta del volumen.
Haga clic en Siguiente y luego en Finalizar.
Cree un archivo llamado prueba.txt que contenga el texto "test" en cada volumen.
Haga clic con el botón derecho en Disco 2 y luego, en el menú contextual, seleccione En
línea.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos
y almacenamiento. Por último, haga clic en Grupos de almacenamiento.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
4 ¿Qué es iSCSI?
2. Resultados
3. Respuestas
Se pueden instalar varios tipos de disco en un servidor, los discos SATA, SAS o SCSI.
4 ¿Qué es iSCSI?
iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo IP.
Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI.
Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su
dirección IP.
8 ¿Cuál es la diferencia entre RAID 1 y RAID 5?
Además del número de discos, dos para RAID 1 y tres para RAID 5, el funcionamiento de
los dos RAID es diferente. RAID 1 emplea un sistema de espejo, al escribir un bit en un
disco se escribe el mismo en el segundo disco. RAID 5 emplea un sistema de paridad,
cuando se escriben datos en el disco, se calcula un bit de paridad y se escribe en el tercer
disco. En caso de fallo de un disco, la parte de los datos restante se asocia al bit de paridad
para recuperar el valor original.
El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones, etc.). Para
rebasar estos límites, debemos utilizar una tabla de particiones GPT (GUID Partition Table)
para poder crear más de 4 particiones principales…
ReFS permite mejorar el sistema NTFS. En efecto, el tamaño máximo de los archivos ha
sido aumentado. Este sistema aporta otras mejoras.
2. Objetivos
Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición
NTFS. Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas
que se encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se
encuentra activa al crear una nueva carpeta o archivo. Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos
avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control
total proporciona al objeto afectado (usuario, equipo o grupo) permisos completos sobre un
archivo o una carpeta, lo que incluye la posibilidad de modificar los permisos o convertirse
en propietario. El permiso Modificar permite leer, escribir y eliminar un archivo o una
carpeta. Se concede al objeto afectado permisos para ejecutar un archivo o efectuar su
creación. Atribuyendo el permiso Lectura y ejecución, es posible leer un archivo y
ejecutar un programa. A diferencia del permiso Lectura y ejecución, Lectura solo permite
ver el contenido de un archivo o de una carpeta. El permiso Escritura proporciona
permisos de escritura sobre un archivo. Por último, al atribuir a un objeto el permiso
Mostrar el contenido de la carpeta, es posible enumerar las carpetas y archivos
contenidos en una carpeta pero sin tener la posibilidad de abrir y leer el contenido de un
archivo.
El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se
compone del nombre del servidor que contiene el recurso seguido del nombre del recurso
compartido (por ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se
utilizan desde hace años. Permiten poner disponible un recurso en la red sin que el usuario
pueda verlo. Para acceder, es necesario introducir la ruta UNC. Los recursos como c$,
admin$ se crean durante la instalación de un sistema operativo cliente o servidor. Para
ocultar un recurso compartido y transformarlo en un recurso administrativo,
debemos añadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al
crear un archivo o carpeta, este último recupera automáticamente los permisos de seguridad
aplicados a su padre. En ciertas ocasiones, se puede llegar al caso de que los permisos
heredados contradicen a los permisos explícitos. Hablamos entonces de conflictos. En este
caso, los permisos declarados explícitamente por el administrador tienen prioridad sobre los
permisos heredados de la carpeta padre. Los últimos pueden ser deshabilitados bloqueando
la herencia en la carpeta o el archivo. Esta operación se efectúa en las opciones avanzadas
del archivo o carpeta (clic derecho en la carpeta, Propiedades - pestaña Seguridad -
Opciones avanzadas).
Haciendo clic en Ver el acceso efectivo, podemos visualizar las autorizaciones que el
usuario tiene sobre el recurso.
La siguiente pantalla muestra que los miembros del grupo Formadores no poseen ningún
permiso sobre la carpeta.
Utilización de instantáneas
Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de
una forma sencilla.
Una instantánea es una imagen estática. Contiene los archivos y carpetas que están
compartidos en el servidor. Esta funcionalidad proporciona al usuario o al administrador la
posibilidad de restaurar de forma sencilla un documento eliminado por error, o que ha
sufrido una modificación errónea.
Por defecto, la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las
12:00. Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse
de tener el espacio en disco requerido.
Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por
medio de cinta o copia de seguridad de disco. Esta operación es perfectamente posible pero
demanda mucho tiempo: además, la copia de seguridad se efectúa normalmente una vez al
día, a diferencia de las instantáneas que se ejecutan dos veces.
Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma
simplificamos también el soporte técnico. La publicación en Active Directory facilita la
instalación y el despliegue de las impresoras a un usuario.
A partir de Windows Server 2000, los controladores utilizados para las impresoras son de
versión 3. Con este tipo de controlador, los fabricantes creaban un controlador para cada
tipo de dispositivo. Si el parque informático está compuesto por varios tipos de dispositivos
diferentes, los administradores deberán gestionar diferentes controladores. Además, ambos
tipos de plataforma, 32 y 64 bits, utilizan controladores diferentes, lo que complica una vez
más la gestión de los controladores.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4).
Con este nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora
que gestiona los lenguajes de impresión para una amplia gama de dispositivos. Los
lenguajes incluyen XML Paper Specification (XPS), Printer Control Language
(PCL)… Este tipo de controladores se distribuyen mediante Windows Update o Windows
Software Update Services (WSUS).
Un grupo de impresoras consiste en la creación de una unidad lógica, la cual está conectada
de forma lógica a varios dispositivos físicos. Los clientes verán el grupo de impresoras
como un dispositivo físico. Al enviar un trabajo de impresión, todas las impresoras
disponibles y conectadas al grupo tienen la posibilidad de efectuar el trabajo. Esta
funcionalidad permite al usuario tener siempre una impresora disponible. En caso de
problema con una de las impresoras (atasco de papel...) los trabajos de impresión se envían
a las otras impresoras integrantes del grupo. La creación del grupo se efectúa en el
servidor de impresión y consiste en asignar a esta impresora lógica varios puertos de
destino de los dispositivo físicos. En la mayoría de los casos, los enlaces apuntan a
direcciones IP.
• Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos
formatos. En la mayoría de los casos, un grupo está compuesto de dispositivos del
mismo modelo.
• Por comodidad, es preferible que las impresoras estén en un entorno cercano al
usuario. La impresión puede realizarla cualquiera de las impresoras contenidas en el
grupo. El usuario deberá hacer el recorrido por las impresoras para recuperar su
documento impreso, es imposible saber en cuál de los dispositivos se ha hecho la
impresión.
Haga clic en el nodo Equipo y luego haga doble clic en la partición D:.
La partición puede tener una letra diferente. Si tiene solo una partición, tome la partición
del sistema.
Repita la operación anterior para crear las carpetas Informática, Búsqueda, Ventas y
Contabilidad.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio
vacío del panel central.
En el campo Ubicación del recurso compartido, seleccione el botón Escriba una ruta
de acceso personalizada y luego haga clic en Examinar.
Haga clic en Crear para iniciar la creación del recurso compartido y luego en Cerrar para
detener el asistente.
En la consola Administrador del servidor, haga clic con el botón derecho en la partición
Usuarios y seleccione la opción Propiedades en el menú contextual.
2. Implementar instantáneas
Es preciso habilitar las instantáneas en la partición que contiene las carpetas creadas en el
taller anterior. Acceda a las propiedades de la partición que contiene estos datos.
El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la
programación seleccionada.
Verifique que las instantáneas están activadas en el volumen D:\ y luego haga clic en
Crear ahora.
Abra una sesión como administrador de dominio en CL8-01.
Haga clic con el botón derecho en el recurso compartido data y luego en el menú
contextual seleccione Propiedades.
Deje la opción por defecto en la ventana Seleccione el tipo de instalación y luego haga
clic en Siguiente.
Haga clic en Siguiente en la ventana Seleccionar servidor de destino.
Haga clic con el botón derecho en el nodo Impresoras y luego, en el menú contextual,
haga clic en Agregar impresora.
Se inicia el asistente para la instalación de impresoras de red.
En la lista Fabricante, seleccione Genérica y luego Generic Color XPS Class Driver
(A) en la lista Impresoras.
Haga clic en Siguiente para validar la selección.
Sitúe el ratón en la esquina inferior izquierda para mostrar la miniatura del menú Inicio.
Haga clic con el botón derecho en la miniatura y seleccione Panel de control en el menú
contextual.
Haga clic en el enlace Ver dispositivos e impresoras en Hardware y sonido.
Los filtros personalizados permiten mostrar información acerca de las impresoras. Esto
permite visualizar de forma sencilla el conjunto de impresoras y controladores así como
aquellas impresoras con trabajos (que tienen al menos un trabajo en curso) o no preparadas
(conjunto de impresoras que no tienen estado de preparadas). Puede crear su propio filtro
para obtener la información deseada.
Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione
Agregar nuevo filtro de impresora.
Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y
luego haga clic en Siguiente.
En la ventana Definir filtro, seleccione Trabajos en cola en la lista desplegable Campo y
luego no es exactamente en la lista desplegable Condición.
Haga clic en el botón que permite Crear nuevo objeto de directiva de grupo.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creación de una nueva GPO.
Tras la próxima aplicación de las GPO, la impresora se instalará en todos los equipos y
servidores. Para limitar esta instalación, tendremos que filtrar empleando un grupo de
seguridad o posicionando la directiva de grupo en un contenedor diferente.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Conta.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos
para aprobar el capítulo.
3. Respuestas
No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS
avanzados permiten ser más preciso con los permisos asignados a un objeto Active
Directory.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Conta.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que
permitirá al usuario acceder directamente a la carpeta deseada.
Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible
modificar esta programación.
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
Se realiza una rotación. De esta forma, cuando se alcanza el tamaño máximo, las
instantáneas con fecha más antigua se eliminan en beneficio de las más recientes.
Los usuarios pueden restaurar una instantánea por medio de la opción Versiones anteriores
en las propiedades del recurso compartido. El administrador tiene la opción de hacerlo
desde el servidor.
Los grupos de impresión consisten en hacer funcionar varias impresoras sobre una
impresora lógica. Esto permite continuar imprimiendo en caso de que una impresora no esté
disponible.
2. Objetivos
Introducción
Una directiva de grupo permite implantar parámetros de configuración en un conjunto de
equipos. La gestión se realiza de forma centralizada en el controlador de dominio.
Una GPO (Group Policy Object - Directiva de grupo) contiene uno o más parámetros para
los usuarios y equipos del dominio o puesto local. Estas directivas se almacenan en
SYSVOL y se gestionan mediante la consola Administración de directivas de grupo
(GPMC). La consola Editor de administración de directivas de grupo permite editar la
directiva y modificar los diferentes parámetros. Las GPO están vinculadas a un contenedor
de Active Directory (Unidad organizativa, UO), para que cada objeto contenido en esta OU
reciba la directiva de grupo. Es posible configurar varios miles de parámetros, sin embargo
cada nueva versión aporta un lote de parámetros. A diferencia de cierto número de
parámetros, muchos de ellos no son compatibles con las versiones más antiguas. En este
caso, el equipo que recibe la directiva de grupo ignora el parámetro. Si un administrador
vincula a un equipo con sistema operativo Windows. XP una directiva de grupo que
contiene estas preferencias, estas no se aplican si las CSE (Extensiones del lado cliente) no
están instaladas. Estas CSE se encuentran en el sistema operativo Microsoft y tienen la
responsabilidad de aplicar los parámetros recibidos por una directiva de grupo. Existen
tantas extensiones del lado cliente como tipos de parámetros.
Con los sistemas operativos anteriores a Windows Vista, solo era posible configurar una
directiva de grupo local. Ésta se aplica al conjunto de usuarios que se conectan al equipo en
local. Esta característica se ha mejorado con Windows Vista y permite en adelante la
creación de varias directiva de grupo locales. Es más fácil aplicar configuraciones
diferentes a varios usuarios.
Es posible crear tres tipos de directivas:
El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los
parámetros vinculados al registro. Soporta los archivos adm o admx. Este contenedor se
encuentra en la carpeta Sysvol.
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20
extensiones de directiva de grupo. Esta funcionalidad permite la reducción de los scripts
empleados por el inicio de sesión (conexión de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al
apagar el equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parámetros
configurados en las preferencias no se eliminan del equipo cuando la directiva ya no se
aplica al equipo o al usuario. Sin embargo se puede modificar este comportamiento.
La asignación de las preferencias a los puestos cliente se efectúa de una forma más fina que
usando una directiva de grupo. En efecto, podemos atribuir las preferencias a los equipos en
función del sistema operativo... Esta funcionalidad es configurable solamente en las
directivas de dominio.
Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una
nueva GPO, ésta puede crearse a partir de un objeto GPO de inicio. De esta forma la nueva
directiva recupera el conjunto de parámetros configurados. Esta característica permite la
misma configuración básica para el conjunto de las directivas de grupo.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los
contenidos en las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo
Cabinet). De esta forma realizamos la distribución y carga de estos archivos en otro sitio.
Esta operación de distribución es posible porque estos archivos son independientes del
bosque o dominio en el que se crean.
• Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la
empresa.
• Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la
empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible
añadir parámetros adicionales en la directiva. Esto permite responder por ejemplo a una
problemática específica de una de las áreas.
Al igual que para con las demás directivas, una parte se almacena en el GPC, y la otra en el
GPT.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar
las diferentes directivas de grupo:
• Administradores de dominio
• Administradores de empresas
• CREATOR OWNER
• Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicación de la directiva de grupo.
• Sitios
• Dominios
• Unidades organizativas
A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican
durante el inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los
scripts se ejecutan durante el inicio de sesión.
Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una
excepción relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas
sea cual sea el intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-
Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde
la consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un
administrador tiene acceso a la opción Actualización de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.
La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al
conjunto de usuario y equipos del dominio por herencia. Ella contiene la política de
seguridad predeterminada (parámetros de contraseña, bloqueo...). Si se deben aplicar otros
parámetros al conjunto de objetos del dominio, es preferible crear una nueva directiva y
luego vincularla a la raíz del dominio.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el
conjunto de usuarios y equipos autentificados por un controlador de dominio pueden leer y
aplicar la GPO.
Se pueden configurar permisos más granulares configurando la ACL (Access Control List).
Esto hace que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la
configuración. Para acceder a esta lista de control de acceso, haga clic en el botón
Opciones avanzadas en la pestaña Delegación.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más
granulares.
Tenga cuidado de no abusar del permiso Denegar, que es prioritario.
Para utilizar una carpeta única para todos los servidores, debemos desplegar un almacén
central.
El archivo ADML permite generar la interfaz de usuario. Contiene todos los textos que se
mostrarán en esta interfaz (texto de ayuda...). A diferencia del formato ADM, la creación
de un archivo personalizado es muy simple, sin embargo es necesario estar familiarizado
con el lenguaje XML.
Los diferentes parámetros se escriben en la base del registro a nivel de las claves
HKEY_LOCAL_MACHINE para la configuración del equipo y
HKEY_CURRENT_USER para la configuración del usuario.
Existen dos tipos de parámetros en una directiva de grupo: los parámetros administrados y
los no administrados. La mayoría de los parámetros tienen estado administrado. Así,
cuando la cuenta de usuario o equipo no siga formando parte del ámbito de la directiva de
grupo, los parámetros contenidos en la misma serán eliminados. El valor predeterminado
configurado por el sistema operativo tomará el lugar del parámetro configurado en la GPO.
De forma inversa, los parámetros no administrados modifican el registro y no se eliminan
aunque la cuenta deje de formar parte del ámbito de la directiva de grupo.
• HKLM\Software\Policies
• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
• HKCU\Software\Policies
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Para invertir el proceso, habrá que modificar la directiva para indicar el estado opuesto al
que se encuentra configurado. Algunos parámetros contenidos en las preferencias son
parámetros no administrados.
Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de
administración de directivas de grupo. El menú contextual de las plantillas
administrativas (accesible haciendo clic con el botón derecho) permite acceder a la opción
Opciones de filtro.
La ventana contiene varias secciones. La primera de ellas está compuesta por tres listas
desplegables:
La segunda sección permite filtrar por palabra clave mientras que la tercera y última filtra
por aplicación o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el
campo, solo se muestran los parámetros que contengan la palabra Ejecutar.
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco
local (C:).
Haga clic con el botón derecho en Defaut Domain Policy y seleccione Editar.
Haga doble clic en Directivas.
Objetivo: Implementar una directiva de grupo para configurar un equipo cliente que
ejecuta Windows 8.
Haga clic con el botón derecho en la unidad organizativa Formacion y luego, en el menú
contextual, seleccione Vincular una GPO existente.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú.
Objetivo: Crear una GPO de inicio que podrá utilizarse como base para todas las demás
directivas.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en
Editar.
Haga clic con el botón derecho en el contenedor y luego haga clic en Nuevo.
Introduzca Test GPO inicio en el campo Nombre y luego, en la lista desplegable, sele
Haga clic en Aceptar y efectúe un doble clic en la directiva Test GPO inicio.
Empleando la pestaña Ámbito, podemos ver que el campo Ubicación está vacío. La
directiva no está de momento vinculada a ningún contenedor.
4. Implementación de preferencias
Objetivo: Creación de una GPO que contenga las preferencias y su aplicación en el equipo.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en
Editar.
Marque la casilla Usar servidor proxy para la LAN y luego introduzca la dirección
192.168.1.200 y el puerto 8080 en los campos adecuados.
Haga clic con el botón derecho en la unidad organizativa Formacion y luego, en el menú
contextual, seleccione Vincular un GPO existente.
En el equipo CL8-01, abra una sesión como Alumno1 y luego inicie un símbolo del
sistema e introduzca el comando gpupdate /force.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows
XP?
2. Resultados
3. Respuestas
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
La directiva de grupo está compuesta de dos partes, la GPC (Group Policy Container) y la
GPT (Group Policy Template). La GPC, que contiene el ID y el número de versión, se
replica con Active Directory mientras que la GPT, que contiene los diferentes parámetros,
se replica con el sistema de replicación de la carpeta SYSVOL. La GPT se almacena en
SYSVOL.
Una CSE o extensión del lado cliente se encuentra en el sistema operativo. Tiene como
objetivo recuperar la configuración y aplicarla. Existen tantas extensiones del lado cliente
como tipos de parámetros.
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows
XP?
Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar,
instalar las extensiones adecuadas en el lado cliente.
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva
local, se aplica la directiva de sitio AD. A continuación, se aplica la directiva de dominio y,
por último, se recuperan y aplican en el equipo las directivas asociadas a las diferentes
unidades organizativas.
Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operación se
efectúa al arrancar el equipo o tras iniciar sesión. La recuperación de la directiva solo se
efectúa si ha habido una modificación. La directiva que se atribuye a un controlador de
dominio se recupera cada 5 minutos. Por último, los parámetros de seguridad se aplican
cada 16 horas incluso si no ha ocurrido ninguna modificación.
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualización de
las diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener
que ejecutar el comando gpupdate /force en el equipo local.
Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del
grupo que está configurado en el Filtrado de seguridad.
Una plantilla administrativa está compuesta por un archivo admx, que contiene las claves a
modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo ADML
viene a completar al archivo anterior. Por su parte contiene los textos de ayuda…
2. Objetivos
Las plantillas creadas pueden utilizarse para configurar uno o más equipos. Se pueden
utilizar varias herramientas para efectuar esta operación.
Este nodo está accesible desplegando los nodos Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales.
Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos
que ofrecen al usuario que inicie sesión con ellas (modificar el Registro, cambiar la
configuración de Windows...). Es preferible proteger estas cuentas para garantizar un buen
funcionamiento del sistema operativo y la integridad de los datos.
La UAC (User Access Control) hizo su aparición con Windows Vista y Windows Server
2008. Esta funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al
usuario una confirmación cuando un proceso necesita permisos de administración. Si la
persona conectada no es un administrador, se solicitan los identificadores de una cuenta de
administrador.
De esta forma, los usuarios estándar y los administradores se encuentran por defecto con
los mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de
utilizar permisos más elevados, la UAC efectúa una elevación de privilegios. De esta
forma, solo el proceso que solicita la elevación funciona con permisos de administrador.
Son posibles dos acciones:
Los grupos restringidos permiten gestionar los miembros de algunos grupos. Para agregar
una lista de usuarios al grupo de Administradores locales de cada equipo, debemos utilizar
los grupos restringidos para automatizar esta operación. Sin embargo, esta operación puede
en algunos casos borrar completamente la lista de los miembros del grupo. La lista se
reemplaza por aquella configurada en el grupo restringido. Estos parámetros pueden
utilizarse para configurar las cuentas locales como hemos visto anteriormente, o
simplemente los grupos del dominio.
Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo
- Directivas - Configuración de Windows - Configuración de seguridad - Grupos
restringidos.
Las reglas
Permiten indicar si la ejecución de una aplicación está autorizada. Las reglas están basadas
en uno o varios criterios que se aplican a un archivo ejecutable:
Niveles de seguridad
Cada regla obtendrá un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecución del software definido en la regla. Existen tres niveles de
seguridad:
2. Utilización de AppLocker
AppLocker aparece con los sistemas operativos Windows Server 2008 y Windows 7. Al
igual que para la restricción de software, es posible controlar la ejecución de una
aplicación. Esta funcionalidad permite a los administradores la implantación sencilla de
reglas y se basa igualmente en el despliegue de directivas de grupo. La regla se aplica a un
usuario o grupo de seguridad Active Directory.
Podemos aplicar una regla para gestionar su ejecución pero, también, utilizar la auditoría
para poder probar las reglas antes de su funcionamiento. Los administradores pueden muy
fácilmente prohibir las aplicaciones cuyas licencias no hayan sido compradas. Solo el
software validado por el departamento de informática estará autorizado a ejecutarse.
• Ejecutables
• Scripts
• Windows Installer (msi)
Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en
varios casos:
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el tráfico
entrante y saliente.
La consola Firewall de Windows con seguridad avanzada está incluida a partir de los
sistemas operativos Windows Server 2008 y Windows Vista. Dicha consola permite
gestionar el servicio de corta fuegos (creación de reglas, activación/desactivación del corta
fuegos...).
Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con
destino al servidor. Todo el tráfico entrante está bloqueado de manera predeterminada, con
la excepción del que está explícitamente autorizado por el administrador. Las reglas de
salida las inicia la máquina host y están destinadas a los otros equipos de la red o al
exterior. El tráfico saliente está autorizado por defecto. Sin embargo es posible bloquearlo
creando una regla.
También es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o
exportar las reglas creadas. La configuración puede realizarse de forma manual en cada
equipo o de forma automática utilizando la directiva de grupo (Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Firewall de
Windows con seguridad avanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. También es
posible indicar si el firewall está activo o inactivo por perfil.
Resulta, ahora, mucho más sencillo dar un juego de configuración para cada red (privada,
dominio o pública). Estos juegos contienen las diferentes reglas y el estado (Habilitado o
Deshabilitado) del Firewall.
Talleres: Implementar una política de
seguridad
Los talleres presentados permiten implementar diferentes soluciones de seguridad del
equipo.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Plantillas de
seguridad.
Haga clic con el botón derecho en Defaut Domain Policy y luego haga clic en Editar.
Haga clic con el botón derecho en Configuración de seguridad y luego haga clic en
Importar directiva.
Haga doble clic en el archivo Plantilla Administradores.
Introduzca BDD Admins en el campo Nombre de archivo y luego haga clic en Abrir.
En la ventana importar plantilla, haga clic en Plantilla Admins y luego en Abrir.
En la ventana Realizar análisis, deje la ruta predeterminada y luego haga clic en Aceptar.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo:
conflicto entre la plantilla de seguridad y la GPO).
Debemos volver a aplicar la plantilla de seguridad.
Los parámetros de la directiva de grupo Default Domain Policy han sido modificados por
los parámetros de la plantilla. Ésta permite actualizar el conjunto de parámetros de forma
muy sencilla.
Objetivo: Crear una directiva vinculada a la OU Servidor que permita configurar los
grupos restringidos.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en
Nuevo.
La directiva aparece en la consola, haga clic con el botón derecho en ella y luego, en el
menú contextual, haga clic en Editar.
En la consola Editor de administración de directivas de grupo, despliegue los nodos
Configuración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Grupos restringidos.
Haga clic con el botón derecho en Grupos restringidos y luego, en el menú contextual,
haga clic en Agregar grupo.
No utilice el botón Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.
Objetivo: Implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Agregue la cuenta Admins. del dominio y luego asígnele el permiso Control total.
Haga clic en Aplicar y luego dos veces en Aceptar.
En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.
Haga clic tres veces en Aceptar.
En AD1, inicie la consola Administración de directivas de grupo y luego haga clic con
el botón derecho en Objetos de directiva de grupo.
Cree una unidad organizativa llamada Servidor y desplace hasta ella la cuenta de equipo
de SV1.
Inicie un símbolo del sistema DOS y ejecute el comando gpupdate /force en SV1.
Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 5145).
Haga clic con el botón derecho en el grupo Admins. del dominio, y luego haga clic en
Propiedades.
Esto va a permitir auditar los intentos de modificación denegados en las propiedades del
grupo, tales como la modificación del propietario…
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.
Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione
Editar.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte
/force.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el
registro Seguridad.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la
operación, el objeto que ha sido modificado al igual que la cuenta que ha sido agregada,
eliminada…
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en
Nuevo en el menú contextual.
En la consola GPMC, haga clic con el botón derecho en AppLocker y luego, en el menú
contextual, haga clic en Editar.
Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opción Crear nueva regla.
En la ventana Condiciones, deje marcada la opción Editor y luego haga clic en Siguiente.
Ahora debemos seleccionar la aplicación cuya ejecución será denegada.
Creando una excepción podemos autorizar una de las versiones bloqueadas, versión 6.3.0.0
(u otra).
En el campo Nombre, introduzca Regla Bloquear WAB y luego haga clic en el botón
Crear.
Se ha creado la regla correctamente.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opción Crear nueva regla.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
en Program Files(x86)\Internet Explorer. A continuación, haga clic en Siguiente.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear.
Las dos reglas están ahora creadas.
Haga clic con el botón derecho en AppLocker y luego haga clic en Propiedades.
AppLocker puede tardar varios minutos después del inicio para funcionar.
Haga clic con el botón derecho en AppLocker y luego, en el menú contextual, seleccione
Propiedades.
En CL8-02, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte
/force.
Objetivo: Desplegar las reglas del Firewall. Se emplean los perfiles de red para aplicar o no
una regla.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
2. Resultados
3. Respuestas
Este parámetro permite definir y asignar a uno o varios usuarios permisos suplementarios.
Estos permisos pueden conceder la posibilidad de abrir una sesión en un controlador de
dominio o el cambio de la zona horaria…
La UAC o User Access Control permite simplemente garantizar la seguridad del equipo
asegurando que los procesos de usuario (Word, Internet Explorer…) se ejecutan con
permisos de usuario. Si este último es un administrador, el token de acceso se divide en dos
(un token de usuario para el uso cotidiano y un token de administrador para contar con
permisos de administración). Cuando un proceso requiere permisos de administrador,
solicita una elevación de privilegios. Después de la aceptación del usuario, el proceso que
realiza la solicitud obtendrá permiso para utilizar el token de administrador. Sin embargo, si
el usuario es una cuenta estándar sin permisos de administración, se requiere que se indique
la información de inicio de sesión de un administrador para efectuar la elevación.
Para implantar un sistema de auditoría, debemos crear una directiva de auditoría y luego
vincular la unidad organizativa o la raíz del dominio. De acuerdo con los objetos, debemos
configurar la SACL.
La auditoría permite tener un registro de los eventos que ocurren en un objeto (grupo AD,
carpeta...). Las auditorías pueden referirse a modificaciones, accesos, etc. Esta operación se
configura para recuperar todos los eventos correctos o fallidos.
6 ¿Qué permiten auditar los eventos de inicio de sesión?
Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de
conexión y desconexión del equipo.
El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite aplicar
las reglas configuradas.
Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las reglas.
Durante la ejecución de la aplicación gestionada por AppLocker, un mensaje de aviso
informa al administrador del resultado (bloqueado). El modo Aplicado permite
implementar reglas y el posible bloqueo de los diferentes programas.
La consola Firewall de Windows con seguridad avanzada permite la creación de las reglas
entrantes, salientes o las reglas de conexión.
12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes.
¿Qué ocurre si no existe una regla para esta trama?
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se
aplica la regla predeterminada. Esta última autoriza el tráfico saliente y prohíbe todo el
tráfico entrante, salvo que exista una regla creada específicamente.
2. Objetivos
Administrador de tareas
En Windows Server 2012 contamos con una nueva consola Administrador de tareas. Ésta
ofrece varias funcionalidades (operación en un servicio, cerrar una aplicación...). Se ha
optimizado para responder mejor a las necesidades de los administradores. Se pueden
realizar varias operaciones:
Puede activarse una vista más detallada empleando el botón Más detalles.
• Diagnosticar un problema de rendimiento: la vista Más detalles permite acceder
a las novedades del Administrador de tareas. El usuario avanzado o el administrador
tienen una mayor facilidad para diagnosticar un problema de rendimiento. Se ha
facilitado el acceso a los porcentajes de uso de los diferentes recursos del equipo
(memoria, procesador). Adicionalmente, se presenta un total del uso de los
diferentes recursos. Es interesante mirar en detalle cada proceso.
Las pequeñas flechas presentes al lado de cada proceso permiten visualizar las aplicaciones
que utilizan el proceso. Si abrimos Explorador de Windows se muestra la carpeta
capítulos que está actualmente abierta.
Haciendo clic con el botón derecho en capítulos accedemos a un menú contextual. Éste
presenta varias opciones tales como minimizar o maximizar la consola, traer al frente o
simplemente finalizar la tarea.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opción Buscar en línea puede ser muy útil. Permite obtener información acerca del
proceso en cuestión. La opción Valores del recurso permite cambiar las unidades de la
columna Memoria para mostrar los porcentajes en lugar de valores y viceversa.
Esta vista proporciona acceso al nombre del archivo ejecutable, así como al ID del proceso
(PID). Se muestran también el estado, nombre de la cuenta que ha iniciado el proceso y el
uso de procesador y memoria.
Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un
servidor. Esta herramienta permite efectuar la supervisión del procesador y los procesos, la
memoria RAM así como la actividad de los discos y la red.
Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La
operación puede llevarse a cabo mediante un gráfico e informes. El análisis se puede hacer
en tiempo real, lo que obliga al administrador a estar presente. Adicionalmente la lectura de
datos no es óptima. La segunda forma consiste en ejecutar un recopilador de datos, que
permite registrar los datos recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un análisis muy granular y un resultado
óptimo.
Procesador
Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios
para los programas. En caso de fallo, los tiempos de lectura y escritura pueden verse
afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de
botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno
proporciona un dato específico.
Memoria RAM
La parte de red incluye un gran número de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, también, sus
contadores.
Es posible realizar el análisis de forma manual o automática. El método manual es en
tiempo real. Esto implica la presencia física frente al ordenador para poder analizar los
datos antes de su borrado.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se
almacena un archivo con todos los valores en la carpeta PerfLogs ubicada en la partición
del sistema.
Sin embargo, el tamaño del archivo crecerá rápidamente, lo que puede impactar el servidor
y los roles instalados en él.
• Información
• Advertencia
• Error
• Crítico
Adicionalmente, un evento posee varios datos importantes como Evento (número de ID del
evento), origen y el mensaje. Las propiedades del registro permiten visualizar sus
diferentes propiedades (nombre, ruta del registro...) así como configurar su tamaño actual y
máximo. El registro puede vaciarse empleando el botón Vaciar registro. Se puede acceder
a esta ventana haciendo clic con el botón derecho en el registro deseado y luego
seleccionando Propiedades en el menú contextual.
Podemos crear un nuevo filtro haciendo clic con el botón derecho en Vistas
personalizadas y seleccionando Crear vista personalizada. El filtro se compone de varios
criterios:
• La lista desplegable Registrado permite dar a los sistemas una constante de tiempo
para tener en cuenta en el filtro.
• El Nivel del evento permite seleccionar el nivel de los eventos deseados.
• La lista desplegable Registros de eventos permite seleccionar los registros a los que
se aplica el filtro.
Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en
la lista desplegable uno o más orígenes. También es posible filtrar en función de un
nombre de equipo, de usuario, de palabras clave o de número de ID.
El filtro devuelvo solamente los eventos que corresponden a las categorías seleccionadas.
2. Suscripción
Para facilitar la supervisión de los servidores de una red informática, podemos desplegar
una suscripción. Ésta permite recuperar los eventos de los servidores de destino. Los
eventos recuperados deben responder a criterios definidos por el administrador empleando
una vista personalizada. Para esta funcionalidad se emplean dos servicios:
Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los
contadores.
Despliegue Proceso y luego haga clic en <Todas las instancias>.
Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este
ejemplo está hecho sobre un controlador de dominio, el contador para el diagnóstico de
Active Directory se encuentra en el sistema. El contenedor definido por el usuario permite
crear de nuevos recopiladores de datos.
Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Iniciar.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de
información.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador
seleccionado o cambiar el tipo de gráfico.
Objetivo: Crear una vista personalizada para recuperar solamente los eventos deseados.
Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles.
Haga clic con el botón derecho en el aviso y luego seleccione Adjuntar tarea a este
evento. Esta opción se encuentra también disponible en el panel Acciones.
Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los
parámetros por defecto.
Los campos Registro, Origen e ID del evento aparecen en gris. Haga clic en Siguiente
para validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un
mensaje que no verá, necesariamente, el administrador.
Haga clic en Examinar y luego seleccione el script, finalmente valide empleando el botón
Siguiente.
Haga clic en Finalizar y luego en Aceptar en el mensaje de información.
Para efectuar las modificaciones, introduzca la letra y y luego pulse la tecla [Intro].
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
En SV1, haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en
Crear suscripción.
En el campo Nombre de suscripción, introduzca Recopilador AD1.
El registro de destino predeterminado es Eventos reenviados, es posible modificarlo
usando la lista desplegable Registro de destino. La transferencia puede ser iniciada por el
equipo destinatario (opción iniciada por el recopilador) o por el equipo origen.
Los eventos que deben ser transferidos son los de nivel Información, Advertencia, Error
y Crítico. El filtro no es muy restrictivo, porque las máquinas se han instalado
recientemente y no contienen una gran cantidad de eventos de tipo advertencia o error.
Verifique que el sistema no envía ningún error. Si no se devuelve ningún error, espere,
porque la transferencia está en progreso.
Tras un tiempo mas o menos largo, los eventos aparecen en el registro Eventos reenviados.
Los eventos aparecen al cabo de 20 minutos. Si no se transfiere ningún evento y la
suscripción no presenta ningún error, verifique el filtro y reinicie el origen y el recopilador.
Antes de reiniciar, espere algunos segundos para verificar que la suscripción no presenta
ningún error.
Validación de conocimientos:
preguntas/respuestas
1. Preguntas
2. Resultados
3. Respuestas
A diferencia del Monitor de rendimiento que efectúa un análisis en tiempo real, un conjunto
de recopiladores de datos permite realizar un análisis de los datos recuperados en cualquier
momento.
Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta
está ubicada en la partición del sistema.
6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los
registros?
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
Los registros de eventos pueden contener varios cientos de eventos. Para no perderse entre
todos los eventos debemos aplicar un filtro al registro. Esta característica se ofrece
mediante las vistas personalizadas.
La suscripción utiliza dos servicios, winrm (Windows Remote Managemet) para la fuente y
wecsvc (Windows Event Collector Service) en el destino.
Objetivos
Objetivos del
Capítulos Talleres
examen 70-410
Install and Configure Servers
Install servers Instalación de Instalación de Hyper-V - Creación de
Hyper-V las máquinas virtuales - Máquina virtual
AD1
Despliegue y
administración de
Windows Server
2012
Configure servers Despliegue y Despliegue y administración de
administración de Windows Server 2012 - Talleres:
Windows Server Despliegue y administración de
2012 Windows Server 2012 - Configuración
de un servidor en modo de instalación
Core, Administración de servidores,
Utilización de PowerShell para
administrar los servidores
Configure local Gestión del espacio Gestión del espacio de almacenamiento
storage de almacenamiento local - Talleres: Implementación de un
local espacio de almacenamiento -
Implementar un sistema GPT,
Reducción de una partición, Despliegue
de diferentes volúmenes, Implementar
un espacio de almacenamiento
redundante
Configure Server Roles and Features
Configure file and Administración de Administración de los servidores de
share access los servidores de archivos - Talleres: Implementación del
archivos servidor de archivos y de impresión -
Creación de un recurso compartido y
uso de ABE, Implementar instantáneas
Configure print and Administración de Administración de los servidores de
document services los servidores de archivos - Talleres: Implementación del
archivos servidor de archivos y de impresión -
Creación de un grupo de impresión,
Gestión del servidor de impresión
Configure servers Despliegue y
for remote administración de
management Windows Server
2012
Configure Hyper-V
Create and Instalación de Instalación de Hyper-V - Creación de
configure virtual Hyper-V las máquinas virtuales - Máquina virtual
machine settings AD1
Create and Instalación de Instalación de Hyper-V - Creación de
configure virtual Hyper-V las máquinas virtuales - Máquina virtual
machine storage AD1
Create and Instalación de Instalación de Hyper-V - Talleres -
configure virtual Hyper-V Configuración de la red virtual
networks
Deploy and Configure Core Network Services
Configure IPv4 and Implementación del Instalación de Hyper-V - Creación de
IPv6 addressing protocolo IP las máquinas virtuales - Máquina virtual
AD1
Despliegue y administración de
Windows Server 2012 - Talleres:
Despliegue y administración de
Windows Server 2012 - Creación del
bosque Formacion.local
Install and Administer Active Directory
Install domain Despliegue y Despliegue y administración de
controllers administración de Windows Server 2012 - Talleres:
Windows Server Despliegue y administración de
2012 Windows Server 2012 - Creación del
bosque Formacion.local
Introducción a los
servicios Active Introducción a los servicios Active
Directory Directory - Talleres: Promover un
controlador de dominio - Promover un
servidor utilizando IFM
Create and manage Administración de Administración de objetos AD -
Active Directory objetos AD Talleres: Administración de objetos
users and Active Directory - Administración de
computers cuentas de usuario
Create and manage Administración de Administración de objetos AD -
Active Directory objetos AD Talleres: Administración de objetos
groups and Active Directory - Implementar la
organizational units delegación
(OUs)
Create and Manage Group Policy
Create Group Implementación de Implementación de directivas de grupo -
Policy objects directivas de grupo Talleres: Implementación de directivas
(GPOs) de grupo - Creación de una directiva de
grupo, Implementación de preferencias
Configure security Securización del Securización del servidor con GPO -
policies servidor con GPO Talleres: Implementar una política de
seguridad - Creación de una plantilla de
seguridad
Configure Securización del Securización del servidor con GPO -
application servidor con GPO Talleres: Implementar una política de
restriction policies seguridad - Creación de reglas con
AppLocker
Configure Securización del Securización del servidor con GPO -
Windows Firewall servidor con GPO Talleres: Implementar una política de
seguridad - Configuración del Firewall
de Windows