Академический Документы
Профессиональный Документы
Культура Документы
Información --------------------------------------------------------------------------------------------------------------------------------- 10
Windows Server 2012 R2MCSA 70-410 - Instalación y Configuración ---------------------------------- 10
Descripción ------------------------------------------------------------------------------------------------------------------------------------- 10
Introducción ----------------------------------------------------------------------------------------------------------------------------------- 10
Introducción ----------------------------------------------------------------------------------------------------------------------------------- 11
Introducción ----------------------------------------------------------------------------------------------------------------------------------- 11
Organización de las certificaciones ----------------------------------------------------------------------------------------------- 12
¿Cómo está organizado este libro? ----------------------------------------------------------------------------------------------- 13
Competencias evaluadas en el examen 70-410 --------------------------------------------------------------------------- 16
1. El examen de certificación ------------------------------------------------------------------------------------------------ 16
2. Preparación del examen---------------------------------------------------------------------------------------------------- 16
Máquinas virtuales utilizadas --------------------------------------------------------------------------------------------------------- 17
Instalación de Hyper-V ------------------------------------------------------------------------------------------------------------------ 17
Requisitos previos y objetivos ------------------------------------------------------------------------------------------------------- 17
Información general de las tecnologías de virtualización ------------------------------------------------------------ 18
1. Virtualización del puesto de trabajo ------------------------------------------------------------------------------ 18
2. Virtualización de aplicaciones------------------------------------------------------------------------------------------ 18
3. Hyper-V en Windows 8.1 -------------------------------------------------------------------------------------------------- 19
Implementación de Hyper-V ---------------------------------------------------------------------------------------------------- 19
1. Requisitos previos de Hardware -------------------------------------------------------------------------------------------- 19
2. Las máquinas virtuales en Hyper-V --------------------------------------------------------------------------------------- 19
3. La memoria dinámica con Hyper-V --------------------------------------------------------------------------------------- 20
4. Presentación de las diferentes generaciones ------------------------------------------------------------------------ 21
5. Uso del modo de sesión mejorada ---------------------------------------------------------------------------------------- 22
El disco duro de las máquinas virtuales ---------------------------------------------------------------------------------------- 24
1. Los diferentes tipos de discos------------------------------------------------------------------------------------------ 25
2. Administración de un disco virtual --------------------------------------------------------------------------------- 26
3. Los discos de diferenciación--------------------------------------------------------------------------------------------- 26
4. Los puntos de control en Hyper-V----------------------------------------------------------------------------------- 27
Gestión de redes virtuales ------------------------------------------------------------------------------------------------------------- 27
El Sandbox-------------------------------------------------------------------------------------------------------------------------------------- 28
1. Configuración necesaria ---------------------------------------------------------------------------------------------------- 29
2. La instalación de Windows Server 2012 R2------------------------------------------------------------------ 29
Talleres ----------------------------------------------------------------------------------------------------------------------------------------- 29
Creación de las máquinas virtuales----------------------------------------------------------------------------------------------- 30
1. Esquema de la maqueta ---------------------------------------------------------------------------------------------------- 33
Página 2 de 457
2. Máquina virtual AD1 ----------------------------------------------------------------------------------------------------------- 34
a. Creación y configuración de la VM ------------------------------------------------------------------------------------- 34
b. Instalación del sistema operativo--------------------------------------------------------------------------------------- 37
c. Configuración post-instalación -------------------------------------------------------------------------------------------- 40
3. Máquina virtual SV1 ----------------------------------------------------------------------------------------------------------- 43
4. Máquina virtual SV2 ----------------------------------------------------------------------------------------------------------- 43
5. Máquina virtual SVCore ----------------------------------------------------------------------------------------------------- 43
6. Máquina virtual CL8-01 ----------------------------------------------------------------------------------------------------- 43
7. Máquina virtual CL8-02 ----------------------------------------------------------------------------------------------------- 43
8. Creación de puntos de control ----------------------------------------------------------------------------------------- 44
Configuración de la QoS a nivel de almacenamiento---------------------------------------------------------- 44
Validación de conocimientos: preguntas/respuestas -------------------------------------------------------- 46
Despliegue y Administración de Windows Server 2012 R2 --------------------------------------------------------- 48
Requisitos previos y objetivos ------------------------------------------------------------------------------------------------- 48
Información general de Windows Server 2012 R2 ----------------------------------------------------------------------- 48
1. Las ediciones de Windows Server 2012 R2 ------------------------------------------------------------------ 48
2. Presentación de los principales roles ----------------------------------------------------------------------------- 49
3. Presentación de las principales características ----------------------------------------------------------- 50
Información general de la administración de Windows Server 2012 R2 ----------------------- 50
Instalación de Windows Server 2012 R2 -------------------------------------------------------------------------------------- 54
1. Métodos de instalación ------------------------------------------------------------------------------------------------------ 54
2. Requisitos previos de hardware para Windows Server 2012 R2 ----------------------------- 54
Configuración del sistema operativo después de su instalación-------------------------------------------------- 54
1. Configuración del adaptador de red ------------------------------------------------------------------------------- 55
2. Unirse a un dominio sin conexión ----------------------------------------------------------------------------------- 62
3. Configuración de un servidor Core --------------------------------------------------------------------------------- 62
Introducción a PowerShell ------------------------------------------------------------------------------------------------------------- 62
1. Presentación de PowerShell --------------------------------------------------------------------------------------------- 62
2. Sintaxis de los cmdlets PowerShell -------------------------------------------------------------------------------- 63
3. Presentación de la consola PowerShell ISE ------------------------------------------------------------------ 63
4. Instalar y configurar la característica DSC (Desired State Configuration) ----------- 64
Talleres ----------------------------------------------------------------------------------------------------------------------------------------- 64
Validación de conocimientos: preguntas/respuestas -------------------------------------------------------- 85
Introducción a los Servicios Active Directory ------------------------------------------------------------------------------- 87
Requisitos previos y objetivos ------------------------------------------------------------------------------------------------- 87
Introducción -------------------------------------------------------------------------------------------------------------------------------- 88
Página 3 de 457
Información general de Active Directory -------------------------------------------------------------------------------------- 88
1. El dominio Active Directory ---------------------------------------------------------------------------------------------- 89
2. Las unidades organizativas ---------------------------------------------------------------------------------------------- 89
3. El bosque Active Directory ------------------------------------------------------------------------------------------------ 90
4. El esquema de Active Directory --------------------------------------------------------------------------------------- 91
5. Las particiones de Active Directory -------------------------------------------------------------------------------- 92
6. Los maestros de operación FSMO ----------------------------------------------------------------------------------- 93
7. Los sitios Active Directory y la replicación ------------------------------------------------------------------- 93
Información general de un controlador de dominio --------------------------------------------------------------------- 94
1. Los controladores de dominio ------------------------------------------------------------------------------------------ 94
2. Presentación de los catálogos globales ------------------------------------------------------------------------- 94
3. Proceso de inicio de sesión con Active Directory -------------------------------------------------------- 94
Promover un controlador de dominio -------------------------------------------------------------------------------------------- 94
1. Promover un controlador de dominio de forma gráfica --------------------------------------------- 94
2. Instalación de un controlador de dominio en un servidor Core ------------------------------- 95
3. Actualización de un controlador de dominio a Windows Server 2012 R2 ------------- 96
4. Promover un controlador de dominio utilizando IFM ------------------------------------------------- 96
La papelera de reciclaje AD ------------------------------------------------------------------------------------------------------ 96
La directiva de contraseñas muy específicas ----------------------------------------------------------------------- 97
Talleres ----------------------------------------------------------------------------------------------------------------------------------------- 98
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 110
Administración de Objetos AD ----------------------------------------------------------------------------------------------------- 113
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 113
Introducción ------------------------------------------------------------------------------------------------------------------------------ 113
Presentación de las consolas Active Directory ------------------------------------------------------------------ 113
Administración de las cuentas de usuario ---------------------------------------------------------------------------------- 114
1. Creación de una cuenta de usuario ------------------------------------------------------------------------------ 114
2. Configuración de los atributos de una cuenta de usuario --------------------------------------- 116
3. Creación de un perfil de usuario móvil ------------------------------------------------------------------------ 118
Administración de grupos ------------------------------------------------------------------------------------------------------------ 119
1. Diferencia entre grupos de seguridad y de distribución ------------------------------------------ 120
2. El ámbito de un grupo------------------------------------------------------------------------------------------------------ 120
Administración de las cuentas de equipo------------------------------------------------------------------------------------ 121
1. El contenedor equipo ------------------------------------------------------------------------------------------------------- 121
2. Reinicio del canal seguro ------------------------------------------------------------------------------------------------ 123
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 124
Página 4 de 457
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 137
Automatizar la Administración de Active Directory -------------------------------------------------------------------- 139
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 139
Introducción ------------------------------------------------------------------------------------------------------------------------------ 139
Administración mediante líneas de comandos---------------------------------------------------------------------------- 139
1. Utilización del comando CSVDE ------------------------------------------------------------------------------------- 139
2. Utilización del comando LDIFDE ----------------------------------------------------------------------------------- 140
Administración del rol AD DS empleando PowerShell ---------------------------------------------------------------- 141
1. Administración de cuentas de usuario con PowerShell ------------------------------------------- 141
2. Administración de grupos con PowerShell ----------------------------------------------------------------- 145
3. Administración de cuentas de equipo con PowerShell --------------------------------------------- 147
4. Administración de unidades organizativas con PowerShell------------------------------------ 149
Taller-------------------------------------------------------------------------------------------------------------------------------------------- 151
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 152
Implementación del Protocolo IP ------------------------------------------------------------------------------------------------ 153
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 153
Introducción ------------------------------------------------------------------------------------------------------------------------------ 153
Información general del protocolo TCP/IP ------------------------------------------------------------------------ 153
Entender el direccionamiento IPv4 --------------------------------------------------------------------------------------------- 155
1. El direccionamiento IPv4 ------------------------------------------------------------------------------------------------ 155
2. Direccionamiento privado/público ------------------------------------------------------------------------------- 156
3. Conversión de binario a decimal ----------------------------------------------------------------------------------- 156
4. Las diferentes clases de direcciones ---------------------------------------------------------------------------- 157
5. El CIDR -------------------------------------------------------------------------------------------------------------------------------- 158
Establecimiento de subredes ------------------------------------------------------------------------------------------------------- 158
1. La ventaja de las subredes --------------------------------------------------------------------------------------------- 159
2. Calcular una subred --------------------------------------------------------------------------------------------------------- 159
Configurar y mantener IPv4 -------------------------------------------------------------------------------------------------------- 160
1. El comando ipconfig --------------------------------------------------------------------------------------------------------- 160
2. El comando ping ---------------------------------------------------------------------------------------------------------------- 161
3. El comando tracert ----------------------------------------------------------------------------------------------------------- 162
Implementación del protocolo IPv6 -------------------------------------------------------------------------------------------- 163
1. Información general del protocolo IPv6 --------------------------------------------------------------------- 163
a. Direcciones locales únicas------------------------------------------------------------------------------------------------- 164
b. Direcciones globales unicast --------------------------------------------------------------------------------------------- 164
c. Dirección de enlace local --------------------------------------------------------------------------------------------------- 164
Página 5 de 457
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 164
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 171
Implementación de un Servidor DHCP---------------------------------------------------------------------------------------- 172
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 172
Introducción ------------------------------------------------------------------------------------------------------------------------------ 173
Rol de servicio DHCP -------------------------------------------------------------------------------------------------------------------- 173
1. Asignación de una dirección IP ------------------------------------------------------------------------------------- 173
2. Utilización de un relay DHCP ------------------------------------------------------------------------------------------ 174
Funcionalidad del servidor DHCP ------------------------------------------------------------------------------------------------- 174
1. El ámbito del servidor DHCP ------------------------------------------------------------------------------------------ 174
2. Reserva de concesiones DHCP --------------------------------------------------------------------------------------- 175
3. Las opciones de DHCP------------------------------------------------------------------------------------------------------ 176
4. Implementación de filtros ---------------------------------------------------------------------------------------------- 179
Base de datos DHCP -------------------------------------------------------------------------------------------------------------------- 179
1. Presentación de la base de datos DHCP ---------------------------------------------------------------------- 179
2. Copia de seguridad y restauración de la base de datos ------------------------------------------- 180
3. Reconciliación y desplazamiento de la base de datos ---------------------------------------------- 180
Securización y mantenimiento de DHCP ------------------------------------------------------------------------------------- 183
1. Securizar la distribución de concesiones DHCP --------------------------------------------------------- 183
2. Utilización de las estadísticas y registros de auditoría -------------------------------------------- 183
IPAM -------------------------------------------------------------------------------------------------------------------------------------------- 186
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 188
Validación de conocimientos: preguntas/respuestas ----------------------------------------------------------------- 213
Implementación de un Servidor DNS ------------------------------------------------------------------------------------------ 215
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 215
Introducción ------------------------------------------------------------------------------------------------------------------------------ 216
Funcionamiento de DNS -------------------------------------------------------------------------------------------------------------- 216
1. Base de datos distribuida ----------------------------------------------------------------------------------------------- 216
2. Consultas iterativas y recursivas ---------------------------------------------------------------------------------- 217
Zonas y servidores DNS -------------------------------------------------------------------------------------------------------------- 218
1. Los diferentes tipos de zona ------------------------------------------------------------------------------------------ 218
2. La zona GlobalNames ------------------------------------------------------------------------------------------------------- 219
Instalación y administración del servidor ----------------------------------------------------------------------------------- 220
1. Instalación del rol------------------------------------------------------------------------------------------------------------- 220
2. La actualización dinámica ----------------------------------------------------------------------------------------------- 220
3. Los diferentes registros -------------------------------------------------------------------------------------------------- 221
Página 6 de 457
Soporte del servidor DNS ------------------------------------------------------------------------------------------------------------ 222
1. El comando nslookup ------------------------------------------------------------------------------------------------------- 222
2. El comando dnslint ----------------------------------------------------------------------------------------------------------- 224
3. El comando ipconfig --------------------------------------------------------------------------------------------------------- 224
4. El comando dnscmd---------------------------------------------------------------------------------------------------------- 225
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 226
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 237
Gestión del Espacio de Almacenamiento Local --------------------------------------------------------------------------- 238
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 238
Introducción ------------------------------------------------------------------------------------------------------------------------------ 239
El sistema de almacenamiento ---------------------------------------------------------------------------------------------------- 239
1. Los diferentes discos y su rendimiento ----------------------------------------------------------------------- 239
2. Diferencia entre DAS y NAS -------------------------------------------------------------------------------------------- 240
3. Información general de una SAN ---------------------------------------------------------------------------------- 241
4. Utilización de la tecnología RAID ---------------------------------------------------------------------------------- 241
Gestión de discos y volúmenes --------------------------------------------------------------------------------------------------- 242
1. Tablas de partición MBR y GPT -------------------------------------------------------------------------------------- 242
2. Los diferentes tipos de discos---------------------------------------------------------------------------------------- 243
3. Sistemas de archivo FAT, NTFS y ReFS ------------------------------------------------------------------------ 243
4. Extender o reducir una partición en Windows Server 2012 R2 ----------------------------- 244
Implementación de un espacio de almacenamiento ------------------------------------------------------------------ 244
1. La característica Espacio de almacenamiento------------------------------------------------------------ 244
2. Opciones de configuración de discos duros virtuales----------------------------------------------- 245
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 245
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 269
Administración de los Servidores de Archivos ---------------------------------------------------------------------------- 270
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 270
Introducción ------------------------------------------------------------------------------------------------------------------------------ 271
Seguridad de carpetas y archivos ----------------------------------------------------------------------------------------------- 271
1. Los permisos NTFS ----------------------------------------------------------------------------------------------------------- 271
2. Definición de una carpeta compartida ------------------------------------------------------------------------- 272
3. Visualizar recursos compartidos en función de los permisos de acceso -------------- 274
4. Presentación de la característica Work Folders--------------------------------------------------------- 276
Utilización de instantáneas ---------------------------------------------------------------------------------------------------------- 277
1. Presentación y planificación de las instantáneas ------------------------------------------------------ 277
2. Restauración de datos empleando instantáneas ------------------------------------------------------- 279
Página 7 de 457
Configuración de la impresora de red ----------------------------------------------------------------------------------------- 280
1. Las ventajas de la impresora de red ---------------------------------------------------------------------------- 280
2. Los controladores v3 y v4 para las impresoras --------------------------------------------------------- 280
3. Presentación de los grupos de impresoras ----------------------------------------------------------------- 281
Administración de un servidor no unido al dominio --------------------------------------------------------- 281
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 284
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 321
Implementación de Directicas de Grupos ----------------------------------------------------------------------------------- 323
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 323
Introducción ------------------------------------------------------------------------------------------------------------------------------ 324
Información general de las directivas de grupo ------------------------------------------------------------------------- 324
1. Los componentes de una directiva de grupo -------------------------------------------------------------- 324
2. Directiva de grupo local múltiple ---------------------------------------------------------------------------------- 325
3. Almacenamiento de los diferentes componentes de una GPO ------------------------------- 326
4. Las preferencias en las directivas de grupo --------------------------------------------------------------- 326
5. Nociones de las GPO de inicio ---------------------------------------------------------------------------------------- 326
6. Implementación de una delegación a nivel de GPO -------------------------------------------------- 328
Tratamiento de directivas de grupo -------------------------------------------------------------------------------------------- 331
1. Los vínculos de una directiva de grupo ----------------------------------------------------------------------- 331
2. La aplicación de una directiva de grupo ---------------------------------------------------------------------- 332
3. Orden de aplicación de una directiva de grupo --------------------------------------------------------- 334
4. Las directivas predeterminadas ------------------------------------------------------------------------------------ 335
5. Los filtros de seguridad --------------------------------------------------------------------------------------------------- 335
Despliegue de un almacén central ---------------------------------------------------------------------------------------------- 336
1. Presentación del almacén central --------------------------------------------------------------------------------- 337
2. Las plantillas administrativas ---------------------------------------------------------------------------------------- 338
3. Parámetros administrados y no administrados --------------------------------------------------------- 339
4. Utilización de los filtros en las plantillas administrativas --------------------------------------- 340
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 342
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 361
Securizacion del Servidor con GPO --------------------------------------------------------------------------------------------- 362
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 363
Introducción ------------------------------------------------------------------------------------------------------------------------------ 363
Configuración de los parámetros de seguridad -------------------------------------------------------------------------- 363
1. Creación de una plantilla de seguridad------------------------------------------------------------------------ 363
2. Configuración de los derechos de usuario ------------------------------------------------------------------ 364
Página 8 de 457
3. Configuración de la UAC (User Account Control) ------------------------------------------------------ 364
4. Implantación de una directiva de auditoría---------------------------------------------------------------- 368
5. Utilización de los grupos restringidos -------------------------------------------------------------------------- 370
Implantación de una restricción de software------------------------------------------------------------------------------ 370
1. La directiva de restricción de software ----------------------------------------------------------------------- 370
2. Utilización de AppLocker ------------------------------------------------------------------------------------------------- 371
El Firewall de Windows ----------------------------------------------------------------------------------------------------------- 373
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 374
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 410
Supervisión de Servidores ----------------------------------------------------------------------------------------------------------- 412
Requisitos previos y objetivos ----------------------------------------------------------------------------------------------- 412
El Administrador de tareas ----------------------------------------------------------------------------------------------------- 413
El Monitor de recursos ------------------------------------------------------------------------------------------------------------- 422
El Monitor de rendimiento ------------------------------------------------------------------------------------------------------ 426
Los registros de eventos -------------------------------------------------------------------------------------------------------------- 430
1. Creación de una vista personalizada ---------------------------------------------------------------------------- 433
2. Suscripción ------------------------------------------------------------------------------------------------------------------------- 435
Talleres --------------------------------------------------------------------------------------------------------------------------------------- 435
Validación de conocimientos: preguntas/respuestas ------------------------------------------------------ 454
Tabla de Objetivos ----------------------------------------------------------------------------------------------------------------------- 455
Objetivos ------------------------------------------------------------------------------------------------------------------------------------ 455
Página 9 de 457
Información
Windows Server 2012 R2MCSA 70-410 -
Instalación y Configuración
El examen 70-410 "Instalación y Configuración de Windows Server 2012" es el primero de tres exámenes
obligatorios para obtener la certificación MCSA Windows Server 2012. Este examen valida sus competencias y
conocimientos acerca de la puesta en marcha de una infraestructura Windows Server 2012 básica en un entorno
empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales, tanto desde un
punto de vista teórico como práctico. Ha sido redactado por un formador profesional reconocido, también consultor,
certificado técnica y pedagógicamente por Microsoft. De esta forma, su saber hacer pedagógico y técnico conducen
a un enfoque claro y visual, de un alto nivel técnico.
Capítulo tras capítulo, podrá validar sus conocimientos teóricos, empleando un gran número de preguntas-
respuestas (154 en total) haciendo hincapié tanto en los fundamentos como las características específicas de los
conceptos abordados..
Cada capítulo está terminado por los talleres (46 en total) tendrá los medios para medir su autonomía. Estas
operaciones concretas, llegando más allá de los objetivos fijados para el examen, le permitirán forjar una primera
experiencia significativa y adquirir verdaderas competencias técnicas en situaciones reales. Los scritps incluidos en
el libro pueden descargarse en está página.
A este dominio del producto y sus conceptos, se añade la preparación específica para la certificación: en el sitio
www.edieni.com podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en condiciones
cercanas a las de la prueba. En este sitio, cada pregunta está planteada dentro del espíritu de la certificación y, para
cada una, se encuentran respuestas suficientemente comentadas para cubrir o identificar sus lagunas.
Nicolas BONNET
Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace años. Está certificado
MCT (Microsoft Certified Trainer) y transmite al lector, a través de este libro, toda su experiencia en las tecnologías
servidor y su evolución. Sus cualidades pedagógicas conducen a un libro verdaderamente eficaz para la preparación
a este examen acerca de Windows Server 2012.R2.
Descripción
Introducción
Introducción
Introducción
Página 12 de 457
Para obtener la certificación MCSE Private Cloud, se
requiere aprobar los exámenes 70-246 Monitorización y
uso de un cloud privado con System Center 2012 y 70-
247 Configuración y despliegue de un cloud privado con
System Center 2012.
¿Cómo está organizado este libro?
Página 13 de 457
sesión extendido. La gestión de la calidad (QoS) a nivel
de almacenamiento finaliza este capítulo.
Página 15 de 457
Los siguientes dos capítulos tratan sobre el despliegue de
directivas de grupo y la securización de
servidores empleando GPO. Los diferentes componentes
y el almacenamiento de una directiva de grupo, las
preferencias, así como las GPO de inicio dan comienzo al
capítulo de Implementación de directivas de grupo. Éste
se completa con el tema de su tratamiento (gestión de
vínculos, orden de aplicación y filtros de seguridad) así
como la función del directorio central. El capítulo
Securización del servidor empleando GPO presenta las
funcionalidades de seguridad mediante la configuración
de los parámetros, el despliegue de AppLocker y el
firewall de Windows.
El capítulo decimocuarto y último del libro trata sobre las
herramientas de análisis incluidas en Windows Server
2012. Se estudian el registro de eventos, el monitor de
rendimiento y el administrador de tareas.
Competencias evaluadas en el examen 70-410
El examen de certificación está compuesto de varias preguntas. Para cada una, se ofrecen varias respuestas. Es
necesario marcar una o varias de estas respuestas. Se necesita obtener una nota de 700 para aprobar el examen.
El día indicado, contará con varias horas para responder al examen. No dude en tomarse todo el tiempo necesario
para leer correctamente las preguntas y todas las respuestas. Es posible marcar las preguntas para una relectura
antes de terminar el examen. El resultado se emite al finalizar el examen.
Para preparar el examen de una forma óptima es necesario, en primer lugar, leer los diferentes capítulos y luego
realizar los talleres.
Página 16 de 457
Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte ningún capítulo y repítalo
tantas veces como sea necesario. Se ofrece un examen de prueba con este libro que le permite evaluar sus
conocimientos antes de presentarse al examen.
http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
Instalación de Hyper-V
Requisitos previos y objetivos
1. Requisitos previos
Contar con nociones sobre los sistemas de virtualización.
Poseer conocimientos de microinformática.
2. Objetivos
Presentación de la situación de virtualización Hyper-V.
Creación y configuración de una máquina virtual.
Página 17 de 457
Creación del ”Sandbox”.
Información general de las tecnologías de virtualización
El principio de la virtualización del puesto de trabajo consiste en utilizar una o varias imágenes virtuales sobre uno
o más equipos en la red. Se puede comparar este género de virtualización con un streaming de sistema operativo.
Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo, esta tecnología llamada
VDI (Virtual Desktop Initiative) permite la virtualización del sistema operativo pero también de las aplicaciones. El
puesto puede, entonces, ser de tipo cliente ligero o de tipo PC.
2. Virtualización de aplicaciones
Página 18 de 457
De igual manera se puede encontrar el aislamiento de aplicaciones en forma de burbuja. Esta práctica consiste en
resolver un problema de incompatibilidad entre aplicaciones ejecutando cada una en una ”burbuja” que está aislada
de las otras aplicaciones. Esta última solución es menos frecuente.
Es posible instalar el rol Hyper-V en un equipo cliente a partir de Windows 8 (solo en las ediciones Pro y Enterprise).
Los requisitos previos a nivel de procesador son idénticos a Windows Server 2012 R2. El procesador debe soportar
SLAT (Second Level Address Translation). También es necesario un mínimo de 4 GB de RAM. Las características
llamadas "Enterprise" (Live migration, etc.) solo están disponibles si Hyper-V se instala en un servidor.
Implementación de Hyper-V
Como muchos de los roles en Windows Server 2012 R2, Hyper-V tiene sus requisitos previos. Esto concierne al
hardware del equipo.
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). La capacidad del procesador debe responder a las necesidades de las máquinas virtuales. Estas
últimas pueden soportar como máximo 32 procesadores virtuales. La cantidad de memoria en el servidor host
debe ser superior a la asignada a las máquinas virtuales. Durante la asignación de la memoria a las máquinas
virtuales, es necesario reservar una parte para el funcionamiento de la máquina física. Si el equipo consta de 32
GB de RAM, es aconsejable reservar de 1 a 2 GB para el funcionamiento del servidor físico (el tamaño de la
reserva varía en función de los roles instalados en la máquina física).
Una máquina virtual emplea los siguientes componentes; sin embargo, en función de la generación de las VM
(ver más abajo en este capítulo), algunos componentes no estarán disponibles.
• Memoria RAM: se asigna una cantidad de memoria RAM a la máquina virtual. Se puede asignar un máximo
de 1 TB. A partir de Windows Server 2008 R2 SP1, es posible asignar la memoria dinámicamente (tratado
en profundidad en este capítulo).
Página 19 de 457
• Procesador: al igual que la memoria, es posible asignar uno o más procesadores (en función del número
de procesadores y núcleos de la máquina física). Se puede asignar un máximo de 32 procesadores a una
máquina.
• Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Máquina Virtual). Cada una
posee dos discos como máximo.
• Controladora SCSI: añade una controladora SCSI a la máquina virtual. De esta forma es posible añadir
discos duros o lectores DVD.
• Adaptador de red: por defecto no se hereda el adaptador de red de la máquina virtual, lo que permite un
mejor tráfico pero impide que la máquina realice un arranque PXE (arranque a través de la red cargando
una imagen). Para poder arrancar desde la red, es necesario agregar un adaptador de red heredado.
• Tarjeta de vídeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento gráfico haciendo uso
de DirectX.
Seleccionando una máquina virtual y después haciendo clic enConfiguración, en el menú Acciones, aparecerá
la ventana de configuración.
Todos los componentes descritos arriba pueden configurarse durante la creación de la máquina virtual (adaptador
de red, disco duro, unidad DVD) o accediendo a la configuración del equipo virtual.
Página 20 de 457
Al publicarse Windows Server 2008, el sistema de virtualización Hyper-V permitía solo asignar una cantidad de
memoria estática. De esta forma el número de máquinas virtuales estaba limitado. Si un servidor quería asignar
4 GB de RAM, la cantidad reservada era la misma incluso si no existía ninguna actividad en la máquina virtual.
La memoria dinámica permite asignar una cantidad mínima de memoria. Sin embargo, si la máquina virtual tiene
necesidad de más memoria, está autorizada a solicitar una cantidad suplementaria (esta última no puede exceder
la cantidad máxima asignada). Esta característica se introdujo en los sistemas operativos servidor posteriores a
Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores mínimos y máximo
de la memoria durante el arranque.
La memoria búffer es una característica que permite a la máquina virtual contar con una cantidad adicional de
memoria RAM en caso de necesidad.
Durante la creación de una máquina virtual, debemos seleccionar la generación deseada. Ésta opción es
irreversible y hay que volver a crear la máquina para pasar a otra generación.
VM de generación 1
Página 21 de 457
Este tipo de máquina virtual proporciona las mismas ventajas que las versiones anteriores de Hyper-V.
VM de generación 2
• Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible arrancar
la máquina virtual desde una unidad conectada a un controlador SCSI.
• Boot PXE con una tarjeta de red estándar: con las máquinas virtuales de 1ª generación es necesario
tener una tarjeta de red heredada para poder efectuar un arranque PXE. Microsoft permite ahora realizar
la misma operación con una tarjeta de red estándar (los rendimientos se ven mejorados). Preste atención,
sin embargo, solo las máquinas virtuales de 2ª generación son compatibles con esta mejora.
Las máquinas virtuales de esta generación no permiten utilizar tarjetas de red heredadas o unidades conectadas
a un controlador IDE. Adicionalmente, solo están soportados los siguientes sistemas operativos:
En adelante es posible, en Hyper-V, redirigir los recursos locales a una máquina virtual. De esta forma, esta
funcionalidad proporciona funciones similares a la conexión de escritorio remoto.
En las versiones anteriores de Hyper-V solo la pantalla, el ratón y el teclado estaban redirigidos. Era entonces
necesario establecer una conexión con el escritorio remoto para redirigir la impresora u otros dispositivos.
Windows Server 2012 R2 contiene ahora una herramienta de sesión mejorada, a través del menú Ver, que
permite llevar a cabo esta redirección mediante el bus (VMBus) de la máquina virtual. Ya no es necesario
establecer la conexión a través de la red para efectuar esta operación.
• Configuración de vista
• Dispositivos de audio
• Impresoras
• Portapapeles
• Tarjetas inteligentes
• Dispositivos USB
• Dispositivos plug and play soportados
Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.
• Habilitar la Directiva de modo de sesión mejorada en la configuración de Hyper-V. Esta última está
deshabilitada de forma predeterminada.
Página 22 de 457
• El servicio de escritorio remoto debe estar activado en la máquina virtual. No es necesario, sin embargo,
proceder a una posible autorización.
• El usuario que va a efectuar la redirección debe ser miembro del grupo de usuarios del escritorio remoto o
del grupo de administradores locales en el sistema invitado.
Durante la conexión a una máquina virtual que soporte esta funcionalidad, se abre un cuadro de diálogo que
permite configurar la visualización.
Página 23 de 457
También es posible configurar la redirección de recursos locales.
Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
Página 24 de 457
• La consola de administración de discos.
• El comando DOS DISKPART.
• El comando PowerShell New-VHD.
Al igual que un servidor físico, una máquina virtual posee un disco duro. Los datos se almacenan en un archivo
que hace las veces de contenedor.
Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de discos, incluyendo discos de
tamaño fijo, dinámico y de acceso directo ”pass-through”. Al crear un disco virtual de tamaño fijo se reserva el
tamaño total del archivo en el disco. De esta forma, se puede limitar la fragmentación del disco duro de la máquina
host y mejorar su rendimiento. Sin embargo, este tipo de disco presenta el inconveniente de consumir espacio en
disco incluso si el archivo VHD no contiene datos.
Un disco de tamaño dinámico, posee un tamaño máximo de archivo, sin embargo el tamaño de archivo aumenta
en función del contenido hasta alcanzar su tamaño máximo. Al crear un archivo VHD dinámico, éste tendrá un
tamaño de 260 KB, en comparación con los 4096 KB para un formato VHDX. Es posible crear un archivo VHD
empleando el cmdlet PowerShell New-VHD con el parámetro -Dynamic.
El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder directamente a un disco
físico. El sistema operativo de la máquina virtual considera el disco como interno. Esto puede ser útil para conectar
la máquina virtual a una LUN (Logical Unit Number) iSCSI. Sin embargo, esta solución requiere un acceso exclusivo
Página 25 de 457
de la máquina virtual al disco físico empleado. El disco deberá quedar operativo mediante la consola de
Administración de discos en el equipo host.
Se pueden realizar ciertas operaciones con los archivos VHD. Es posible, por ejemplo, comprimirlos para reducir el
espacio utilizado o para convertir su formato de vhd a vhdx. Durante la conversión del disco duro virtual, el
contenido se copiará al nuevo archivo (conversión de un archivo de tamaño fijo en un archivo de tamaño dinámico,
por ejemplo). Una vez se copian los datos al nuevo disco, el archivo antiguo se elimina.
Se pueden llevar a cabo otras operaciones como la reducción de un archivo dinámico. Esta opción permite reducir
el tamaño de un disco si este último no emplea todo el espacio que le ha sido asignado. Para los discos de tamaño
fijo, eventualmente será necesario convertir los archivos VHD en archivos de tipo dinámico.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales,
opción Editar disco… en el panelAcciones. La ventana proporciona acceso a varias opciones.
También es posible utilizar los cmdlets PowerShell resize-partition yresize-vhd para realizar la compresión de
un disco duro virtual dinámico.
Un disco de diferenciación permite reducir el tamaño de almacenamiento necesario. De hecho, este tipo de disco
consiste en crear un disco común a varias máquinas y un disco que contiene las modificaciones aportadas al disco
raíz, siendo este último específico de cada máquina.
El tamaño necesario para el almacenamiento de las máquinas virtuales se ve así reducido. Tenga en cuenta que la
modificación de un disco principal causará la pérdida de los enlaces al disco duro de diferenciación. Será entonces
necesario volver a conectar los discos de diferenciación utilizando la opción Inspeccionar disco… en el
panelAcciones.
Página 26 de 457
Es posible crear un disco de diferenciación utilizando el cmdlet PowerShell New-VHD. El comando siguiente permite
crear un disco de diferenciación llamado Diferencial.vhd, este último utiliza un disco raíz llamado Raiz.vhd.
Un punto de control (o instantánea, en las anteriores versiones de Hyper-V) corresponde a una "foto" de la máquina
virtual en el momento en que se realiza. Ésta está contenida en un archivo con la extensión avhd o avhdx, en
función del tipo de archivo del disco seleccionado. Esta operación puede llevarse a cabo seleccionando la máquina
y haciendo clic en la opción Punto de control del panelAcciones.
Cada máquina puede tener varios puntos de control. Si el punto de control se crea cuando la máquina está arran-
cada, contendrá el contenido de la memoria RAM. Si se usa un punto de control para revertir a un estado anterior
es posible que la máquina virtual no pueda conectarse al dominio. En efecto, se realiza un intercambio entre un
controlador de dominio y una máquina unida al dominio. Al restaurar una máquina, este intercambio (contraseña)
también se restaura. Sin embargo, la contraseña restaurada no sigue siendo válida, rompiendo el canal seguro. Es
posible reinicializarlo efectuando nuevamente la operación de unirse al dominio o utilizando el comando netdom
resetpwd.
Tenga cuidado, esta funcionalidad no reemplaza en ningún caso a las copias de seguridad, ya que los archivos
avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En caso de fallo del disco, todos los
archivos se perderán y será imposible restaurarlos.
Al utilizar discos de diferenciación, cada uno contiene los datos agregados desde el último punto de control
efectuado.
Página 28 de 457
El ”Sandbox” consiste en la creación de un entorno virtual
o físico de pruebas que permita realizar las pruebas sin
perturbar las máquinas o servidores de producción.
Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales, como por ejemplo
una máquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El sistema operativo será Windows Server
2012 R2.
Si su configuración es inferior a ésta, bastará con arrancar solamente las máquinas necesarias. Es aconsejable
reservar un mínimo de 1 GB para la máquina host, dejando 5 GB para el conjunto de las máquinas virtuales.
Antes de proceder a la instalación de Windows Server 2012 R2 en el equipo físico hay que asegurarse de que se
respetan los requisitos mínimos del sistema operativo.
• Una instalación completa: se instala una interfaz gráfica que permite administrar el servidor de forma gráfica
o por línea de comandos.
• Una instalación mínima: se instala el sistema operativo, sin embargo no está presente ninguna interfaz
gráfica. Solo se cuenta con un símbolo de sistema, la instalación de roles, características o la
administración diaria se realizan por línea de comando. Es posible administrar los diferentes roles de forma
remota instalando los archivos RSAT (Remote Server Administration Tools) en un puesto remoto.
Una vez terminada la instalación del servidor, se requiere configurar el nombre del servidor y su configuración IP.
Talleres
Página 29 de 457
forma podrá crear las máquinas virtuales para proceder a
su instalación y configuración.
Página 31 de 457
Haga clic en Siguiente en la ventana de instalación de características.
Es necesario crear un conmutador virtual. Haga clic en el adaptador de red para establecer un puente entre la red
física y la máquina virtual.
Si no desea utilizar el adaptador de red físico, será necesario crear un conmutador virtual antes de volver a arrancar
el servidor.
Página 32 de 457
Una vez terminada la instalación, vuelva a arrancar el servidor.
Haga clic en el botón Inicio para mostrar la interfaz de Windows.
Acceda a las Herramientas administrativas para poder iniciar Hyper-V.
1. Esquema de la maqueta
Se crearán seis máquinas virtuales, los sistemas operativos serán Windows Server 2012 R2 y Windows 8.1.
Página 33 de 457
Es posible descargar el archivo ISO de la versión de evaluación de Windows Server 2012 R2 del sitio web
siguiente:http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
El procedimiento descrito a continuación deberá repetirse para la creación de todas las máquinas virtuales.
a. Creación y configuración de la VM
En la consola Hyper-V, haga clic en Nuevo en el menú Acciones y luego en Máquina virtual.
En nuestro ejemplo, los archivos de las máquinas virtuales se almacenarán en un segundo disco. Puede, si lo
desea, seleccionar la ruta por defecto.
Página 34 de 457
Seleccione el botón Generación 2 y, a continuación, haga clic enSiguiente.
Página 35 de 457
Introduzca 60 en el campo Tamaño y luego haga clic en Siguiente.
Conecte la máquina virtual al archivo ISO o al DVD de Windows Server 2012 R2.
Página 36 de 457
En la ventana resumen, haga clic en Finalizar.
El disco duro de la máquina se crea, pero en blanco, es necesario particionarlo e instalar el sistema operativo.
Página 37 de 457
La máquina arranca y se inicia la instalación de Windows Server 2012 R2.
Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por defecto).
Haga clic en Instalar ahora para arrancar la instalación.
Haga clic en la versión Standard (servidor con una GUI).
Acepte la licencia y luego haga clic en Siguiente.
Seleccione Personalizada: instalar solo Windows (avanzado).
Página 38 de 457
Empleando las Opciones de unidad (avanz.), cree dos particiones de 30 GB.
Página 39 de 457
Introduzca la contraseña Pa$$w0rd y luego confirme.
La instalación ha finalizado, la etapa siguiente es la modificación del nombre del equipo y la configuración IP de la
máquina. Se instalarán los roles en los siguientes capítulos.
c. Configuración post-instalación
Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada, puede usar la secuencia de teclas
[Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Abra una sesión como administrador, introduciendo la contraseña configurada en la sección anterior.
En el Administrador del servidor, haga clic en Configurar este servidor local.
Haga clic en el nombre de equipo para abrir las propiedades del sistema.
Página 40 de 457
Haga clic en Cambiar y, a continuación, introduzca el nombre del servidor (AD1).
Haga clic dos veces en Aceptar y luego en Cerrar.
Vuelva a iniciar la máquina virtual para confirmar las modificaciones.
Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidos y luego haga clic
en Abrir.
Haga clic en Cambiar configuración del adaptador.
Página 41 de 457
Configure el adaptador de red según se muestra abajo.
Página 42 de 457
El procedimiento a seguir será el mismo, siguiendo los parámetros detallados para las máquinas virtuales
siguientes.
Este servidor es un miembro del dominio, se llama SV1. La cantidad de memoria asignada es de 2048 MB, el disco
virtual de 60 GB particionado en dos particiones.
Este servidor es un segundo servidor miembro del dominio, se llamaSV2. La cantidad de memoria asignada es de
2048 MB, el disco virtual de 60 GB particionado en dos particiones.
Este servidor se instala en modo sin interfaz de usuario (modo Core), todas las opciones se proporcionan en los
capítulos siguientes.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única partición.
Puesto cliente con Windows 8.1, esta máquina es miembro del dominio (operación que realizaremos en los capítulos
siguientes). La configuración IP se realizará mediante DHCP. Conecte el archivo ISO de Windows 8.1 a la máquina
virtual para llevar a cabo la instalación.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única partición.
Segundo puesto cliente con Windows 8.1, esta máquina es miembro del dominio. La configuración IP se realizará
por medio de DHCP. Conecte el archivo ISO de Windows 8.1 a la máquina virtual para proceder a la instalación.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única partición.
Página 43 de 457
• Nombre del puesto: CL8-02
• Contraseña del administrador local: Pa$$w0rd
8. Creación de puntos de control
Esta funcionalidad nos permitirá en los capítulos siguientes poner en práctica los talleres (promoción de servidores
a controladores de dominio, puesta en marcha de un RODC...).
Muy útil para las cloud públicas, la característica permite garantizar que la máquina virtual de un cliente no impacta
en el rendimiento de lectura/escritura de otro cliente.
• Cada disco duro virtual puede tener un valor máximo IOPS (Input/output Operations Per Second -
operaciones de escritura por segundo).
Página 44 de 457
• Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS máximo definido para los
discos duros virtuales.
La QoS a nivel de almacenamiento requiere el rol Hyper-V. Durante la instalación del rol, la caracte-rística se
habilita automáticamente. Sin embargo no es posible emplearla con discos duros virtuales compartidos.
En el Administrador de Hyper-V, haga clic con el botón derecho en la máquina virtual deseada y luego
seleccione Configuración.
En el panel de la izquierda, haga clic en el signo + y, a continuación, haga clic enCaracterísticas avanzadas.
Página 45 de 457
Marque la opción Habilitar administración de calidad de servicio y, a continuación, configure
1. Preguntas
4¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus ventajas?
8¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
9¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
Página 46 de 457
11¿Cuál es la utilidad de la QoS a nivel de almacenamiento en Hyper-V?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 8 puntos para aprobar el capítulo.
3. Respuestas
La virtualización de aplicaciones consiste en ejecutar, por parte del usuario, aplicaciones que no se
encuentran en el puesto de trabajo sino en un servidor. Esto permite facilitar la administración de las
aplicaciones, las cuales estarán agrupadas en un único equipo.
La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). También es necesario que la cantidad de memoria sea superior a la asignada a las
máquinas virtuales.
La memoria dinámica es una característica aparecida con el SP1 de Windows Server 2008 R2. Ésta
permite asignar una cantidad mínima de memoria a una máquina virtual. Ésta puede, en caso necesario,
solicitar más memoria adicional, sin embargo no puede exceder la cantidad máxima.
4¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus ventajas?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco duro. El
formato VHDX proporciona ciertas ventajas. El tamaño del archivo puede, ahora, tener un tamaño
máximo de 64 TB y resuelve el problema de la corrupción de archivos tras un error no esperado.
o Los discos de tamaño fijo: el tamaño total del archivo se reserva en el disco, este tipo de disco permite
limitar la fragmentación del archivo. Tiene sin embargo el inconveniente de consumir el espacio en disco
incluso si el archivo está vacío.
o Los discos dinámicos: se define un tamaño máximo durante su creación. El tamaño aumenta en función
del contenido.
o Los discos de acceso directo "pass-through": permiten conectar un disco físico directamente a la máquina
virtual. El acceso al disco por la VM es exclusivo.
Un punto de control permite capturar el estado de una máquina virtual en un momento dado, con el fin
de poder restaurar el estado de la instantánea.
o Externo: se crea un puente entre la interfaz de red de la máquina física y la interfaz de red virtual. De
esta forma la VM tiene la posibilidad de acceder a la red física.
o Interno: este tipo de conmutador permite a las máquinas virtuales comunicarse con la máquina host.
Por el contrario, les es imposible acceder a la red física.
o Privado: permite realizar la comunicación solamente entre las máquinas virtuales, la máquina host no
puede contactar con ninguna de las VM.
8¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
Página 47 de 457
Las máquinas virtuales de generación 2 aportan la posibilidad de arrancar desde una unidad SCSI y
también de realizar un arranque PXE desde una tarjeta de red estándar.
9¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
Solo los sistemas operativos Windows Server 2012, Windows Server 2012 R2, Windows 8 y Windows 8.1
son compatibles con las máquinas virtuales de generación 2. Los sistemas operativos anteriores deberán
instalarse en una máquina virtual de generación 1.
Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una
conexión de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la máquina
virtual. Este modo de sesión mejorada permite, en lo sucesivo, redirigir los periféricos sin tener que
pasar por la red y el cliente de escritorio remoto.
La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos duros
virtuales de las VM. Se configura un umbral mínimo y máximo de operaciones por segundo para
garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento.
1. Requisitos previos
2. Objetivos
Podemos encontrar diferentes ediciones de Windows Server 2012 R2. Así cada empresa tiene la posibilidad de
elegir la edición en función de sus necesidades.
• Edición Standard: esta edición incluye todos los roles y características. Soporta hasta 4 TB de memoria RAM
e incluye dos licencias para dos máquinas virtuales.
Página 48 de 457
• Edición Datacenter: esta edición incluye todos los roles y características. Permite instalar un
número ilimitado de máquinas virtuales y soporta un procesador con hasta 640 núcleos y 4 TB de memoria
RAM.
• Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios, incluye un
número limitado de roles y no puede unirse a un dominio. Soporta un procesador con un solo núcleo y hasta
32 GB de memoria RAM.
• Edición Essentials: esta edición reemplaza a las versiones Small Business Server. Puede actuar como
servidor raíz en un dominio pero no puede poseer los roles Hyper-V, clúster de conmutación o servidor Core.
Esta edición limita el número de usuarios a 25, la cantidad de memoria RAM no puede exceder 64 GB.
El servidor Core es uno de los métodos de instalación disponibles a partir de Windows Server 2008. Solo se puede
administrar un servidor instalado en modo Core empleando comandos PowerShell o comandos DOS. De hecho este
tipo de instalación está desprovisto de interfaz gráfica, reduciendo de esta forma el número de actualizaciones
requeridas y los recursos hardware necesarios. La cantidad de memoria RAM o el espacio en disco son menores
comparados con una instalación completa. A partir de Windows Server 2012 es posible pasar de un modo de
instalación al otro eliminando o agregando la característica que proporciona la interfaz gráfica (esta operación era
imposible de realizar en los sistemas operativos precedentes).
Es posible agregar la característica empleando la consola Administrador del servidor o mediante un cmdlet
PowerShell.
Se puede administrar un servidor Core de forma remota instalando en un servidor o puesto de trabajo los archivos
RSAT. Sin embargo, es necesario autorizar la administración remota en el cortafuegos de Windows. Para esto,
emplee el comando netsh:
Los roles hicieron su aparición con Windows Server 2008, permiten proporcionar a un servidor funciones
suplementarias (controlador de dominio...).
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una empresa.
• El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory, que tiene por
objetivo la autenticación de las cuentas de usuario y de equipo en un dominio Active Directory.
• AD CS (Active Directory Certificate Services) permite instalar una entidad de certificación, que tiene por
objetivo entregar y administrar certificados digitales.
• AD FS (Active Directory Federation Service) proporciona un servicio federado de gestión de identi-dades.
Identifica y autentica a un usuario que desea acceder a una extranet. De esta forma dos empresas pueden
compartir de forma segura información de identidad de Active Directory para un usuario. Varias funciones
de rol integran este rol:
Página 49 de 457
Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un acceso autenticado a
un recurso web.
Proxy FSP: permite recopilar información de autenticación del usuario desde un navegador o una aplicación
web.
• Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Se despliega un mecanismo de
protección contra usos no autorizados. Los usuarios se identifican y se les asigna una licencia para la
información protegida. De este modo resulta más sencillo prohibir a un usuario realizar una copia de un
documento en una llave USB o imprimir un archivo confidencial. Durante la instalación del rol es posible
instalar dos servicios de rol:
Active Directory Rights Management Services: permite proteger un recurso frente a un uso no
autorizado.
Compatibilidad con la federación de identidades: se beneficia de las relaciones federadas entre dos
organizaciones para establecer la identidad del usuario y proporcionarle un acceso a un recurso protegido.
• Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System) que
permiten, respectivamente, la distribución de configuraciones de red a los equipos cliente y la resolución de
nombres en direcciones IP (o viceversa).
Existen otros roles disponibles en Windows Server 2012 R2, los cuales pueden ser instalados mediante la consola
Administrador del servidor o empleando un cmdlet PowerShell.
Una característica aporta herramientas adicionales al sistema operativo. Al igual que para un rol, una característica
puede instalarse de forma manual o automática.
• El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en caso de pérdida
o robo del equipo. Se requiere la presencia de una tarjeta TPM en la máquina para una verificación del
sistema de propagación.
• El clúster de conmutación por error permite a los servidores funcionar conjuntamente, para proporcionar
alta disponibilidad. En caso de fallo de uno de los servidores, los otros garantizan la continuidad del servicio.
• El equilibrio de carga de red realiza una distribución del tráfico para evitar la saturación de uno de los
servidores.
• El servicio de administración de direcciones IP instala una infraestructura que permite gestionar un espacio
de direcciones IP y los servidores correspondientes (DHCP…). IPAM se encarga de descubrir los servidores
en el bosque Active Directory de forma automática.
Al igual que los roles, las características pueden instalarse con la consola Administrador del servidor o mediante
PowerShell.
Página 50 de 457
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de administración. Es posible
arrancarlas desde la consola Administrador del servidor.
La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde Windows
Server 2008 y Windows Server 2008 R2, ha sufrido un enorme cambio en Windows Server 2012.
Permite añadir o eliminar roles e igualmente la gestión de PC remotos. Se pueden instalar roles y
características empleando el protocolo WinRM. Se puede configurar igualmente un grupo de servidores por medio
de esta consola, para poder administrar varios servidores desde una misma consola.
La gestión del servidor local se hace también mediante esta consola. Se puede modificar cierta información muy
rápidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o el dominio al que pertenece la
máquina. También se puede gestionar la configuración del escritorio remoto o la administración remota.
Página 51 de 457
La característica Configuración de seguridad mejorada de Internet Explorer permite activar o desactivar la
seguridad mejorada de Internet Explorer. Esta opción se encuentra habilitada por defecto.
De igual forma, el panel permite verificar rápidamente que no existe ningún problema en el servidor.
Página 52 de 457
Así, podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de almacenamientofuncionan
correctamente. Servidor local y Todos los servidores (que por el momento solo incluye al Servidor local) están
igualmente presentes.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las categorías está
precedida por una cifra el administrador sabe que existen eventos pendientes de visualizar.
Haciendo clic en la categoría se muestra una ventana que contiene los detalles del evento.
Página 53 de 457
Así, es posible intervenir en un problema (reiniciar un servicio...) muy rápidamente. Adicionalmente, el aspecto
visual proporciona una vista inmediata del estado de salud del servidor o servidores.
1. Métodos de instalación
Para instalar Windows Server 2012 R2, pueden usarse varios métodos:
• El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de instalación es mucho
más larga que el uso de un medio USB y presenta el inconveniente de no poder modificar la imagen (sin
cambiar el medio).
• El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo software o un
controlador) sin tener que volver a crear el medio. Se puede usar un archivo de respuestas para automatizar
las etapas de la instalación. Esto requiere sin embargo permisos de administración para algunas etapas.
• El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft Deployment Toolkit…). De
esta forma no es necesario tener un soporte USB o un lector DVD. Esta solución consume muchos recursos
de red.
• Una nueva instalación consiste en instalar el sistema operativo en un disco o volumen nuevo.
• Una actualización permite conservar los archivos y aplicaciones. Esta operación se puede realizar desde
Windows Server 2008 R2 SP1 o Windows Server 2012. Sin embargo se debe tener cuidado, la edición debe
ser equivalente o superior.
• La migración, que es útil al pasar de Windows Server 2003 o Windows Server 2003 R2 a Windows Server
2012 R2.
2. Requisitos previos de hardware para Windows Server 2012 R2
Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware. Conviene respetarlos
para garantizar que el sistema operativo ejecuta en buenas condiciones. Evidentemente conviene adaptarlos en
función de los roles instalados, Hyper-V tiene, como es natural, requisitos más exigentes para poder hacer funcionar
las máquinas virtuales.
Es necesario garantizar antes de la instalación que se tiene, como mínimo, un procesador con una arquitectura de
64 bits, el cual debe tener una velocidad mínima de 1,4 GHz. El servidor debe tener 512 MB de memoria RAM y 32
GB de espacio en disco.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Estas operaciones deben realizarse después de la instalación. Para ello hay que usar el nodoServidor local de la
consola Administrador del servidor.
Página 54 de 457
1. Configuración del adaptador de red
Toda máquina conectada a una red debe tener una configuración IP. Ésta tiene como mínimo una dirección IP, una
máscara de subred, la dirección IP de la puerta de enlace predeterminada y la del servidor DNS. La dirección IP
asignada a la máquina le permite ser identificada y comunicarse con sus pares.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática. Estas concesiones
DHCP tienen una duración limitada en el tiempo y contienen toda la configuración IP (dirección IP, máscara de
subred, etc.) necesaria para que la máquina se comunique en la red. También es posible asignar a los puestos
direcciones de forma manual. Para ello, conviene utilizar la consola Administrador del servidor (nodo Servidor
local).
También es posible realizar la configuración por línea de comando DOS. El comando netsh permite realizar esta
operación.
La formación de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta característica
permite utilizar una dirección IP en varios adaptadores de red, la conexión se mantiene de esta forma incluso si
una de las tarjetas de red sufre algún problema. No es necesario, en ningún caso, contar con adaptadores de red
idénticos para instalar la formación de equipos de NIC.
Página 55 de 457
Haga clic en Agregar hardware, luego en Adaptador de red y finalmente en Agregar.
Conecte el nuevo adaptador de red al mismo conmutador virtual (este último debe ser de tipoExterno) que el
adaptador de red ya instalado.
Página 56 de 457
Haga clic en Aceptar y luego en el botón verde en la barra de la máquina virtual para iniciarla.
Abra una sesión en la máquina SV1.
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Página 57 de 457
Haga clic en el enlace Deshabilitado al lado de Formación de equipos de NIC.
En ADAPTADORES E INTERFACES, seleccione los dos adaptadores de red manteniendo pulsada la tecla [Ctrl] del
teclado.
Haga clic con el botón derecho y luego, en el menú contextual, seleccione Agregar a nuevo equipo.
En el campo Nombre del equipo, introduzca Equipo 1.
Despliegue el menú Propiedades adicionales y seleccione Ethernet en Adaptador de modo de espera.
Página 58 de 457
La formación de equipos de NIC está ahora en servicio.
Página 59 de 457
Se ha añadido un elemento en la consola Conexiones de red.
Verifique la configuración IP para comprobar que el adaptador de red tiene la dirección IP 192.168.1.11.
Página 60 de 457
Deshabilite los dos adaptadores de red.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz continúa con la comunicación.
Adicionalmente, el conjunto de adaptadores comparten la misma configuración de red.
Página 61 de 457
2. Unirse a un dominio sin conexión
La unión a un dominio sin conexión permite a un equipo unirse a un dominio. Incluso sin que se
encuentre conectado. Para realizar esta operación es preciso utilizar el comando djoin.exe. En primer lugar será
necesario ejecutar, en el controlador de dominio, el comando djoin con la opción/provision.
El archivo Union.txt contiene toda la información necesaria para unirse al dominio. Puede copiarlo al equipo. Utilice,
una vez más, el comando djoin y el parámetro /requestODJ.
Por último, reinicie el equipo para terminar la operación de unión al dominio (en un entorno de producción, la
última operación se validará durante la próxima conexión del equipo a la red empresarial).
Un servidor Core no posee interfaz gráfica, la configuración debe hacerse por línea de comandos. El
comando sconfig, presente en las instalaciones mínimas, evita a los administradores tener que escribir los
diferentes comandos empleados para configurar el nombre del servidor o la configuración IP.
Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor Core.
Introducción a PowerShell
PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas de administración.
1. Presentación de PowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administración de servidores y
redes informáticas. Estos scripts permiten automatizar las tareas (creación de usuarios, etc.). El lenguaje está
compuesto por cmdlets que se ejecutan desde un símbolo del sistema PowerShell. Muchos productos de Microsoft
utilizan scripts de PowerShell mediante interfaces gráficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los
asistentes en MDT 2010 y MDT 2012 muestran el script PowerShell empleado. Ciertos roles como Hyper-V pueden
gestionarse empleando comandos PowerShell.
Las funciones básicas pueden extenderse agregando módulos (módulo Active-Directory, etc.), lo que permite la
administración del rol en línea de comandos.
Import-Module NombreModulo
Página 62 de 457
2. Sintaxis de los cmdlets PowerShell
Un cmdlet utiliza un nombre y un verbo, los nombres tienen cada uno una colección de verbos asociados.
• Get
• New
• Set
• Restart
• Resume
• Remove
• Add
• Show
• …
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2.
La interfaz PowerShell ISE es un entorno que proporciona asistencia para la elaboración de scripts PowerShell.
Permite visualizar los comandos y los parámetros utilizados por estos comandos y acceder a diferentes cmdlets.
Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Para facilitar su mantenimiento, se emplea un
código de colores al igual que en una herramienta de depuración.
Página 63 de 457
Finalmente, se pueden visualizar los diferentes cmdlets por módulo, esto permite saber que módulo cargar.
La característica DSC es una extensión de PowerShell que permite efectuar algunas operaciones como:
DSC proporciona a PowerShell nuevos cmdlets así como recursos que permiten realizar la definición de un entorno
deseado. Adicionalmente, es posible efectuar la gestión y el mantenimiento de las configuraciones existentes.
Se ha incluido una nueva palabra clave Configuration en PowerShell. Se utiliza para definir un bloque dentro de
un script. Estará seguida por un identificador y corchetes, que permiten delimitar el bloque. Éste contendrá la
configuración deseada.
Talleres
Estos talleres permiten poner en práctica los puntos tratados en el capítulo.
Objetivo: el objetivo de este ejercicio es promover el primer controlador de dominio del bosque Formacion.local.
Una vez realizada la configuración, habrá que promover el servidor.
Página 64 de 457
Haga doble clic en la máquina AD1 para conectarse a ella.
Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].
Página 65 de 457
Marque la opción Servicios de dominio de Active Directory (Active Directory Domain Services - directorio Active
Directory) y luego haga clic en Agregar características.
Página 66 de 457
La instalación está en marcha…
Página 67 de 457
Haga clic en Promover este servidor a controlador de dominio.
Haga clic en Agregar un nuevo bosque e introduzca Formacion.local en el campo Nombre de dominio raíz.
Seleccione el nivel funcional Windows Server 2012 R2, deje la casilla Servidor DNS marcada para instalar y
configurar el rol.
Página 68 de 457
Introduzca la contraseña de modo de restauración de servicios de directorio (DSRM):Pa$$w0rd.
Después de algunas búsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre es FORMACION.
Página 69 de 457
Deje las rutas de acceso por defecto.
Haga clic en Siguiente después de haber verificado los parámetros en la ventana Revisar opciones.
Haga clic en Instalar para iniciar la instalación de Active Directory y promover el servidor. Al terminar la instalación,
el servidor reinicia.
Objetivo: configurar SVCore que ejecuta Windows Server 2012 R2 en modo instalación mínima. El taller permite
efectuar la configuración del nombre del servidor, la fecha y hora al igual que el adaptador de red. Seguidamente,
el servidor se agregará al dominio Formacion.local.
Página 70 de 457
Introduzca S y, a continuación, pulse la tecla [Intro] para realizar el cambio de nombre.
Después del reinicio, abra una sesión como administrador y verifique el nombre usando el comando hostname.
Página 71 de 457
Introduzca 9 y valide con la tecla [Intro].
Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora.
Introduzca el índice del adaptador de red deseado y luego pulse la tecla [Intro].
Página 72 de 457
Introduzca e (para efectuar una configuración estática) y valide su elección empleando la tecla [Intro].
Responda a las diferentes preguntas para configurar la dirección IP como 192.168.1.13, la máscara de subred
como 255.255.255.0 y finalmente la puerta de enlace predeterminada como192.168.1.254.
Haga clic en Aceptar en la ventana Configuración de red y luego pulse [Intro] sin introducir ningún valor para
volver al menú.
Página 73 de 457
Seleccione la opción 4) Regresar al menú principal.
Salga del menú sconfig seleccionando la opción 15) Salir a la línea de comandos.
El símbolo * introducido en el parámetro PasswordD permite introducir la contraseña de forma segura. De hecho,
ésta no se mostrará.
3. Administración de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalará un rol en uno de los servidores del grupo.
Página 74 de 457
Máquinas virtuales utilizadas: AD1 y SVCore.
Abra una sesión en AD1 y luego ejecute la consola Administrador del servidor.
Página 75 de 457
Introduzca Grupo-Formacion en el campo Nombre de grupo de servidores.
En el panel de la consola Administrador del servidor, haga clic en Agregar roles y características.
Seleccione SVCore como servidor de destino de la instalación del rol y luego haga clic enSiguiente.
Página 76 de 457
Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente.
Página 77 de 457
Se realiza la instalación del servidor remoto.
Objetivo: obtener información acerca de los servidores remotos mediante la interfaz PowerShell.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion.
Página 78 de 457
Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows PowerShell.
Introduzca el comando Get-service | where-object {$_.status -eq "Running"} para visualizar los servicios
arrancados.
Página 79 de 457
Utilice los comandos get-process para enumerar los procesos en ejecución.
Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones IPv4 e IPv6 del servidor
consultado.
De esta forma es muy sencillo instalar un rol o una característica, y también realizar la administración de un
servidor local o remoto.
Objetivo: unir un servidor utilizando el método sin conexión. El taller consiste en crear el archivo necesario para
unir un servidor a un dominio y utilizar el comando DJoin.
Introduzca el comando Djoin /provision /domain formacion.local /machine SV1 /savefile c:\union.txt.
Sitúe el ratón en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz Windows. Haga
clic con el botón derecho en la miniatura y seleccione Ejecutar.
Página 80 de 457
Autentíquese como formacion\administrador.
Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.
Página 81 de 457
Active los adaptadores de red y luego abra una sesión como administrador del dominio.
SV1 será miembro del dominio, la unión al dominio sin conexión ha funcionado.
Objetivo: agregar características a una imagen de instalación para que esté disponible durante la instalación del
servidor.
En AD1, conecte la ISO de Windows Server 2012 R2 y luego copie el archivo install.wimubicado en el
directorio Sources en c:\ImageWim (cree la carpeta en el árbol).
Abra un símbolo del sistema DOS y, a continuación, introduzca el comando dism /get-imageinfo
/imagefile:c:\imagewim\install.wim
Página 82 de 457
Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim. Para ello, se
recupera la imagen de la edición Datacenter con interfaz gráfica. El siguiente comando indica que la imagen
deseada tiene asignado el número 4. El archivo install.wim contiene cuatro archivos install.wim (uno por edición).
No acceda a la carpeta Montar porque esto causará que la imagen no pueda ser desmontada (recomprimida en
el archivo wim).
Página 83 de 457
Es posible recuperar la lista de características mediante el comando Dism /online /Get-Features.
El servidor Core no tiene los recursos necesarios para la instalación de la interfaz gráfica, nos basa-remos en
primera instancia en el archivo install.wim presente en el DVD.
Abra una sesión en SVCore como administrador y luego conecte la imagen ISO de Windows Server 2012 R2.
Página 84 de 457
Elimine la propiedad Solo lectura introduciendo el comando attrib.exe -r C:\Sources\install.wim.
El servidor reinicia al terminar la instalación. Ahora cuenta con una interfaz gráfica. Es posible eliminarla
desinstalando la característica Infraestructura e interfaces de usuario.
Página 85 de 457
1. Preguntas
1¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de forma
remota?
3¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
9Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a un
dominio sin conexión.
10¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un dominio?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para aprobar el capítulo.
3. Respuestas
1¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de forma
remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y característica de
forma remota.
Empleando un código de color (rojo, blanco) es, en adelante, muy fácil distinguir si existe un problema
en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar resolver el problema (por
ejemplo: iniciar o detener el servicio que está detenido).
3¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar Windows Server
2012 R2 en modo completo (interfaz gráfica presente en el servidor) o en modo instalación mínima (sin
interfaz gráfica).
Con este tipo de instalación, es posible utilizar un hardware más antiguo. Adicionalmente, menos
servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un
hacker, e igualmente el número de actualizaciones a instalar. A partir de Windows Server 2012, es
posible pasar de un tipo de instalación al otro.
Página 86 de 457
Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al servidor.
Podemos encontrar los siguientes roles Servidor de aplicaciones, DNS (Domain Name System), DHCP
(Dynamic Host Configuration Protocol), AD DS (Active Directory Domain Services), AD CS (Active
Directory Certificate Services), AD FS (Active Directory Federation Service), AD RMS (Active Directory
Rights Management Services)…
El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que tiene
como función la gestión de certificados digitales.
Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como mínimo)
con la misma configuración IP. Esto permite, de forma muy simple, contar con una mayor redundancia
en caso de fallo de uno de los adaptadores.
9Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a un
dominio sin conexión.
El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. Debe ejecutarse con
permisos de administrador en el controlador de dominio, con el objetivo de poder crear el archivo
necesario para la operación. A continuación, se utilizará el ejecutable en el equipo que se unirá al
dominio.
10¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un dominio?
El archivo utilizado por el comando djoin es de tipo txt, contiene la información necesaria para unirse al
dominio AD.
Un servidor en modo instalación Core puede administrarse por línea de comandos. Ciertos elementos (IP,
etc.) pueden configurarse mediante una interfaz de configuración. Es posible mostrarla utilizando el
comando sconfig.
Esta consola facilita la creación de scripts o el uso de PowerShell. Permite igualmente visualizar los
diferentes módulos y sus cmdlets.
1. Requisitos previos
Página 87 de 457
Poseer conocimientos de Active Directory.
2. Objetivos
Introducción
Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de Windows 2000
Server. Como los otros directorios, se basa en la normativa LDAP. Se han aportado muchas mejoras desde
entonces. Abarca generalmente el conjunto de cuentas necesarias para la autenticación de los equipos y usuarios
de una empresa.
Los componentes físicos van a englobar varios elementos clave en un dominio Active Directory. Estos últimos
pueden ser hardware o software:
• El controlador de dominio, que contiene una copia de la base de datos Active Directory.
• La base de datos y la carpeta sysvol, que contendrán el conjunto de la información de Active Directory
(propiedades de las cuentas de usuarios, equipos…). Cada controlador de dominio del dominio Active
Directory contiene una copia.
• El servidor de directorio global, que contiene una copia parcial de los atributos (nombre, nombre de pila,
dirección del usuario…) y objetos del bosque. Permite realizar búsquedas rápidas sobre los atributos de algún
objeto de un dominio diferente al del bosque.
Todos los componentes funcionan con componentes lógicos, los cuales permiten la puesta en marcha de la
estructura de Active Directory deseada.
• Las particiones, que son selecciones de la base de datos de Active Directory. Así, podremos encontrar la
partición de configuración, la partición de dominio, la partición DNS…
• El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden ser creados en
Active Directory.
• El dominio, que permite poner en marcha un límite administrativo para los objetos usuarios y equipos.
• Un árbol de dominio, contiene un conjunto de dominios que comparten un espacio de nombres DNS contiguo.
• El bosque Active Directory, que contiene el conjunto de dominios Active Directory.
• El sitio de Active Directory, que permite dividir un dominio en varias partes, para así limitar y controlar la
replicación entre dos sitios remotos.
• La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar una delegación.
Página 88 de 457
1. El dominio Active Directory
Un dominio Active Directory es una agrupación lógica de cuentas de usuario, equipos o grupos. Los objetos creados
se almacenan en una base de datos presente en todos los controladores de dominio Active Directory. Esta base de
datos puede almacenar varios tipos de objeto:
• La cuenta de usuario, que permite efectuar una autenticación y autorizar los accesos a los diferentes recursos
compartidos. Corresponde a una persona física o una aplicación.
• La cuenta de equipo, que permite autenticar la máquina en la que el usuario inicia una sesión.
• Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo de autorizar el
acceso a un recurso, implementar una delegación…
2. Las unidades organizativas
Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que permiten la agrupación de
cuentas de usuario o de equipo. La creación de este tipo de objeto se utiliza con el fin de asignar una directiva de
grupo al conjunto de objetos presentes en el contenedor. La segunda función es la puesta en marcha de una
delegación para permitir a una persona diferente al administrador gestionar objetos presentes en el contenedor.
De esta forma las OU representan una jerarquía lógica en el dominio Active Directory (se las puede anidar, entonces
hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad organizativa por ciudad (Alicante,
Madrid...) o por tipo de objeto (usuario, equipo...). Durante la creación del dominio se encuentran presentes las
carpetas de sistema y unidades organizativas predeterminadas:
• Carpeta Users: carpeta predeterminada al crear un nuevo usuario. Contiene de forma predeterminada la
cuenta de administrador y los diferentes grupos administradores (Administradores de dominio,
Administradores de empresas...).
Página 89 de 457
• Carpeta Computers: carpeta predeterminada donde se ubican las cuentas de equipo al agregar nuevos
equipos.
• Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas de los
controladores de dominio. Esta OU es la única presente al crear el dominio. La directiva de grupo Default
Domain Controller Policy está ubicada en esta unidad organizativa.
3. El bosque Active Directory
Un bosque está formado por uno o más dominios Active Directory. Hablamos de dominio raíz para el primer dominio
del bosque, adicionalmente este último proporciona el nombre al bosque. En nuestra maqueta el dominio raíz es
Formacion.local, el bosque tiene pues el nombre de este último, es decir Formacion.local. En un bosque Active
Directory encontramos una sola configuración y un solo esquema que son compartidos por el conjunto de los
controladores de dominio presentes en el bosque. Tiene asimismo como objetivo la puesta en práctica de una
frontera de seguridad, los otros bosques no tienen ningún permiso sobre éste y no se replica ningún dato fuera del
bosque.
Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez arborescencia de
dominios, estos últimos comparten un espacio de nombres contiguo. La relación entre dominios de una misma
arborescencia es de tipo padre/hijo. Un dominio que dispone de un espacio de nombres diferente forma parte de
una arborescencia diferente.
Página 90 de 457
El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite la autenticación de
una entidad (persona física de la empresa...) se define por cada dominio. Este último contiene al menos un
controlador de dominio, siendo dos lo recomendable en términos de alta disponibilidad. Este tipo de servidor tiene
la responsabilidad de autenticar los objetos usuarios y equipos en un dominio AD.
El esquema de Active Directory es un componente que permite definir los objetos así como sus atributos, que es
posible crear en Active Directory. Al crear un nuevo objeto, se utiliza el esquema para recuperar sus atributos y su
sintaxis (booleano, entero...).
Página 91 de 457
De esta forma, al crear el objeto, el directorio Active Directory conoce cada atributo y el tipo de datos a almacenar.
Al migrar Active Directory o cuando se instalan ciertas aplicaciones (por ejemplo, Exchange, etc.) el esquema debe
estar actualizado. Esta operación permite agregar los objetos y sus atributos que podrán crearse a continuación
(por ejemplo, un buzón de correos). Esta operación no puede realizarse en un controlador de dominio con el rol
miembro de esquema. El usuario que efectúe esta operación debe ser miembro del grupo Administradores de
esquema. Después de efectuar la modificación, esta última se replicará al conjunto de los controladores de dominio
del bosque.
El complemento software Esquema de Active Directory se encuentra oculto de forma predeterminada. Para poder
activarlo, es necesario escribir el comando regsvr32 schmmgmt.dllen la consola Ejecutar.
Active Directory está compuesto de varias particiones. Son cuatro, y se comparten entre los controladores de
dominio.
Página 92 de 457
• Partición de dominio: contiene la información de los diferentes objetos que se han creado en el
dominio (atributos de cuentas usuario y equipo…).
• Partición de configuración: en esta partición está descrita la topología del directorio (lista completa de
dominios, arborescencias).
• Partición de esquema: contiene todos los atributos y clases de todos los objetos que es posible crear.
• Partición DNS: en esta partición se almacena el conjunto de zonas y sus registros.
Estas particiones se almacenan en la base de datos. Esta última se encuentra en la carpeta %systemroot%\NTDS.
En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single Master Operation). Dos de
estos se encuentran solamente en uno de los controladores de dominio del bosque, los otros tres se encuentran
en cada dominio.
Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Este último es el único que cuenta
con permisos de escritura en el esquema. Sin embargo, para efectuar esta operación, es necesario que la cuenta
empleada sea miembro del grupo Administradores de esquema. Los otros servidores solo tienen un acceso de
lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se encuentra
únicamente en un único controlador de dominio del bosque. El Maestro de nomenclatura de dominios es necesario
al añadir o eliminar un dominio del bosque. Se contacta este servidor para garantizar la coherencia de los nombres
de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC están presentes en cada
dominio del bosque.
Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes controladores de dominio
de su dominio. Este identificador único está asociado al SID del dominio para crear el SID (identificador de
seguridad) del objeto. Es mediante este identificador como se reconoce un objeto.
Maestro de infraestructura: su rol es la vigilancia de objetos ajenos a su dominio, que están presentes en los
grupos de seguridad o en las ACL. Ejemplo: el objeto Javier OLIVARES forma parte del dominio ES.Formacion.local
pero es miembro del grupo G_Conta-US-R, que se encuentra en el dominio US.Formacion.local.
Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un servidor PDC NT4.
Permite también la migración entre Windows 2000 (uso del controlador de dominio Active Directory) y Windows
NT4 (uso del servidor PDC y BDC). Su segundo rol es la sincronización del reloj para el conjunto del dominio.
Los dominios Active Directory están divididos en sitios AD que representan la topología física de la empresa. Si
consideramos la conectividad de red de un sitio como buena, hablaremos de una replicación intra-sitio. La
replicación inter-sitio se refiere a la realizada entre dos sitios Active Directory.
Los sitios Active Directory permiten definir fronteras de replicación, lo cual permite ahorrar ancho de banda en la
línea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesión, se utilizan los controladores de dominio Active Directory a los que
está conectado. Sin embargo, si la autenticación no puede realizarse en éstos, la operación se ejecuta en otro sitio.
La replicación inter-sitio permite garantizar la transmisión de una modificación a uno o varios sitios. Para ello,
conviene utilizar un objeto de conexión de tipo unidireccional (solo de entrada). Mediante estas rutas de replicación,
la topología se creará automáticamente. Esta última garantiza la verificación de la coherencia de los datos (KCC
- Knowledge Consistency Checker). De esta forma garantizamos la continuidad de servicio a nivel de replicación
Página 93 de 457
en caso de una avería en uno de los controladores de dominio. Sin embargo, es imposible realizar más de tres
saltos entre dos controladores de dominio.
Un controlador de dominio contiene una copia de la base de datos Active Directory (archivo NTDS.dit) al igual que
la carpeta Sysvol. A partir de Windows 2000, el conjunto de controladores de dominio cuenta con un acceso de
lectura/escritura a la base de datos y la carpeta Sysvol. Es, sin embargo, posible instalar un controlador de dominio
en solo lectura (a partir de Windows Server 2008).
La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de grupo. A diferencia de la
base de datos, la replicación de la carpeta sysvol se efectúa utilizando el servicio de replicación de archivos (FRS)
o más recientemente mediante el sistema DFS (Distributed File System). En un dominio es necesario contar con
al menos un servidor que tenga el rol de catálogo global así como dos controladores de dominio por dominio. Los
sitios remotos que cuenten con un número muy restringido de usuarios pueden utilizar un servidor RODC (Read
Only Domain Controller - Controlador de dominio de solo lectura).
En un bosque con un único dominio, la base de datos contiene el conjunto de la información de todos los objetos
del bosque. Sin embargo si el bosque está compuesto por varios dominios, la situación es más compleja. La
información de los objetos de los dominios sólo la conoce el propio dominio. Si se efectúa un búsqueda de un
objeto de otro dominio, el resultado será nulo. Debemos entonces configurar un controlador de dominio por dominio
que contenga una copia del catálogo global. Este último consiste en una base de datos que contiene la información
acerca de todos los objetos de todos los dominios del bosque.
El catálogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos que son
susceptibles de ser utilizados por las búsquedas inter-dominio (nombre, apellidos...). En un bosque compuesto de
varios dominios, los servidores con el rol de Maestro de infraestructura no deben ser también catálogo global.
Al iniciar una sesión en un dominio Active Directory, el sistema busca los registros de tipo SRV en el DNS para
poder encontrar el controlador de dominio más cercano. Si la autenticación tiene éxito, la autoridad de seguridad
local (LSA - Local Security Authority) genera un token de acceso y se lo atribuye al usuario. Este token contiene el
identificador de seguridad (SID) del usuario al igual que el conjunto de los grupos de los que es miembro. Del
mismo modo, el controlador de dominio atribuirá al usuario un ticket llamado TGT (Ticket-Granting Ticket). Al
intentar acceder a un recurso de la red, el usuario envía su ticket TGT al controlador de dominio. Este último le
responde con otro ticket que le autoriza el acceso al recurso.
La promoción de un servidor a controlador de dominio se realizaba mediante el comando dcpromo en los sistemas
anteriores a Windows Server 2012. Desde este último, el comando ya no se puede utilizar. Al utilizar el comando,
aparece un mensaje invitando al administrador a utilizar el Administrador del servidor.
Página 94 de 457
Como hemos visto en el taller del capítulo precedente, es necesario instalar el rol Servicios de dominio de Active
Directory.
El comando dcpromo solo puede utilizarse por línea de comandos. Después de haber instalado el rol en un servidor
con interfaz gráfica, es necesario iniciar el asistente para promover el servidor. Este último ofrece la posibilidad de
crear un nuevo bosque, de agregar un nuevo dominio o de agregar un controlador de dominio suplementario.
La instalación necesita cierta información, que solicita el asistente al promover el servidor. Es necesario introducir
el nombre de dominio DNS. Se debe seleccionar el nivel funcional (para el bosque y el dominio). Por último, también
es preciso indicar la contraseña para acceder al modo de restauración Active Directory (DSRM - Directory Services
Restore Mode).
• Utilizando la consola Administrador del servidor para promover el servidor de forma remota.
• Ejecutando el comando dcpromo /unattend seguido de las opciones adecuadas.
Dcpromo /unattend /InstallDns:Yes /ConfirmGc:Yes
/ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:
"Formacion.local" /databasePath:"c:\windows\ntds"
/logpath:"c:\Windows\ntds" /sysvolpath:"c:\windows\SYSVOL"
/safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes
Para obtener más información sobre las diferentes opciones, puede consultar la página Technet que se encuentra
en: http://technet.microsoft.com/es-es/library/cc732887(v=ws.10).aspx
Página 95 de 457
3. Actualización de un controlador de dominio a Windows Server 2012 R2
Existen dos formas de realizar la actualización de un controlador de dominio. Actualizando el sistema operativo o
agregando un nuevo servidor. Tenga precaución con la primera solución, ciertos sistemas operativos como Windows
Server 2003 o Windows 2000 no permiten ser actualizados. Es necesario realizar primero la actualización de los
controladores de dominio a Windows Server 2008.
Es aconsejable contemplar, en la medida de lo posible, la opción de agregar un nuevo controlador de dominio, esto
permitirá una nueva instalación en un sistema operativo limpio. La primera operación antes de promover un
controlador de dominio que ejecute Windows Server 2012 es extender el esquema de Active Directory. Esta
operación, que consiste en agregar los objetos necesarios al igual que sus atributos al esquema AD, se realizaba
antes mediante el comandoadprep (adprep /forestprep, adprep /domainprep /gpprep).
Un punto muy importante, en el caso de promover un controlador de dominio en un equipo remoto, es el ancho
de banda de la línea que conecta ambos servidores. En el caso de que la línea proporcione poca capacidad, la
primera sincronización del controlador de dominio puede ser difícil de gestionar porque la línea corre el riesgo de
verse rápidamente saturada. En este caso, es conveniente utilizar la opción de promover el servidor empleando el
método IFM (Install From Media). Éste consiste en copiar el contenido completo de la base de datos Active Directory
al igual que la carpeta SYSVOL. Al promover la réplica del controlador de dominio, el asistente debe emplear el
archivo de medios creado previamente (y copiado en su soporte USB, por ejemplo). De esta forma la línea WAN
(Wide Area Network) que comunica los dos sitios no se satura. Faltará que el nuevo controlador de dominio
recupere los cambios realizados a los objetos después de la creación del archivo de medios realizando una réplica
inter-sitio.
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
La papelera de reciclaje AD
No hay nada más molesto que una eliminación accidental de un objeto de Active Directory. Esto puede tener un
impacto más o menos importante en la producción. En los sistemas operativos anteriores a Windows Server 2008
R2, se podía utilizar el tombstoned. Esta funcionalidad permite la recuperación de una cuenta donde el atributo
isDeleted se ha configurado como True. La herramienta LDP permite efectuar esta operación. Elimina el atributo
isDeleted, sin embargo se pierden los atributos (pertenencia a grupo, etc.) del objeto. Se han desarrollado
herramientas de terceros, no oficiales, que permiten efectuar esta operación de forma gráfica y más rápida.
A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada papelera de reciclaje de
Active Directory. Esta última permite efectuar la restauración de un objeto eliminado del directorio al igual que sus
atributos.
Para proceder a la activación de la papelera de reciclaje Active Directory es necesario disponer de un nivel funcional
Windows Server 2008 R2 como mínimo. Observe que, una vez activada, es imposible de desactivar.
Página 96 de 457
Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y activar la
funcionalidad desde el Centro de administración de Active Directory. Todas las operaciones se realizarán, en
adelante, empleando una interfaz gráfica en lugar de PowerShell.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creación de directivas de
contraseña muy específicas. Esto permite a una empresa definir varias directivas de contraseña o de bloqueo.
Éstas se atribuyen, a continuación, a un usuario o a un grupo de seguridad global. El sistema operativo utilizado
en el controlador de dominio deberá ser por lo menos Windows Server 2008. El nivel funcional deberá estar, a su
vez, configurado a nivel Windows Server 2008. La operación debe realizarla un administrador de dominio, sin
embargo es posible implementar una delegación para un usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema:
• Histórico de contraseñas.
• Duración máxima de la contraseña.
• Duración mínima de la contraseña.
• Longitud mínima de la contraseña.
• Cumplir los requisitos de complejidad.
• Grabación utilizando cifrado reversible.
• Duración de bloqueo de cuenta.
• Umbral de bloqueo de cuenta.
• Reinicio del contador de bloqueo de cuenta después de un tiempo definido por el administrador.
• Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra vinculada esta
directiva.
• Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación de varias PSO a un
objeto.
Un objeto PSO posee el atributo msDS-PSOAppliesTo. Éste permite implementar un vínculo entre los objetos de
usuario o grupo y el objeto PSO. De esta forma el objeto que la recibe ve configurado su atributo msDS-
PSOAppliced, que permite el vínculo de retorno a la directiva.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una novedad con la gestión
y la creación de las directivas de contraseña muy específicas.
En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas directivas pero, sobre todo,
para visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de administración de Active
Directory. Esta consola permite en adelante la visualización de la directiva resultante de un usuario.
Página 97 de 457
Talleres
Los talleres siguientes le permitirán promover un controlador de dominio utilizando el método IFM. Se tratan
igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contraseña muy específicas.
Objetivo: este taller permite promover un controlador de dominio utilizando el método IFM.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil.
Al aparecer el símbolo de entrada, seleccione la instancia ntds utilizando el comando activate instance ntds.
Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creación del archivo de medios.
Página 98 de 457
Abra una sesión en SV1.
Haga clic con el botón derecho en el botón Inicio y, a continuación, en el menú contextual, seleccione la
opción Ejecutar.
Introduzca en el menú Ejecutar el comando \\AD1\c$ para acceder al disco C del servidorAD1.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
En la ventana Seleccionar tipo de instalación, deje la opción predeterminada y luego haga clic en Siguiente.
Página 99 de 457
En la ventana Seleccionar servidor de destino, haga clic en SV1.Formacion.local y luego enSiguiente.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el enlacePromover este
servidor a controlador de dominio.
Haga clic en el botón Cambiar para proporcionar la información necesaria para promover el servidor.
Objetivo: este taller permite poner en marcha la papelera de reciclaje Active Directory, y principalmente el uso
de la interfaz gráfica, aparecida con Windows Server 2012.
Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del bosque.
Cree la unidad organizativa Form, los grupos Formadores y Alumnos y los usuarios de prueba (Nicolas
BONNET, Alumno 1, Alumno 2 y Alumno 3).
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno son miembros
del grupo Alumnos.
En la consola Centro de administración de Active Directory, haga doble clic en Deleted Objects.
La opción Restaurar en... en el panel Tareas permite realizar la restauración en un entorno diferente del
original.
Objetivo: el taller permitirá implementar una directiva de contraseña muy específica llamada "Fine Grained
Password".
En el panel de la derecha, haga doble clic en la raíz del dominio Formacion (local).
En el componente de navegación, haga doble clic en el contenedor System y luego enPassword Settings
Container.
Marque la casilla Exigir directiva de bloqueo de cuenta y luego introduzca 3 en el campoNúmero de intentos
de inicio de sesión incorrectos.
Modifique el valor de la vigencia máxima de contraseñas para que sea igual a 90 días.
Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad organizativaForm.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuración de contraseña resultante.
1. Preguntas
8¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
9¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
13¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta solución.
14¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de contraseña
muy específicas?
16¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 13 puntos para aprobar el capítulo.
3. Respuestas
Varios componentes físicos constituyen Active Directory, es posible encontrar controladores de dominio,
bases de datos y la carpeta SYSVOL al igual que servidores de catálogo global. Estos últimos se apoyan
en componentes lógicos tales como particiones, el esquema AD, el bosque o el sitio AD.
Un dominio Active Directory es una agrupación de objetos (usuarios, equipos o grupos...). Al ser
creados, todos estos objetos se almacenan en una base de datos. Permiten la autenticación (objetos
usuario y equipo) o simplemente la agrupación de un conjunto de objetos (grupo). Los grupos se utilizan
para proporcionar autorización a un recurso.
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender el esquema),
es necesario ejecutar el comando Adprep. Éste se ejecuta al migrar un servidor o al instalar el primer
servidor Exchange…
4Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está configurado como
Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario actualizar el esquema para la
migración a Windows Server 2012 R2?
No, a partir de Windows Server 2012 ya no es necesario efectuar esta operación. La etapa de
actualización se realiza automáticamente (si es necesaria) al promover el nuevo controlador de dominio.
Un bosque Active Directory se compone de uno o varios dominios. Éstos se agrupan en arborescencias
de dominios. De esta forma, cuando hablamos de un bosque, se trata simplemente del conjunto de los
dominios.
La base de datos Active Directory se compone de varias particiones. Podemos encontrar la partición de
dominio, que contiene el conjunto de objetos creados en el dominio, la partición de configuración, que
contiene la topología del directorio (lista completa de los dominios, arborescencias y bosque).
Encontramos de igual manera la partición del esquema, que contiene todos los atributos y clases de un
objeto. Finalmente la partición DNS, que contiene el conjunto de zonas DNS integradas en Active
Directory.
Un servidor con el rol catálogo global posee una base de datos de todos los objetos presentes en el
bosque así como algunos de sus atributos. Este tipo de servidor facilita la búsqueda de objetos.
8¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el dominio solo
cuenta con un controlador de dominio, es posible (solo en este caso) albergar el Maestro de
infraestructura en el servidor con el catálogo global.
9¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
Existen dos posibilidades: la instalación y configuración del rol de forma remota empleando la consola
Administrador del servidor o el empleo del comando dcpromo en local en el servidor. El comando
necesita que se informen las distintas opciones. Se puede utilizar un archivo de respuestas para
automatizar la operación.
o Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el bosque. Es el único
poseedor de estos permisos.
o Maestro de nomenclatura de dominio: utilizado solamente al agregar, modificar o eliminar el nombre de
dominio.
o Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes controladores de
dominio de su dominio. Este identificador único está asociado al SID del dominio para crear el SID
(identificador de seguridad) del objeto.
o Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio, que están
presentes en los grupos de seguridad o en las ACL.
o Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un servidor PDC NT4.
Permite, de este modo, la migración entre Windows 2000 (uso del controlador de dominio Active
Directory) y Windows NT4 (uso del servidor PDC y BDC). Su segundo rol es la sincronización del reloj
para el conjunto del dominio.
Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de ahorrar ancho de
banda de la línea que conecta dos sitios remotos.
No, a partir de Windows Server 2012 este comando solo puede utilizarse por línea de comandos. Para
promover un controlador de dominio, es necesario instalar el rol Servicios de directorio Active Directory.
13¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta solución.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. El
archivo de medios contiene todos los datos (objetos, carpeta SYSVOL...) necesarios para promover un
nuevo servidor, de esta forma este último no tiene más que replicar los cambios de los objetos creados
después de la creación del archivo de medios. Esto permite evitar sobrecargar la línea de comunicación
durante la primera replicación.
14¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de contraseña
muy específicas?
16¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
Para esto es necesario utilizar la directiva de contraseña muy específica que permite crear y asignar
varias directivas de seguridad.
Administración de Objetos AD
Requisitos previos y objetivos
1. Requisitos previos
2. Objetivos
Introducción
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno permite autenticar las
personas físicas y los equipos unidos al dominio.
Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así como la topología de
red. La gestión de las relaciones de confianza y del nivel funcional del bosque se realiza mediante la
consola Dominios y confianzas de Active Directory. Por último, la consolaEsquema de Active
Directory permite administrar el esquema de Active Directory. Esta consola solo está disponible si se ha ejecutado
el comando regsvr32 schmmgmt.dll al menos una vez, y permite definir la librería en el registro de Windows.
Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1) después de
descargar e instalar el archivo RSAT (Remote Server Administration Tools).
La consola Centro de administración de Active Directory proporciona otras opciones para la gestión de los
objetos. Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar la creación de objetos
Es, también, posible realizar la administración de este servicio mediante comandos PowerShell. Importando el
módulo Active Directory es también posible realizar las mismas operaciones que las realizadas con las diferentes
consolas. Para llevar a cabo estas acciones, también se pueden usar los comandos DOS:
Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la contraseña deben ser introducidos
obligatoriamente. El nombre de usuario debe ser único en el dominio y el bosque. Después de seleccionar la unidad
organizativa que va a contener la cuenta de usuario, es posible crearla.
Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesión y los apellidos o
el nombre de pila. Después de introducir la información obligatoria, se activa el botón Siguiente.
A diferencia del SAMAccountName (nombre de inicio de sesión anterior a Windows 2000) que estaba construido
según la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN (User Principal Name -
campo nombre de inicio de sesión de usuario) se construye según la forma NombreInicioDeSesión@dominio
(nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanuméricos para generar nombres de usuario únicos (ejemplo: n.bonnet, n-
bonnet...). Observe que esto puede causar problemas con ciertas aplicaciones.
Existen otras opciones disponibles, que permiten prohibir el cambio de contraseña o configurar una contraseña que
no expira nunca (muy útil para las cuentas de sistema).
Después de crear el objeto, es posible configurar otros atributos opcionales (dirección, número de teléfono...). Los
atributos pueden estar clasificados en diferentes categorías.
• Los atributos de cuenta: incluidos en la pestaña Cuenta, podemos encontrar información incluyendo el
nombre de usuario, la contraseña…
• La información personal: información personal del usuario (dirección, número de teléfono…). Los atributos
pueden modificarse mediante la pestaña General que contiene la información introducida durante la creación
de la cuenta (Nombre de pila, Apellidos, Nombre completo…), y también en las
pestañas Dirección, Teléfonos y Organización.
• La gestión de cuentas de usuario: agrupa los atributos encontrados en la pestaña Perfil, es posible
configurar la ruta del perfil o los scripts de inicio de sesión.
• Miembro de los grupos: este atributo encontrado en la pestaña Miembro de permite añadir o eliminar al
usuario de un grupo de seguridad o de distribución.
Adicionalmente es posible ver el conjunto de atributos empleando la pestaña Editor de atributos. Esta pestaña
requiere mostrar las características avanzadas (menú Ver). De esta forma se muestran todos los atributos,
adicionalmente el botón Filtro permite visualizar un mayor número de atributos.
Se puede cambiar el atributo desde la pestaña específica o desde la pestaña Editor de atributos.
Un perfil de usuario puede ser local o móvil. En el caso de un perfil local, se crea un directorio en la carpeta Usuarios
de cada máquina en la que el usuario abre una sesión.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos, documentos, escritorio...)
en todos los puestos a los que se conecta. En este caso, es necesario emplear un perfil móvil. Éste se encuentra
en una carpeta compartida en el servidor.
Al iniciar sesión, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente, durante el cierre
de sesión, se realiza la copia en sentido inverso. Para instalar esta solución es necesario configurar el atributo Ruta
de acceso al perfil en la pestaña Perfil.
Es, también, posible configurar un script (en formato vbs o bat), este último se ejecuta cuando el usuario abre una
sesión. Si este se almacena en la carpeta SYSVOL, solo será necesario introducir el nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello será necesario
especificar la letra de la unidad.
Administración de grupos
Los grupos en Active Directory permiten facilitar la administración. Es más fácil agregar el grupo a la ACL (Access
Control List - lista que permite proporcionar permisos) de un recurso compartido en lugar de añadir a todos los
usuarios. Una vez ubicado el grupo, el administrador solo tendrá que agregar o eliminar los objetos (cuenta de
equipo, usuario o grupo) para gestionar el acceso al recurso. La administración no se efectúa más a nivel de la
ACL, sino al nivel de Active Directory (consola Usuarios y equipos de Active Directory, Centro de administración de
Active Directory o directamente en PowerShell). Adicionalmente, un grupo se puede colocar en una lista de control
de acceso de varios recursos. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del
departamento de contabilidad, RRHH...) o por recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible. Sugerimos nombrar los grupos
de esta forma:
Se puede crear dos grupos en Windows Server. La elección se realiza durante la creación del grupo. El administrador
podrá elegir entre un grupo de distribución y un grupo de seguridad.
El grupo de distribución lo utilizan los servidores de mensajería (Exchange por ejemplo). No se atribuye un SID al
grupo, por lo que es imposible incluirlo en la lista de control de acceso de un recurso. El enviar un correo electrónico
al grupo, el conjunto de miembros reciben el correo.
El grupo de seguridad posee un SID (Security IDentifier), esto proporciona la posibilidad de incluirlo en una ACL.
Así, se otorga a los miembros de este grupo permisos de acceso al recurso. Su segunda función es la de servir de
grupo de distribución para un software de mensajería.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo para asignar permisos
a sus usuarios o para crear listas de distribución de correo.
2. El ámbito de un grupo
El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así como los objetos que
pueden ser miembros.
• Local: presente solamente en un servidor miembro o puesto de trabajo, un grupo con este ámbito no puede
utilizarse en un controlador de dominio (el cual no contiene inicialmente las cuentas locales). Este grupo
puede utilizarse para proporcionar permisos a los usuarios locales o del bosque Active Directory.
Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y usuarios del dominio
son respectivamente miembros de los grupos locales Administradores y usuarios del equipo.
Microsoft ha definido una estrategia de administración de grupos (IGDLA). Ésta consiste en agregar
las Identidades (usuarios y equipos) en un grupo Global. Éste es miembro de un grupoDominio Local (permite
proporcionar el acceso al recurso). El grupo Dominio local se incluye en una ACL.
Así, si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado informática, no
será necesario acceder a la ACL. Agregándolo al grupo DL_TEC_W (el cual está, por supuesto asignado al recurso)
se proporciona el acceso deseado.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las cuentas de equipo de
las máquinas unidas al dominio. No es una unidad organizativa, no es posible añadir una directiva de grupo a este
contenedor. Es, por tanto, necesario desplazar los objetos equipo a la OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU Puestos, OU
Portátiles); para poder vincular las diferentes directivas de grupo o simplemente para delegar en otras personas
diferentes la gestión de los diversos objetos.
La gestión de los contenedores es propia de cada empresa y debe responder a sus necesidades y limitaciones.
Para efectuar una unión al dominio, es necesario respetar ciertos requisitos previos. El objeto equipo debe crearse
previamente o el usuario debe poseer los permisos adecuados. El usuario que efectúe la unión debe ser
necesariamente miembro del grupo de administradores locales del equipo.
Si el servidor DNS configurado en la configuración IP del equipo no es correcta, entonces el equipo no se integrará
nunca en el dominio.
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administración) tiene, por defecto, la posibilidad de unir 10 equipos al
dominio. Al solicitar autenticación, deberá introducir su nombre de usuario y su contraseña. A partir de Windows
2000 Server es posible modificar el número de equipos sobre los cuales un usuario tiene permisos modificando el
atributo LDAP.
Para ello, es necesario modificar el atributo ms-DS-MachineAccountQuota ubicado en la raíz del dominio (la
pestaña Editor de atributos aparece si se activan las características avanzadas).
Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo (sAMAccountName) y una
contraseña. Se efectúa un cambio de contraseña cada 30 días. Estos identificadores los utiliza el servicio NetLogon
para iniciar una sesión y establecer un canal seguro con su controlador de dominio. Ciertos casos impactan el canal
seguro e impiden el inicio de sesión (no se autoriza al equipo):
Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesión. Se incluye un evento a su vez en el
registro. Tendrá como fuente a NETLOGON y un ID 3210.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podrá unir el equipo al grupo
workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a unirse al dominio, se genera un
nuevo SID, la lista de grupos de los que era miembro el equipo antes del problema del canal seguro se crean
nuevamente de forma idéntica. Para reiniciar el canal seguro es, también, posible efectuar otras operaciones:
Talleres
Los talleres le permitirán poner en práctica la administración de cuentas Active Directory.
1. Implementar la delegación
Objetivo: implementar una delegación para que un usuario pueda administrar la unidad organizativa sobre la que
se ha establecido la delegación.
Haga clic con el botón derecho en la OU Form y luego en el menú contextual seleccione Delegar control....
Introduzca Formadores y luego haga clic en el botón Comprobar nombres en la nueva ventana que se muestra.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de usuario y Crear,
eliminar y administrar grupos.
En la barra de menús de la consola Usuarios y equipos de Active Directory, haga clic en Ver y luego
en Características avanzadas.
Haga clic con el botón derecho en la unidad organizativa Form y luego en Propiedades.
Para permitir al usuario administrar la unidad organizativa, es posible instalar en su equipo los
archivos RSAT (Remote Server Administration Tool). De esta forma contará con acceso a la consola con los
permisos adecuados. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de seguridad para
poder abrir una sesión en el controlador de dominio. El usuario utilizado debe ser miembro del grupo Formadores.
Objetivo: el objetivo del taller es efectuar la creación de una cuenta plantilla a partir de un perfil temporal.
En CL8-01, abra una sesión y luego abra el Centro de redes y recursos compartidos.
En las propiedades del Protocolo de Internet versión 4 (TCP/IPv4) configure el adaptador de red como se
indica a continuación:
Al no existir ningún servidor DHCP en la red, es necesario configurar el adaptador de red de forma estática.
En AD1, abra una sesión como administrador y luego inicie la consola Usuarios y equipos de Active Directory.
Haga clic en la unidad organizativa Form y luego muestre las propiedades de la cuentaNicolas BONNET.
En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y luego Mendez en el
campo Apellidos. Por último, introduzca pmendez en el campo Nombre de inicio de sesión de usuario.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creación de un nuevo objeto se ve facilitada
porque el conjunto de propiedades comunes (listas de grupos en la pestaña Miembro de…) se replican.
En las propiedades de la carpeta creada, seleccione la pestaña Compartir y luego haga clic enUso compartido
avanzado....
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuación:
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la información haciendo clic en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
1. Preguntas
2Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
4¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que contiene?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para aprobar el capítulo.
3. Respuestas
Cuando el administrador ejecuta una acción, la consola llama a comandos PowerShell. Esta consola
permite realizar operaciones tales como la activación o la administración de la papelera de reciclaje
Active Directory, y puede también realizar operaciones más elementales como la creación de un objeto.
2Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios un apellido o
nombre de pila, un nombre de usuario y una contraseña.
4¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que contiene?
La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario
seleccionado. Estos valores están, también, presentes en las diferentes pestañas (apellido, nombre de
pila, nombre de inicio de sesión). Es perfectamente posible modificar el valor de un atributo.
Con un perfil móvil el usuario recupera la personalización de su equipo (Métodos abreviados, favoritos...)
desde cualquier puesto de trabajo al que se conecte. En efecto, el perfil no se almacena de forma local
sino en un recurso compartido de red en un servidor. Al iniciar sesión, el perfil del usuario se copia al
equipo, para copiarse en sentido inverso hacia el servidor durante la desconexión.
o Local
o Global
o Dominio local
o Universal
Al realizar la unión al dominio de un equipo que no posee una cuenta, ésta se crea automáticamente en
la carpeta de sistema Computers. El comando redircmp permite alojar la cuenta creada automáticamente
en otro contenedor (por ejemplo, en una unidad organizativa).
Un canal seguro es una relación de aprobación entre un controlador de dominio y un cliente (puesto de
trabajo...). Si el canal seguro se rompe es imposible autenticar el equipo.
1. Requisitos previos
2. Objetivos
Introducción
Es posible utilizar comandos PowerShell para automatizar la administración de Active Directory. Esto permite ganar
tiempo y una mayor fiabilidad en comparación con una administración manual.
CSVDE es una herramienta por línea de comandos que permite importar o exportar los objetos del directorio Active
Directory (cuentas de usuario...). Estas operaciones se efectúan desde o sobre un archivo en formato CSV (Comma
Separated Values). Este tipo de archivo puede utilizarlo de igual forma una base de datos o visualizarse en una
hoja de cálculo Excel. Sin embargo, esta herramienta no puede modificar o importar un objeto existente.
Csvde -f ArchivoCsv
El archivo LDAP utilizado posee una línea de cabecera, compuesta por el nombre de los atributos LDAP (nombre...).
Este comando no se puede utilizar para importar las contraseñas porque éstas aparecen sin cifrar. Por lo tanto, la
cuenta no posee contraseña y se deshabilita.
Al igual que CSVDE, LDIFDE es una herramienta por línea de comandos que permite efectuar operaciones de
exportación o creación de objetos. Permite, a diferencia del comando anterior, modificar o eliminar objetos ya
existentes. El archivo debe estar en formato LDAP Data Interchange Format (LDIF).
Este tipo de archivo de texto contiene bloques de líneas, cada una permite efectuar una operación. Cada línea del
bloque contiene información sobre la operación a realizar, así como el atributo afectado.
Cada operación a realizar se separa por una línea vacía. El atributo changetype permite definir la acción a realizar.
Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Es necesario utilizar al menos la opción -f para la exportación, que indica el archivo a utilizar.
Ldifde -f ArchivoLDIF
La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando va a realizar una
importación y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Los cmdlets PowerShell permiten crear, modificar y eliminar una cuenta de usuario. Es posible ejecutar las
diferentes instrucciones directamente en la consola PowerShell o ejecutando un script.
Las operaciones realizadas de manera gráfica pueden llevarse a cabo empleando instrucciones PowerShell.
Se pueden usar diferentes cmdlets, cada uno con una función bien definida:
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las propiedades deseadas.
Puede también incluirse la contraseña en este comando.
En caso de creación de un objeto usuario sin contraseña (parámetro -AccountPassword), ésta estará deshabilitada.
Para activarla será necesario utilizar el parámetro -Enabled a true.
• Nombre: BAK
• Nombre de pila: Jean
• Nombre de inicio de sesión: jbak
• Contraseña: Pa$$w0rd
• Contenedor del objeto: OU Form
La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa.
Si no ha importado el módulo Active Directory, introduzca Import-Module ActiveDirectory. Esto permite utilizar
los diferentes cmdlets de Active Directory.
El comando PowerShell que debe utilizar para realizar esta operación es el siguiente:
El nombre de inicio de sesión del usuario es, efectivamente, jbak, para el UPN (User Principal Name) o el
SamAccountName (nombre de inicio de sesión anterior a Windows 2000).
La opción que indica el cambio durante el inicio de sesión también está habilitada.
Al igual que para los usuarios, la creación y la gestión de los grupos puede hacerse empleando comandos
PowerShell.
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores. Seguidamente debemos
crear un nuevo grupo llamado Alumnos.
Comprobemos, a continuación, que se ha añadido correctamente. Para ello, es necesario utilizar Get-
ADGroupMember.
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creación del grupo. Para ello, debemos utilizar el cmdlet New-ADGroup. Lo
componen varios parámetros que permiten configurar los diferentes atributos de un grupo.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un ámbito global), debemos utilizar el
comando siguiente:
Get-ADGroup Alumnos
Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes cmdlets.
La primera operación a realizar es reiniciar la cuenta de equipo CL8-01. El canal seguro se encuentra roto.
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto.
Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando nos devolverá un
error por permisos insuficientes.
El parámetro Server permite indicar qué controlador de dominio hemos de contactar. Credential indica el nombre
del usuario que tiene los permisos de administración en la cuenta de equipo.
Para realizar la creación de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. Éste tiene tres
argumentos:
Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que aplicaremos una
directiva de grupo. También es posible implementar la delegación sobre este tipo de objeto.
Para poner en práctica la administración de las unidades organizativas, vamos a eliminar la protección contra la
eliminación accidental empleando PowerShell y crearemos un nuevo contenedor llamado Equipos.
A partir de Windows Server 2008 es posible activar la protección contra la eliminación accidental. Ésta se encuentra
activa de forma predeterminada durante la creación de cualquier objeto.
Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Ahora podemos pasar a la etapa de creación de una unidad organizativa. Como hemos visto anteriormente, el
cmdlet a utilizar para esta operación es New-ADOrganizationalUnit. Éste tiene varios parámetros:
La unidad organizativa Equipos es un contenedor hijo de la unidad organizativa Form. El siguiente comando permite
realizar esta operación:
Taller
El capítulo se compone de operaciones (creación de usuario, unidad organizativa...) que puede reproducir. La parte
práctica se reduce a un solo taller.
Todos los usuarios de la OU Formacion deberán cambiar la contraseña tras el próximo inicio de sesión. La opción
PasswordNeverExpires permite desactivar la opción La contraseña nunca expira.
1. Preguntas
2¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
4¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
6¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active Directory?
7Se ha roto la relación de confianza entre un equipo y su controlador de dominio. ¿Qué comando es
necesario ejecutar para volver a crearla?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para aprobar el capítulo.
3. Respuestas
2¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
Para realizar una exportación debemos utilizar el comando csvde -f NombreDeArchivo. La opción -
f permite indicar el archivo a utilizar. La importación necesitará más parámetros, la instrucción a
ejecutar es de la forma csvde -i -f ArchivoCSV -k. La opción -i indica que vamos a realizar una
importación, -k permite continuar la ejecución aunque se produzca algún error.
4¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
No es posible efectuar modificaciones o eliminaciones con el comando csvde. En este caso tendremos
que utilizar el comando ldifde.
6¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active Directory?
7Se ha roto la relación de confianza entre un equipo y su controlador de dominio. ¿Qué comando es
necesario ejecutar para volver a crearla?
Si el canal seguro se rompe es imposible autenticar el equipo. Será entonces necesario emplear el
comando Reset-ComputerMachinePassword.
1. Requisitos previos
2. Objetivos
Establecimiento de subredes.
Introducción
El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet o en redes locales.
• Aplicación
• Transporte
• Internet
• Interfaz de red
Esta capa permite a una aplicación acceder a los recursos de red. Contiene diferentes protocolos de aplicación.
Corresponde a las capas de aplicación, sesión y presentación del modelo OSI (Open System Interconnection).
La capa de Transporte
Garantiza el control y la fiabilidad de las transferencias de datos en la red. Corresponde a la capa de transporte del
modelo OSI. Encontramos aquí los protocolos TCP (Transmission Control Protocol) y UDP (User Datagram Protocol).
El protocolo TCP permite establecer una conexión fiable entre dos entidades (equipos, etc.). Garanti-za, antes de
iniciar los intercambios de datos, que el receptor está listo para recibir las diferentes tramas. Cada intercambio
está seguido de un acuse de recibo, que garantiza la correcta recepción de cada paquete. El protocolo UDP
proporciona una transmisión de datos sin conexión, el emisor y el receptor intercambian tramas de sincronización
y, a continuación, comienzan la transferencia. La entrega de paquetes se considera poco fiable, sin embargo se
estima más rápida (al no enviar acuse de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios protocolos, como:
Corresponden a las capas 1 (nivel físico) y 2 (nivel de datos) del modelo OSI. Permite el envío en la red física de
las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efectúa también la transformación
de la señal de digital a analógica.
Para establecer una conexión con una aplicación o un equipo remoto, es necesario establecer un socket TCP o UDP.
Este último cuenta con tres parámetros:
El número de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se encuentran reservados
para aplicaciones específicas. La reserva de estos puertos permite a las aplicaciones cliente una comunicación más
fácil con el servidor.
1. El direccionamiento IPv4
Una dirección IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte está separado por puntos y
escrito en forma decimal (de 0 a 255).
Una dirección IP es un identificador único que permite reconocer el equipo en la red (igual que un número de
seguridad social identifica a un hombre o una mujer). Esta dirección puede configurarse de forma manual o
automática. Se le atribuye a cualquier interfaz de red que la solicite.
Una dirección posee un ID de red que identifica la red a la que está conectado el equipo. Luego un ID de host que
permite una identificación univoca del equipo en la red. En función de la dirección utilizada (consulte la sección Las
diferentes clases de direcciones más adelante en este capítulo), se atribuyen uno o varios bytes a los diferentes
ID. Antes del envío de una trama, es necesario que el equipo emisor sepa si el destinatario está en una red diferente
de la suya.
Para efectuar esta verificación, el equipo utiliza la máscara de subred y efectúa un Y lógico (para tener un resultado
1 los dos valores deberán ser iguales a 1).
Tomemos el ejemplo de un equipo con dirección IP 10.0.0.2 y una máscara de subred 255.0.0.0.
En primer lugar, es necesario convertir de decimal a binario (este punto será tratado en profundidad posteriormente
en este capítulo).
Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos valores son iguales a 1).
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo destino tiene un ID de
red diferente, estará necesariamente en una red diferente. En ese caso, el equipo emisor de la trama debe enviarla
a la puerta de enlace especificada en su configuración IP.
El objetivo de la puerta de enlace, generalmente un router, es la transmisión de los paquetes a otra red
(Internet...). La trama se redirige a otros routers empleando las tablas de enrutamiento, hasta el destinatario. Es
por esto muy importante en una red de producción el configurar una puerta de enlace válida.
2. Direccionamiento privado/público
Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de información.
Las direcciones IP públicas se encuentran en la red Internet. Dicha dirección IP es única en el mundo y la distribuyen
organismos especiales. Los equipos que poseen este tipo de dirección IP son accesibles en Internet. Toda empresa
o particular utiliza un router o modem-router (livebox...) para acceder a Internet. Este equipo posee una dirección
IP que le ha sido asignada por el proveedor de acceso.
Los equipos en una red local utilizan por su parte una dirección privada. Esta última no es accesible desde Internet
(ningún equipo en una red pública posee este tipo de dirección). Solo es única en una red de área local. Dos
empresas diferentes que no están conectadas entre sí pueden tener las mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP públicas para las direcciones de equipos en una red
local. De esta forma cada clase posee su propio conjunto de direcciones reservadas.
Como hemos podido ver, una dirección IP está compuesta por bytes cuyo valor se encuentra en formato decimal.
Sin embargo este número se calcula empleando cifras binarias (dos estados posibles, 0 o 1).
Si descomponemos un byte, nos daremos cuenta de que éste posee 8 bits y cada uno tiene un rango. El de menor
valor, el de la derecha, tiene un rango 0 (ver más abajo). El de mayor valor, situado más a la izquierda, tiene un
rango 8. Para obtener el valor decimal de cada rango, hace falta elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 20=1, el del rango 1 tiene el valor de 2 por
21=2…
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 73:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 73.
Esta conversión es más compleja. Para explicarla tomemos un ejemplo: debemos convertir a binario el valor 102.
Para efectuar la conversión, debemos comenzar por el bit de mayor valor, es decir, con rango 7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del rango 7 es entonces
igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del rango 6 es entonces
igual a 1. Falta convertir el número 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango 5 es entonces igual
a 1. Falta convertir el número 6 (38-32).
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango 4 es entonces igual
a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3 es entonces igual
a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2 es entonces igual a
1. Falta convertir el número 2 (6-4).
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es entonces igual a 1.
De esta forma hemos terminado de convertir el número 102. El valor binario del rango 0 es 0.
Todas las direcciones IP se organizan en clases de direcciones. Cada una permite direccionar un número de hosts
y de redes diferentes. Solo pueden utilizarse las tres primeras clases. Para diferenciar las distintas clases, es
necesario fijarse en el primer byte.
La clase A
Las direcciones contenidas en esta clase permiten direccionar 224 equipos. En efecto, se reservan tres bytes para
la dirección del ID del equipo y uno solo para el ID de la red.
El conjunto de direcciones contenidas en la clase A va desde 1.0.0.0 a 126.0.0.0. La máscara de subred es igual a
255.0.0.0.
El primer bit de todas las direcciones comienza por 0. El resto varía desde todos los bits en 0 para la dirección
inicial hasta todos los bits en 1 para la dirección final. O sea:
Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0. Los valores 0 y 127 están reservados, y
el ámbito va desde 1.0.0.0 hasta 126.0.0.0.
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La máscara utilizada es 255.255.0.0. El rango de
direcciones va desde 128.0.0.0 a 192.255.0.0.
La clase C
Esta es la clase que proporciona menor número de direcciones para los equipos. Tiene un único byte disponible
para los equipos. Su máscara es igual a 255.255.255.0. Posee un rango de direcciones entre 192.0.0.0 y
223.255.255.0.
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase A. Si el valor se
encuentra entre 128 y 191 la dirección es de clase B. Por último, si el valor se encuentra entre 192 y 223 la
dirección es de clase C.
5. El CIDR
La notación CIDR (Classless Inter-Domain Routing) permite escribir de forma sintética la máscara de subred. Si
tomamos la máscara de clase A (255.0.0.0), ésta puede escribirse /8. La cifra proviene del número de bits en 1.
La máscara de la clase B puede escribirse en la forma /16, mientras que la de la clase C se escribe /24.
Establecimiento de subredes
Una subred consiste en dividir una red informática en varias subredes. La máscara de subred se utiliza para
identificar la red en la que está conectado el equipo. Al igual que una dirección IP, está compuesto de 4 bytes
donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del host (valor decimal 0).
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El primer byte y los
bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce el numero de hosts direccionables.
La ventaja de una subred es la posibilidad de realizar una división lógica de la red física. Esto permite impedir que
las máquinas físicas se vean entre sí, con el objetivo de crear redes diferentes.
Es posible utilizar subredes en los sitios remotos, cada sitio puede también tener su propia dirección manteniendo
el mismo ID de red. La división lógica permite reducir el tráfico de red y las tramas de tipo broadcast que un router
debe transferir entre las distintas redes.
También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de producción no puede acceder
a la red de administración). De esta forma garantizamos la seguridad de los datos. Sin embargo esta operación
necesita un cortafuegos.
Para simplificar la comprensión, vamos a tomar un ejemplo. La empresa ABC posee una dirección 192.168.1.0 y
una máscara de subred igual a 255.255.255.0. Esta empresa necesita crear tres subredes.
La primera operación es calcular el número de bits que necesitamos reservar para identificar la subred. Si se
quieren crear tres subredes entonces el número de bits a reservar es de 2, pues 22=4 > 3.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las subredes.
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este caso, podemos crear
una cuarta subred.
Para comprobar que el cálculo es correcto, debemos verificar el paso de una subred a la otra. De esta forma
podemos confirmar que es igual a 64. De hecho, si sumamos 64 a la dirección de la subred 1, entonces el resultado
es la dirección de la subred 2 (192.168.1.64 + 64 = 192.168.1.128). Esta comprobación debe ser cierta para el
conjunto de subredes.
A continuación debemos calcular la máscara de subred a utilizar. Esta debe configurarse en todas las máquinas
para que pertenezcan a la subred correcta.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo número para la máscara de
subred. A diferencia de las direcciones, estos bits no variarán y tendrán el valor 1. La dirección empleada es una
dirección de clase C. La máscara será 255.255.255.0.
Una vez más, el primer paso a realizar es la descomposición del primer byte del ID del host, los bits de subred
deberán valer 1:
Para conocer el rango de direcciones que es posible distribuir a los equipos, debemos hacer variar el ID de host,
(de todos los bits a 0 a todos los bits a 1, es decir:
Subred 1:
192.168.1.0 a 192.168.1.63
Subred 2:
192.168.1.64 a 192.168.1.127
Subred 3:
192.168.1.128 a 192.168.1.191
El rango entre la primera dirección y la última es de 63 (de 192.168.1.1 a 192.168.1.163), es el mismo para las
otras subredes.
Los comandos DOS pueden ser utilizados para la administración y mantenimiento diario de una red.
Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente diagnosticar
un problema de red.
1. El comando ipconfig
• ipconfig /all: muestra la configuración completa de los adaptadores de red presentes en el equipo.
• ipconfig /release: libera la configuración IP distribuida por el servidor DHCP.
• ipconfig /renew: solicita una nueva configuración al servidor DHCP.
• ipconfig /displaydns: muestra las entradas en la caché DNS.
• ipconfig /flushdns: permite limpiar la caché DNS.
• ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.
2. El comando ping
Este comando permite comprobar la comunicación entre dos equipos. De esta forma se pueden reparar
rápidamente problemas de comunicación en un equipo o servidor. El comando cuenta con opciones y luego el
nombre o dirección IP del equipo a verificar.
Ejecutado sin opciones, solo se envían cuatro tramas de tipo echo. Si el puesto está encendido y conectado a la
red se recibe una respuesta. En caso contrario, se emite una respuesta negativa.
-t: a diferencia de -n, se efectúa el envío de tramas hasta que se solicita la interrupción.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host remoto. Sin
embargo, este tipo de solicitudes pueden estar bloqueadas por un cortafuegos.
3. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un destino. La
trama es de tipo ICMP. Es inútil utilizar este comando si el destino se encuentra en la misma red de área local. De
hecho, el comando reenvía el nombre o la dirección IP del router que devuelve la trama echo.
Es posible usar otros comandos, como nslookup. Este último permite verificar la resolución DNS.
Una dirección IPv6 es cuatro veces mayor que una dirección IPv4, es decir 128 bits para la versión 6 y 32 bits para
la versión 4. Este protocolo ofrece un rango de direcciones casi ilimitado.
Adicionalmente, al contrario que una dirección IPv4, es posible realizar un configuración automática sin necesidad
de un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la red proporciona al cliente la
información sobre la subred y el prefijo. Esto permite a los clientes configurarse automáticamente. Hablamos
entonces de configuración automática de direcciones sin estado (RFC 2462). La configuración de direcciones sin
estado necesita la presencia de un servidor DHCPv6 (Windows Server 2008 como mínimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una extensión del protocolo
anterior. Los periféricos de red cuentan con la posibilidad de determinar el ancho de banda deseado para la gestión
del paquete. Es posible igualmente administrar la prioridad del tráfico. Ciertos paquetes (difusión de vídeo
continuo...) son prioritarios. Los periféricos de la red se percatan de esto mediante el empleo del campo QoS.
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
Los
IPv4 IPv6
formatos
Fragmentación Fragmentación realizada en los routers y el emisor. Fragmentación efectuada solamente por el emisor. de las
Registro en el Registro de host (A) en la zona de búsqueda directa Registro de host (AA AA) en la zona de búsqueda
DNS y PTR en la zona de búsqueda inversa (IN- directa y PTR en la zona de búsqueda inversa
ADDR.ARPA). (IP6.ARPA).
direcciones son, a su vez, diferentes. La versión anterior utiliza un formato decimal (192.168.1.2) mientras que
las direcciones se escriben en formato hexadecimal con la versión 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se
recomienda el uso de nombres de host en lugar de direcciones IPv6.
El direccionamiento IPv6
Cada dirección está compuesta por 128 bits. Se utiliza un prefijo para indicar el número de bits utilizado por el ID
de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un prefijo de 64 bits se asigna a la
dirección, que es la mitad de los bits para identificar la red, los restantes 64 permiten una identificación única del
host (identificador de interfaz). Éste puede ser generado de manera aleatoria y asignado por DHCP o basado en el
control de acceso o soporte (MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC 1918). Este tipo de dirección
puede encaminarse solamente hacia el interior de una empresa. Para evitar los problemas de duplicación que
podían ocurrir en IPv4 al interconectar varias redes, la dirección está compuesta por un prefijo de 40 bits.
Ésta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequeña de tener dos prefijos
idénticos.
Este tipo corresponde a las direcciones IPv4 públicas. Permiten designar un equipo en la red Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques están reservados para
implementar túneles 6to4 (por ejemplo el bloque 2002::/16).
Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar con la red local. Este tipo
de dirección se genera automáticamente y no se puede encaminar. Son homólogos a las direcciones IPv4
correspondientes a las direcciones APIPA (169.254.x.x).
El prefijo utilizado por este tipo de dirección es FE80::/64. Los 64 bits restantes permiten identificar la interfaz.
Talleres
Los dos primeros talleres son teóricos. No es necesario realizar ninguna operación.
• 192
• 224
• 1110 0111
• 192.168.1.102
• 0011 1100
• 1001 1100
Solución:
• 192
El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del rango 7 es entonces
igual a 1. Falta convertir el número 64 (192-128).
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
• 224
El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del rango 7 es entonces
igual a 1. Falta convertir el número 96 (224-128).
El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del rango 6 es entonces igual
a 1. Falta convertir el número 32 (96-64).
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
• 1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+26+25+22+21+20 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
• 192.168.1.102
1: 0000 0001
• 0011 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
25+24+23+22= 32+16+8+4
Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.
• 1001 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+24+23+22= 128+16+8+4
Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.
Debemos dividir la red con la dirección 172.16.0.0 en 8 subredes. Proporcione, para cada una, la dirección de
subred, la dirección de la máscara de subred y los rangos de dirección que pueden ser distribuidos.
Solución:
• Máscara de subred:
• Subred 1:
172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0 hasta
172.16.31.255. En este rango, debemos incluir la dirección de red 172.16.0.0 y la dirección de broadcast
172.16.31.255. Tenemos pues un rango efectivo desde 172.16.0.1 hasta 172.16.31.254.
• Dirección de subred 2:
172.16. 001 0 0000.0 a 172.16.001 1 1111.255 o sea un rango de direcciones desde 172.16.32.0 hasta
172.16.63.255. Tenemos pues un rango efectivo desde 172.16.32.1 hasta 172.16.63.254.
172.16. 010 0 0000.0 a 172.16.010 1 1111.255 o sea un rango de direcciones desde 172.16.64.0 hasta
172.16.95.255. Tenemos pues un rango efectivo desde 172.16.64.1 hasta 172.16.95.254.
• Dirección de subred 4:
172.16. 011 0 0000.0 a 172.16.011 1 1111.255 o sea un rango de direcciones desde 172.16.96.0 hasta
172.16.127.255. Tendremos un rango efectivo desde 172.16.96.1 hasta 172.16.127.254.
• Dirección de subred 5:
172.16. 100 0 0000.0 a 172.16.100 1 1111.255 o sea un rango de direcciones desde 172.16.128.0
hasta 172.16.159.255. Tenemos pues un rango efectivo desde 172.16.128.1 hasta 172.16.159.254.
• Dirección de subred 6:
172.16. 101 0 0000.0 a 172.16.101 1 1111.255 o sea un rango de direcciones desde 172.16.160.0
hasta 172.16.191.255. Tenemos pues un rango efectivo desde 172.16.160.1 hasta 172.16.191.254.
• Dirección de subred 7:
172.16. 110 0 0000.0 a 172.16.110 1 1111.255 o sea un rango de direcciones desde 172.16.192.0
hasta 172.16.223.255. Tenemos pues un rango efectivo desde 172.16.192.1 hasta 172.16.223.254.
• Dirección de subred 8:
172.16. 111 0 0000.0 a 172.16.111 1 1111.255 o sea un rango de direcciones desde 172.16.224.0
hasta 172.16.255.255. Tenemos pues un rango efectivo desde 172.16.224.1 hasta 172.16.255.254.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del comando.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del comando.
1. Preguntas
6¿De qué byte hay que utilizar bits para definir diferentes subredes?
9¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 5 puntos para aprobar el capítulo.
3. Respuestas
Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicación. Cada una tiene
su propia función. Los diferentes protocolos que comprenden la suite TCP/IP están organizados en las
diferentes capas.
La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con direcciones desde 128
hasta 191. Finalmente, la clase C cuenta con direcciones desde 192 hasta 223. El valor del primer byte
permite determinar a qué clase pertenece la dirección.
En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango 10.0.0.0 a
10.255.255.255 está reservado a la clase A. Con la clase B es posible utilizar las direcciones entre
172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre 192.168.0.0 y 192.168.255.255 están
reservadas para la clase C.
Permite efectuar una división de la red física de forma lógica. Es también más fácil limitar el número de
equipos en la red o garantizar la seguridad de los datos.
6¿De qué byte hay que utilizar bits para definir diferentes subredes?
Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns.
8¿Cuáles son los comandos y opciones necesarios para ver la caché DNS?
Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /displaydns.
9¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
El comando ping envía por defecto cuatro tramas echo. Para enviar un número mayor de tramas,
debemos usar la opción -n seguida del número deseado.
2. Objetivos
Introducción
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en una arquitectura de red.
Su función es la distribución de la configuración IP, lo que permite a los equipos conectados comunicarse entre
ellos.
Una configuración IP incluye una dirección IP, una máscara de subred y una puerta de enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuración adecuada para cada
equipo. Muy útil para los usuarios itinerantes, a éstos se les asigna una configuración sin intervención del
administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP y NAP (Network Address
Protection) para distribuir las concesiones DHCP en función del estado de salud del equipo (antivirus actualizado,
cortafuegos activado…). Este rol puede instalarse en un servidor en modo Core para limitar la superficie de ataque.
Se provee una asignación a un adaptador de red por una duración limitada a varias horas, días o simplemente
ilimitada. Las tramas utilizadas son de tipo broadcast. Éstas no pueden atravesar los routers.
Para obtener una asignación DHCP, el cliente y el servidor realizan un intercambio de tramas:
La renovación se efectúa enviando una trama broadcast DHCPREQUEST; el servidor responde con un mensaje de
tipo DHCPACK.
Al utilizar tramas de tipo broadcast, éstas no pueden atravesar los routers. Esto implica la necesidad de un servidor
para cada subred IP. La necesidad de muchos servidores puede conllevar un coste excesivo para la empresa. Para
remediar este problema, es posible implementar un relay DHCP. Éste permite transferir las solicitudes de asignación
a un servidor ubicado en otra subred.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en la subred IP.
Transfiere a continuación las diferentes solicitudes que recibe al servidor DHCP presente en la red B.
Debemos sin embargo verificar el ancho de banda de la línea y los tiempos de respuesta
El ámbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Está limitado a una subred IP.
Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de direcciones entre 172.16.0.1 y
172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignación DHCP recibe una dirección
del ámbito configurado para la red 172.16.0.0. El resultado es idéntico si el servidor posee ámbitos para redes
diferentes.
A partir de Windows Server 2008, es posible añadir un ámbito para el protocolo IPv6. Al igual que para IPv4, las
direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.
Para ciertos equipos (impresoras de red, etc.), es necesario asignar una configuración IP. Ésta no debe
sufrir ninguna modificación, lo que obligaría a una reconfiguración en los puestos de trabajo.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una reserva en DHCP. Ésta
permite garantizar la recepción de la misma configuración IP para cada cliente.
• El nombre de la reserva: este campo es simplemente el nombre que daremos a la reserva. Es aconsejable
utilizar un nombre que indique el destinatario (nombre del equipo o de la impresora...).
• La dirección IP: dirección IP que se asignará al puesto cliente cada vez que lo solicite.
• La dirección MAC: dirección física del adaptador de red a la que se asigna la concesión.
Después de su creación, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente efectúa una nueva
solicitud (renovación o nueva concesión).
La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all, y aparece también
en el nodo Concesiones de direcciones (campo ID exclusivo).
Después de configurar un ámbito DHCP, es posible añadir opciones. Distribuidas al mismo tiempo que la concesión,
permiten completar la configuración proporcionada (dirección IP, máscara de subred). Al configurar el ámbito, es
posible configurar la dirección de la puerta de enlace (opción003 Enrutador) sí como la del servidor DNS (006
Servidores DNS).
• Opciones de servidor: se aplican al conjunto de clientes que efectúan una solicitud de una concesión al
servidor DHCP. Si la misma opción se encuentra configurada en el nodoOpciones de ámbito, se conserva
esta última.
La opción 003 Enrutador se encuentra configurada en las opciones de servidor, la dirección IP
introducida es 192.168.1.1.
La misma opción se encuentra en Opciones de ámbito. Adicionalmente, podemos ver la diferencia en los
dos iconos.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botón derecho en la reserva
deseada, el menú contextual nos proporciona un acceso a la ventana que permite efectuar la selección de la
configuración y sus opciones.
El icono es diferente, lo que permite de forma sencilla saber a qué nivel se aplica la opción.
La implementación de filtros permite crear listas verdes y listas de exclusión. Cada una tiene un uso bien
diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesión DHCP.
De esta forma, todos los adaptadores de red cuya dirección MAC se encuentre en la lista verde tienen la posibilidad
de recibir una concesión. Está representada en la consola por el nodoPermitir. La lista de exclusión permite anotar
los adaptadores de red que no recibirán respuesta del servidor. La lista de exclusión se puede configurar por medio
del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso contrario el
servidor no responderá a las solicitudes del cliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusión y viceversa. Esta característica permite
garantizar que solo los puestos autorizados recibirán una configuración IP. Sin embargo, al añadir un nuevo equipo,
es necesario crear un nuevo filtro. Esta operación puede ser muy sencilla de realizar pero se vuelve muy restrictiva
en caso de contar con un número muy elevado de equipos.
La base de datos almacena un número de registros ilimitado. El tamaño del archivo depende del número de equipos
presentes en la red. Por defecto, la base de datos se almacena en la carpeta Windows\System32\dhcp.
• dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange Server JET.
• dhcp.tmp: este archivo se emplea como archivo de intercambio durante el mantenimiento de los índices de
la base.
• j50.log: permite registrar las transacciones.
• j50.chk: archivo con puntos de control.
Para cada operación (nueva solicitud, renovación o liberación de la concesión), se actualiza la base de datos y se
crea una entrada en los registros.
La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad asíncrona) o
automática (copia de seguridad sincrónica).
Durante la operación de copia de seguridad (sincrónica o asíncrona) todos los elementos vinculados al servidor se
incluyen en la copia. Encontraremos los siguientes elementos:
Al ejecutar la operación de restauración (clic derecho en el servidor y luego Restaurar en el menú contextual), se
debe seleccionar la carpeta de la copia de seguridad.
A continuación, se detienen los servicios DHCP y se restaura la base de datos. Al igual que para la copia de
seguridad, la operación debe realizarse con permisos de administrador.
La operación de reconciliación permite resolver ciertos problemas de coherencia, principalmente tras restaurar la
base de datos. En efecto, las concesiones DHCP se registran en dos lugares:
Al realizar una operación de reconciliación, las entradas contenidas en la base de datos y el registro se comparan.
Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que no estén presentes en el
registro y viceversa).
Ejemplo
En el registro, la dirección IP 192.168.1.250 ha sido asignada ya que aparecía como disponible en la base de datos.
Al efectuar la reconciliación, la entrada se crea en la base de datos.
Seleccionando Reconciliar... en el menú contextual del ámbito (clic derecho en el ámbito deseado), se muestra
una ventana. Bastará con hacer clic en el botón Comprobar para iniciar la verificación.
Es posible iniciar esta operación en todos los ámbitos seleccionando Reconciliar todos los ámbitos... en el menú
contextual del nodo IPv4.
Como hemos visto anteriormente, el desplazamiento de la base de datos a otro volumen permite una reinstalación
del servidor sin perder la base de datos. En caso de migración del servidor DHCP, es posible utilizar dos soluciones.
Primera solución: se ha creado una cantidad de reservas han sido creadas y se han implementado, a su vez,
exclusiones de direcciones IP. No es concebible crear un nuevo ámbito en el nuevo servidor DHCP y luego efectuar
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho en el servidor y
luego Propiedades en el menú contextual).
Empleando el botón Examinar asociado al campo Ruta de acceso de la base de datos, seleccione otra carpeta.
Si, durante el reinicio del servicio, el ámbito no está presente, copie todos los archivos contenidos en
Windows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido para luego reiniciar al terminar la
copia.
Segunda solución: no se han creado reservas en el servidor, o se ha creado un número muy reducido. En este caso
se puede considerar la opción de crear un nuevo ámbito. Sin embargo, si esta solución se implementa
erróneamente, puede causar graves problemas. De hecho, si el nuevo servidor carece de información acerca de
las concesiones DHCP que se han distribuido antes de la creación, se corre el riesgo de distribuir direcciones ya
asignadas a equipos cliente. Es preciso, en este caso, solicitar al servidor DHCP que realice una prueba antes de
asignar una dirección.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuación, en la
pestaña Avanzadas, bastará con configurar el número de intentos de detección de conflictos que el servidor debe
efectuar.
La obtención de una concesión permite el acceso a la red. De esta forma, una persona malintencionada puede
fácilmente intentar corromper los datos o simplemente obtener datos confidenciales. Es necesario poner en práctica
un esquema de seguridad adecuado. En primer lugar es posible reducir el acceso físico activando en el conmutador
solamente los puertos utilizados. Es posible realizar una auditoría para ver un historial de accesos válidos. Sin
embargo, es preferible implantar una solución de autenticación robusta.
Esta última puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In User
Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo (conmutador, punto de
acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su vez, compatible con la norma 802.1x.
En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access-Enterprise) y
WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticación RADIUS. Por último, es posible
implantar un servidor NAP (Network Access Protection). Este último autoriza el acceso al servidor DHCP para los
clientes que cumplan con la política de seguridad (antivirus actualizado, cortafuegos activado…).
Las estadísticas proporcionan información sobre la actividad y utilización del servidor. Es muy fácil detectar un
posible problema. Un número elevado de acuses de recibo negativos indica una mala configuración del ámbito (dos
ámbitos que proporcionan las mismas direcciones IP).
A diferencia de las estadísticas del servidor, que proporcionan información sobre su estado, las estadísticas del
ámbito proporcionan solamente el número de direcciones presentes en el rango permitido y el número de
direcciones utilizadas y disponibles.
IPAM
Antes de desplegar la característica IPAM es necesario tener en cuenta el método de despliegue seleccionado. Se
nos presentan dos posibilidades de despliegue: el método distribuido, con un servidor IPAM en cada sitio de la
empresa, o el método centralizado, con un servidor para el conjunto de la empresa.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS y DHCP para servidores
que están dentro del alcance del área de descubrimiento especificada. Para poder ser gestionados por IPAM y
autorizar su acceso, se deben configurar los parámetros de seguridad y los puertos del servidor.
La comunicación entre el servidor IPAM y los servidores administrados se efectúa mediante WMI o RPC.
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active Directory. Entre los
servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar Windows Server 2008 o versiones
posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS -Windows Internet Name Service, proxy…)
no están contemplados por el servidor IPAM. Con Windows Server 2012 R2 aparecen nuevas características,
incluyendo la posibilidad de utilizar una base de datos SQL. Las anteriores versiones solo podían emplear la base
de datos interna de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo, el administrador
debe hacerlo manualmente.
• Herramientas de administración remota del servidor: instalación de las herramientas DHCP, DNS y el
cliente IPAM que permiten administrar de manera remota los servidores DHCP, DNS e IPAM.
• Base de datos interna de Windows: base de datos interna que puede ser instalada por los roles y
características internos.
• Servicio de activación de procesos Windows: elimina la dependencia del protocolo HTTP generalizando
el modelo de procesos IIS.
• Administración de directivas de grupo: instala la consola MMC que permite administrar las directivas de
grupo.
• .NET Framework: instalación de la característica .NET Framework 4.5.
Las tareas IPAM se inician regularmente en función de una periodicidad dada. Se encuentran en el administrador de
tareas (Microsoft/Windows/IPAM):
Talleres
Los talleres consisten en la instalación del servidor DHCP y la funcionalidad IPAM y su configuración.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y características.
Marque la casilla Instalación basada en características o en roles y luego haga clic enSiguiente.
En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar características en la ventana que se muestra.
Objetivo: una vez instalado, este taller tiene por objetivo realizar la configuración del servidor.
En la consola Administrador del servidor en AD1, haga clic en el icono con forma de bandera.
Despliegue ad1.formacion.local en el panel de navegación y luego realice la misma operación con IPv4.
Haga clic con el botón derecho en IPv4 y a continuación, en el menú contextual, haga clic enÁmbito nuevo....
En las ventanas Agregar exclusiones y retraso y Duración de la concesión, haga clic enSiguiente.
Marque la opción Configuraré estas opciones más tarde y haga clic en Siguiente.
Haga clic con el botón derecho en Opciones de Ámbito y a continuación, en el menú contextual,
seleccione Configurar opciones.
Marque la opción 003 Enrutador y el valor 192.168.1.254 en el campo Dirección IP. Haga clic en Agregar para
validar el valor.
Marque la opción 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic enAgregar para
validar el valor.
Verifique en los equipos CL8-01 y CL8-02 que la dirección está configurada para Obtener una dirección IP
automáticamente.
Despliegue Filtros y luego haga clic con el botón derecho en el nodo Permitir. En el menú contextual,
seleccione Habilitar. Realice la misma operación para Denegar.
Haga clic en Concesiones de direcciones y, a continuación, haga clic con el botón derecho en la concesión de CL8-
02. En el menú contextual seleccione Agregar a filtro y, a continuación,Denegar.
Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew enCL8-02.
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una restauración.
Despliegue el servidor ad1.formacion.local y luego haga clic con el botón derecho. Seleccione la opción Copia de
seguridad.
En la ventana Buscar carpeta, seleccione el Disco local (C:) y luego haga clic en Crear nueva carpeta.
Haga clic con el botón derecho en el ámbito presente en DHCP y, en el menú contextual, seleccione la
opción Eliminar.
Haga clic con el botón derecho en el servidor ad1.formacion.local y seleccione la opciónRestaurar... en el menú
contextual.
En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic en Aceptar.
4. Implementación de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una restauración.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y características.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta función.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic enSiguiente.
Haga clic en el botón Agregar características en la ventana que se muestra y luego en el botón Siguiente.
En el Administrador del servidor, haga clic en IPAM para mostrar la página inicial.
En la ventana Configurar base de datos, deje el valor por defecto y haga clic en Siguiente.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea de Overview.
Haga clic en el vínculo Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM.
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (a la izquierda del identificador de notificación).
Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Se utilizan los objetos de directiva de
grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name
System).
En la consola de configuración de IPAM, haga clic con el botón derecho en la línea AD1 y luego seleccione Editar
servidor.
En el servidor AD1, abra un símbolo del sistema DOS y luego introduzca el comando gpupdate /force. Esto
permite aplicar las directivas de grupo previamente creadas con el comando PowerShell.
En la consola IPAM, haga clic con el botón derecho en AD1 y luego, en el menú contextual, seleccione Actualizar
estado de acceso del servidor. El campo Estado de acceso IPAMmuestra ahora el estado Desbloqueado.
Pueden hacer falta varios minutos para la aplicación de la directiva. Si esto no funciona, actualice la consola.
Haga clic con el botón derecho en el rango de direcciones IP y luego, en el menú contextual, haga clic en Buscar y
asignar dirección IP disponible.
Haga clic en Configuraciones básicas en el menú izquierdo y luego en el campo Dirección MAC introduzca la
dirección MAC de CL8-02.
Introduzca CL8-02 en el campo Id. de cliente y luego marque Asociar MAC a identificador de cliente. La
dirección MAC se asocia.
Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitirá recuperar más fácilmente la
reserva.
En el equipo CL8-02, renueve la concesión DHCP introduciendo los comandos ipconfig /releasey
luego ipconfig/renew.
9¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
12¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que se me
presentan?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 12 puntos para aprobar el capítulo.
3. Respuestas
El servidor DHCP tiene por objeto la distribución de configuraciones IP a los equipos que la solicitan. Este
servicio permite evitar la distribución de la misma configuración a dos equipos diferentes.
La operación de renovación de una concesión se efectúa cuando la duración de la misma llega al 50% y,
más adelante, al alcanzar el 87,5%. Finalmente se realiza un último intento de renovación cuando se
alcanza el 100% de la concesión.
Cuando un cliente emite una trama para solicitar una configuración IP, ésta se envía a todos los equipos
de la red. Esta trama está basada en un tipo broadcast. Estas tramas no pueden atravesar los
enrutadores. Para evitar costes excesivos por la proliferación de servidores DHCP, debemos implantar
relay DHCP cuya función es la retransmisión de las diferentes solicitudes a los servidores DHCP.
Un ámbito posee varias propiedades, entre las que se encuentran una nombre y una descripción.
Encontramos, también, un conjunto de direcciones IP que pueden distribuirse, así como la máscara de
subred y las listas de exclusión. Estas opciones pueden, a su vez, configurarse.
Para implementar una reserva necesitamos introducir la dirección MAC y la dirección deseada.
Una opción DHCP permite complementar la configuración IP distribuida. De esta forma es posible
distribuir la dirección del servidor DNS (opción 044). Adicionalmente, la puerta de enlace configurada con
el asistente de creación del ámbito es la opción número 003 enrutador. Es posible distribuir otras
opciones (opción 069: servidor SMTP, opción 070: servidor POP3).
9¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
Es posible configurar varios tipos de opciones. Podemos configurar opciones de servidor, de clase o de
reserva.
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir direcciones a
los equipos incluidos en esta lista. La lista negra permite prohibir la concesión a los equipos incluidos.
12¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que se me
presentan?
Si existen reservas configuradas, es preferible hacer una copia de seguridad de la base de datos y
luego restaurarla en otro servidor. De esta forma, las concesiones ya distribuidas por el antiguo servidor
se conocen en el nuevo. En el caso que el número de reservas sea limitado, podemos recrear el
ámbito. En este último caso, debemos configurar el servidor DHCP para que verifique si la dirección se
encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha solicitado.
IPAM (IP Address Management) permite realizar el descubrimiento, supervisión y auditoría de una
dirección IP. También es posible supervisar y administrar los servidores DHCP y DNS.
1. Requisitos previos
2. Objetivos
Introducción
Para acceder a un puesto de trabajo en la red, es posible utilizar su dirección IP o su nombre. Para esto último, se
ha implantado un mecanismo de resolución de nombre en direcciones IP y viceversa.
Funcionamiento de DNS
El servicio DNS permite la resolución de nombres de host o de FQDN (Fully Qualified Domain Name) en direcciones
IP. Este servicio se incluye en todos los sistemas operativos servidor que permiten a los usuarios utilizar los
recursos de red (acceso a un servidor...).
De esta, forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la dirección IP del
servidor. Introduciendo la dirección URL, se efectúa una resolución DNS para poder traducir el nombre a su
dirección IP.
Se utiliza una base de datos para almacenar los registros. Ésta puede almacenarse en un archivo o en el directorio
Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder efectuar las operaciones de
resolución necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efectúa las consultas y actualizaciones en la
base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se envía una consulta al servidor DNS para resolver el nombre
File.Formacion.local. Si el servidor cuenta con un registro, se envía la dirección IP al cliente que ha realizado la
solicitud, en caso contrario se ponen en marcha otros mecanismos (peticiones recursivas o iterativas) que
comentaremos más adelante.
El uso de un nombre, a diferencia de una dirección IP, permite realizar la resolución incluso en caso de cambio de
dirección.
DNS está construido sobre un sistema jerárquico. Los servidores en la parte superior de la jerarquía, se llaman
servidores raíz, se representan por un punto. Permiten la redirección de las consultas a los servidores DNS de
primer nivel (org, net, fr, com...).
Situados debajo de los servidores raíz, los servidores con autoridad sobre los dominios de primer nivel permiten la
gestión de las zonas es, net... Cada uno de los dominios es gestionado por un organismo (ESNIC...).
Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su zona (el servidor
raíz contiene solamente el nombre de los servidores de primer nivel, y es el mismo para todos los servidores de
cada nivel).
Es posible para una empresa o particular añadir registros o subdominios para el nombre de dominio que ha
reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi tráfico de correo electrónico a mi
router, en concreto a la dirección de mi IP pública).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona FR puede resolver el
registro nibonnet, pero no podrá resolver el nombre de dominio shop.nibonnet.fr.
Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para intentar realizar la
resolución de los nombres que no se encuentran en la base de datos.
Con las consultas iterativas, el equipo cliente envía a su servidor DNS una consulta para resolver el nombre
www.nibonnet.fr. El servidor consulta al servidor raíz. Éste le redirige al servidor que tiene la autoridad sobre la
zona FR. La consulta a este último permite conocer la dirección IP del servidor DNS con autoridad sobre la zona
nibonnet. La consulta al servidor DNS con autoridad sobre la zona nibonnet permite resolver el nombre
www.nibonnet.fr. El servidor DNS interno responde a la consulta que recibió previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Envía la petición a su servidor
DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor externo para efectuar la
resolución. La petición se transmite al reenviador configurado por el administrador (el servidor DNS del ISP que
posee una caché mayor, por ejemplo). Si la respuesta no se encuentra en su caché, el servidor DNS del ISP efectúa
una consulta iterativa y luego transmite la respuesta al servidor que ha realizado la petición. Éste puede, ahora,
responder a su cliente.
Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona secundaria y una zona de
rutas internas.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene. Este tipo de
zona puede integrarse en Active Directory o simplemente estar contenida en un archivo de texto. En el caso de
que la zona no esté integrada en el directorio, es necesario configurar la transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este tipo de zona. Solo se
autoriza la lectura. Es imposible de integrar en Active Directory. Una transferencia de zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta última contiene solamente los registros
necesarios para la identificación del servidor DNS que cuenta con autoridad sobre la zona que se ha añadido.
Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion.local: el servidor SV1 tiene
para él autoridad sobre la zona Formacion.local y nibonnet.local.
Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolución para el dominio nibonnet.local, la solicitud
se redirige a los servidores DNS configurados en la zona de rutas internas. De esta forma se podrá efectuar la
resolución.
La integración de la zona en Active Directory requiere la instalación del rol DNS en un controlador de dominio. Este
tipo de zona aporta ciertas ventajas a la gestión del rol DNS:
Actualización multimaestro: a diferencia de los servidores que hospedan zonas primarias y secundarias, las
zonas integradas en Active Directory tienen la posibilidad de ser modificadas para el conjunto de los servidores. Si
se trata de un sitio remoto, es posible actualizar los registros sin necesidad de contactar al servidor remoto.
Replicación de la zona DNS: la replicación de zona integrada en Active Directory afecta solamente al atributo
modificado. Es posible emplear dos tipos de replicación diferentes. Se realiza una transferencia de zona con las
zonas estándar, mientras que las zonas integradas en Active Directory se replican con el controlador de dominio.
Actualización dinámica: la integración en Active Directory garantiza una mejor seguridad impidiendo una
modificación fraudulenta de los registros.
2. La zona GlobalNames
La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres NetBIOS). Estos
últimos pueden resolverse mediante un servidor DNS. En ciertos casos puede ser necesario implantar un servidor
WINS. Más antiguo que DNS, emplea NetBIOS sobre TCP/IP (NetBT). WINS y NetBT no tienen en cuenta IPv6.
Están llamados a desaparecer en unos años.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migración en el servidor
DNS para la resolución de nombres cortos. Para esto, se debe utilizar una zona llamada GlobalNames. Esta zona
contiene los registros estáticos que contienen los nombres.
Éstos se refieren a los equipos, siendo la configuración de IP estática y administrada por WINS (fundamentalmente
servidores, solo si los equipos cliente cuentan con direcciones estáticas). La resolución de nombres de registros
inscritos de forma dinámica no puede realizarse mediante esta funcionalidad.
El despliegue de una zona GlobalNames se efectúa en varias etapas. La primera es la creación de la zona. A
continuación, es preciso habilitar la actualización de la zona GlobalNames, para ello es preciso ejecutar el siguiente
comando:
El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para ello, elAsistente para
agregar roles y características presente en la consola Administrador del servidor debe ser utilizado.
Al promover un servidor miembro a controlador de dominio, es posible efectuar también la instalación del rol DNS.
La consola que se agrega tras la instalación en las herramientas de administración o la consola Administrador del
servidor permiten administrar este servicio.
Adicionalmente, se añade el comando DOS dnscmd.exe, el cual permite crear un script y automatizar la
configuración DNS.
2. La actualización dinámica
La actualización dinámica consiste en una actualización del servidor DNS en tiempo real. Esta característica es muy
importante. Permite, de hecho, tener un registro al día cuando el cliente cambia de dirección IP. La operación de
actualización se efectúa en varios momentos:
• Identificación del servidor de nombres y envío de la actualización. La zona hospedada en el servidor debe
ser de tipo primaria.
• El servidor responde a los clientes e informa si cuenta con la posibilidad de efectuar la operación.
• El cliente envía una primera actualización dinámica no segura. Si la zona no permite las actualizaciones
seguras, se rechaza la modificación.
• El cliente envía al servidor una actualización dinámica segura que tramita la solicitud.
3. Los diferentes registros
Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten resolver un nombre de
equipo, una dirección IP o simplemente a un equipo encontrar un controlador de dominio, un servidor de nombres
o un servidor de correo electrónico.
• Registros A y AAAA (Address Record): permiten hacer corresponder un nombre de equipo y una dirección
IPv4. El registro AAAA permite la resolución de un nombre de equipo en una dirección IPv6.
• CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El equipo es accesible con su
nombre al igual que con el alias.
• MX (Mail Exchange): define los servidores de correo para el dominio.
• NS (Name Server): define los servidores de nombres del dominio.
• SRV: permite definir un servidor específico para una aplicación, en particular para el equilibrio de carga.
• PTR (Pointer Record): asocia una dirección IP a un nombre, es lo contrario a un registro de tipo A. La
zona de búsqueda inversa contiene este tipo de registro.
1. El comando nslookup
Ejecutado sin argumentos, la consola DOS muestra el nombre y la dirección IP del servidor de nombres primario.
Posteriormente, es posible interrogar al servidor.
La opción set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opción devuelve información acerca del servidor de correo electrónico.
Este comando puede usarse para los registros de tipo público, que se encuentran en un servidor DNS público, o
para los registros de tipo privado, ubicados en una red local.
El comando dnslint es un comando externo, antes de poder ejecutarlo se debe descargar el archivo.
Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS (Domain Name System).
Se crea un informe en formato HTML para poder ver los resultados.
• Diagnósticos de problemas como errores de delegación. Debe emplearse la opción /d para efectuar esta
operación.
• Verificación de registros DNS definidos por un usuario en un servidor DNS. Es preciso utilizar la opción /ql.
• Verificación de registros usados para la replicación de Active Directory. Se debe usar la opción /ad.
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opción /ad, debe emplearse una
dirección IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuración IP del adaptador de red. Es posible realizar
otras acciones (renovación de la concesión...) empleando diferentes opciones.
Varias opciones pueden acompañar al comando, cada una con una función especifíca.
• All: muestra la configuración IP completa (servidores DNS, fecha de inicio de la concesión, fecha de
finalización de la concesión…).
• Release: libera la concesión DHCP del adaptador de red.
• Renew: renueva la concesión DHCP.
• Flushdns: elimina la caché DNS contenida en el puesto.
• ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.
• Displaydns: muestra el contenido de la caché DNS.
4. El comando dnscmd
La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts. Empleando esta herramienta
pueden automatizarse tareas de administración del servicio DNS. Este comando permite de igual manera la
instalación desatendida y la configuración de nuevos servidores.
Talleres
Los talleres permiten la instalación de un servidor DNS, la creación de un host y de un redirector, así como la
creación de una zona GlobalNames.
Objetivo: creación de un redirector con el objeto de redirigir las consultas del dominioFormintra.msft al
dominio SV2.
Haga clic con el botón derecho en el adaptador de red y luego seleccione la opción Propiedadesen el menú
contextual.
Inicie la consola Administrador del servidor y haga clic en el vínculo Agregar roles y características.
En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino, haga clic
en Siguiente dejando el valor predeterminado.
Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar características.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el enlacePromover este
servidor a controlador de dominio.
Haga clic con el botón derecho en el nodo Reenviadores condicionales y, a continuación, seleccione Nuevo
reenviador condicional... en el menú contextual.
Haga clic con el botón derecho en el servidor AD1 y seleccione Borrar caché en el menú contextual.
Objetivo: utilización de la zona GlobalNames con el fin de resolver con DNS los nombres cortos. El
nombre SQL debe estar asociado a AD1 y éste debe responder con su información cuando se utiliza el nombre
corto.
Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y seleccione Zona nueva.
La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado en la
ventana Tipo de zona.
Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).
Introduzca SQL en el campo Nombre de alias y luego introduzca ad1.formacion.local en el campo Nombre
de dominio completo.
En el equipo CL8-01, inicie un símbolo del sistema DOS y luego introduzca ping SQL.
1. Preguntas
6¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para aprobar el capítulo.
3. Respuestas
La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el
directorio Active Directory (solamente para las zonas integradas en AD).
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo tiene
autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz, dominio de primer nivel...),
cada uno tiene su función específica.
Cuando un servidor efectúa una consulta iterativa, envía una consulta a los servidores DNS de diferentes
niveles (raíz, dominio de primer nivel...). El objetivo del servidor es responder a la consulta que ha
recibido.
Se pueden crear tres tipos de zona en un servidor DNS. Podemos crear zonas primarias, secundarias o
zonas de rutas internas.
6¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un
controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de solo
lectura y no pueden ser integradas en AD.
Una zona de rutas internas es una copia de una zona, donde solo existen los registros que permiten la
identificación de los servidores DNS.
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona GlobalNames
permite crear registros estáticos del tipo CNAME para que el servidor pueda resolver los nombres.
La actualización dinámica permite garantizar que un equipo que ha cambiado de dirección IP (nueva
concesión...) pueda modificar el registro sin intervención del administrador. Integrando la zona en
Active Directory, se asegura la actualización dinámica.
Un registro SRV permite definir un servidor específico para una aplicación, especialmente para el
balanceo de carga. Un registro de tipo CNAME permite la creación de un alias en el nombre de otro
equipo. El equipo es accesible con su nombre y el alias.
El comando dnslint es un comando externo. Permite diagnosticar problemas tales como errores de
delegación y también crear registros como los definidos por el usuario o los necesarios para la replicación
Active Directory.
2. Objetivos
Introducción
La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Las diferentes aplicaciones tienen
una necesidad creciente de espacio de almacenamiento. Por lo tanto, es necesario gestionar el espacio de
almacenamiento cuidadosamente.
El sistema de almacenamiento
Durante la implantación de un servidor en un sistema de información, es necesario evaluar la solución de
almacenamiento (discos locales, cabina de almacenamiento...) que será desplegada. Puede ser necesaria la
tolerancia a fallos y el número de discos a emplear variará en función de la solución escogida.
Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una capacidad de
almacenamiento a los servidores o puestos de trabajo.
• EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnología se basa en las normas creadas en
1986. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las normas Advanced Technology
Attachment 2 (ATA-2) y Advanced Technology Attachment Packet Interface (ATAPI).
• SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexión de discos duros o
unidades ópticas a la placa base. La tecnología SATA tiene por objetivo reemplazar al estándar ATA.
Presentada en 2003, la norma lleva tres revisiones: SATA 1 con una velocidad de transmisión de 1,5 GB por
segundo, SATA 2 con una velocidad de transmisión de 3 GB por segundo, y finalmente SATA 3 con una
velocidad de 6 GB por segundo. Este tipo de disco tiene un menor coste que otras tecnologías aunque posee
igualmente un rendimiento menor. Es posible seleccionar este tipo de tecnología si se requiere gran cantidad
de espacio en disco sin muchas restricciones de rendimiento.
• SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la conexión física y
la transferencia de datos entre ordenadores y periféricos. Introducida en 1978, esta interfaz permite una
ejecución de transacciones a alta velocidad. Estandarizada en 1986, SCSI ha sido creada para la utilización
de cables de tipo paralelo; posteriormente, se han utilizado otros soportes con esta norma. Con el uso de
cables paralelos, las transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640
SCSI (o Ultra 5) permite velocidades de transferencia de 640 MB por segundo. Este tipo de disco ofrece un
rendimiento mayor que un disco SATA, sin embargo tiene un coste más elevado.
• SAS (Serial Attached SCSI): SAS se diseñó para paliar los problemas de fiabilidad o de transmisión que
podían traer otros formatos. Este tipo de discos utilizan dos técnicas; la transmisión en serie de datos y
SCSI. Cada disco utiliza un caudal de 3 GB/s para cada periférico, SCSI efectúa la división del ancho de
banda empleando 2,56 GB/s para el conjunto de los periféricos del controlador. A diferencia de la norma
SATA que solo puede procesar un comando a la vez, el controlador SAS puede enviar dos comandos
simultáneamente. Los discos SAS pueden encadenarse, a diferencia de los discos SATA que necesitan un
El espacio de almacenamiento presenta dos soluciones diferentes, DAS (Direct Attached Storage) yNAS (Network
Attached Storage). DAS consiste en la conexión directa al servidor de una solución de almacenamiento. Esta
solución incluye los discos internos de un servidor o un disco duro externo conectado mediante USB.
En caso de parada del servidor (mantenimiento, parada por fallo, reinicio...), los archivos y carpetas contenidos
no estarán accesibles. Los discos de tipo SATA, SAS o SSD pueden utilizarse con esta solución, presentando cada
uno sus ventajas e inconvenientes (velocidad, rendimiento...).
Ventajas de DAS
Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro equipo por medio de
un adaptador de bus host (HBA). No puede existir ningún equipo de red de tipo hub, repetidor, conmutador o
enrutador entre el DAS y el servidor. El mantenimiento y el despliegue de esta solución es muy sencillo, basta con
conectar el periférico y verificar que el sistema operativo lo reconoce. Tratándose de una solución más económica,
existen discos disponibles de diferentes velocidades y tamaños. Esto permite una mejor adaptación a las diferentes
soluciones que pueden implementarse. La administración y la configuración se realizan mediante la
consola Administración de discos.
Inconvenientes de DAS
Esta solución no permite centralizar los datos, que se encuentran repartidos entre varios servidores. Adicionalmente
a la administración, la copia de seguridad y el acceso a los diferentes recursos es también difícil de gestionar.
Además, el rendimiento del servidor (velocidad del procesador, memoria) impacta en el acceso al DAS.
NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solución no necesita la
conexión directa al servidor y proporciona acceso a un conjunto de servidores. Esta solución es frecuentemente un
"appliance" sin interfaz para teclado, monitor, etc. La configuración se efectúa a través de la red, sin embargo el
equipo debe contar con una configuración IP. En caso de implementar un recurso compartido de red, es preciso
utilizar el nombre de la NAS (o su dirección IP) en lugar del nombre de servidor. De esta forma, todos los usuarios
pueden acceder a los diferentes recursos compartidos del equipo ya que cuenta con una configuración IP. Una
mejor opción consiste en implementar una solución SAN (Storage Area Network). Sin embargo, esta última es muy
costosa y necesita una arquitectura un poco más pesada.
Ventajas de NAS
Como hemos visto, la solución NAS ofrece la ventaja de proporcionar acceso a varios clientes con un acceso directo
desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar cualquier problema de
rendimiento vinculado al servidor, estando el equipo reservado exclusivamente a la presentación de los archivos y
carpetas. Al estar los recursos almacenados en un punto central, la administración y la copia de seguridad son muy
sencillas de realizar. Adicionalmente, la solución es independiente de la versión del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto siguiente), dado que
se accede mediante un enlace Ethernet. Esta solución está basada en red. No es aconsejable almacenar aquí
archivos de aplicaciones tales como SQL Server o Microsoft Exchange.
Es más frecuente encontrar en las empresas espacios de almacenamiento de tipo SAN (Storage Area Network). A
diferencia de NAS, al que accedemos mediante la red, la SAN ofrece acceso directo a la cabina. De esta forma cada
servidor ve el espacio en disco de la cabina que le ha sido asignado como su propio disco. Para evitar el acceso a
los mismos recursos por parte de un servidor que ejecuta Windows y otro que ejecuta Linux, es preciso realizar
distintas operaciones para implementar la LUN (Logical Unit Number). Estas operaciones configuran diversos
números que permiten identificar el espacio de almacenamiento asignado a un servidor.
Las SAN pueden utilizar fibra óptica o iSCSI. Este último tipo de interfaz permite la transmisión de comandos SCSI
a través del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el número de discos, y por ende la cantidad total de
almacenamiento. Es posible agregar un disco o una cabina de forma muy sencilla en comparación con una solución
de almacenamiento de tipo DAS. La centralización del almacenamiento permite una mejor gestión y administración
de los recursos albergados. Los rendimientos en lectura y escritura son más elevados en este tipo de
almacenamiento, adicionalmente es posible configurar una redundancia a nivel de ciertos componentes
(alimentación, disco duro).
Inconvenientes de SAN
La tecnología RAID puede emplearse para proporcionar a una empresa una solución de alta disponibilidad o de alto
rendimiento. El concepto se basa en la utilización de varios discos en una única unidad lógica. Variará en función
del nivel RAID seleccionado, el número de discos utilizados o la posibilidad de tener un fallo de disco.
En la actualidad, esta tecnología está muy extendida en las empresas porque garantiza (en función del nivel RAID
seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los servidores (generalmente
contamos con una redundancia a nivel de alimentación, discos y tarjeta de red).
Funcionamiento de RAID
• Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se escribe en el disco
espejo. En caso de fallo de un disco, los datos están todavía disponibles mediante el segundo disco.
• Información de paridad: empleado en caso de fallo de un disco, la información de paridad permite
recuperar los datos que se encuentran en el disco fuera de servicio. La información de paridad se calcula
para cada dato escrito en el disco, esta operación la realiza el servidor o la controladora RAID. En caso de
error, la información de paridad se asocia a los datos que siguen disponibles en los otros discos para
recuperar la información faltante.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y configurándola mediante
diferentes herramientas. Esta configuración no está disponible para el sistema operativo. Éste solo puede efectuar
la creación de volúmenes. El RAID por software es un poco diferente porque la configuración RAID se realiza esta
vez en el sistema operativo. Se emplea la consola Administración de discos para la gestión de los diferentes
niveles de RAID.
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos. Los n discos presentes
en el RAID trabajan en paralelo, lo que permite una mejora en el acceso de lectura y de escritura. Esta configuración
posee, sin embargo, un inconveniente en el tamaño de los discos. En efecto, la capacidad del volumen se
corresponde con el tamaño del disco más pequeño multiplicado por el número de los discos que componen el
clúster.
Ejemplo
Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La capacidad
del volumen es de 2 TB (tamaño del disco más pequeño * número de discos = 1 TB * 2 o sea 2 TB).
Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se escriben datos cuando
el disco más pequeño está lleno. Es muy aconsejable utilizar discos de igual tamaño.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se pierde el conjunto de
los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los mismos datos. Hablamos
de espejo o "mirroring" en inglés. La capacidad del volumen es igual al menor de los discos presentes en el clúster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamaño. Este tipo de RAID ofrece una buena
protección de datos. En caso de fallo de uno de los discos, la controladora RAID lo desactiva sin que el usuario se
percate. Al reemplazarlo, la controladora reconstruye el espejo. Una vez terminada la operación, se garantizan
nuevamente la redundancia y la alta disponibilidad.
Durante la escritura de datos en el volumen, la operación se realiza en el conjunto de discos del clúster.
RAID 5
RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad. De esta forma los datos
no se escriben nunca de la misma forma en los diferentes discos. Esto permite tener en cada disco la información
de paridad y los datos. Esta solución garantiza la reconstrucción del RAID combinando los bits de paridad y los
datos. Sin embargo, en caso de pérdida de más de un disco los datos no podrán ser recuperados.
Esta solución RAID aporta un buen acceso de lectura, sin embargo el cálculo de la paridad implica tiempos de
escritura mucho más largos.
Desde 1980, los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot Record) en sus discos
duros. Este tipo de tabla de particiones posee ciertas características. Un disco no puede tener más de 4 particiones
Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato GPT permite
rebasar los límites impuestos por el formato MBR. Se soportan un máximo de 128 particiones por disco en GPT. El
tamaño de una partición alcanza los 8 zetabytes (1021), sin embargo es necesario que la BIOS soporte GPT para
poder realizar un arranque desde este tipo de partición.
Windows Server 2012 R2 permite el uso de dos discos diferentes (los discos básicos y los discosdinámicos).
Los discos básicos, utilizados en todas las versiones del sistema operativo Windows, utilizan tablas de particiones
de tipo MBR o GPT. Un disco básico contiene particiones principales o particiones extendidas. Estas últimas estarán
divididas en unidades lógicas. Al instalar un disco, la opción por defecto es el disco básico. Sin embargo, es posible
realizar la operación para configurar un disco dinámico, sin tener impacto sobre los datos presentes.
El paso de disco dinámico a disco básico sí causa, por su parte, la pérdida del conjunto de datos contenidos en el
disco.
Los discos dinámicos se implementaron por primera vez con Windows Server 2000. Estos no aportan rendimientos
superiores; adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos. La noción de volumen hizo
así su aparición con este tipo de discos. En efecto, ya no hablamos de particiones sino de volúmenes dinámicos.
Se trata de unidades de almacenamiento que se extienden sobre uno o más discos.
Al igual que para los discos básicos, los volúmenes pueden formatearse con el sistema de archivos deseado y se
les puede asignar una letra de unidad. Están disponibles varios tipos de volumen, losvolúmenes
simples utilizan un solo disco y poseen las mismas características que una partición principal. No existe ningún
límite (salvo el espacio en disco) en el número de volúmenes simples por disco, a diferencia de las
particiones principales que están limitadas a 4 por disco. El volumen distribuido se crea utilizando el espacio en
disco libre en varios discos. Este volumen puede extenderse a un máximo de 32 discos. No puede ponerse en
espejo, no se proporciona ninguna tolerancia a errores. Al igual que para el volumen distribuido, el volumen
seccionado emplea varios discos (como mínimo dos). Los datos se escriben de forma alternativa en los diferentes
discos que componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta solución no ofrece tolerancia
a errores. Los volúmenes reflejados, más conocidos como RAID 1, permiten implementar un volumen con
tolerancia a errores. Empleando dos discos, los datos escritos en uno se replican, automáticamente, en el otro.
La pérdida de un disco no impacta en ningún caso a la producción, sin embargo es preferible de cambiar
rápidamente el disco que ha fallado. Por último, encontramos el volumen RAID 5, que ofrece tolerancia a fallos,
pero al contrario que RAID 1 que emplea un sistema de espejo, éste opta por una solución basada en bit de paridad.
Con un mínimo de tres discos, el bit de paridad se reparte entre el conjunto de discos. Esta solución permite la
pérdida de un disco, el sistema se reconstruye asociando los datos y la información de paridad presente en los
discos en funcionamiento.
En Windows Server 2012 pueden usarse varios sistemas de archivos, se encuentran disponibles los sistemas FAT,
NTFS o ReFS (Resilient File System).
FAT
FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar con Windows Server
2012 R2. Al formatear un disco con un sistema de archivos FAT, se realiza una división en clúster (grupo de
sectores). La versión original de FAT no permitía tener particiones de más de 2 GB, a causa de la limitación en el
tamaño de la tabla de asignación de archivos. Desarrollado por Microsoft, este tipo de particiones admiten un
tamaño máximo de 2 TB. No se implementa seguridad alguna a nivel de archivos. No es recomendable utilizar este
tipo de sistema en las particiones internas de un servidor que ejecute Windows Server 2012 R2.
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema proporciona
características muy útiles que el sistema FAT no tiene. Implementa ACL (Access Control Lists) para los archivos y
carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones de acceso a los archivos, carpetas o
cualquier recurso compartido permite obtener una mejor seguridad en un sistema de información. Los sistemas
operativos que emplean este sistema cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es
posible implementar la compresión de archivos y cuotas por volumen. Se puede realizar conversión de una partición
FAT a una de tipo NTFS sin pérdida de datos empleando el comando convert. El tamaño de las particiones
formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamaño teórico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamaño de archivo, carpeta
o partición. Se han mejorado a su vez la corrección de errores y la verificación de datos. Es preciso utilizar este
tipo de sistema para rebasar los límites impuestos por NTFS. Se han mejorado la integridad de datos, así como la
protección contra la corrupción. Esta novedad hereda funcionalidades presentes en el sistema NTFS tales como la
encriptación BitLocker o la implementación de la seguridad mediante el despliegue de ACL. Esto permite garantizar
la compatibilidad hacia atrás con el sistema NTFS. Si el disco se formatea con este sistema, no se reconocerá si se
conecta a un sistema operativo anterior a Windows Server 2012. A diferencia de NTFS que permite la modificación
del tamaño de los clústers, con ReFS cada clúster tiene un tamaño de 64 KB. El sistema EFS (Encrypted File
System) no es compatible con ReFS.
En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para los clientes, la
reducción o ampliación de una partición debía efectuarse empleando software adicional. En adelante, la
consola Administración de discos permite realizar estas operaciones. Sin embargo, solo es posible redimensionar
las particiones NTFS. Las particiones formateadas en FAT no pueden ser ni extendidas ni reducidas, mientras que
los volúmenes ReFS solo pueden ser extendidos. No obstante, la opción que permite extender los datos solo puede
utilizarse si existe un espacio no asignado a continuación de la partición sobre la que se realiza la acción. En caso
de utilizar un volumen dinámico, es posible extender el volumen con espacio no asignado de otro disco (volumen
agregado). Recuerde que los volúmenes agregados no aplican la tolerancia a fallos; además, no es posible utilizar
este tipo de volumen para una partición del sistema.
Un clúster defectuoso puede causar la imposibilidad de reducir la partición; adicionalmente, aquellos archivos que
no se pueden mover (pagefile.sys...) no se desplazan. Esto obligará al administrador a eliminar o desplazar estos
archivos antes de realizar la operación. También es posible utilizar el cmdlet Resize-Partition.
Integrada en Windows Server 2012 R2, esta funcionalidad proporciona redundancia y un almacenamiento común
para los discos internos y externos. Estos últimos pueden ser de diferentes tamaños y utilizar diferentes interfaces.
También es posible crear discos duros virtuales con alta disponibilidad. La creación de estos discos duros virtuales
requiere contar con volúmenes accesibles desde el sistema operativo, agrupados en uno o más grupos de
almacenamiento.
A continuación, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho más flexibles,
ofrecen funcionalidades idénticas a las de un disco físico (resiliencia...).
En primer lugar, necesitamos tener un disco para crear un grupo de almacenamiento. Necesitamos dos discos para
implementar un disco virtual en espejo. Finalmente, los discos que pueden usar una interfaz iSCSI, SAS, SATA,
USB... deben estar vacíos y sin formatear.
Si varios discos componen un grupo de almacenamiento, es posible crear discos virtuales redundantes. La creación
se realiza empleando la consola Administrador del servidor o mediante comandos PowerShell. Antes que nada,
debemos tener en cuenta el número de discos.
• Un espacio simple permite obtener los mejores rendimientos mediante RAID 0. No se despliega ninguna
redundancia, en caso de fallo los datos se pierden.
• El Espejo permite la redundancia de datos garantizando la duplicación de los datos en varios discos. Esta
solución proporciona gran capacidad con una latencia de acceso relativamente baja. Adicionalmente se
garantiza una tolerancia a errores.
• Finalmente la Paridad es similar al RAID 5. Los datos, así como los bits de paridad, se reparten entre varios
discos. Esta última solución requiere tres discos físicos. Al igual que para el espejo, esta solución incluye
tolerancia a fallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
Get-VirtualDisk | Get-PhysicalDisk Enumera los discos físicos que se utilizan para un disco virtual.
Talleres
Los talleres permiten instalar y administrar un espacio de almacenamiento.
En la consola de la máquina virtual SV1, haga clic en el menú Archivo y luego enConfiguración.
Si la máquina virtual está arrancada, resulta imposible agregar un disco IDE. En este caso, puede agregar discos
duros de tipo SCSI.
En la ventana Configuración para SV1 en SRV-HYPERV, haga clic en Controladora SCSI y luego en Unidad
de disco duro.
Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente.
Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.
El nombre del archivo vhdx debe modificarse, los demás parámetros son idénticos.
Haga clic con el botón derecho en Disco 1 y luego seleccione la opción En línea.
El número de disco puede variar en función del número de lectores incluidos en la máquina virtual. Si la opción En
línea no aparece, significa que no se ha hecho clic en el lugar adecuado. La operación debe hacerse en el texto
encima del enlace Ayuda.
En la ventana Inicializar disco, seleccione la opción GPT (Tabla de particiones GUID) y haga clic
en Aceptar.
En el campo Tamaño del volumen simple en MB, introduzca 1000 y luego haga clic enSiguiente.
Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente.
La creación de un volumen con un sistema MBR y GPT es idéntica. Solo difieren el tamaño y el nombre de las
particiones.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic enReducir volumen.
La ventana indica el Tamaño total antes de la reducción, en MB al igual que el Espacio disponible para
la reducción, en MB; este último dato indica el tamaño máximo que es posible recuperar reduciendo la
partición.
En el campo Tamaño del espacio que desea reducir, en MB, introduzca 200.
Después de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic enExtender volumen.
En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego haga clic
en Siguiente.
Este campo indica al sistema operativo el valor que se agregará a la partición a extender.
La partición del sistema puede reducirse o extenderse mientras el sistema operativo está cargado.
Objetivo: crear los diferentes volúmenes que se pueden crear desde la consola Administración de discos y
luego simular un error desconectando un disco.
Haga clic con el botón derecho en Disco 2 y luego seleccione la opción En línea.
Marque la opción GPT (Tabla de particiones GUID) y luego haga clic en el botón Aceptar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú contextual, haga clic
en Nuevo volumen distribuido.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la cantidad de
espacio (MB).
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen introduzcaDistribuido en el
campo Etiqueta del volumen.
En el mensaje de advertencia, haga clic en Sí para que los discos se conviertan a discos dinámicos.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú contextual, haga clic
en Nuevo volumen seccionado.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la cantidad de
espacio (MB).
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen, introduzcaSeccionado en el
campo Etiqueta del volumen.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 300 en el campo Seleccione la cantidad de
espacio (MB).
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú contextual, haga clic
en Nuevo volumen RAID-5.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 500 en el campo Seleccione la cantidad de
espacio (MB).
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen, introduzca RAID5en el
campo Etiqueta del volumen.
En la consola Administración de discos, haga clic con el botón derecho en Disco 2 y luego, en el menú
contextual, haga clic en Sin conexión.
Haga clic con el botón derecho en Disco 2 y luego, en el menú contextual, seleccione En línea.
Empleando la consola Administración de discos, elimine los volúmenes creados en el taller anterior.
Inicie la consola Administrador del servidor y haga clic en el vínculo Servicios de archivos y
almacenamiento.
Seleccione la pestaña Grupos de almacenamiento y luego empleando el botón TAREAS, haga clic en Nuevo
grupo de almacenamiento.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y almacenamiento.
Por último, haga clic en Grupos de almacenamiento.
Seleccione el botón TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el grupo de almacenamiento.
En la ventana Especificar el tamaño del disco virtual, introduzca 2 en el campo para crear un disco virtual
de 2 GB.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.
Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.
1. Preguntas
4¿Qué es iSCSI?
2. Resultados
3. Respuestas
Se pueden instalar varios tipos de disco en un servidor: los discos SATA, SAS o SCSI.
Una DAS (Direct Attached Storage) es un disco conectado físicamente a un servidor a diferencia de una
NAS (Network Attached Storage) a la que se accede mediante una interfaz IP.
Una SAN posee varias ventajas en cuanto a la escalabilidad de la cantidad de discos, la centralización del
almacenamiento o los rendimientos de lectura y escritura. El nivel técnico necesario para el
mantenimiento diario de una SAN es un inconveniente.
4¿Qué es iSCSI?
iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo IP.
RAID 0 o stripping permite obtener mejores rendimientos, sin embargo no se garantiza la tolerancia a
fallos. En caso de fallo de un disco, los datos se pierden.
Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI.
Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su dirección IP.
Además del número de discos (dos para RAID 1 y tres para RAID 5), el funcionamiento de los dos RAID
es diferente. RAID 1 emplea un sistema de espejo: al escribir un bit en un disco, se escribe el mismo en
el segundo disco. RAID 5 emplea un sistema de paridad: cuando se escriben datos en el disco, se calcula
un bit de paridad y se escribe en el tercer disco. En caso de fallo de un disco, la parte de los datos
restante se asocia al bit de paridad para recuperar el valor original.
El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones, etc.). Para rebasar estos
límites, debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear más de
cuatro particiones principales…
ReFS permite mejorar el sistema NTFS. En efecto, el tamaño máximo de los archivos ha sido aumentado.
Este sistema aporta otras mejoras.
La consola Administrador del servidor permite el despliegue de un espacio de almacenamiento. Una vez
activada esta funcionalidad, los discos empleados no son visibles en la consola Administración de discos.
2. Objetivos
Introducción
Todas las empresas utilizan al menos un servidor de archivos y de impresión. La implementación de estos roles es
un aspecto esencial que debe abordarse con mucho cuidado.
Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición NTFS. Permiten autorizar o
denegar el acceso a una cuenta o grupo de usuarios o equipos.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se encuentran por
encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al crear una nueva carpeta o archivo.
Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control totalproporciona al
objeto afectado (usuario, equipo o grupo) permisos completos. Esto incluye la posibilidad de modificar los permisos
o convertirse en propietario. El permiso Modificar permite leer, escribir y eliminar un archivo o una carpeta.
Concede al objeto afectado permisos para ejecutar un archivo o efectuar su creación.
Atravesar El permiso Atravesar carpeta permite al objeto recorrer un árbol de carpetas. Esto permite, por
carpeta/ejecutar ejemplo, acceder a un archivo en una subcarpeta sin poder leer los archivo de la carpeta compartida
archivo o de otras subcarpetas. La autorización ejecutar archivo permite autorizar o denegar la ejecución
de programas.
Leer atributos Este permiso permite leer los atributos básicos de un archivo o carpeta (solo lectura, mostrar el
contenido...).
Crear Crear archivos se aplica exclusivamente a la carpeta y proporciona permisos para escribir archivos
archivos/escribir en el interior de esta carpeta. Escribir datos permite por su parte autorizar al usuario a sobrescribir
datos el contenido de un archivo.
Crear Crear carpetas proporciona la autorización para crear carpetas en el interior de la carpeta en la que
carpetas/anexar se sitúa el permiso de acceso. Anexar datos permite agregar datos al final del archivo, el usuario no
datos podrá modificar ni eliminar los datos existentes.
Escribir atributos Proporciona permisos para modificar los atributos básicos (mostrar el contenido, solo lectura).
Eliminar subcarpetas Permite eliminar subcarpetas y archivos. Este permiso solo se aplica a las carpetas.
y archivos
Eliminar Proporciona la posibilidad de eliminar las carpetas y archivos. El usuario deberá sin embargo poseer
el permiso Eliminar subcarpetas y archivos en la carpeta padre para poder efectuar las
eliminaciones.
Permisos de lectura Autoriza al objeto que recibe este permiso a leer los permisos asignados a un recurso.
Cambiar permisos La persona a la que se concede este permiso puede efectuar la modificación de los permisos.
Tomar posesión Autoriza al usuario a convertirse en propietario del recurso. Tendrá la posibilidad de modificar los
permisos.
Las carpetas compartidas ofrecen un acceso directo a un recurso almacenado en un servidor. Para limitar el acceso,
con el objetivo de garantizar la confidencialidad, es necesario implementar autorizaciones de seguridad. Éstas
pueden asignarse a una carpeta o un archivo.
El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se compone del nombre del
servidor que contiene el recurso seguido del nombre del recurso compartido (por ejemplo: \\dc1\Datos). Los
recursos compartidos administrativos se utilizan desde hace años. Permiten poner disponible un recurso en la red
sin que el usuario pueda verlo. Para acceder, es necesario introducir la ruta UNC. Los recursos como c$, admin$
se crean durante la instalación de un sistema operativo cliente o servidor. Para ocultar un recurso compartido y
transformarlo en un recurso administrativo, debemos añadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un archivo o
carpeta, este último recupera automáticamente los permisos de seguridad aplicados a su padre. En ciertas
ocasiones, se puede llegar al caso de que los permisos heredados contradicen a los permisos explícitos. Hablamos
entonces de conflictos. En este caso, los permisos declarados explícitamente por el administrador tienen prioridad
sobre los permisos heredados. Los últimos pueden ser deshabilitados bloqueando la herencia en la carpeta o el
archivo. Esta operación se efectúa en las opciones avanzadas del archivo o carpeta (clic derecho en la
carpeta, Propiedades - pestaña Seguridad - Opciones avanzadas).
Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory (usuario, grupo o equipo).
Puede ser complicado conocer esta autorización, se puede obtener un resultado diferente del deseado si hay
muchos grupos implicados y el usuario está incluido en diferentes grupos. Desde hace algunos años, existe una
herramienta que permite calcular esta autorización final disponible en los sistemas operativos de Microsoft. Muy
práctica en arquitecturas complejas, permite saber en pocos clics el permiso otorgado a un usuario o grupo.
La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta.
La enumeración basada en el acceso (ABE - Access-Based Enumeration) consiste en mostrar solamente las
carpetas contenidas en un recurso compartido a las que el usuario tiene permitido el acceso. De esta forma, se
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamiento y
luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaña Configuración, podemos activar la
opción.
Hoy en día, las tabletas y smartphones han democratizado a las empresas. Los empleados tienen la posibilidad de
emplear dispositivos personales para acceder a los recursos de la empresa. Ésta puede implantar una
política BYOD (Bring Your Own Device) teniendo en cuenta las consideraciones siguientes:
• Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso de pérdida del
dispositivo.
• Los datos deben estar almacenados localmente, esto elimina la posibilidad de realizar copias de seguridad.
• No debe almacenarse ningún dato en un proveedor cloud no validado por el departamento de sistemas.
La característica Work Folders permite resolver estos problemas. Permite acceder a los datos empresariales desde
cualquier ubicación donde se conecten los empleados. Adicionalmente, los administradores mantienen el control a
nivel de la gestión de los datos y las conexiones. Ellos tienen la posibilidad de implantar un cifrado de datos así
como los parámetros de seguridad en los dispositivos que emplean esta característica. No es necesario que los
clientes que acceden a los datos sean miembros del dominio.
Los Work Folders pueden publicarse en Internet utilizando la característica Web Application Proxy. Los usuarios
pueden, de este modo, sincronizar los datos conectados a Internet.
El servidor de archivos que alberga los datos y gestiona los procesos de sincronización debe ejecutar Windows
Server 2012 R2. Las particiones deberán estar formateadas en sistema NTFS.
• Un certificado de servidor en cada servidor de archivos que emplee los Work Folders.
• Un certificado de servidor en el servidor proxy.
El certificado debe ser emitido por una autoridad de certificación aprobada por el usuario.
• Implementar las reglas de tráfico y publicación para poder acceder a los servidores desde Internet.
• El uso de un nombre de dominio público y la posibilidad de crear los registros DNS adecuados.
• Los equipos deben ejecutar uno de los sistemas operativos Windows 8.1 o Windows RT 8.1. Adicionalmente,
el equipo o la tableta deberá poseer suficiente espacio en disco para albergar los datos del usuario. De
manera predeterminada, la ubicación empleada es%USERPROFILE%\Work Folders.
Es posible modificar la ubicación durante la instalación (empleo de una unidad USB, etc.).
No existe ninguna limitación configurada para el almacenamiento de los usuarios, sin embargo el tamaño máximo
de los archivos individuales es de 10 GB.
Utilización de instantáneas
Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de una forma sencilla.
Una instantánea es una imagen estática. Contiene los archivos y carpetas que están compartidos en el servidor.
Esta funcionalidad proporciona al usuario o al administrador la posibilidad de restaurar de forma sencilla un
documento eliminado por error, o que ha sufrido una modificación errónea.
La instantánea se almacena en la misma unidad que el archivo original, sin embargo es posible cambiar el lugar
de almacenamiento. El espacio asignado a la funcionalidad puede, también, configurarse permitiendo así evitar la
saturación de los discos. Una vez alcanzada la cuota, las instantáneas más antiguas se eliminan en beneficio de
las nuevas, creando así un ciclo que permite respetar el tamaño límite configurado. Observe sin embargo que las
instantáneas no pueden considerarse como una alternativa a las copias de seguridad. Los datos se perderán en
caso de un fallo de disco. Es casi imposible restaurar por este método ciertos archivos complejos de tipo base de
datos... Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la aplicación.
Por defecto, la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las 12:00. Evidentemente
es posible crear nuevos rangos, sin embargo es necesario asegurarse de tener el espacio en disco requerido.
Los administradores y usuarios pueden restaurar versiones anteriores de los archivos. El administrador puede
realizar la restauración directamente en el servidor que contiene el archivo mientras que el usuario lo hace desde
el recurso compartido. Esta acción se realiza directamente mediante el menú Propiedades del recurso compartido
(pestaña Versiones anteriores).
Accediendo a una instantánea podemos recuperar uno o varios archivos. La opción Abrir permite este acceso,
bastará con abrir el archivo deseado. La opción Restaurar efectúa la restauración completa del recurso compartido
en la carpeta original. En caso de querer restaurar en una ubicación diferente (para comparar los dos archivos, por
ejemplo), debemos usar la opción Copiarpara evitar sobrescribir el archivo original.
Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por medio de cinta o copia
de seguridad de disco. Esta operación es perfectamente posible pero demanda mucho tiempo: además, la copia
de seguridad se efectúa normalmente una vez al día, a diferencia de las instantáneas que se ejecutan dos veces.
Agregando las impresoras de red a un servidor de impresión los clientes tienen la posibilidad de enviar sus trabajos
de impresión a un servidor. Éste enviará a la impresora correspondiente el trabajo de impresión solicitado por el
usuario.
Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras (empleando una GPO)
a los equipos cliente desde un punto central. De esta forma simplificamos también el soporte técnico. La publicación
en Active Directory facilita la instalación y el despliegue de las impresoras a un usuario.
A partir de Windows Server 2000, los controladores utilizados para las impresoras son de versión 3. Con este tipo
de controlador, los fabricantes creaban un controlador para cada tipo de dispositivo. Si el parque informático está
compuesto por varios tipos de dispositivos diferentes, los administradores deberán gestionar diferentes
controladores. Además, ambos tipos de plataforma, 32 y 64 bits, utilizan controladores diferentes, lo que complica
una vez más la gestión de los controladores.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4). Con este nuevo modelo,
los fabricantes pueden crear una clase de controlador de impresora que gestiona los lenguajes de impresión para
una amplia gama de dispositivos. Los lenguajes incluyen XML Paper Specification (XPS), Printer Control
Language (PCL)… Este tipo de controladores se distribuyen mediante Windows Update o Windows Software
Update Services (WSUS).
Crear un grupo de impresoras consiste en la creación de una unidad lógica, la cual está conectada lógicamente a
varios dispositivos físicos. Los clientes verán el grupo de impresoras como un dispositivo físico. Al enviar un trabajo
de impresión, todas las impresoras disponibles y conectadas al grupo tienen la posibilidad de efectuar el trabajo.
Esta funcionalidad permite al usuario tener siempre una impresora disponible. En caso de problema con una de las
impresoras (atasco de papel...) los trabajos de impresión se envían a las otras impresoras integrantes del grupo.
La creación del grupo se efectúa en el servidor de impresión y consiste en asignar a esta impresora lógica varios
puertos de destino de los dispositivo físicos. En la mayoría de los casos, los enlaces apuntan a direcciones IP.
• Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos. En la mayoría
de los casos, un grupo está compuesto de dispositivos del mismo modelo.
• Por comodidad, es preferible que las impresoras estén en un entorno cercano al usuario. La impresión puede
realizarla cualquiera de las impresoras contenidas en el grupo. El usuario deberá hacer el recorrido por las
impresoras para recuperar su documento impreso, es imposible saber en cuál de los dispositivos se ha hecho
la impresión.
Antes de instalar las herramientas RSAT, se debe ejecutar un comando PowerShell desde el equipo Windows 8.1.
Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC.
El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o empleando un
archivo hosts). Se ha agregado un redirector condicional en AD1 para poder resolver el
nombre SV2.Formintra.msft.
La instalación de las herramientas RSAT en el equipo permite contar con la consola Administrador del servidor
en el equipo con Windows 8.1.
A continuación, es posible añadir el servidor haciendo clic con el botón derecho en Todos los servidores y
seleccionando, en el menú contextual, Agregar servidores.
Haciendo clic con el botón derecho en el servidor, el menú contextual proporciona acceso a la
opción Administrar como.
Se debe introducir un nombre de usuario y una contraseña en la ventana para obtener el acceso adecuado para
la consola. Marque la opción Recordar mis credenciales para no tener que volver a introducir las credenciales
cada vez.
Talleres
Los talleres permiten configurar la compartición de archivos y de instantáneas, al igual que la gestión de impresoras
mediante un grupo de impresoras. El cuarto taller muestra el uso de la consola de administración de un servicio
de impresión. Por último, esta parte práctica concluye con un taller sobre Work Folders y la gestión de un servidor
no unido al dominio.
Objetivo: desplegar una estructura de carpetas compartidas desde el explorador y la consola Administrador del
servidor.
Haga clic en el nodo Equipo y luego haga doble clic en la partición F:.
La partición puede tener una letra diferente. Si tiene solo una partición, tome la partición del sistema.
Repita la operación anterior para crear las carpetas Informática, Ventas y Contabilidad.
Haga clic con el botón derecho en el panel central y seleccione la opción Nuevo recurso compartido.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vacío del panel central.
Varios Perfiles para recursos compartidos se encuentran en la lista, seleccione Recurso compartido
SMB - Rápido y haga clic en Siguiente.
En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic en Siguiente.
Haga clic en el botón Personalizar permisos... en la ventana Especificar permisos para controlar el acceso.
Haga clic en Crear para iniciar la creación del recurso compartido y luego en Cerrar para detener el asistente.
Haga clic en el botón Deshabilitar herencia en la ventana Configuración de seguridad avanzada para
nbonnet.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos explícitos en este
objeto.
En la consola Administrador del servidor, haga clic con el botón derecho en el recurso compartido contabilidad y
seleccione la opción Propiedades en el menú contextual.
2. Implementar instantáneas
En SV1, abra el explorador de Windows, haga clic con el botón derecho en la partición que contiene los datos, y a
continuación, en el menú contextual, haga clic en Propiedades.
Haga clic en el botón Configuración para poder configurar los parámetros de las instantáneas.
Esta ventana permite configurar el momento en que se crean las instantáneas. De forma predeterminada la
operación se efectúa a las 7:00 y 12:00 de Lunes a Viernes.
El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la programación
seleccionada.
Empleando el Explorador de Windows, cree un archivo de texto llamado Compra2013 en la carpeta Data.
En las propiedades de la partición que contiene el archivo previamente creado (F en este ejemplo) haga clic en la
pestaña Instantáneas.
Verifique que las instantáneas están activadas y, a continuación, haga clic en Crear ahora.
Haga doble clic en el recurso compartido data y luego elimine el archivo presente.
Haga clic con el botón derecho en el recurso compartido data y luego en el menú contextual
seleccione Propiedades.
Esta opción permite copiar el contenido de la instantánea en un destino diferente del original.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic enSiguiente.
Haga clic con el botón derecho en el nodo Impresoras y luego, en el menú contextual haga clic en Agregar
impresora.
Marque el botón Agregar una impresora TCP/IP o de servicios web escribiendo la dirección IP o nombre
de host y luego haga clic en Siguiente.
Introduzca Impresora Sala 1 en el campo Nombre de impresora, introduzca IMPSal1 en el campo Recurso
compartido, y por último Sala 1 en el campo Ubicación.
Haga clic con el botón derecho en Impresora Sala 1 y a continuación, en el menú contextual,
seleccione Propiedades.
En la consola Administración de impresión, haga clic con el botón derecho en el nodo Puertosy luego haga clic
en Agregar puerto.
Introduzca 192.168.1.153 en el campo Nombre o dirección IP de impresora y luego haga clic en Siguiente.
Acceda al Panel de control y, a continuación, haga clic en el enlace Ver dispositivos e impresoras en Hardware
y sonido.
En AD1, inicie la consola Administración de impresión y luego haga clic en el nodo Filtros personalizados.
Los filtros personalizados permiten mostrar información acerca de las impresoras. Esto permite visualizar de forma
sencilla el conjunto de impresoras y controladores así como aquellas impresoras con trabajos (que tienen al menos
un trabajo en curso) o no preparadas (conjunto de impresoras que no tienen estado de preparadas). Puede crear
su propio filtro para obtener la información deseada.
Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione Agregar nuevo filtro de
impresora.
Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y luego haga clic
en Siguiente.
En la ventana Definir un filtro, seleccione Trabajos en cola en la lista desplegable Campo y luego no es
exactamente en la lista desplegable Condición.
Seleccione el nodo Impresoras y luego haga clic con el botón derecho en la impresoraImpresora Sala 1.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que permite la creación de
una nueva GPO.
Objetivo: implantar la característica Work Folders para permitir a un usuario del dominio acceder desde su equipo
personal a los recursos de la empresa.
A continuación, debemos crear la carpeta que contendrá los datos de los usuarios. En la partición C, vamos a crear
mediante la línea de comandos la carpeta Doc-Técnica, la cual será compartida con el nombre Documentación.
Los miembros del grupo Formadores tendrán acceso a la carpeta.
Podemos ver en la consola Administrador del servidor que la característica se ha instalado correctamente y se
ha configurado el recurso compartido.
Accediendo a las propiedades del recurso compartido (haciendo clic con el botón derecho en el
recurso - Propiedades), es posible verificar la configuración de la categoría General.
La categoría Acceso a sincronización permite definir las personas o grupos de personas autorizados para realizar
la sincronización.
Verifique que CL8-02 se encuentra en Workgroup (grupo de trabajo) y no es miembro del dominio. En caso
contrario, retire el equipo del dominio. De esta forma, tanto la gestión del equipo como la seguridad son locales al
equipo y no se gestionan desde un servidor (controlador de dominio).
Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestión de certificados digitales necesarios
para el uso del protocolo HTTPS.
Para configurar el uso del protocolo HTTP, introduzca el comando Reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t
REG_DWORD /d 1
En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En producción, será
necesario emplear el protocolo HTTPS así como un nombre público.
Marque la opción Acepto estas directivas es mi equipo y, a continuación, haga clic en el botónConfigurar
carpetas de trabajo.
El cifrado está correctamente activado, estando el nombre del archivo en color verde. Del lado del servidor la
carpeta del usuario se encuentra presente.
1. Preguntas
4La partición D contiene la carpeta Contabilidad que está compartida con el nombre Contabilidad. Los
miembros de los grupos G_Conta_W poseen permisos de escritura, el administrador tiene permisos de
control total. Se crean dos subcarpetas: IVA 2012 e IVA 2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de los archivos
presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al recurso?
6¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso compartido
donde el usuario carece de permisos de acceso?
9¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
14¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización configurada
con la característica Work Folders?
16Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 12 puntos para aprobar el capítulo.
3. Respuestas
No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS avanzados permiten ser
más preciso con los permisos asignados a un objeto Active Directory.
Cuando se asigna un permiso en la ACL de un recurso (carpeta...), los objetos presentes en ese
recurso (subcarpeta, archivo...) reciben igualmente este permiso. Hablamos de padre (el recurso) y de
hijo (todo objeto presente en el interior de este recurso).
Un permiso explícito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. A
diferencia de los permisos explícitos, los permisos heredados se asignan automáticamente al objeto hijo
transmitidos por el padre.
4La partición D contiene la carpeta Contabilidad que está compartida con el nombre Contabilidad. Los
miembros de los grupos G_Conta_W poseen permisos de escritura, el administrador tiene permisos de
control total. Se crean dos subcarpetas: IVA 2012 e IVA 2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de los archivos
presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que permitirá al usuario
acceder directamente a la carpeta deseada.
Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorización efectiva
diferente de la deseada por el administrador. Para garantizar que atribuimos al usuario los permisos
correctos, podemos utilizar la pestaña Acceso efectivo en la configuración de seguridad avanzada.
6¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso compartido
donde el usuario carece de permisos de acceso?
Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al usuario
solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario tiene acceso.
Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible modificar esta
programación.
Se realiza una rotación. De esta forma, cuando se alcanza el tamaño máximo, las instantáneas con fecha
más antigua se eliminan en beneficio de las más recientes.
Los usuarios pueden restaurar una instantánea por medio de la opción Versiones anteriores en las
propiedades del recurso compartido. El administrador tiene la opción de hacerlo desde el servidor.
Los grupos de impresión consisten en hacer funcionar varias impresoras sobre una impresora lógica. Esto
permite continuar imprimiendo en caso de que una impresora no esté disponible.
La característica Work Folders permite configurar una carpeta que más adelante podrá sincronizar un
usuario. El usuario podrá sincronizar dicha carpeta utilizando su conexión a la red empresarial o desde el
exterior. A su vez, cuenta con la posibilidad de utilizar su equipo o tableta personal.
14¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización configurada
con la característica Work Folders?
Es posible dotar de seguridad a estos datos de diferentes formas. La funcionalidad permite cifrar los
datos. Adicionalmente, es posible autorizar o no el acceso a la carpeta de sincronización. Por último, el
equipo conectado puede ser sometido a la política de bloqueo (con petición de contraseña), incluso si se
utiliza un equipo personal.
15Mencione algunos requisitos previos a respetar para poder activar la característica Work Folders.
16Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8.1 debemos
instalar las herramientas RSAT y verificar el funcionamiento de la resolución de nombres. A continuación,
debe ejecutarse un comando PowerShell. La última etapa consiste en añadir el servidor a la consola
Administrador del Servidor y proporcionar las credenciales.
1. Requisitos previos
2. Objetivos
Introducción
Una directiva de grupo permite implemantar parámetros de configuración para un conjunto de equipos o de
usuarios. La gestión se realiza de forma centralizada en el controlador de dominio.
Una GPO (Group Policy Object - Directiva de grupo) contiene uno o más parámetros para los usuarios y equipos.
Estas directivas se almacenan en SYSVOL y se gestionan mediante la consolaAdministración de directivas de
grupo (GPMC). La consola Editor de administración de directivas de grupo permite modificar los diferentes
parámetros. Las GPO están vinculadas a un contenedor de Active Directory (unidad organizativa, UO), para que
cada objeto contenido en la OU reciba la directiva de grupo. Es posible configurar varios miles de parámetros,
aunque cada nueva versión aporta un lote de parámetros. Observe, sin embargo, que muchos de ellos no son
compatibles con las versiones más antiguas. En este caso, el equipo que recibe la directiva de grupo ignora el
parámetro. Si un administrador vincula a un equipo con sistema operativo Windows XP una directiva de grupo que
contiene dichas preferencias, éstas no se aplican si las CSE (Client Side Extensions - Extensiones del lado cliente)
no están instaladas. Estos componentes se encuentran en el sistema operativo Microsoft y tienen la responsabilidad
de aplicar los parámetros recibidos por una directiva de grupo. Existen tantas extensiones del lado cliente como
tipos de parámetros.
• Configuración de software: contiene la información acerca del software que se puede implementar.
• Configuración de Windows: podemos configurar los parámetros de seguridad y scripts para los usuarios
y equipos.
• Plantillas administrativas: se incluyen miles de parámetros. Estos permiten configurar el registro para
personalizar el entorno del usuario (bloquear algunos menús, etc.). Pueden crearse y utilizarse plantillas
personalizadas, adicionalmente es posible descargar desde Internet paquetes de plantillas (por ejemplo, de
Office).
Con los sistemas operativos anteriores a Windows Vista, solo es posible configurar una directiva de grupo local.
Ésta se aplica al conjunto de usuarios que se conectan al equipo en local. Esta característica se ha mejorado con
Windows Vista y permite en adelante la creación de varias directivas de grupo locales. Es más fácil aplicar
configuraciones diferentes a varios usuarios.
El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.
El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los parámetros vinculados al
registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada contenedor se identifica
mediante un GUID. Este último identifica de forma unívoca al objeto en AD DS. El GPC define atributos tales como
el vínculo o el número de versión. Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes
controladores de dominio.
Durante la actualización de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del lado
cliente (CSE) recuperan los parámetros y los aplican si ha habido una modificación. El número de versión permite
identificar esta modificación. En efecto, el número almacenado en el archivo gtp.ini (SYSVOL\GUIDGPO\gpt.ini)
se incrementa con cada cambio o parámetro agregado.
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20 extensiones de directiva de
grupo. Esta funcionalidad permite la reducción de los scripts empleados por el inicio de sesión (conexión de unidad
de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones del lado cliente.
Las preferencias se aplican a un usuario o equipo, además dichos parámetros no son obligatorios, un usuario puede
modificar el parámetro configurado por las preferencias (desactivar el uso del proxy, etc.).
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al apagar el equipo o a
intervalos de entre 90 y 120 minutos. Por defecto los parámetros configurados en las preferencias no se eliminan
del equipo cuando la directiva ya no se aplica al equipo o al usuario. La eliminación puede operarse indicándolo
explícitamente.
La asignación de las preferencias a los puestos cliente (que permite implantar los criterios a respetar para aplicar
los parámetros, por ejemplo ser miembro de un grupo o ejecutar un sistema operativo en particular) se efectúa
de una forma más fina que usando una directiva de grupo. En efecto, podemos atribuir las preferencias a los
equipos en función del sistema operativo... Esta funcionalidad es configurable solamente en las directivas de
dominio.
Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva GPO, ésta puede
crearse a partir de un objeto GPO de inicio. De esta forma la nueva directiva recupera el conjunto de parámetros
configurados. Esta característica permite la misma configuración básica para el conjunto de las directivas de grupo.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos en las plantillas
administrativas de usuario y equipo.
• Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la empresa.
• Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible añadir parámetros
adicionales en la directiva. Esto permite responder por ejemplo a una problemática específica de una de las áreas.
La creación se efectúa desde la consola Administración de directivas de grupo (GPMC). Es posible crear la
carpeta de objetos GPO de inicio, que contiene un conjunto de directivas predefinidas.
Al igual que para con las demás directivas, una parte se almacena en el GPC, y la otra en el GPT.
Todos los administradores tienen la posibilidad de implementar delegaciones. Esta acción provee a los usuarios la
posibilidad de administrar las directivas de grupo. La gestión y creación de directivas, la creación de filtros WMI...
son también acciones que puede realizar un usuario al que se ha delegado la administración.
• Administradores de dominio
• Administradores de empresas
• CREATOR OWNER
• Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y aplicación de la directiva
de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio, empresa) tienen la
posibilidad de crear directivas de grupo. Para delegar este permiso en un usuario, debemos agregarlo en la
pestaña Delegación del contenedor Objetos de directiva de grupo.
Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorización de conectarse a un controlador de
dominio. La administración debe hacerse desde su equipo.
Después de la etapa de creación y de prueba (en un entorno de prueba), debemos efectuar la puesta en producción
y unir la directiva a su contenedor definitivo. Esta unión consiste en establecer un vínculo entre la GPO y uno o
más contenedores. Tres tipos de contenedores pueden recibir directivas de grupo:
• Sitios
• Dominios
• Unidades organizativas
La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores. Podemos limitar la
aplicación de la configuración a un número restringido de usuario o de equipos, reemplazando el grupo Usuarios
autentificados por un grupo de seguridad creado previamente.
Es posible, a continuación, deshabilitar el vínculo. Esta operación implica eliminar las modificaciones aportadas por
la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede impactar en la productividad.
Es imposible aplicar un vínculo directamente a un usuario, grupo o equipo. La unidad organizativa es el último
objeto al que se puede efectuar un vínculo.
Los parámetros contenidos en la Configuración del equipo se aplican al iniciar el equipo y luego siguiendo un
intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se ejecutan solamente al arrancar el equipo.
Los controladores de dominio ejecutan una actualización de su configuración cada 5 minutos.
A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican durante el inicio de sesión
del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los scripts se ejecutan durante el inicio de sesión.
En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante el primer inicio de
sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a que se utilizan los identificadores
puestos en caché para abrir la sesión más rápidamente. Los parámetros se vuelven a aplicar mientras el usuario
cuente con una sesión abierta. Es posible modificar el intervalo de configuración, para ello debemos modificar el
parámetro presente en el nodo Configuración del equipo - Directivas - Plantillas
administrativas - Sistema - Directiva de grupo.
Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción relativa a los
parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la consola GPMC.
Haciendo clic con el botón derecho en una unidad organizativa, un administrador tiene acceso a la
opción Actualización de directiva de grupo.
Las directivas de grupo se aplican al equipo en función de un orden estricto. La primera directiva que se aplica al
puesto es la directiva local (si existe una directiva presente). A continuación, se recuperan y aplican las GPO de
dominio, siendo la primera la GPO del sitio AD. Se recuperan entonces Default Domain Policy y cualquier otra
directiva ubicada en la raíz del dominio, por último se aplican las ubicadas en una OU o sub OU.
Durante la creación de un dominio Active Directory, se crean automáticamente dos directivas: laDefault Domain
Policy y la Default Domain Controllers Policy.
La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al conjunto de usuario y
equipos del dominio por herencia. Ella contiene la política de seguridad predeterminada (parámetros de contraseña,
bloqueo...). Si se deben aplicar otros parámetros al conjunto de objetos del dominio, es preferible crear una nueva
directiva y luego vincularla a la raíz del dominio.
La Default Domain Controllers Policy está vinculada a la unidad organizativa Domain Controllers, de modo
que solamente la reciben los controladores de dominio. Ésta permite configurar el sistema de auditoría y asignar
permisos suplementarios (abrir una sesión en un controlador de dominio...).
Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor y sub contenedores.
Ciertas directivas (instalación de software...) necesitan, sin embargo, que se implemente un filtro un poco más
estricto. Para ello, es preciso modificar el filtro de seguridad para contener solamente el grupo autorizado. Dicho
grupo contendrá solamente los usuarios o equipos afectados.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el conjunto de usuarios
y equipos autentificados por un controlador de dominio pueden leer y aplicar la GPO.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más granulares.
El almacén central permite a los diferentes controladores de dominio basarse en archivosADMX/ADML contenidos
en un punto central, llamado almacén central. Esta funcionalidad consiste en desplazar el conjunto de los archivos
utilizados por las plantillas administrativas a la carpetaSYSVOL.
Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave a modificar y el valor
a configurar para los estados Habilitado o Deshabilitado. Este tipo de archivo es neutro a nivel de idioma, puede
utilizarse en sistemas operativos en inglés, español…
El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarán. A diferencia del
formato ADM, la creación de un archivo personalizado es muy simple, sin embargo es necesario estar familiarizado
con el lenguaje XML.
Los diferentes parámetros se escriben en la base del registro a nivel de las clavesHKEY_LOCAL_MACHINE para
la configuración del equipo y HKEY_CURRENT_USER para la configuración del usuario.
Las plantillas administrativas permiten responder a la mayoría de las necesidades de personalización del entorno
de usuario. Cada parámetro contenido en el archivo ADMX está vinculado a un parámetro en el registro.
Existen dos tipos de parámetros en una directiva de grupo: los parámetros administrados y los no administrados. La
mayoría de los parámetros tienen estado administrado. Así, cuando la cuenta de usuario o equipo no siga formando
parte del ámbito de la directiva de grupo (desplazamiento a otra OU, por ejemplo), los parámetros contenidos en
Para invertir la configuración, hay que modificar la directiva para indicar lo opuesto a lo que está configurado.
Ciertos parámetros contenidos en las preferencias son parámetros no administrados.
Con los parámetros administrados, el usuario no tiene la posibilidad de modificar los parámetros. Los cambios se
realizan en zonas específicas del registro, donde solo los administradores tienen acceso:
• HKLM\Software\Policies
• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
• HKCU\Software\Policies
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
4. Utilización de los filtros en las plantillas administrativas
Las plantillas administrativas contienen multitud de parámetros configurables. Para facilitar la búsqueda, Microsoft
ha implementado a partir de Windows Server 2008 una funcionalidad de filtrado.
Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente aquellos configurados.
Esta funcionalidad se activa desde la consola Editor de administración de directivas de grupo. El menú
contextual de las plantillas administrativas (accesible haciendo clic con el botón derecho) permite acceder a la
opción Opciones de filtro.
La segunda zona permite filtrar por palabras clave mientras que la tercera y última filtra por aplicación o plataforma
(Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se muestran
los parámetros que contengan la palabra Ejecutar.
Talleres
Los talleres permiten poner en práctica las diferentes funcionalidades estudiadas (GPO de inicio, preferencias...).
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:).
Haga clic con el botón derecho en Defaut Domain Policy y seleccione Editar.
Objetivo: implementar una directiva de grupo para configurar un equipo cliente que ejecuta Windows 8.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego, en el menú contextual, haga clic
en Nuevo.
En el campo Nombre, introduzca Parámetros de puesto cliente y luego haga clic en Aceptar.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual, seleccione Vincular
una GPO existente.
Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opción Desactivar el filtro
SmartScreen está deshabilitada.
En el menú Herramientas, haga clic en Opciones Internet y luego en la pestaña Opciones avanzadas.
Objetivo: crear una GPO de inicio que podrá utilizarse como base para todas las demás directivas.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
En la carpeta GPO de inicio, haga clic en el botón Crear la carpeta de GPO de inicio para proceder a la creación
de la carpeta (panel derecho), a continuación haga clic con el botón derecho en el nodo GPO Inicio y, en el menú
contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Despliegue los nodos Configuración del equipo, Plantillas administrativas, Componentes de Windows y
luego Agregar características a Windows 8.1.
Haga clic con el botón derecho en el contenedor y, a continuación, haga clic en Nuevo.
Introduzca Prueba GPO inicio en el campo Nombre y luego, en la lista desplegable GPO de inicio de origen,
seleccione la directiva que acabamos de crear.
Empleando la pestaña Ámbito, podemos ver que el campo Ubicación está vacío. La directiva no está de momento
vinculada a ningún contenedor.
4. Implementación de preferencias
Objetivo: creación de una GPO que contenga las preferencias y su aplicación en el equipo.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo, a continuación, en el menú contextual, haga
clic en Nuevo.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Despliegue el nodo Configuración de usuario, Preferencias y luego haga clic en Configuración de Windows.
Haga doble clic en Carpetas y a continuación, en el panel central, haga clic con el botón derecho y
seleccione Nuevo y luego Carpeta.
En la lista desplegable Acción, seleccione Crear y luego introduzca C:\Conta2013 en Ruta de acceso.
Se despliega un filtro, la directiva se aplica solamente a los equipos que ejecutan Windows 8.1.
Haga clic en Configuración del Panel de control y luego haga clic con el botón derecho enConfiguración de
Internet.
En Página principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la modificación.
La línea en el campo se torna verde. Sin la validación de la tecla [F6], el parámetro no estará actualizado.
Marque la casilla Usar servidor proxy para la LAN y luego introduzca la dirección192.168.1.200 y el
puerto 8080 en los campos adecuados.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual, seleccione Vincular
un GPO existente.
En el equipo CL8-01, abra una sesión como Alumno1 y luego inicie un símbolo del sistema e introduzca el
comando gpupdate /force.
Inicie el Explorador de Windows y luego acceda a la partición C:. La carpeta se ha creado correctamente.
La página principal se ha configurado correctamente, así como la opción Eliminar el historial de exploración al
salir.
1. Preguntas
2¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
3¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración del
equipo?
6¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 11 puntos para aprobar el capítulo.
3. Respuestas
A diferencia de los sistemas operativos anteriores a Windows Vista que permitían la creación de una
única directiva de grupo local, ahora es posible crear varias directivas de grupo: para el equipo local,
para el grupo Administradores, para el grupo No Administradores o para un usuario específico.
2¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
Para administrar las diferentes directivas de grupo, debemos utilizar la consola Administración de
directivas de grupo (GPMC) y el Editor de administración de directivas de grupo (GPME).
3¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración del
equipo?
Los parámetros contenidos en la parte Configurción del usuario modifican la clave HKEY_Current_User,
mientras que se emplea la clave HKEY_Local_Machine para la Configuración el equipo.
La directiva de grupo está compuesta de dos partes, la GPC (Group Policy Container) y la GPT (Group
Policy Template). La GPC, que contiene el ID y el número de versión, se replica con Active Directory
Una CSE o extensión del lado cliente se encuentra en el sistema operativo. Tiene como objetivo
recuperar la configuración y aplicarla. Existen tantas extensiones del lado cliente como tipos de
parámetros.
6¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar, instalar las
extensiones adecuadas en el lado cliente.
Una GPO de inicio permite crear plantillas de configuración en las plantillas administrativas. Durante su
creación, los administradores tienen la posibilidad de crear la directiva basándose en la plantilla (los
parámetros se agregarán, también, a las nuevas directivas).
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva local, se
aplica la directiva de sitio AD. A continuación, se aplica la directiva de dominio y, por último, se
recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas.
Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operación se efectúa al
arrancar el equipo o tras iniciar sesión. La recuperación de la directiva solo se efectúa si ha habido una
modificación. La directiva que se atribuye a un controlador de dominio se recupera cada 5 minutos. Por
último, los parámetros de seguridad se aplican cada 16 horas incluso si no ha ocurrido ninguna
modificación.
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualización de las diferentes
directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener que ejecutar el
comando gpupdate /force en el equipo local.
Al promover un servidor, se crean dos directivas de grupo. Ubicada en la raíz del dominio, la directiva
Default Domain Plocy contiene los parámetros de seguridad. Se aplica al conjunto de objetos del
dominio. La directiva Default Domain Controllers Policy se vincula a la unidad organizativa Domain
Controllers. Permite por su parte configurar los registros de auditoría en los controladores de dominio o
proporcionar derechos suplementarios a los usuarios (abrir una sesión en un controlador de dominio,
etc.).
Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del grupo que está
configurado en el Filtrado de seguridad.
Una plantilla administrativa está compuesta por un archivo ADMX, que contiene las claves a modificar y a
su vez el nombre del valor DWORD... y el de su clave. El archivo ADML viene a completar al archivo
anterior. Por su parte contiene los textos de ayuda.
1. Requisitos previos
2. Objetivos
Introducción
La protección de la infraestructura de sistema y de red debe ser una prioridad para todos los administradores. Se
deben desplegar soluciones de seguridad para evitar la pérdida de datos.
Una plantilla de seguridad se presenta en forma de archivo. Éste permite la gestión y la configuración de los
parámetros de seguridad. Podemos configurar los parámetros en las siguientes secciones:
Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o más equipos. Se pueden
utilizar varias herramientas para efectuar esta operación.
• Secedit.exe: esta herramienta por línea de comandos permite configurar y analizar la seguridad. Se efectúa
una comparación entre la plantilla de seguridad y los parámetros en curso.
• El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes parámetros de
seguridad.
• Configuración y análisis de la seguridad tiene como objetivo analizar la configuración del servidor y
compararla con una plantilla. En caso de detectar diferencias, es posible volver a aplicar la plantilla.
Los derechos de usuario permiten asignar a un usuario permisos suplementarios. Éstos permiten realizar acciones
específicas normalmente prohibidas a una cuenta que no posee permisos de administrador.
• Los privilegios que permiten el acceso a un equipo o un recurso del dominio que proporcionan al
usuario permisos para realizar una acción (por ejemplo: permiso para guardar archivos y carpetas).
• Los derechos de inicio de sesión que atribuyen los permisos de inicio de sesión (por ejemplo: conexión
local para el usuario a un controlador de dominio).
No existen permisos configurados de forma predeterminada para las directivas de grupo. La configuración se puede
efectuar accediendo al nodo Asignación de derechos de usuario.
Este nodo está accesible desplegando los nodos Configuración del equipo - Directivas - Configuración de
Windows - Configuración de seguridad - Directivas locales.
Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos que ofrecen al usuario
que inicie sesión con ellas (modificar el Registro, cambiar la configuración de Windows...). Es preferible proteger
estas cuentas para garantizar un buen funcionamiento del sistema operativo y la integridad de los datos.
De esta forma, los usuarios estándar y los administradores se encuentran por defecto con los mismos derechos en
el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar permisos más elevados, la UAC efectúa
una elevación de privilegios. De esta forma, solo el proceso que solicita la elevación funciona con permisos de
administrador. Son posibles dos acciones:
Esta funcionalidad puede configurarse accediendo al nodo Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales - Opciones de seguridad.
Elevar sin preguntar: las operaciones que necesiten la elevación de privilegios se realizan sin solicitar al
usuario la autorización de elevar el privilegio.
Pedir credenciales en el escritorio seguro: se solicitan las credenciales de elevación de privilegios en el
escritorio seguro.
Pedir credenciales: se pide al usuario que introduzca un nombre de usuario y una contraseña cuando debe
realizarse la elevación de privilegios.
Rechazar solicitudes de elevación automáticamente: el usuario no tiene la posibilidad de hacer una
elevación de privilegios. Si el proceso tiene necesidad de privilegios superiores se muestra un mensaje de
acceso denegado.
Pedir credenciales en el escritorio seguro: al intentar elevar los privilegios, la introducción de las
credenciales se efectúa en el escritorio seguro.
La directiva de auditoría es un punto muy importante. Permite seguir la actividad de los usuarios (inicio de sesión,
acceso a un recurso...). Esta funcionalidad no está concebida para espiar a los usuarios sino para detectar un
intento de acceso no autorizado a un recurso. Estas auditorías se implementan en varios servidores y pueden
incluir accesos correctos o erróneos. Todos estos eventos se registran en el registro de eventos de seguridad.
Todos esto parámetros se pueden configurar accediendo al nodo Directiva de auditoría ubicado
enConfiguración del equipo - Directivas - Configuración de Windows - Configuración de seguridad -
Directivas locales - Directiva de auditoría.
• Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto de
Active Directory. Es preciso configurar la SACL (System Access Control List).
• Auditar el acceso a objetos: audita objetos no Active Directory. La SACL debe estar también configurada
con un grupo o cuenta de equipo, al igual que el acceso solicitado (escritura, lectura…).
• Auditar eventos de inicio de sesión: permite al sistema operativo auditar los intentos de conexión y
desconexión del equipo.
• Auditar eventos de inicio de sesión de cuenta: indica al sistema operativo que debe auditar cada
validación de credenciales de cuenta.
Podemos acceder a los parámetros avanzados del sistema de auditoría desde Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Configuración de directiva de
La activación de la auditoría sobre las acciones correctas puede generar un gran número de eventos en el
registro Seguridad.
Los grupos restringidos permiten gestionar los miembros de algunos grupos. Para agregar una lista de usuarios al
grupo de Administradores locales de cada equipo, debemos utilizar los grupos restringidos para automatizar esta
operación. Sin embargo, esta operación puede en algunos casos borrar completamente la lista de los miembros
del grupo. La lista se reemplaza por aquella configurada en el grupo restringido. Estos parámetros pueden utilizarse
para configurar las cuentas locales como hemos visto anteriormente, o simplemente los grupos del dominio.
Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Grupos restringidos.
Esta funcionalidad aparece con Windows XP y 2003 Server. Proporciona a los administradores las
herramientas necesarias para identificar y autorizar o prohibir la ejecución de la aplicación. Los parámetros se
despliegan empleando una directiva de grupo. Aún presente por razones de compatibilidad, la restricción de
software está compuesta por reglas y niveles de seguridad.
Las reglas
Niveles de seguridad
Cada regla obtendrá un nivel de seguridad. Este nivel indica el comportamiento del sistema operativo durante la
ejecución del software definido en la regla. Existen tres niveles de seguridad:
• No permitido: la aplicación identificada en la regla no funciona, incluso para las cuentas de administradores.
• Usuario básico: la aplicación se ejecuta con permisos de usuario exclusivamente.
• Ilimitado: los permisos de acceso del usuario permiten determinar la ejecución o no de la aplicación.
Las restricciones de software pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Directivas de restricción de
software.
La funcionalidad AppLocker apareció con Windows Server 2008 y permite, a su vez, implementar restricciones de
software.
2. Utilización de AppLocker
AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Al igual que para la
restricción de software, es posible controlar la ejecución de una aplicación. Esta funcionalidad permite a los
Podemos aplicar una regla para gestionar su ejecución o utilizar la auditoría para poder probar las reglas antes de
su implantación. Los administradores pueden prohibir, por ejemplo, aplicaciones cuyas licencias no hayan sido
compradas. Solo el software validado por el departamento de informática estará autorizado a ejecutarse.
• Ejecutables
• Scripts
• Windows Installer (msi)
Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en varios casos:
Esta funcionalidad puede configurarse en el nodo Configuración del equipo - Directivas -Configuración de
Windows - Configuración de seguridad - Directivas de control de aplicaciones.
Se utiliza el servicio Identidad de aplicación para el funcionamiento de AppLocker. Si el servicio está detenido,
no se aplican las reglas.
También es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del sistema operativo.
Éstas contienen una acción (Permitir o Denegar) que rige el funcionamiento de la aplicación:
• Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en cualquier entorno.
• Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios Program Files y
Windows.
Utilizando el editor de reglas podemos filtrar según el número de versión, el nombre de producto... Este tipo de
regla ofrece la posibilidad de crear un filtro muy personalizado.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el tráfico entrante y saliente.
La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall (creación
de reglas, activación/desactivación del Firewall...). Para acceder a la consola, en el menúInicio,
introduzca Firewall. En el menú de la derecha, haga clic en Firewall de Windows con seguridad avanzada.
Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con destino al servidor.
Todo el tráfico entrante está bloqueado de manera predeterminada, con la excepción del que está explícitamente
autorizado por el administrador. Las reglas de salida las inicia la máquina host y están destinadas a los otros
equipos de la red o al exterior. El tráfico saliente está autorizado por defecto. Sin embargo es posible bloquearlo
creando una regla.
Se puede configurar IPsec empleando reglas de seguridad de conexión. La operación se efectúa mediante la
consola Firewall de Windows con seguridad avanzada. Este tipo de reglas permiten securizar una
comunicación entre dos equipos.
También es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o exportar las reglas creadas.
La configuración puede realizarse de forma manual en cada equipo o de forma automática utilizando la directiva
El firewall emplea los perfiles de red en las diferentes reglas que contiene. También es posible indicar si el firewall
está activo o inactivo por perfil.
Resulta, ahora, mucho más sencillo dar un juego de configuración para cada red (privada, dominio o pública).
Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del Firewall.
Talleres
Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo.
Objetivo: efectuar la creación de una plantilla de seguridad y luego importarla en la directiva de grupo. A
continuación, se modificará la configuración y se llevará a cabo una auditoría mediante el
componente Configuración y análisis de la seguridad.
Haga clic en Archivo - Agregar o quitar complementos y luego haga clic en Plantillas de seguridad.
Despliegue el nodo Plantillas de seguridad y luego haga clic con el botón derecho en la carpeta.
En el campo Nombre de plantilla, introduzca Plantilla Admins. y luego haga clic en Aceptar.
Haga clic con el botón derecho en Plantilla Admins. y luego, en el menú contextual, haga clic enGuardar.
Inicie la consola Administración de directivas de grupo, despliegue los nodos Bosque yDominios.
Haga clic con el botón derecho en Defaut Domain Policy y luego haga clic en Editar.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuración y análisis de
seguridad.
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego seleccioneAbrir base de
datos en el menú contextual.
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego seleccioneAnalizar el equipo
ahora en el menú contextual.
En la ventana Realizar análisis, deje la ruta predeterminada y luego haga clic en Aceptar.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo: conflicto entre la plantilla
de seguridad y la GPO).
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego en el menú contextual
seleccione Configurar el equipo ahora.
En la ventana Configurar el sistema, deje la ruta predeterminada y luego haga clic enAceptar.
Objetivo: crear una directiva vinculada a la OU Servidor que permita configurar los grupos restringidos.
Haga clic con el botón derecho en Formacion.local y luego, en el menú contextual, seleccioneNuevo y Unidad
organizativa.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo.
La directiva aparece en la consola, haga clic con el botón derecho en ella y luego, en el menú contextual, haga clic
en Editar.
Haga clic con el botón derecho en Grupos restringidos y luego, en el menú contextual, haga clic en Agregar
grupo.
No utilice el botón Examinar que permite seleccionar un grupo del dominio, el objetivo es agregar usuarios al
grupo Administradores locales de cada equipo.
En la consola Administración de directivas de grupo, haga clic con el botón derecho en la unidad
organizativa Cliente.
Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Agregue la cuenta Admins. del dominio y luego asígnele el permiso Control total.
Haga clic en el vínculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la ventana que
se muestra.
En AD1, inicie la consola Administración de directivas de grupo y luego haga clic con el botón derecho
en Objetos de directiva de grupo.
Introduzca Auditoría carpeta Informática en el campo Nombre y luego haga clic en Aceptar.
Despliegue los nodos Configuración del equipo - Directivas - Configuración de Windows -Configuración de
seguridad - Directivas locales y Directiva de auditoría.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuración de directiva y seleccione
la casilla Error.
Abra un símbolo del sistema DOS y ejecute el comando gpupdate /force en AD1.
En AD1, inicie la consola Administración de equipos y despliegue los nodos Visor eventos y luego Registros
de Windows.
Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 4656).
Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Haga clic con el botón derecho en el grupo Admins. del dominio, y luego haga clic enPropiedades.
Si no ve la pestaña Seguridad, cierre el cuadro de diálogo. Haga clic en el menú Ver de la consola MMC y
verifique que la opción Opciones avanzadas está seleccionada.
Esto va a permitir auditar los intentos de modificación denegados en las propiedades del grupo, tales como la
modificación del propietario…
Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en la unidad
organizativa Domain Controllers.
Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione Editar.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventos de auditoría y Correcto.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el registroSeguridad.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operación, el objeto que ha
sido modificado al igual que la cuenta que ha sido agregada, eliminada…
Objetivo: crear las reglas de AppLocker que permitan bloquear la ejecución de un programa.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en el menú
contextual.
En la consola GPMC, haga clic con el botón derecho en AppLocker y luego, en el menú contextual, haga clic
en Editar.
Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas predeterminadas.
• Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.
• Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Windows.
• Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en cualquier carpeta.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la opciónCrear nueva regla.
Haga clic en el botón Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program Files\Windows
Mail.
El valor Y superior permite bloquear la versión 6.2.0.0 y posteriores. Es posible configurar los valores Y
superior, E inferior o Exactamente.
Creando una excepción podemos autorizar una de las versiones bloqueadas, versión 6.3.0.0 (u otra).
En el campo Nombre, introduzca Regla Bloquear Wab y luego haga clic en el botón Crear.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la opciónCrear nueva regla.
Podemos bloquear un ejecutable en particular o todos los ejecutables presentes en una carpeta.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear.
Haga clic con el botón derecho en AppLocker y luego haga clic en Propiedades.
En Reglas de ejecutables, marque la casilla Configurado y luego en la lista desplegable seleccione Solo
auditoría.
AppLocker puede tardar varios minutos después del inicio para funcionar.
Despliegue los nodos Configuración del equipo - Directivas - Configuración de Windows -Configuración de
seguridad - Directivas de control de aplicaciones - AppLocker.
Haga clic con el botón derecho en AppLocker y luego, en el menú contextual, seleccionePropiedades.
En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditoría por Aplicar reglas.
En CL8-02, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte /force.
Ejecute Internet Explorer, se muestra un mensaje informando que el programa está bloqueado.
Objetivo: desplegar las reglas del Firewall. Se emplean los perfiles de red para aplicar o no una regla.
En el menú, haga clic en Configuración avanzada para iniciar la consola Firewall de Windowsy, a continuación,
haga clic en Configuración avanzada.
En la ventana Tipo de regla, seleccione la opción Personalizada y luego haga clic en Siguiente.
La regla se debe aplicar a todos los programas, deje la opción por defecto en la ventanaPrograma y haga clic
en Siguiente.
En la lista desplegable Tipo de protocolo, seleccione el protocolo ICMPv4 y luego haga clic enSiguiente.
Seleccione la acción deseada, Bloquear la conexión, y valide su opción haciendo clic enSiguiente.
En la consola Firewall de Windows con seguridad avanzada, haga doble clic en la reglaBloquear Ping que
acabamos de crear.
El equipo es miembro del dominio, por lo que está configurado en el perfil Dominio. La reglaBloquear Ping no
está activa en el perfil, el firewall permite que las tramas salgan.
12Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué ocurre si
no existe una regla para esta trama?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para aprobar el capítulo.
3. Respuestas
Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los
parámetros de contraseña, bloqueo al igual que otros parámetros de seguridad. Esta plantilla puede
importarse, a continuación, en una directiva de grupo.
Este parámetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos
permisos pueden conceder la posibilidad de abrir una sesión en un controlador de dominio o el cambio de
la zona horaria…
La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando que
los procesos de usuario (Word, Internet Explorer…) se ejecutan con permisos de usuario. Si este último
es un administrador, el token de acceso se divide en dos (un token de usuario para el uso cotidiano y un
token de administrador para contar con permisos de administración). Cuando un proceso requiere
permisos de administrador, solicita una elevación de privilegios. Después de la aceptación del usuario, el
proceso que realiza la solicitud obtendrá permiso para utilizar el token de administrador. Sin embargo, si
el usuario es una cuenta estándar sin permisos de administración, se requiere que se indique la
información de inicio de sesión de un administrador para efectuar la elevación.
Para implantar un sistema de auditoría, debemos crear una directiva de auditoría y luego vincular la
unidad organizativa o la raíz del dominio. De acuerdo con los objetos, debemos configurar la SACL.
Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de conexión y
desconexión del equipo.
El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o un
grupo local. En el último caso, esto evita que el administrador tenga que configurar el conjunto de
equipos.
El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite aplicar las reglas
configuradas.
Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las reglas. Durante la
ejecución de la aplicación gestionada por AppLocker, un mensaje de aviso informa al administrador del
resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible bloqueo de los
diferentes programas.
La consola Firewall de Windows con seguridad avanzada permite la creación de las reglas entrantes,
salientes o las reglas de conexión.
12Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué ocurre si
no existe una regla para esta trama?
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la regla
predeterminada. Esta última autoriza el tráfico saliente y prohíbe todo el tráfico entrante, salvo que
exista una regla creada específicamente.
Supervisión de Servidores
Requisitos previos y objetivos
1. Requisitos previos
2. Objetivos
El Administrador de tareas
A partir de Windows Server 2012 existe una nueva consola Administrador de tareas. Ésta ofrece varias
funcionalidades (operar en un servicio, cerrar una aplicación...). Se ha optimizado para responder mejor a las
necesidades de los administradores. Se pueden realizar varias operaciones:
• Detener un proceso de forma rápida y eficaz: se ha modificado toda la interfaz de la consola. Los
diferentes procesos de usuario (procesos activos) se muestran ahora de una forma más clara.
Adicionalmente, se ha simplificado la operación que permite detener una aplicación. Haciendo clic en el
botón Finalizar tarea es posible detener un proceso.
Puede activarse una vista más detallada empleando el botón Más detalles.
• Diagnosticar un problema de rendimiento: la vista Más detalles permite acceder a las novedades del
Administrador de tareas. El usuario avanzado o el administrador tienen una mayor facilidad para
diagnosticar un problema de rendimiento. Se ha facilitado el acceso a los porcentajes de uso de los
diferentes recursos del equipo (memoria, procesador). Adicionalmente, se presenta un total del uso de los
diferentes recursos. Es interesante mirar en detalle cada proceso.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder a la carpeta
que contiene el ejecutable de un proceso sin tener que realizar una búsqueda, seleccione la opción Abrir ubicación
del archivo. A continuación, se muestra la carpeta que contiene el archivo.
En ciertos casos es necesario tener más información sobre un proceso. Para ello haga clic en Ir a detalles. Se
muestra la pestaña Detalles y el proceso en cuestión aparece seleccionado.
• La CPU: acompañados por la curva de porcentaje de utilización, diferentes campos dan información como
el porcentaje de utilización, el número de procesos.
• Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres gráficos.
Desmarque la opción para volver al formato inicial.
• Mostrar gráficos reemplaza los botones de colores por los gráficos en curso. SeleccioneOcultar
gráficos en el menú contextual para ocultar los gráficos.
La pestaña Usuarios facilita la gestión de los usuarios conectados. Siempre es posible desconectar la sesión de
usuario, pero ahora es incluso más sencillo. En efecto, desplegando la línea fila del usuario correspondiente es
posible ver, fácilmente, qué procesos le pertenecen. Adicionalmente, es posible conocer el uso de procesador y
memoria de cada uno.
El Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta herramienta
permite efectuar la supervisión del procesador y los procesos, la memoria RAM así como la actividad de los discos
y la red.
La consola se compone de varias pestañas. La pestaña Información general permite tener una vista de conjunto
de los componentes. Esto permite evitar cuellos de botella. Además de los
componentesMemoria, Red, CPU y Disco, se muestran gráficos actualizados en tiempo real.
La pestaña Disco presenta los procesos que realizan una operación en el disco, una vez más es posible filtrar un
proceso para aislarlo. Los gráficos muestran una curva que representa la actividad en el disco.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operación puede llevarse
a cabo mediante un gráfico e informes. El análisis se puede hacer en tiempo real, lo que obliga al administrador a
estar presente. Adicionalmente la lectura de datos no es óptima. La segunda forma consiste en ejecutar un
recopilador de datos, que permite registrar los datos recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un análisis muy granular y un resultado óptimo.
Procesador
El objeto de rendimiento Procesador permite obtener información sobre la actividad del procesador. Esta es una
de las piezas centrales de un servidor. Si existen varios procesadores, es posible analizar todos o uno en particular.
Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios para los programas. En
caso de fallo, los tiempos de lectura y escritura pueden verse afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona un dato específico.
Los contadores de rendimiento de Memoria permiten obtener información sobre la memoria física y virtual del
ordenador. La memoria física se refiere a la memoria RAM del equipo, mientras que la memoria virtual concierne
al espacio de memoria física y en disco.
La parte de red incluye un gran número de contadores. Podemos encontrar aquellos para los protocolos TCP, UDP
o ICMP. Los protocolos IPv4 e IPv6 poseen, también, sus contadores.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena un archivo con todos
los valores en la carpeta PerfLogs ubicada en la partición del sistema.
Sin embargo, el tamaño del archivo crecerá rápidamente, lo que puede impactar el servidor y los roles instalados
en él.
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.
• Información
• Advertencia
Adicionalmente, un evento contiene varios datos importantes tales como Evento (número de ID del
evento), origen y el mensaje.
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del registro...) así como
configurar su tamaño actual y máximo. El registro puede vaciarse empleando el botón Vaciar registro. Se puede
acceder a esta ventana haciendo clic con el botón derecho en el registro deseado y luego
seleccionando Propiedades en el menú contextual.
El registro puede rápidamente contener un importante número de eventos, lo que complica la búsqueda de un
evento concreto. A partir de Windows Server 2008, es posible crear una vista para configurar un filtro en uno o
varios registros.
La creación y uso de un filtro se efectúan empleando el nodo Vistas personalizadas. Se encuentra una carpeta
llamada Roles de servidor que contiene los filtros creados durante la instalación de un rol.
• La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para tener en cuenta
en el filtro.
• El Nivel del evento permite seleccionar el nivel de los eventos deseados.
• La lista desplegable Registros de eventos permite seleccionar los registros a los que se aplica el filtro.
Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en la lista desplegable uno
o más orígenes. También es posible filtrar en función de un nombre de equipo, de usuario, de palabras clave o
de número de ID.
2. Suscripción
Para facilitar la supervisión de los servidores de una red informática, podemos desplegar una suscripción. Ésta
permite recuperar los eventos de los servidores de destino. Los eventos recuperados deben responder a criterios
definidos por el administrador empleando una vista personalizada. Para esta funcionalidad se emplean dos
servicios:
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo recolectado para
Wecsvc.
Talleres
Los diferentes talleres presentados permiten el uso de las herramientas encargadas del análisis y mantenimiento
del servidor.
Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los contadores.
En la barra de herramientas, haga clic en el icono que representa un bolígrafo. Al seleccionar un contador, se resalta
la curva asociada.
Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este ejemplo está hecho sobre
un controlador de dominio, el contador para el diagnóstico de Active Directory se encuentra en el sistema. El
contenedor definido por el usuario permite crear de nuevos recopiladores de datos.
Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Introduzca Recopilador Procesos en el campo Nombre, marque el botón Crear manualmente (avanzado). A
continuación, haga clic en Siguiente.
En la ventana para seleccionar el tipo de datos, marque Contador de rendimiento y luego haga clic en Siguiente.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Iniciar.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de información.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o cambiar el
tipo de gráfico.
Objetivo: crear una vista personalizada para recuperar solamente los eventos deseados.
En la consola Administración de equipos, despliegue Visor de eventos y luego el nodo Vistas personalizadas.
Haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista personalizada.
Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles.
• En AD1, abra la interfaz Menú Inicio, haga clic en Herramientas administrativas y luego abra la
consola DHCP.
• Despliegue el nodo ad1.formacion.local y luego haga clic con el botón derecho en él.
• En el menú contextual seleccione Todas las tareas y luego Detener.
• Cree y ejecute el archivo Script-Evento.cmd.
Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los parámetros por defecto.
Los campos Registro, Origen e Id del evento aparecen en gris. Haga clic en Siguiente para validar la ventana Al
registrar un evento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje que no verá,
necesariamente, el administrador.
Haga clic en Examinar y luego seleccione el script, finalmente valide empleando el botónSiguiente.
Para efectuar las modificaciones, introduzca la letra y y luego pulse la tecla [Intro].
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
En SV1, abra la consola Administración de equipos y, a continuación, despliegue el nodo Visor de eventos.
Haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en Crear suscripción.
Los eventos que deben ser transferidos son los de nivel Información, Advertencia, Error y Crítico. El filtro no
es muy restrictivo, porque las máquinas se han instalado recientemente y no contienen una gran cantidad de
eventos de tipo advertencia o error.
Haga clic dos veces en Aceptar. Se adjunta una nueva línea a la consola.
Verifique que el sistema no envía ningún error. Si no se devuelve ningún error, espere, porque la transferencia
está en progreso.
Tras un tiempo más o menos largo, los eventos aparecen en el registro Eventos reenviados.
1. Preguntas
6¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 7 puntos para aprobar el capítulo.
3. Respuestas
El administrador de tareas permite gestionar los procesos y los distintos servicios. La consola permite a
su vez diagnosticar los problemas de rendimiento.
Se pueden utilizar tres tipos de gráficos en el Monitor de rendimiento: curvas, histograma de barras e
informes.
A diferencia del Monitor de rendimiento que efectúa un análisis en tiempo real, un conjunto de
recopiladores de datos permite realizar un análisis de los datos recuperados en cualquier momento.
Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta está ubicada
en la partición del sistema.
6¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
Los registros de eventos pueden contener varios cientos de eventos. Para no perderse entre todos los
eventos debemos aplicar un filtro al registro. Esta característica se ofrece mediante las vistas
personalizadas.
La suscripción utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc
(Windows Event Collector Service) en el destino.
Tabla de Objetivos
Objetivos
Configuración de los servicios de Administración de los Administración de los servidores de archivos - Talleres:
documentos e impresión servidores de archivos Creación de un grupo de impresión, Gestión del servidor
de impresión
Configuración de Hyper-V
Creación y configuración de redes Instalación de Hyper-V Instalación de Hyper-V - Talleres: Configuración de la red
virtuales virtual
Configuración de las direcciones Implementación del Instalación de Hyper-V - Creación de las máquinas
IPv4 e IPv6 protocolo IP virtuales - Máquina virtual AD1
Implementación del protocolo IP - Talleres:
Implementación del protocolo IPv6
Configuración de las directivas de Securización del Securización del servidor con GPO - Talleres: Creación de
seguridad servidor con GPO una plantilla de seguridad
Configuración de directivas de Securización del Securización del servidor con GPO - Talleres: Creación de
restricción de aplicaciones servidor con GPO reglas con AppLocker
Configuración de Windows Securización del Securización del servidor con GPO - Talleres:
Firewall servidor con GPO Configuración del Firewall de Windows