Windows Server 2008

1.- Introduccin

Fue conocido como Windows Server "Longhorn" hasta el 16 de mayo de 2007, cuando Bill Gates, presidente
de Microsoft, anunci su ttulo oficial (Windows Server 2008) durante su discurso de apertura en WinHEC.
Windows Aero est deshabilitado y usa la interfaz clsica de versiones anteriores de Windows.
La beta 1 fue lanzada el 27 de julio de 2005. La beta 2 fue anunciada y lanzada el 23 de mayo de 2006 en
WinHEC 2006, y la beta 3 fue lanzada al pblico el 25 de abril de 2007. Su lanzamiento fue el 27 de febrero
de 2008.

Microsoft Windows Server 2008 est diseado para ofrecer a las organizaciones la plataforma ms productiva
para virtualizacin de cargas de trabajo, creacin de aplicaciones eficaces y proteccin de redes. Ofrece una
plataforma segura y de fcil administracin, para el desarrollo y alojamiento confiable de aplicaciones y
servicios web. Del grupo de trabajo al centro de datos, Windows Server 2008 incluye nuevas funciones de
gran valor y eficacia y mejoras impactantes en el sistema operativo base.
Ediciones

La mayora de las ediciones de Windows Server 2008 estn disponibles en x86-64 (64 bits) y x86 (32 bits).
Windows Server 2008 para sistemas basados en Itanium soporta procesadores IA-64. La versin IA-64 se ha
optimizado para escenarios con altas cargas de trabajo como servidores de bases de datos y aplicaciones de
lnea de negocios (LOB). Por ende no est optimizado para su uso como servidor de archivos o servidor de
medios. Microsoft ha anunciado que Windows Server 2008 ser el ltimo sistema operativo para servidores
disponible en 32 bits.
2
Windows Server 2008 est disponible en las ediciones que figuran a continuacin,
similar a Windows Server 2003.
Windows Server 2008 Standard Edition (x86 y x86-64)
Windows Server 2008 Todas las Ediciones (Solo 64Bit)
Windows Server 2008 Enterprise Edition (x86 y x86-64)
Windows Server 2008 Datacenter Edition (x86 y x86-64)
Windows Server 2008 R2 Standard Edition (Solo 64Bit)
Windows Server 2008 R2 Todas las Ediciones (Solo 64Bit)
Windows Server 2008 R2 Enterprise Edition (Solo 64Bit)
Windows Server 2008 R2 Datacenter Edition (Solo 64Bit)
Windows HPC Server 2008 (reemplaza Windows Compute Cluster Server 2003)
Windows Web Server 2008 R2 (Solo 64Bit)
Windows Storage Server 2008 (x86 y x86-64)
Windows Small Business Server 2008 (Nombre clave "Cougar") (x86-64) para pequeas empresas
Windows Essential Business Server 2008 (Nombre clave "Centro") (x86-64) para empresas de
tamao medio
3

Windows Server 2008 para sistemas basados en Itanium
Windows Server 2008 R2 Foundation Server
Server Core est disponible en las ediciones Web, Standard, Enterprise y Datacenter, aunque no es posible
usarla en la edicin Itanium. Server Core es simplemente una opcin de instalacin alterna soportada y en s
no es una edicin propiamente dicha. Cada arquitectura dispone de un DVD de instalacin independiente.
Windows Server 2008 Standard Edition, y Windows Server 2008 R2 Standard Edition estaban disponibles
gratuitamente para estudiantes a travs del programa Microsoft DreamSpark.
Actualmente Windows Server 2008 Standard Edition (32 y 64bits), Windows Server 2008 Enterprise Edition
(32 y 64bits), Windows Server 2008 Datacenter Edition (32 y 64bits), Windows Server 2008 R2 Standard
Edition (con y sin SP1), Windows Server 2008 R2 Web Edition (con y sin SP1), Windows Server 2008 R2
Enterprise Edition (con y sin SP1), y Windows Server 2008 R2 Datacenter Edition (con y sin SP1), estn
disponible gratuitamente para estudiantes a travs del programa Microsoft DreamSpark, al renovarse la
licencia

Instalacin

La evaluacin del software de Windows Server 2008 no requiere la activacin del producto ni el ingreso de
una clave de producto. Toda edicin Windows Server 2008 puede instalarse sin la activacin y puede
evaluarse por un periodo inicial de 60 das.
Si necesita ms tiempo para evaluar Windows Server 2008, el periodo de evaluacin de 60 das puede
renovarse (o rearmarse) tres veces y extender el periodo original de evaluacin de 60 das hasta 180 das por
un total posible de tiempo de evaluacin de 240 das. Luego de este periodo, deber desinstalar el software o
actualizar a una versin con licencia total de Windows Server 2008.

Requisitos de hardware

Los requerimientos mnimos para Windows Server 2008 son los siguientes.

Mnimo Recomendado
Procesador
1 GHz (x86) o 1.4 GHz
(x64)
2 GHz o superior
Memoria
512 MB RAM (podra
limitarse el rendimiento y
algunas caractersticas)
2 GB RAM o ms
Mximo (sistemas de 32-bits): 4 GB RAM (edicin Standard) o 64 GB
RAM (ediciones Enterprise, Datacenter)
Mximo (sistemas de 64-bits): 32 GB RAM (edicin Standard) o 2 TB
RAM (ediciones Enterprise, Datacenter y para sistemas basados en
Itanium)
Tarjeta
grfica
Super VGA (800 x 600)
Super VGA (800 x 600) o resolucin mayor
50 GB o ms
Espacio
libre HDD
10 GB
Los equipos que dispongan de ms de 16 GB de memoria RAM
requerirn ms espacio en disco para archivos de paginacin y volcado
Unidades DVD-ROM DVD-ROM o mejor
Otros
dispositivos
Monitor Super VGA (800 x 600) o con resolucin mayor, teclado y ratn
Mayor proteccin

Windows Server 2008 proporciona una serie de tecnologas de seguridad nuevas y mejoradas, que aumentan
la proteccin del sistema operativo al ofrecer una base slida para la dirigir y construir un negocio. Incluye
innovaciones de seguridad, como PatchGuard, que reducen la exposicin a ataques del ncleo, lo que
produce un entorno de servidor ms seguro y estable.
El sistema de proteccin de servicios de Windows ayuda a mantener ms seguros los sistemas al evitar que
los servicios crticos de servidor estn en riesgo por actividades anormales en el sistema de archivos, registro,
o red. La seguridad tambin se mejora en el sistema operativo Windows Server 2008 por medio de proteccin
de acceso a redes (NAP), controlador de dominio de slo lectura (RODC), mejoras en la infraestructura de
clave pblica (PKI), un nuevo firewall de Windows bidireccional y compatibilidad con criptografa de ltima
generacin.

Mayor flexibilidad

Windows Server 2008 est diseado para permitir que los administradores modifiquen su infraestructura para
adaptarla a las necesidades cambiantes del negocio y continuar siendo giles. Se mejora la flexibilidad para
trabajadores mviles mediante tecnologas que permiten que los usuarios ejecuten programas desde
cualquier ubicacin remota, como RemoteApp y Terminal Services Gateway.
Windows Server 2008 acelera la implementacin y el mantenimiento de sistemas de TI con Servicios de
Implementacin de Windows (WDS) y ayuda en la consolidacin de servidores con Windows Server
virtualization (WSv). Para organizaciones que necesitan controladores de dominio en sucursales, Windows
Server 2008 ofrece una nueva opcin de configuracin: el Controlador de Dominio de slo lectura (RODC),
que evita exponer las cuentas si el Controlador de Dominio estuviera en riesgo.

Ms control

Windows Server 2008 proporciona a los profesionales de TI ms control sobre sus servidores e infraestructura
de red y les permite centrarse en las necesidades crticas del negocio. Capacidades mejoradas en secuencias
de comandos y automatizacin de tareas, como las que ofrece Windows PowerShell, ayudan a los
profesionales de TI a automatizar tareas comunes de TI. La instalacin y administracin basadas en funciones
con Administrador del Servidor facilita la tarea de administrar y proteger las mltiples funciones de servidor en
una empresa. La nueva consola del Administrador del servidor proporciona un nico origen para administrar la
configuracin del servidor y la informacin del sistema. El personal de TI puede instalar slo las funciones y
caractersticas que sean necesarias, y hay asistentes que automatizan muchas de las tareas de
implementacin de sistemas que tardan ms tiempo. Herramientas mejoradas de administracin del sistema,
como el Monitor de rendimiento y confiabilidad, ofrecen informacin sobre sistemas y alertan al personal de TI
sobre problemas potenciales antes de que sucedan.

2.- Virtualizacin

Introduccin
La oleada de Windows Server 2008 incluir Windows Server virtualization (WSv), una tecnologa eficaz de
virtualizacin con slidas caractersticas de administracin y seguridad. WSv permite que los negocios
aprovechen su familiaridad existente con la administracin de servidores Windows y la flexibilidad y beneficios
de seguridad de la virtualizacin sin necesidad de adquirir software de terceros. Microsoft y sus asociados
ofrecen el soporte tcnico completo para sistemas operativos invitados Windows y Linux compatibles. WSv es
una plataforma sumamente flexible, de alto rendimiento, rentable y con buen soporte.

Seguridad

La seguridad es un desafo fundamental en cada implementacin de servidor. Un servidor que aloja mltiples
mquinas virtuales (VM), tambin conocidos como servidores consolidados, est expuesto a los mismos
riesgos de seguridad que los servidores no consolidados, pero agrega el desafo de separacin de funciones
de administrador. WSv ayuda a aumentar la seguridad de servidores consolidados y resuelve el desafo de
separacin de funciones de administrador. WSv lo lleva a cabo por medio de las siguientes caractersticas:
Particiones fuertes: una mquina virtual (VM) funciona como un contenedor independiente de sistema
operativo, completamente aislado de otras mquinas virtuales que se ejecutan en el mismo servidor fsico.
Seguridad para el hardware: caractersticas como prevencin de ejecucin de datos (DEP) se encuentran
disponibles en el hardware ms reciente para servidores y ayudan a evitar la ejecucin de los virus y los
gusanos ms predominantes.
Windows Server virtualization: WSv ayuda a evitar la exposicin de las VM que contienen informacin
confidencial y protege tambin al sistema operativo host subyacente del riesgo que comporta un sistema
operativo invitado.
Caractersticas de seguridad de red: permite la traduccin de direcciones de red (NAT) automtica, firewall y
proteccin de acceso a redes (NAP).
Base de equipos de confianza mnima: ofrece una superficie de ataque reducida y una arquitectura de
virtualizacin simplificada y ligera. Esta caracterstica mejora la confiabilidad de equipos virtuales basados
en WSv.
La configuracin de un servidor consolidado que ofrezca los mejores entornos de seguridad y sistema
operativo para cada aplicacin puede presentar en ciertas ocasiones un desafo difcil. Debido a que WSv
crea un entorno donde es posible configurar cada carga de trabajo con un entorno de sistema operativo y
perfil de seguridad ideales, WSv resuelve el desafo de la separacin de funciones en un servidor consolidado.
WSv protege a las VM del sistema operativo host y viceversa, al permitir que las VM se ejecuten en una
cuenta de servicio slo con los privilegios necesarios. Con WSv, el sistema operativo host est protegido y
una VM en riesgo est limitada en el dao que podra causar a otras VM.

Fuerte aislamiento

La virtualizacin del servidor permite que coexistan cargas de trabajo con requisitos de recursos diferentes en
el mismo servidor host. WSv ofrece varias caractersticas que facilitan el uso eficaz de los recursos fsicos del
servidor host:
Asignacin flexible de memoria: se puede asignar una cantidad mxima y una cantidad mnima de memoria
RAM garantizada a las mquinas virtuales. Esta caracterstica permite que los administradores creen una
configuracin de WSv que equilibre las necesidades individuales del recurso de VM frente al rendimiento
total del servidor de WSv.
Adicin dinmica de hardware: WSv puede agregar dinmicamente procesadores lgicos, memoria,
adaptadores de red y almacenamiento a sistemas operativos invitados compatibles, mientras se encuentran
en ejecucin. Esta caracterstica facilita la asignacin granular de capacidades de procesamiento host de
WSv a los sistemas operativos invitados.
Configuracin flexible de red: WSv ofrece caractersticas avanzadas de red para las VM, que incluyen NAT,
firewall y asignacin de VLAN. Esta flexibilidad se puede usar para crear una configuracin de WSv ms
compatible con los requisitos de seguridad de red.
Las caractersticas de asignacin flexible de memoria, adicin dinmica de hardware y configuracin flexible
de red de WSv facilitan una respuesta ms eficaz a las cargas dinmicas de servidor. Por ejemplo, la carga de
trabajo de procesamiento de fin de perodo es con frecuencia varias veces mayor que el promedio en algunas
aplicaciones de lnea de negocios (LOB). WSv se puede usar con sistemas operativos invitados compatibles,
para asignar dinmicamente recursos adicionales de memoria y procesador a una VM en ejecucin y
administrar los requisitos ampliados de procesamiento sin reiniciar el sistema operativo invitado. Con
suficientes recursos de servidor host, este cambio no disminuye el rendimiento de las dems VM que se
ejecutan en el host.

Rendimiento
Los avances e integracin del diseo con hardware que reconoce la virtualizacin permite a WSv virtualizar
cargas de trabajo mucho ms exigentes que en versiones anteriores y con mayor flexibilidad en la asignacin
de recursos.
Los avances de rendimiento incluyen:
Arquitectura de virtualizacin ligera, de baja sobrecarga, basada en Hypervisor de 64 bits: hardware
preparado para virtualizacin (Intel VT y la tecnologa "Pacifica" de AMD) que permite rendimientos mayores
del sistema operativo invitado.
Compatibilidad con mltiples ncleos. A cada VM se le pueden asignar hasta ocho procesadores lgicos:
esto permite la virtualizacin de grandes cargas de trabajo, con clculo intensivo, que aprovechan los
beneficios del procesamiento en paralelo de ncleos de VM con procesadores mltiples.
Compatibilidad de sistemas operativos host e invitado de 64 bits: WSv se ejecuta en la versin de 64 bits de
Windows Server 2008 para ofrecer acceso a grandes grupos de memoria para las VM invitadas. Cargas de
trabajo intensivas en memoria que se veran muy afectadas por extensas paginaciones si se ejecutaran en
sistemas operativos de 32 bits, se pueden virtualizar correctamente en WSv. WSv tambin es compatible
con sistemas operativos invitados de 64 y 32 bits que se ejecutan en el mismo servidor consolidado.
Compatibilidad con Server Core. WSv puede usar una instalacin Server Core de Windows Server 2008
como sistema operativo host. La superficie mnima de instalacin y baja sobrecarga de Server Core dedica
la mayor cantidad posible de la capacidad de procesamiento de servidor host a las VM en ejecucin.
Acceso a disco de paso. Los sistemas operativos invitados se pueden configurar para tener acceso de
forma directa a almacenamiento local o de red de rea de almacenamiento (SAN) iSCSI, lo que ofrece
mayores rendimientos en aplicaciones con muchas operaciones de E/S, como SQL Server o Microsoft
Exchange.
Muchas cargas de trabajo de servidor demandan mucho procesamiento de servidor y subsistemas de E/S.
Cargas de trabajo como SQL Server y Microsoft Exchange normalmente consumen mucha memoria y lastran
el rendimiento de disco, y ha habido resistencia a virtualizar estas cargas de trabajo. El Hypervisor de 64 bits
en WSv junto con caractersticas como el acceso a disco de paso hace posible y con frecuencia deseable
virtualizar grandes cargas de trabajo.




Administracin simplificada

En las instalaciones de centros de datos y sucursales remotas donde es posible implementar WSv, se
necesitan fuertes capacidades de administracin y automatizacin para ser totalmente concientes del
potencial de reduccin de costos de la virtualizacin. WSv satisface este desafo con las siguientes
capacidades de administracin y automatizacin:
Administracin extensible: WSv est diseado para funcionar con Microsoft System Center Operations
Manager (SCOM) y System Center Virtual Machine Manager (SCVMM). Estas herramientas de
administracin ofrecen informes, automatizacin, implementacin y herramientas autoservicio de usuario
para WSv.
Interfaz MMC 3.0 para administracin de VM: la familiar interfaz Microsoft Management Console (MMC) se
usa para administrar la configuracin de WSv y los valores de VM, reduciendo sensiblemente el proceso de
aprendizaje de WSv.
Interfaz del instrumental de administracin de Windows (WMI): WSv incorpora un proveedor WMI que
ofrece acceso a informacin de sistema y administracin mediante secuencias de comandos.
Secuencias de comandos de PowerShell: la configuracin de host y VM de WSv se configura a travs de
Windows PowerShell.
Administracin de objetos de directivas de grupo (GPO): WSv usa las capacidades de administracin de
configuracin de GPO para administrar la virtualizacin del host WSv y la configuracin del equipo virtual.
Las capacidades de administracin de SCOM y SCVMM hacen posible administrar de forma eficaz tanto
instalaciones de centros de datos como instalaciones sumamente distribuidas de WSv. Por ejemplo, el acceso
de secuencias de comandos al proveedor WMI en WSv se puede usar para automatizar las ventanas de
mantenimiento en varios servidores host de WSv, al apagar VM invitadas, encenderlas en un servidor en
espera, realizar el mantenimiento en el servidor host y, a continuacin, restaurar las VM a su host original.
Con la adicin de System Center Virtual Machine Manager, esta operacin se puede automatizar y realizar sin
ningn tiempo de inactividad perceptible para muchas aplicaciones.

3.- Plataforma web y de aplicaciones

Introduccin
Windows Server 2008 ofrece una plataforma segura y de fcil administracin, para el desarrollo y alojamiento
confiable de aplicaciones y servicios web que se entregan del servidor o a travs de la Web. Las nuevas
caractersticas incluyen: administracin simplificada, seguridad aumentada y mejoras tanto de rendimiento
como de extensibilidad. Adems, las empresas disfrutarn de administracin ms eficiente de aplicaciones y
servicios, de implementacin y configuracin ms rpidas de aplicaciones y servicios web, y de una
plataforma web personalizada, simplificada y ms segura. Windows Server 2008 ofrece un mayor rendimiento
y escalabilidad de aplicaciones y servicios web, y permite a los administradores controlar y ver detalles sobre
cmo y cundo las aplicaciones y los servicios usan los recursos clave del sistema operativo.

Internet Information Services 7.0 (IIS7)

Windows Server 2008 proporciona una plataforma unificada para publicacin en la Web que integra Internet
Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation y Microsoft Windows
SharePoint Services. IIS7 constituye un gran avance sobre el servidor web IIS existente y desempea una
funcin central en la integracin de tecnologas de plataforma web. Los beneficios clave de IIS7 incluyen
caractersticas ms eficientes de administracin, mejor seguridad y costos reducidos de soporte tcnico. Estas
caractersticas ayudan a crear una plataforma unificada que proporciona un modelo nico y coherente de
desarrollo y administracin para soluciones web.

Herramientas de administracin mejoradas

La nueva utilidad de administracin en IIS7, Administrador de IIS, es una herramienta ms eficiente para la
administracin del servidor web. Ofrece compatibilidad para configuraciones de IIS y ASP.NET, datos de
usuario e informacin de diagnsticos en tiempo de ejecucin. La nueva interfaz de usuario permite tambin
que quienes alojan o administran sitios web deleguen el control administrativo a desarrolladores o propietarios
de contenido, reduciendo as el costo de propiedad y la carga administrativa para el administrador. La nueva
interfaz de Administrador de IIS admite administracin remota sobre HTTP y permite administracin local,
remota e incluso entre Internet de forma integrada, sin necesidad de abrir puertos DCOM u otros puertos
administrativos en el firewall.
Se incluye tambin una nueva herramienta de lnea de comandos, appcmd.exe, para la administracin de
servidores, sitios y aplicaciones web. La interfaz de lnea de comandos simplifica a los administradores las
tareas comunes de administracin de servidores web. Por ejemplo, appcmd.exe se podra usar para incluir
una lista de solicitudes de servidores web forzados a esperar ms de 500 milisegundos. Esta informacin se
puede usar para solucionar problemas de aplicaciones con bajo rendimiento. La salida de appcmd.exe se
puede canalizar en otros comandos para procesamiento adicional.



Instalacin modular basada en caractersticas

IIS7 est compuesto por ms de 40 mdulos de caractersticas independientes. Slo la mitad de los mdulos
se instala de forma predeterminada y los administradores pueden instalar o eliminar de forma selectiva
cualquier mdulo de caracterstica que elijan. Este enfoque modular permite a los administradores instalar
slo las opciones que necesitan y ahorrar tiempo, al limitar el nmero de caractersticas que se necesitan
administrar y actualizar. Adems, debido a que no se ejecuta ningn software innecesario, se reduce la
superficie de ataque del servidor web y se mejora la seguridad.

Modelo de configuracin distribuida

IIS7 presenta mejoras principales en la manera en que se almacenan sus datos de configuracin y se obtiene
acceso a los mismos. Uno de los objetivos clave del lanzamiento de IIS7 es habilitar la configuracin
distribuida de las configuraciones de IIS, que permite a los administradores especificar configuraciones de IIS
en archivos que se almacenan con el cdigo y contenido.
La configuracin distribuida permite a los administradores especificar opciones de configuracin para un sitio o
aplicacin web en el mismo directorio donde se almacena el cdigo o contenido. Al especificar en un nico
archivo las opciones de configuracin, la configuracin distribuida permite a los administradores delegar a
otros la administracin de caractersticas seleccionadas de sitios o aplicaciones web. Por ejemplo, un sitio
web se podra delegar para que el desarrollador de aplicaciones pueda configurar el documento
predeterminado que se usa en ese sitio web. Los administradores tambin pueden bloquear opciones de
configuracin especficas para que nadie pueda cambiarlas. Esta caracterstica se puede usar para garantizar
que una directiva de seguridad, que evita la ejecucin de secuencia de comandos, no sea sobrescrita por un
desarrollador de contenidos al que se le delega acceso administrativo al sitio web. Mediante el uso de
configuraciones distribuidas, las opciones de configuracin de un sitio o aplicacin especficos se pueden
copiar de un equipo a otro de la misma manera que una aplicacin pasa de desarrollo a prueba y, finalmente,
a produccin.
Diagnsticos y solucin de problemas& IIS7 hace ms sencilla que nunca la solucin de problemas del
servidor web con soporte de seguimiento y diagnsticos integrados y permite que el administrador mire de
cerca el servidor web y consulte informacin detallada de diagnstico, en tiempo real. Los diagnsticos y
solucin de problemas permiten que un desarrollador o administrador consulten las solicitudes que se
ejecutan en el servidor. IIS7 incluye tambin nuevos objetos de estado y control de tiempo de ejecucin, que
ofrecen informacin en tiempo real del estado de grupos de aplicaciones, procesos de trabajo, sitios, dominios
de aplicacin e incluso de solicitudes en ejecucin. Esta informacin se puede usar para determinar, por
ejemplo, qu solicitud de un proceso de trabajo consume el 100 por ciento de la CPU.
IIS7 incluye tambin eventos de seguimiento detallado a travs de la ruta de solicitud y respuesta, que permite
que desarrolladores y administradores puedan realizar un seguimiento de una solicitud a medida que sta
avanza a travs de la canalizacin de procesamiento de solicitudes de IIS, en cualquier cdigo de pgina
existente y regresa a la respuesta. Estos eventos de seguimiento detallado permiten que los desarrolladores
entiendan no slo la ruta de acceso de la solicitud y cualquier informacin de errores generada como
resultado de misma, sino tambin el tiempo transcurrido e informacin adicional de depuracin para asistirlos
en la resolucin de todo tipo de errores.
IIS7 simplifica tambin la solucin de problemas al proporcionar mensajes de error mucho ms detallados y
que se pueden procesar. El nuevo mdulo personalizado de errores en IIS7 permite devolver informacin de
errores detallada al explorador (de forma predeterminada a localhost) y configurable para enviar a otros
clientes remotos. En vez de consultar un breve cdigo de error, ahora los administradores pueden ver
informacin detallada sobre la solicitud, qu problemas potenciales pueden haber originado el error y tambin
sugerencias sobre cmo corregirlo.
Una de las caractersticas ms importantes que ayudan a mejorar el soporte de resolucin de problemas IIS7
es la API de estado y control de tiempo de ejecucin (RSCA), que est diseada para ofrecer informacin
detallada de tiempo de ejecucin del servidor desde el interior de IIS7. Con RSCA, es posible inspeccionar y
administrar varias entidades incluidos sitios, grupos de aplicaciones e incluso dominios de aplicaciones .NET.
RSCA tambin saca a relucir, en tiempo real, las solicitudes actualmente en ejecucin en el servidor. Los
datos de RSCA estn disponibles desde el proveedor WMI y la API administrada
(Microsoft.Web.Administration). La GUI de administracin de IIS 7 y la herramienta de lnea de comandos
tambin revelan estos datos a los administradores.

Arquitectura modular extensible

En versiones anteriores de IIS, toda la funcionalidad estaba integrada de forma predeterminada y no exista
una manera fcil de extender ni de reemplazar ninguna de esta funcionalidad. Como se indic anteriormente,
en IIS7, el ncleo est dividido en ms de 40 mdulos de caractersticas independientes. El ncleo tambin
incluye una nueva API Win32 para construir mdulos de servidor de ncleo. Los mdulos de servidor de
ncleo son reemplazos nuevos y ms eficaces de los filtros y las extensiones de la Interfaz de programacin
de Aplicacin de Servidor de Internet (ISAPI). Los filtros y las extensiones de ISAPI todava son admitidos en
IIS7. Debido a que todas las caractersticas de servidor de ncleo de IIS fueron desarrolladas mediante la
nueva API de Mdulo Win32 de IIS7 como mdulos de caractersticas discretas, los usuarios pueden agregar,
eliminar o incluso reemplazar mdulos de caractersticas de IIS.

Modelo flexible de extensibilidad para personalizacin

IIS7 permite a los desarrolladores extender IIS para ofrecer funcionalidad personalizada de formas nuevas y
ms eficaces. Esto se debe, en parte, a la coleccin de la interfaz totalmente nueva de programacin de
aplicaciones de servidor de ncleo (API) que permite desarrollar mdulos de caractersticas tanto en cdigo
nativo (C/C++) como en cdigo administrado (lenguajes como C# y Visual Basic 2005, que usa .NET
Framework). De hecho, gran parte del conjunto de caractersticas de IIS7 para procesamiento de solicitud y
aplicaciones ha sido implementado mediante estas mismas API. IIS7 tambin permite la extensibilidad de la
configuracin, secuencias de comandos, registro de eventos y conjuntos de caractersticas de herramientas
de administracin, ofreciendo a los desarrolladores de software una plataforma completa de servidor en la
cual construir las extensiones de servidor web.

Verdadera implementacin de aplicaciones con xcopy

IIS7 permite almacenar las opciones de configuracin en archivos web.config, lo que facilita el uso de xcopy
para copiar aplicaciones entre mltiples servidores web, y evitar as rplicas costosas y propensas a errores,
sincronizacin manual y tareas adicionales de configuracin.

4.- Administracin de servidor

Introduccin
Desde la simplificacin de la configuracin de servidores nuevos hasta la automatizacin de tareas repetitivas
de administracin, simplificar las complejidades diarias de la administracin del servidor es un tema clave en
muchas de las mejoras incluidas en Windows Server 2008. Herramientas de administracin centralizadas,
interfaces intuitivas y caractersticas de automatizacin permiten a los Profesionales de TI administrar ms
fcilmente los servidores de red, servicios, e impresoras, en la red central y en ubicaciones remotas como las
sucursales.

Tareas de configuracin inicial

Con Windows Server 2008, el proceso simplificado de instalacin no se interrumpe con tareas de
configuracin que requieren intervencin del usuario. Esas tareas y cuadros de dilogo ahora ocurren
despus que la instalacin principal se completa, liberando al administrador de tener que sentarse e
interactuar con la secuencia de instalacin.
La ventana Tareas de configuracin inicial es una nueva caracterstica en Windows Server 2008 que ayuda al
administrador a suministrar e instalar un nuevo servidor. Incluye tareas como la configuracin la contrasea de
Administrador, el cambio de nombre de la cuenta Administrador para mejorar la seguridad del servidor, unir el
servidor a un dominio existente y habilitacin de Windows Update y Firewall de Windows.

Consola del Administrador de servidor

Windows Server 2008 facilita la tarea de administrar y proteger mltiples funciones de servidor en una
organizacin con la nueva consola del Administrador de servidor. La Consola del Administrador de servidor
ofrece una consola nica y unificada para administrar la configuracin del servidor y la informacin de sistema,
muestra el estado del servidor, identifica problemas con la configuracin de funciones de servidor y administra
todas las funciones instaladas en el servidor.
El panel de jerarqua de la consola del Administrador de servidor contiene nodos ampliables que los
administradores pueden usar para ir directamente a consolas de administracin de funciones especficas,
herramientas de resolucin de problemas o encontrar opciones de copia de seguridad y recuperacin ante
desastres.
El Administrador del servidor consolida varias interfaces y herramientas de administracin en una consola de
administracin unificada, lo que permite a los administradores completar tareas comunes de administracin
sin tener que navegar entre mltiples interfaces, herramientas y cuadros de dilogo.

Asistentes de administrador de servidor

Los asistentes de administrador de servidor simplifican tareas de implementacin de servidor en una empresa,
disminuyendo el tiempo de implementacin, comparados con versiones anteriores de Windows Server. La
mayora de las tareas comunes de configuracin, como la configuracin o eliminacin de funciones, la
definicin de mltiples funciones y los servicios de funcin se pueden completar ahora en una nica sesin
que usa Asistentes de administrador de servidor.
Windows Server 2008 realiza comprobaciones de dependencia a medida que el usuario avanza por los
asistentes de Administrador del Servidor y garantiza que estn instalados todos los requisitos previos de
servicios de funcin necesarios para una funcin seleccionada, y que no se elimine ninguno que an puedan
necesitar las funciones o los servicios de funcin existentes.

Windows PowerShell

El shell de lnea de comandos de Microsoft Windows PowerShell y el lenguaje de secuencia de comandos
ayudan a los Profesionales de TI a automatizar tareas comunes. Mediante un lenguaje de lnea de comandos
centrado en la administracin, ms de 120 herramientas de lnea de comandos estndar, y sintaxis y
utilidades coherentes, Windows PowerShell permite que los profesionales de TI controlen ms fcilmente la
administracin del sistema y agiliza la automatizacin. Windows PowerShell es fcil de adoptar y usar, porque
funciona con la infraestructura de TI existente y con las secuencias de comandos ya existentes. Permite que
los usuarios automaticen la administracin de sistema para tareas bsicas de administracin del servidor, as
como para funciones especficas de servidor como Terminal Server.
Windows PowerShell integra el shell de lnea de comandos y el lenguaje de secuencia de comandos para
permitir que los administradores finalicen y automaticen de forma ms eficiente las tareas masivas de
administracin de sistema. Windows PowerShell mejora el Smbolo del sistema de Windows y Windows Script
Host (WSH) al ofrecer cmdlets (herramientas de lnea de comandos) que tienen exactamente la misma
sintaxis que el lenguaje de secuencia de comandos. El comando que se escribe en el smbolo de sistema de
Windows PowerShell es el mismo comando que se usara en una secuencia de comandos para automatizar la
tarea en mltiples servidores.
PowerShell tambin admite las secuencias de comandos existentes de una organizacin (por ejemplo, .vbs,
.bat, .perl) lo que hace que la organizacin no necesite migrar secuencias de comandos para adoptar
Windows PowerShell. Las herramientas existentes de lnea de comandos basadas en Windows se ejecutarn
desde la lnea de comandos de Windows PowerShell. Al proporcionar consistencia de sintaxis y convenciones
de nombres e integracin del lenguaje de secuencia de comandos con el shell interactivo, Windows
PowerShell reduce la complejidad y el tiempo necesarios para automatizar las tareas de la administracin de
sistema.

Administracin remota de Windows (WS-Management)

El nmero creciente de servidores remotos en sucursales y otras ubicaciones hace que los profesionales de TI
necesiten mejores opciones para administrar de forma eficaz servidores remotos. La administracin remota de
Windows ofrece una manera de administrar servidores en ubicaciones remotas con poco ancho de banda y
con secuencias de comandos.
Windows Remote Manager es la implementacin de Microsoft del protocolo WS-Management, un protocolo
estndar basado en SOAP que permite la interoperacin de hardware y sistemas operativos. Los
administradores pueden usar objetos de secuencias de comandos, la herramienta de lnea de comandos de
Administracin remota de Windows o la herramienta de lnea de comandos del shell remoto de Windows para
obtener datos de administracin (por ejemplo, informacin sobre objetos como discos, adaptadores de la red,
servicios o procesos) de equipos locales o remotos. Si el equipo ejecuta una versin de sistema operativo
Windows que incluye Administracin remota de Windows, los datos de administracin los suministra el
Instrumental de administracin de Windows (WMI).

Server Core

Con Windows Server 2008, los administradores pueden elegir una instalacin mnima de Windows Server con
funcionalidad especfica y sin ninguna caracterstica innecesaria. Server Core ofrece un entorno para ejecutar
una o ms de las siguientes funciones de servidor:
Windows Server Virtualization
Servidor del protocolo de configuracin dinmica de host (DHCP)
Servidor del sistema de nombres de dominio (DNS)
Servidor de archivos
Servicios de directorio de Active Directory (AD DS)
Servicios de directorio ligero de Active Directory (AD LDS)
Servicios de Windows Media
Administracin de impresin
Server Core ofrece las siguientes ventajas clave para las organizaciones:
Mantenimiento reducido de software: debido a que Server Core slo instala lo necesario para tener un
servidor administrable que ejecute las funciones de servidor compatibles, el servidor necesita menos
mantenimiento de software. Con una instalacin ms pequea de Server Core, se reduce el nmero de
actualizaciones y revisiones, lo que ahorra tanto uso de ancho de banda de WAN de servidores, como
tiempo de administracin del personal de TI.
Superficie de ataque reducida: debido a que existen menos archivos instalados y en ejecucin en el
servidor, hay menos vrtices de ataque expuestos a la red; por lo tanto, existe una superficie de ataque
menor. Los administradores pueden instalar slo los servicios especficos necesarios para un servidor dado
y mantener el riesgo de exposicin al mnimo absoluto.
Menos reinicios necesarios y espacio en disco reducido: con una instalacin mnima de Server Core, hay
menos componentes instalados que necesitarn actualizarse o revisarse, y se reducir el nmero de
reinicios necesarios. Una instalacin de Server Core instala los archivos mnimos imprescindibles para
ofrecer la funcionalidad necesaria, de modo que se usar menos espacio en disco en el servidor. Cuando
en un servidor los administradores eligen la opcin de instalacin de Server Core, pueden reducir los
requisitos de administracin y actualizacin de software de un servidor, a la vez que reducen tambin los
riesgos de seguridad.
Con la opcin de instalacin de Server Core en Windows Server 2008, los administradores pueden reducir los
requisitos de mantenimiento permanente en servidores y simplificar su administracin. Como se ejecuta una
instalacin mnima de Server Core, limitada a la funcionalidad necesaria, el personal de TI slo necesitar
instalar revisiones y actualizaciones para ese servidor que afecten directamente a los archivos instalados.

Administracin de impresin de Windows Server 2008

Cuanto mayor es la organizacin, mayor es la cantidad de impresoras dentro de la red y ms tiempo necesita
el personal de TI para instalar y administrar esas impresoras; lo cul se traduce en mayores gastos de
operacin. Windows Server 2008 incluye Administracin de impresin, que es un complemento de MMC que
permite a los administradores administrar, supervisar y solucionar problemas en todas las impresoras de la
organizacin, incluso en las de ubicaciones remotas, desde una misma interfaz.
Administracin de impresin proporciona detalles totalmente actualizados sobre el estado de todas las
impresoras y los servidores de impresin de la red desde una consola nica. La Administracin de impresin
puede ayudar a encontrar impresoras con una condicin de error y tambin puede enviar notificaciones por
correo electrnico o ejecutar secuencias de comandos cuando una impresora o el servidor de impresin
necesitan atencin. En modelos de impresora que ofrecen una interfaz web, la Administracin de impresin
puede tener acceso a estos datos adicionales. Esto permite administrar fcilmente informacin como niveles
de tner y papel, an cuando las impresoras se encuentran en ubicaciones remotas. Adems, Administracin
de impresin puede buscar e instalar automticamente impresoras de red en la subred local de servidores de
impresin locales.
Administracin de impresin supone para el administrador de impresin un ahorro de tiempo importante a la
hora de instalar impresoras en equipos cliente, as como al administrarlas y supervisarlas. En vez de tener que
instalar y configurar conexiones de impresora en equipos individuales, Administracin de impresin se puede
usar con directivas de grupo para agregar automticamente conexiones de impresora a la carpeta Impresoras
y faxes de un equipo cliente. Esta es una manera eficaz y que ahorra tiempo cuando se agregan impresoras
para muchos usuarios que requieren acceso a la misma impresora, como por ejemplo usuarios en el mismo
departamento o todos los usuarios en la ubicacin de una sucursal.
Las opciones provistas de automatizacin e interfaz centralizada de control incluidas en Administracin de
impresin para instalar, compartir y administrar impresoras simplifican la administracin y reducen el tiempo
requerido por personal de TI para implementar impresoras.

5.- Seguridad y cumplimiento de directivas

Introduccin
Windows Server 2008 dispone de muchas caractersticas que mejoran la seguridad y el cumplimiento.
Algunas mejoras clave incluyen:
Estado de cliente obligatorio: Proteccin de acceso a redes (NAP), que permite que los administradores
configuren y apliquen requisitos de estado y seguridad antes de permitir el acceso de los clientes a la red
Supervisin de entidades de certificacin: PKI de empresa, que mejora la capacidad de supervisar y
solucionar problemas de mltiples entidades de certificacin (CA)
Mejoras de firewall: el nuevo Firewall de Windows con seguridad avanzada ofrece varias mejoras de
seguridad
Cifrado y proteccin de datos: BitLocker protege datos confidenciales mediante cifrado de la unidad de
disco
Herramientas criptogrficas: la ltima generacin de criptologa ofrece una plataforma de desarrollo flexible
de criptografa
Aislamiento de servidor y dominio: los recursos de servidor y dominio se pueden aislar para limitar el acceso
a equipos autenticados y autorizados
Controlador de dominio de slo lectura (RODC): el RODC es la nueva opcin de instalacin de controlador
de dominio que se puede instalar en sitios remotos con niveles ms bajos de seguridad fsica
Estas mejoras ayudan a los administradores a aumentar el nivel de seguridad de su organizacin y simplifican
la administracin e implementacin de configuraciones y opciones relacionadas con la seguridad.

Proteccin de acceso a redes

La proteccin de acceso a redes (NAP) evita que equipos que no se encuentran en buen estado tengan
acceso a la red de la organizacin y la pongan en peligro. NAP se usa para configurar y aplicar requisitos de
estado de cliente, y para actualizar, o corregir, equipos cliente con incumplimiento antes que se puedan
conectar a la red corporativa. Con NAP, los administradores pueden configurar directivas de estado que
definen por ejemplo requisitos de software, requisitos de actualizacin de seguridad y opciones de
configuracin necesarias en equipos que se conectan a la red de la organizacin.
NAP aplica requisitos de estado evaluando el estado de los equipos cliente y limitando el acceso a la red ante
incumplimientos de los equipos cliente. Componentes del cliente y del servidor participan en la correccin de
equipos cliente en situacin de incumplimiento, para que puedan obtener un acceso ilimitado a la red. Si se
determina que un equipo cliente presenta incumplimientos, se le puede prohibir el acceso a la red o aplicarle
de inmediato las revisiones para devolverlo al estado de cumplimiento.
Los mtodos de cumplimiento de NAP admiten cuatro tecnologas de acceso a redes que funcionan junto con
NAP para aplicar directivas de estado: El cumplimiento de seguridad de protocolo de Internet (IPSEC), el
cumplimiento de 802.1X, el cumplimiento de red privada virtual (VPN) para enrutamiento y acceso remoto y el
cumplimiento de protocolo de configuracin dinmica de host (DHCP).

Funcionalidad de seguridad avanzada de Firewall de Windows

El Firewall de Windows con seguridad avanzada en Windows Server 2008 es un firewall con estado basado
en host que permite o bloquea el trfico de red segn su configuracin y las aplicaciones que se encuentran
en ejecucin, para proteger la red de usuarios y programas malintencionados.
Una nueva caracterstica es la capacidad de permitir que el firewall intercepte tanto el trfico entrante como el
saliente. Un administrador de red puede, por ejemplo, configurar el nuevo Firewall de Windows con un
conjunto de excepciones para bloquear todo el trfico que se enva a puertos especficos, como puertos
conocidos usados por software de virus o especificar direcciones que contengan contenido confidencial o no
deseable. Esto protege al equipo de virus que podran propagarse a travs de la red y protegen a la red de
virus que pueden intentar propagarse desde un sistema en riesgo.
Como el nmero de opciones de configuracin del Firewall de Windows ha aumentado, se ha agregado un
nuevo complemento de MMC denominado Firewall de Windows con seguridad avanzada para simplificar la
administracin. Con el nuevo complemento, los administradores de red pueden configurar de forma remota la
configuracin del Firewall de Windows en estaciones de trabajo clientes y en servidores (algo que no es
posible en versiones anteriores sin una conexin a escritorio remoto), simplificando as la configuracin y
administracin remotas.
En versiones anteriores de Windows Server, Firewall de Windows e IPsec se configuraban de forma
independiente. Debido a que tanto un firewall basado en host como IPsec pueden bloquear o permitir en
Windows el trfico entrante, es posible crear excepciones de firewall y reglas de IPsec contradictorias o
superpuestas. El nuevo Firewall de Windows en Windows Server 2008 han combinado la configuracin de
ambos servicios de red mediante la misma GUI e iguales comandos de lnea de comandos. Esta integracin
de la configuracin de firewall e IPsec simplifica la configuracin de firewall e IPsec y ayuda a evitar la
superposicin de directivas y las configuraciones contradictorias.

Cifrado de unidad BitLocker

El cifrado de unidad BitLocker es una nueva caracterstica clave de seguridad en Windows Server 2008, que
ayuda a proteger servidores, estaciones de trabajo y equipos mviles. Tambin se encuentra disponible en las
ediciones de Windows Vista Enterprise y Windows Vista Ultimate para proteger equipos cliente y equipos
mviles. BitLocker cifra el contenido de una unidad de disco. Esto evita que un ladrn que ejecuta un sistema
operativo paralelo u otras herramientas de software, se salte las protecciones de archivo y sistema, o que
pueda realizar una visualizacin sin conexin de archivos almacenados en la unidad de disco protegida.
BitLocker mejora la proteccin de datos al reunir dos subfunciones principales: cifrado del volumen de sistema
y comprobacin de integridad en componentes de preinicio. Se cifra el volumen de sistema completo,
incluidos los archivos de paginacin e hibernacin, lo que aumenta la seguridad de servidores remotos
ubicados en sucursales. BitLocker resuelve las amenazas de robo o exposicin de datos de un equipo
perdido, robado o retirado de manera inapropiada de servicio activo. BitLocker tambin ayuda a las
organizaciones a cumplir con disposiciones de organismos oficiales, como Sarbanes-Oxley y HIPAA, que
requieren el mantenimiento de estndares muy altos de seguridad y proteccin de datos.

PKI de empresa (PKIView)

Hay varias mejoras en la infraestructura de claves pblicas (PKI) en Windows Server 2008 y sistemas
operativos Windows Vista. Se ha aumentado la capacidad de administracin en todos los aspectos de
Windows PKI, se han rediseado las revocaciones de servicios y hay una disminucin de la superficie de
ataque para la inscripcin. Las mejoras en PKI incluyen:
PKI de empresa (PKIView): originalmente parte del Kit de recursos de Microsoft Windows Server 2008 y
llamada herramienta PKI Health, PKIView es ahora un complemento Microsoft Management Console (MMC)
de Windows Server 2008. Se usa para analizar el estado de las CA, y para consultar detalles de certificados
de la entidad emisora publicados en AD CS.
Protocolo de estado de certificados en lnea (OCSP): un contestador conectado basado en el Protocolo de
estado de certificados en lnea (OCSP) se puede usar para administrar y distribuir informacin de estado de
revocacin en casos donde el uso de CRL convencionales no es una solucin ptima. Los contestadores
conectados se pueden configurar en un solo equipo o en una Matriz contestadores conectados.
Servicio de inscripcin de dispositivos de red (NDES): en Windows Server 2008, el Servicio de inscripcin
de dispositivos de red (NDES) es la implementacin de Microsoft del Protocolo de inscripcin de certificados
simple (SCEP), un protocolo de comunicaciones que permite que software en ejecucin en dispositivos de
red, como enrutadores y conmutadores que de otro modo no se pueden autenticar en la red, se inscriban en
certificados x509 de una entidad de certificacin (CA).
Inscripcin web: el nuevo control de inscripcin web es ms seguro, ms fcil de escribir en secuencia de
comandos y de actualizar que la versin anterior.
Directiva de grupo y PKI: la configuracin de certificados en directivas de grupo permite a los
administradores administrar configuracin de certificados desde una ubicacin central para todos los
equipos del dominio.

Criptografa de nueva generacin (CNG)

La Criptografa de nueva generacin (CNG) ofrece una plataforma de desarrollo criptogrfica flexible que
permite a los profesionales de TI crear, actualizar y usar algoritmos personalizados de criptografa en
aplicaciones relacionadas con criptografa, como Servicios de Certificate Server de Active Directory (AD CS),
Capa de sockets seguros (SSL) y Seguridad de Protocolo Internet (IPSEC). CNG implementa los algoritmos
cifrados de la Suite B del gobierno de los EE.UU., que incluyen algoritmos para cifrado, firmas digitales,
intercambio de claves y hashing.
CNG ofrece un conjunto de API que se usan para realizar las operaciones bsicas de criptografa, como
creacin, almacenamiento y recuperacin de claves criptogrficas. Tambin admite la instalacin y uso de
proveedores de criptografa adicionales. CNG permite que las organizaciones y los desarrolladores usen sus
propios algoritmos criptogrficos o implementaciones de algoritmos criptogrficos estndar.
CNG admite el conjunto actual de algoritmos CryptoAPI 1.0 y ofrece tambin compatibilidad con algoritmos de
criptografa de curva elptica (ECC). Varios algoritmos de ECC son obligatorios en la directiva Suite B del
gobierno de los Estados Unidos.

Controladores de dominio de slo lectura

Un controlador de dominio de slo lectura (RODC) es un nuevo tipo de controlador de dominio disponible en el
sistema operativo Windows Server 2008, diseado para implementarse principalmente en entornos de
sucursales. Un RODC puede reducir los riesgos de implementar un controlador de dominio en ubicaciones
remotas, como sucursales, donde no se puede garantizar la seguridad fsica.
Excepto por las contraseas de cuentas, un RODC dispone de todos los objetos y atributos de servicios de
dominio de Active Directory de Microsoft (AD DS) de que dispone un controlador de dominio de escritura. No
obstante los clientes, no pueden escribir cambios directamente en un RODC. Como los cambios no se
escriben directamente al RODC y por lo tanto no se originan de forma local, los controladores de dominio de
escritura que son asociados de replicacin no tienen que extraer cambios del RODC. La separacin de
funciones del administrador especifica que a cualquier usuario del dominio se puede delegar la administracin
local de un RODC sin concederle ningn derecho de usuario del dominio propiamente dicho ni de otros
controladores de dominio.

Aislamiento de servidor y dominio

En una red basada en Microsoft Windows, los administradores pueden aislar lgicamente los recursos de
servidor y dominio para limitar el acceso a equipos autenticados y autorizados. Por ejemplo, se puede crear
una red lgica dentro de la red fsica existente, donde los equipos compartan un conjunto comn de requisitos
para comunicaciones seguras. Cada equipo en esta red lgicamente aislada debe ofrecer credenciales de
autenticacin a otros equipos en la red aislada para establecer conectividad.
Este aislamiento evita que equipos y programas no autorizados obtengan acceso a recursos de manera
inapropiada. Las solicitudes de equipos que no son parte de la red aislada se ignoran. El aislamiento de
servidor y dominio puede ayudar a proteger servidores y datos especficos de gran valor as como proteger a
equipos administrados de equipos y usuarios no administrados o invasores.
Se puede usar dos clases de aislamiento para proteger una red:
Aislamiento de servidor: en un escenario de aislamiento de servidor, se configuran servidores especficos
mediante directivas de IPsec para aceptar slo comunicaciones autenticadas de otros equipos. Por ejemplo,
el servidor de la base de datos se puede configurar para que slo acepte conexiones del servidor de
aplicaciones web.
Aislamiento de dominio: para aislar un dominio, los administradores pueden usar la pertenencia al dominio
de Active Directory para garantizar que los equipos que sean miembros de un dominio slo acepten
comunicaciones autenticadas y protegidas de otros equipos que son miembros del dominio. La red aislada
slo se compone de equipos que forman parte del dominio. El aislamiento de dominio usa directivas de
IPsec para proporcionar proteccin para el trfico que se enva entre miembros del dominio, incluidos todos
los equipos cliente y servidor.


6.- Acceso centralizado de aplicaciones

Introduccin

Windows Server 2008 ofrece mejoras e innovaciones a Servicios de Terminal Server que van ms all de la
simple habilitacin del acceso a aplicaciones, sino que mejoran la experiencia de los usuarios al permitir que
ejecuten en su propio escritorio aplicaciones remotas en paralelo con aplicaciones locales. Tambin ofrece
nuevas opciones para tener acceso de forma centralizada a las aplicaciones a travs de Acceso web de
Servicios de Terminal Server.
Los nuevos componentes de Servicios de Terminal Server incluyen:
RemoteApp de Servicios de Terminal Server: RemoteApp de Servicios de Terminal Server permite que los
usuarios ejecuten programas Windows de acceso remoto en paralelo con sus aplicaciones locales en el
escritorio, mediante el nuevo cliente Conexin a escritorio remoto 6.0.
Terminal Services Gateway: Terminal Services Gateway (TS Gateway) extiende el alcance de Servicios de
Terminal Server ms all del firewall corporativo, al proporcionar proteccin de acceso a Terminal Server y
escritorios compartidos sin necesidad de la infraestructura para Red Privada Virtual (VPN).
Acceso web de Servicios de Terminal Server: el acceso web de Servicios de Terminal Server (TS Web
Access) ofrece una solucin de aplicacin remota que simplifica para el administrador el proceso de
publicacin de aplicaciones remotas, a la vez que simplifica tambin para el usuario el proceso del
bsqueda y ejecucin de aplicaciones remotas.
Inicio de sesin nico: el inicio de sesin nico mejora la experiencia de usuario de los usuarios remotos
eliminando la necesidad de especificar las credenciales varias veces.



Servicios de Terminal Server

En Windows Server 2008, Servicios de Terminal Server incluye nueva funcionalidad principal que mejora la
experiencia del usuario final cuando se conecta a un servidor de terminar de Windows Server 2008. Esta
nueva funcionalidad principal incluye:
Conexin a escritorio remoto 6.0: para tener acceso a Servicios de Terminal Server, los usuarios debern
usar Conexin a escritorio remoto 6.0. Se incluye con Windows Server 2008 y Windows Vista, y est
disponible como una descarga gratuita para usuarios de Windows XP y Windows Server 2008.
Mejoras de pantalla de Conexin a escritorio remoto: el software Conexin a escritorio remoto 6.0 incluye
compatibilidad para uso de equipos de escritorio con resoluciones superiores (hasta 4096 X 2048) y usa
mltiples monitores para formar un nico gran escritorio. Los usuarios de Conexin a escritorio remoto 6.0
pueden aprovechar los nuevos monitores de alta resolucin y formatos modernos de pantalla (como
formatos de pantalla panormica 16:9 o 16:10) que no cumplen con el estndar anterior 4:3.
Desktop Experience: conexin a escritorio remoto 6.0 reproduce el escritorio que existe en el equipo
remoto, en el equipo cliente del usuario. Si Desktop Experience est instalado en Windows Server 2008, el
usuario puede usar caractersticas de Windows Vista, como el Reproductor de Windows Media, los temas
de escritorio y la administracin de fotos en su conexin remota. La caracterstica Desktop Experience y el
establecimiento de prioridades de datos de pantalla (diseada para mantener el teclado y mouse en
sincronizacin con lo que se muestra en el monitor incluso en condiciones de gran uso del ancho de banda)
mejoran la experiencia de usuario final cuando se conecta a un servidor de terminal de Windows Server
2008.

Inicio de sesin nico

El inicio de sesin nico permite que usuarios con una cuenta de dominio inicien una sesin de Servicios de
Terminal Server una vez, usando una contrasea o una tarjeta inteligente y despus puedan obtener acceso a
servidores y aplicaciones remotos sin que se les solicite nuevamente sus credenciales. El inicio de sesin
nico mejora la experiencia de usuario al eliminar la necesidad de que los usuarios escriban credenciales
cada vez que inician una sesin remota.

RemoteApp de Servicios de Terminal Server

RemoteApp de Servicios de Terminal Server es un nuevo mtodo remoto de presentacin de aplicaciones
disponible en Windows Server 2008. RemoteApp complementa el mtodo de presentacin de Servicios de
Terminal Server, que presenta el escritorio remoto completo a usuarios que tienen acceso a las aplicaciones
dentro de esa ventana.
Con Windows Server 2008, la interaccin del usuario con la aplicacin remota es bastante distinto. Ahora se
inicia la aplicacin remota, no el escritorio remoto completo y se ejecuta en su propia ventana redimensionable
en el escritorio del equipo cliente. Si el programa usa un icono de rea de notificacin, ese icono aparece en el
rea de la notificacin del cliente. Los elementos emergentes de Windows se redireccionan al escritorio local,
y las unidades de disco e impresoras locales se redireccionan y ponen a disposicin dentro del programa
remoto. Muchos usuarios quizs ignoren que el programa remoto es diferente a las dems aplicaciones
locales que se ejecutan en paralelo con el programa remoto en su escritorio.
RemoteApp reduce el esfuerzo administrativo porque se debe mantener slo una aplicacin central en el
servidor, en vez de instalaciones individuales en mltiples escritorios a travs de la organizacin. Mejora
tambin la experiencia de usuario, ofreciendo una integracin ms fluida de la aplicacin remota con el
escritorio del equipo cliente.

Terminal Services Gateway (TS Gateway)

Terminal Services Gateway (TS Gateway) es una funcin de Servicios de Terminal Server que permite a
usuarios remotos autorizados conectarse a travs de Internet a servidores de terminal y estaciones de trabajo
de una red corporativa. Esto permite a las organizaciones hacer que servidores y estaciones de trabajo
seleccionados estn disponibles de forma sencilla y segura para los trabajadores remotos o en viaje, sin usar
una conexin VPN.
Algunas ventajas clave de Gateway TS:
Permite que usuarios remotos se conecten de forma segura a recursos de la red corporativa desde Internet,
sin la complejidad de las conexiones de Red Privada Virtual (VPN).
Aprovecha la seguridad y disponibilidad del protocolo HTTPS para proporcionar Servicios de Terminal
Server sin ninguna configuracin de cliente.
Ofrece un modelo completo de configuracin de seguridad que permite que los administradores controlen el
acceso a recursos especficos en la red.
Permite que los usuarios se conecten de forma remota a servidores de terminal y estaciones de trabajo
remotas a travs de firewalls y traductores de direccin de red (NAT).
Ofrece un modelo ms seguro, al permitir que los usuarios tengan acceso slo a servidores y estaciones de
trabajo seleccionados en lugar de la red corporativa completa a travs de una VPN.
Terminal Services Gateway ofrece una manera segura y fcil para las organizaciones de proporcionar a
usuarios remotos el acceso a servidores y estaciones de trabajo dentro de la red sin tener que instalar y
configurar una conexin de VPN. Las caractersticas completas de seguridad tambin permiten que los
administradores controlen el acceso a recursos especficos.

Acceso web de Servicios de Terminal Server

Acceso web a Servicios de Terminal Server (TS Web Access) es una funcin de Servicios de Terminal Server
que permite que los administradores pongan programas de RemoteApp de Servicios de Terminal Server a
disposicin de usuarios desde un explorador web, sin requerir que el usuario realice ninguna instalacin de
software. Con TS Web Access, los usuarios pueden visitar un sitio web y tener acceso a una lista de todas las
aplicaciones disponibles. Cuando el usuario inicia uno de los programas listados, se inicia de forma
automtica una sesin de Servicios de Terminal Server de ese usuario en el servidor de terminal basado en
Windows Server 2008 que aloja la aplicacin. Para el usuario, esta interfaz web ofrece un men centralizado
que muestra todas las aplicaciones remotas actualmente disponibles; y ejecutar una aplicacin remota es tan
sencillo como elegir un programa del men.
Mediante el uso de Acceso web TS, se reduce la carga administrativa. Se puede tener acceso fcilmente a los
programas desde una ubicacin central. Los programas se ejecutan en un servidor de terminal y no en el
equipo cliente, de modo que el personal de TI tiene que mantener y actualizar una sola instancia de la
aplicacin.




7.- Alta disponibilidad

Introduccin
Garantizar que las aplicaciones fundamentales estn siempre disponibles es un servicio clave ofrecido por los
departamentos de TI, y "Alta disponibilidad" es un tema central de muchas de las mejoras de Windows Server
2008. El clster de conmutacin por error, el equilibrio de carga de red y las nuevas caractersticas de copia
de seguridad y restauracin en Windows Server 2008 se combinan para ofrecer a las organizaciones una
solucin de "Alta disponibilidad" para garantizar que esas aplicaciones fundamentales, servicios e informacin
permanecen disponibles para todos los usuarios.

Clster de conmutacin por error

Un clster de conmutacin por error, antes conocido como un clster de servidor, es un grupo de equipos
independientes que colaboran para aumentar la disponibilidad de aplicaciones y servicios. Los servidores del
clster, llamados nodos, se conectan tanto por medio de cables fsicos como a travs de software. Si uno de
los nodos del clster tiene errores, otro nodo en el clster a travs de un proceso conocido como conmutacin
por error, se har cargo del nodo con error, con lo que se garantiza que los usuarios experimenten una
mnima interrupcin en el servicio. Los clsteres de conmutacin por error los usan profesionales de TI que
necesitan proporcionar alta disponibilidad para servicios y aplicaciones fundamentales.
En Windows Server 2008, las mejoras en clsteres de conmutacin por error estn destinadas a simplificar los
clsteres, hacindolos ms seguros y a mejorar su estabilidad.
La instalacin y configuracin del clster se simplific en Windows Server 2008 con un nuevo asistente de
validacin que permite que los usuarios confirmen que la configuracin de sistema, el almacenamiento y la
configuracin de la red son convenientes para un clster. Algunas de las pruebas realizadas por el nuevo
asistente de validacin incluyen:
Pruebas de nodo: confirma que los servidores ejecutan la misma versin de sistema operativo y tienen las
mismas actualizaciones de software
Pruebas de red: determinan si la red de clster planeada cumple con requisitos especficos como disponer
al menos de dos subredes independientes para redundancia de red
Pruebas de almacenamiento: analizan si el almacenamiento est configurado correctamente para que todos
los nodos del clster tengan acceso a todos los discos compartidos y cumplan los requisitos especificados.
Windows Server 2008 incluye compatibilidad con discos de identificador nico global o GPT (de tabla de
particiones GUID) en almacenamiento de clster. Los discos GPT pueden tener particiones mayores que dos
terabytes y redundancia integrada, a diferencia de los discos con registro de arranque maestro (MBR). GPT
ofrece ms ventajas que las particiones de registro de arranque maestro (MBR) porque admite hasta 128
particiones por disco, ofrece compatibilidad para volmenes de hasta 18 exabytes de tamao, admite tablas
de particin principales y de copia de seguridad para redundancia, e identificadores nicos de discos y
particiones.
Para simplificar la administracin de clsteres, se mejoraron las interfaces de administracin para permitir que
los administradores se centren en administrar las aplicaciones y los datos, no los clsteres. La nueva interfaz
se basa en tareas y es ms intuitiva, y ofrece el soporte de asistentes que guan a los administradores a
travs de operaciones que con anterioridad eran complejas.
Los clsteres de conmutacin por error en Windows Server 2008 ofrecen mejor funcionalidad y confiabilidad
que en versiones anteriores de clsteres de servidor. Las mejoras clave incluyen:
Adicin dinmica de recursos de disco: las dependencias de recursos se pueden modificar mientras los
recursos estn conectados, lo que significa que los administradores pueden poner a disposicin
almacenamiento de disco adicional sin interrumpir las aplicaciones que harn uso del mismo.
Rendimiento y estabilidad mejorados con almacenamiento de datos: cuando un clster de conmutacin por
error se comunica con una red de rea de almacenamiento (SAN) o almacenamiento de conexin directa
(DAS), usa los comandos menos disruptivos, con menos reinicializaciones de bus SCSI. Los discos nunca
quedan en una condicin no protegida, lo que significa que se reduce el riesgo de dao del volumen. Los
clsteres de conmutacin por error son tambin compatibles con mtodos mejorados para descubrimiento y
recuperacin de discos. Los clsteres de conmutacin por error admiten tres tipos de conexiones de
almacenamiento: Serial Attached SCSI (SAS), iSCSI y Fibre Channel.
Mantenimiento de discos ms sencillo: el "modo de mantenimiento" se ha mejorado considerablemente, de
forma que los administradores puedan ejecutar herramientas para comprobar, corregir, realizar copias de
seguridad o restaurar discos ms fcilmente e interrumpiendo menos el funcionamiento del clster.
Para administradores que usan clsteres para proporcionar una solucin de alta disponibilidad, Windows
Server 2008 simplifica la implementacin y administracin de clsteres y mejora el rendimiento y la
confiabilidad.

Equilibrio de carga de red

El equilibrio de carga de red (NLB) es una caracterstica que distribuye la carga para aplicaciones de clientes y
servidores en red a travs de varios servidores en un clster de NLB. NLB es importante para organizaciones
que necesitan distribuir solicitudes de cliente a travs de un conjunto de servidores. Es especialmente til para
garantizar que aplicaciones sin estado, como por ejemplo aplicaciones basadas en la Web que se ejecutan en
Internet Information Services (IIS), se puedan escalar mediante la adicin de servidores adicionales a medida
que se incrementa la carga de trabajo. NLB ofrece escalabilidad al permitir que se agreguen servidores
adicionales a medida que aumenta la carga. NLB ofrece confiabilidad al permitir que los usuarios reemplacen
fcilmente un servidor con errores. Las mejoras a NLB en Windows Server 2008 incluyen:
Compatibilidad con IPv6: NLB es compatible completamente con IPv6 para todas las comunicaciones
Compatibilidad con NDIS 6.0: el controlador NLB ha sido reescrito completamente para usar el nuevo
modelo de filtro ligero de NDIS 6.0. NDIS 6.0 retiene la compatibilidad con versiones anteriores de NDIS.
Las mejoras en el diseo de NDIS 6.0 incluyen el rendimiento y escalabilidad mejorados del controlador y
un modelo simplificado de controlador NDIS.
Mejoras de WMI: las mejoras de WMI en el espacio de nombres MicrosoftNLB son para compatibilidad con
IPv6 y mltiples direcciones IP dedicadas.
Clases en el espacio de nombres MicrosoftNLB: admiten direcciones IPv6 (adems de direcciones IPv4).
La clase MicrosoftNLB_NodeSetting: admite mltiples direcciones IP dedicadas especificndolas en
DedicatedIPAddresses y DedicatedNetMasks.
Funcionalidad mejorada con ISA Server: ISA Server puede configurar mltiples direcciones IP dedicadas
para cada nodo NLB en escenarios donde los clientes incluyen tanto trfico IPv4 como IPv6. Tanto los
clientes IPv4 como IPv6 necesitan tener acceso a un ISA Server especfico que administre el trfico. ISA
puede tambin ofrecer a NLB notificaciones de ataques SYN y privacin de temporizadores (estos
escenarios suceden normalmente cuando un equipo se sobrecarga o se infecta por un virus de Internet).
Compatibilidad con mltiples direcciones IP dedicadas por nodo: NLB es totalmente compatible con la
definicin de ms de una direccin IP dedicada por nodo (anteriormente, slo se admita una direccin IP
dedicada por nodo), lo que permite que mltiples aplicaciones se alojen en el mismo clster de NLB en
escenarios donde aplicaciones independientes requieren su propia direccin IP dedicada.
Estas caractersticas ofrecen compatibilidad para nuevos estndares industriales, incremento del rendimiento,
mejoras de interoperabilidad, mejor seguridad y mayor flexibilidad en la implementacin y consolidacin de la
aplicacin.

Copia de seguridad de Windows

Copia de seguridad es el tercer componente clave de Windows Server 2008 diseado para ofrecer alta
disponibilidad de servicios. La caracterstica de copia de seguridad ofrece una solucin de copia de seguridad
y recuperacin para el servidor en que est instalada. Presenta una tecnologa de copia de seguridad y
recuperacin, que reemplaza a la caracterstica de copia de seguridad anterior disponible en versiones
anteriores del sistema operativo Windows.
La caracterstica de copia de seguridad se puede usar para proteger el servidor completo con eficiencia y
seguridad sin necesidad de preocuparse por las complejidades de la tecnologa de la copia de seguridad y la
recuperacin. Asistentes sencillos guan al usuario a travs de la configuracin de una programacin de copia
de seguridad automtica, creando copias de seguridad manuales si fuera necesario y recuperando elementos
o volmenes completos. La copia de seguridad en Windows Server 2008 se puede usar para realizar copias
de seguridad de un servidor completo o de volmenes seleccionados.
La copia de seguridad usa el servicio de instantneas de volumen de Microsoft y la tecnologa de copia de
seguridad de bloque para realizar copias de seguridad y recuperar de forma eficiente el sistema operativo,
archivos y carpetas, y volmenes. Despus de crear la primera copia completa de seguridad, se ejecutan
automticamente copias de seguridad incrementales guardando slo los datos que se modificaron desde que
ocurri la ltima copia de seguridad. A diferencia de versiones anteriores, los administradores ya no tienen
que preocuparse por programar manualmente las copias de seguridad completas e incrementales.
La restauracin se ha mejorado y simplificado en Windows Server 2008. Los elementos ahora se pueden
restaurar eligiendo una copia de seguridad de la cual recuperar y seleccionando a continuacin los elementos
a restaurar. Se pueden recuperar archivos especficos o todo el contenido de una carpeta. Con respecto a las
copias de seguridad incrementales, anteriormente, si un elemento se almacenaba en una copia de seguridad
incremental, era necesario restaurar manualmente mltiples copias de seguridad. Ahora, el usuario puede
elegir simplemente la fecha en que se realiz la copia de seguridad de la versin que desea restaurar.
Windows Server 2008 ofrece las soluciones de copia de seguridad y recuperacin necesarias para completar
una solucin de alta disponibilidad que proteja tanto los datos de la organizacin como los sistemas operativos
de los servidores en la red, mientras alivia la carga administrativa al garantizar que se realicen
apropiadamente copias de seguridad de los datos fundamentales y se acelera la recuperacin de los datos.

8.- Directorio Activo

El Directorio Activo es el servicio de directorio en una red Windows 2000 y Windows Server 2008. Un servicio
de directorio es un servicio de red donde se almacena la informacin de los recursos de la red para hacer ms
fcil la accesibilidad a las aplicaciones y a los usuarios. El servicio de directorio proporciona una manera
consistente de nombrar, describir, localizar, acceder, administrar y asegurar la informacin los recursos.
El Directorio Activo proporciona la funcionalidad al servicio de Directorio, incluyendo los medios de centralizar,
administrar y controlar los accesos a los recursos de la red. El Directorio Activo produce que la topologa de la
red fsica y los protocolos sean transparentes para que los usuarios de una red puedan acceder a los recursos
sin tener que saber dnde estn situados esos recursos o cmo estn conectados fsicamente.
El Directorio Activo organiza el directorio en secciones que permiten almacenar un gran nmero de objetos.
Como resultado, el Directorio Activo puede expandirse tanto como requiera la organizacin, desde un servidor
con cientos de objetos hasta cientos de servidores con millones de objetos.

El Directorio Activo se incluye en cada producto de las versiones de Windows 2000 Server, Advanced Server
y Datacenter Server y en las versiones de Windows Server 2008 Estndar Edition, Enterprise Edition y
Datacenter Edition. Se dise para trabajar bien en cualquier tamao de instalacin, desde un server con
cientos de objetos a miles de servidores y millones de objetos.

Windows 2000 Server y Windows Server 2008 almacenan la informacin de la configuracin del sistema,
perfiles de usuario y aplicaciones en el Directorio Activo. En combinacin con las polticas de grupo, el
Directorio Activo permite a los administradores administrar los servicios de red y las aplicaciones desde una
localizacin central usando una interfaz de administracin consistente.

La seguridad est integrada en el Directorio Activo mediante la autenticacin del inicio de sesin y el control
de acceso a los objetos del directorio. Con un nico inicio de sesin en la red, los administradores pueden
administrar datos del directorio y de la organizacin en cualquier punto de la red, y los usuarios autorizados de
la red pueden tener acceso a recursos en cualquier lugar de la red. La administracin basada en directivas
facilita la tarea del administrador incluso en las redes ms complejas

El Directorio Activo tambin incluye:

Un conjunto de reglas, el esquema, que define las clases de objetos y los atributos contenidos en el
directorio, as como las restricciones y los lmites en las instancias de estos objetos y el formato de
sus nombres.
Un catlogo global que contiene informacin acerca de cada uno de los objetos del directorio. Esto
permite a los usuarios y administradores encontrar informacin del directorio con independencia de
cul sea el dominio del directorio que realmente contiene los datos.
Un sistema de ndices y consultas, para que los usuarios o las aplicaciones de red puedan publicar y
encontrar los objetos y sus propiedades.
Un servicio de replicacin que distribuye los datos del directorio por toda la red. Todos los
controladores de un dominio participan en la replicacin y contienen una copia completa de toda la
informacin del directorio para su dominio. Cualquier cambio en los datos del directorio se replica en
todos los controladores del dominio.
Compatibilidad con el software de cliente del Directorio Activo, lo que permite que muchas de las
caractersticas de Windows 2000 Professional o Windows XP Professional tambin estn disponibles
en los equipos que ejecutan Windows 95, Windows 98 y NT Server 4.0. En los equipos que no
ejecutan el software de cliente del Directorio Activo, el directorio tendr el mismo aspecto que un
directorio de Windows NT.

Ventajas que ofrece el Directorio Activo

Reduce el coste de propiedad (TCO). Las polticas de grupo con el Directorio Activo permite
configurar entornos de trabajo e instalar aplicaciones desde una consola administrativa. Esto reduce
el tiempo que se necesita en ir a cada equipo para configurar e instalar aplicaciones.
Administracin simplificada. Proporciona una localizacin simple de la informacin almacenada
como recursos y usuarios. Esto simplifica la administracin y hace ms fcil a los usuarios encontrar
los recursos a travs de la red.Adems, elimina la dependencia con las ubicaciones fsicas ya que
permite un nico punto de administracin.
Administracin flexible. Permite delegar los permisos sobre usuarios y equipos a otros usuarios o
grupos.
Escalabilidad. En Windows NT 4.0, los dominios tienen un lmite claro de hasta 40.000 objetos. An
as se tienen que crear muchos dominios en una organizacin grande. Un dominio con Directorio
Activo puede contener millones de objetos.
Protocolo basado en estndar. El acceso al Directorio Activo se lleva a cabo a travs del protocolo
de acceso a Directorio Lightweight (LDAP). Las aplicaciones usan LDAP mejor que los protocolos
ropietarios para acceder y cambiar la informacin en el Directorio Activo.





Directorio Activo y DNS

El Directorio Activo utiliza DNS para las siguientes funciones:
Resolucin de Nombres. DNS proporciona la resolucin de nombres traduciendo los nombres de
los host a direcciones IP.
Definicin del Espacio de Nombres. El Directorio Activo usa DNS para nombrar a los dominios.
Los nombres de los dominios de Windows 2000 y Windows Server 2008 son nombres de dominio
DNS. Por ejemplo, upm.es es un nombre de dominio DNS y puede ser tambin un nombre para un
dominio de Directorio Activo.
Localizacin del componente fsico del Directorio Activo. Para hacer logon en la red y ejecutar
las peticiones del Directorio Activo, un equipo debe primero localizar un controlador de dominio para
proceder a la autentificacin de logon. La base de datos de DNS guarda la informacin sobre los
equipos que tienen esos roles para dirigirles las peticiones de logon apropiadamente.



Descripcin del Directorio Activo

El Directorio Activo permite organizar los recursos de una manera lgica, lo que simplifica la bsqueda de un
recurso por su nombre. El usuario no conoce ni necesita conocer la estructura fsica del Directorio.
Todo lo que se encuentra en el Directorio Activo es, ante todo y finalmente, un objeto. Por lo cual, se puede
decir que el Directorio Activo es un directorio de objetos.

Estructura lgica

Directorio Activo es una estructura arbolada jerrquica que agrupa, de menor a mayor, los siguientes
componentes:

Objetos y contenedores de objetos

Un objeto puede ser la representacin de un sistema, un usuario, un recurso, un servicio, etc. Cada tipo tiene
sus propios atributos caractersticos del tipo de objeto. Un objeto Usuario necesita tener definidos ciertos
atributos propios: nombre del usuario, los datos personales, etc. Por su parte, otro tipo de objeto, por ejemplo,
el objeto Sistema, tendr diferentes atributos: la direccin IP, el nombre del ordenador, etc.
Cada objeto en el Directorio Activo tiene una identidad nica. Los objetos se pueden mover y renombrar, pero
su identidad nunca cambia.
Los objetos contenedores son objetos especiales que pueden contener otros objetos y que permiten
organizar el Directorio Activo. A diferencia de un elemento de agrupacin de objetos que, por su parte,
tambin puede contener a otros objetos contenedores.

Unidades organizativas
Un tipo de objeto de directorio especialmente til, contenido en los dominios, es la unidad organizativa. Las
unidades organizativas son contenedores del Directorio Activo en los que puede colocar usuarios, grupos,
equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros
dominios.
Una unidad organizativa es el mbito o unidad ms pequea a la que se pueden asignar configuraciones de
Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas,
puede crear contenedores dentro de un dominio que representan las estructuras lgicas y jerrquicas
existentes dentro de una organizacin. Esto permite administrar la configuracin y el uso de cuentas y
recursos en funcin de su modelo organizativo.

Figura 5.1: Ejemplo de Unidades organizativas dentro de un dominio

Como se muestra en la figura 5.1, las unidades organizativas pueden contener otras unidades organizativas.
La jerarqua de contenedores se puede extender tanto como sea necesario para modelar la jerarqua de la
organizacin dentro de un dominio. Las unidades organizativas le ayudarn a disminuir el nmero de dominios
requeridos para una red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier
tamao. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas
de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener
autoridad administrativa sobre cualquier otra unidad organizativa del dominio.

Dominios
Un dominio constituye un lmite de seguridad. El directorio incluye uno o ms dominios, cada uno de los
cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios
ofrecen varias ventajas:
Las directivas y la configuracin de seguridad (como los derechos administrativos y las listas de
control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad
de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organizacin.
Cada dominio almacena solamente la informacin acerca de los objetos que se encuentran ubicados
en ese dominio. Al crear particiones en el directorio, Directorio Activo puede ampliarse y llegar a
contener una gran cantidad de objetos.

Los dominios son las unidades de replicacin. Todos los controladores de dominio de un dominio determinado
pueden recibir cambios y replicarlos a los dems controladores del dominio.
Un nico dominio puede abarcar varias ubicaciones fsicas distintas o sitios Al utilizar un solo dominio se
simplifican mucho las tareas administrativas.
Para crear un dominio, debe promover uno o ms equipos que ejecuten Windows 2000 Server o Windows
Server 2008 a controladores de dominio. Un controlador de dominio proporciona servicios de directorio de
Directorio Activo a usuarios y equipos de la red, almacena datos del directorio y administra las operaciones
entre usuarios y dominios, incluidos los procesos de inicio de sesin, la autenticacin y las bsquedas en el
directorio. Cada dominio debe tener al menos un controlador de dominio.

rboles

Todos los dominios que comparten el mismo dominio raz forman un espacio de nombres contiguo llamado
rbol. El primer dominio de un rbol de dominio se denomina dominio raz.
Los dominios adicionales del mismo rbol de dominio son dominios secundarios. Un dominio que se
encuentra inmediatamente encima de otro dominio del mismo rbol se denomina dominio principal del dominio
secundario. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio
secundario ms el nombre del dominio principal.

En la figura 5.2, secundario.microsoft.com es un dominio secundario de microsoft.com y es el
dominio principal de secundario2.secundario.microsoft.com. El dominio microsoft.com es el dominio principal
de secundario.microsoft.com. Adems, es el dominio raz de este rbol.

Figura 5.2: Ejemplo de rbol de dominios

Los dominios de Windows 2000 y Windows Server 2008 que forman parte de un rbol estn unidos entre s
mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son
bidireccionales y transitivas, un dominio de Directorio Activo recin creado en un bosque o rbol de dominio
tiene establecidas inmediatamente relaciones de confianza con todos los dems dominios en ese bosque o
rbol de dominio. Estas relaciones de confianza permiten que un nico proceso de inicio de sesin sirva para
autenticar a un usuario en todos los dominios del bosque o del rbol de dominio. Sin embargo, esto no
significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del rbol de
dominio. Dado que un dominio es un lmite de seguridad, los derechos y permisos deben asignarse para cada
dominio.

Bosque

Un bosque est formado por varios rboles de dominio. Los rboles de dominio de un bosque no constituyen
un espacio de nombres contiguo. Por ejemplo, aunque dos rboles de dominio (microsoft.com y
microsoftasia.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de
esos dominios secundarios sern soporte.microsoft.com y soporte.microsoftasia.com. Es evidente que en este
caso no existe un espacio de nombres contiguo.



Figura 5.3: Ejemplo de bosque de dominios

Sin embargo, un bosque no tiene ningn dominio raz propiamente dicho. El dominio raz del bosque es el
primer dominio que se cre en el bosque. Los dominios raz de todos los rboles de dominio del bosque
establecen relaciones de confianza transitivas con el dominio raz del bosque. En la figura 5.3, microsoft.com
es el dominio raz del bosque. Los dominios raz de los otros rboles de dominio (microsofteuropa.com y
microsoftasia.com) tienen establecidas relaciones de confianza transitivas con microsoft.com. Estas relaciones
de confianza son necesarias para poder establecer otras entre todos los rboles de dominio del bosque. Al
utilizar bosques y rboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de
nombres contiguos y no contiguos. Esto puede ser til, por ejemplo, en el caso de compaas que tienen
divisiones independientes que necesitan conservar sus propios nombres DNS.

Estructura fsica

En el Directorio Activo, la estructura lgica est separada de la estructura fsica. La estructura lgica se usa
para organizar los recursos de la red y se usa la estructura fsica para configurar y administrar el trfico de
red. La estructura fsica del Directorio Activo est compuesta por sites y controladores de dominio.
Esta estructura define dnde y cuando ocurrir el trfico de logon y de replicacin. Entender los componentes
de la estructura fsica del Directorio Activo es importante para optimizar el trfico de red y el proceso de logon.
Esta informacin ayudar a resolver problemas con los loggins y con la replicacin.

Sitio

Un sitio es la combinacin de una o ms subredes IP conectadas en enlaces de alta velocidad. Esta definicin
permite configurar el acceso al Directorio Activo y la topologa de replicacin para que Windows 2000 y/o
Windows Server 2008 utilicen los enlaces ms eficientes y sincronice el trfico de replicacin y de logon.

Se crean Sitios por dos razones importantes:
Optimizar el trfico de replicacin.
Posibilitar a los usuarios conectarse con controladores de dominio usando una posible conexin de
alta velocidad.

Los Sitios mapean la estructura fsica de la red al igual que los dominios mapean la estructura lgica de la
correlacin. La estructura fsica y lgica del Directorio Activo son independientes una de la otra lo cual tiene
las siguientes consecuencias:
No hay correlacin entre la estructura fsica de la red y su estructura de dominio.
El Directorio Activo permite mltiples dominios en un solo sitio al igual que mltiples Sitios en un solo
dominio.


Figura 5.4: Ejemplo de Sitio dentro de dominios

Sitios y Servicios del Directorio Activo permite especificar la informacin de los Sitios. El Directorio Activo
utiliza esta informacin para determinar el mejor modo de utilizar los recursos de la red disponibles. Esto
aumenta la eficacia de los siguientes tipos de operaciones:
Solicitudes de servicio
Cuando un cliente solicita un servicio a un controlador de dominio, ste la dirige a un controlador de
dominio del mismo sitio, si hay alguno disponible. La seleccin de un controlador de dominio que est
conectado correctamente con el cliente que formul la solicitud facilita su tratamiento.
Replicacin
Los sitios optimizan la replicacin de informacin del directorio. La informacin de configuracin y de
esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre
todos los controladores de dominio del dominio. Al reducir la replicacin de forma estratgica,
igualmente se puede reducir el uso de la red. El Directorio Activo replica informacin del directorio
dentro de un sitio con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio
mejor conectados, es decir, aquellos que con ms probabilidad necesitarn informacin especial del
directorio, son los que primero reciben las replicaciones. Los controladores de dominio de otros sitios
reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se
reduce el consumo de ancho de banda de red.
Si una implementacin no se organiza en sitios, el intercambio de informacin entre controladores de dominio
y clientes puede ser catico. Los sitios mejoran la eficacia del uso de la red.

Controladores de Dominio

Los controladores del dominio son equipos que ejecutan Windows 2000 Server, Advanced Server o
Datacenter Server, o bien, Windows Server 2008 Standard Edition, Enterprise Edition y Datacenter Edition
donde se almacena una copia del directorio. Tambin administra los cambios del directorio y los replica a
otros controladores de dominio del mismo dominio. Los controladores de dominio almacenan los datos de
directorio administra el proceso de logon de los usuarios, autentificacin y bsquedas del directorio.
Un dominio puede tener uno o ms controladores de dominio. Una organizacin pequea que utilice una red
de rea local (LAN) puede necesitar nada mas que un solo dominio con dos controladores de dominio para
proporcionar la adecuada disponibilidad y tolerancia a fallos mientras que una compaa grande con muchas
localizaciones geogrficas necesitar uno o ms controladores de dominio en cada localizacin para
proporcionar tambin una adecuada disponibilidad y tolerancia a fallos requerido.

El Directorio Activo utiliza la replicacin multi-master, en la que ningn controlador de dominio es el
controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen una copia del
directorio. Cualquier controlador de dominio puede almacenar una copia del directorio con informacin
diferente durante cortos periodos de tiempo hasta que todos los controladores de dominio realicen una
sincronizacin de los cambios hechos en el Directorio Activo.
Para iniciar una sesin en una red del Directorio Activo, un cliente del Directorio Activo debe encontrar primero
un controlador de dominio del Directorio Activo para su dominio. Para encontrar un controlador de dominio
para un dominio especificado, un cliente del Directorio Activo enva una consulta de nombre DNS a sus
servidores DNS.

La respuesta del servidor DNS contiene los nombres DNS de los controladores de dominio y sus direcciones
IP. A partir de la lista de direcciones IP de los controladores de dominio, el cliente intenta entrar en contacto
con cada controlador de dominio para asegurarse de que est operativo. El primer controlador de dominio que
responde es el que se utiliza para el proceso de inicio de sesin.

Arquitectura del Directorio Activo

Almacn de datos

El servicio de directorio del Directorio Activo utiliza un almacn de datos para toda la informacin de directorio.
Este almacn de datos se suele denominar directorio. El directorio contiene informacin acerca de objetos
como usuarios, grupos, equipos, dominios, unidades organizativas y directivas de seguridad. Esta informacin
se puede publicar para que otros usuarios y administradores hagan uso de ella.
El directorio se almacena en controladores de dominio y las aplicaciones de red o los servicios tienen su
acceso concedido. Un dominio puede tener uno o varios controladores de dominio. Cada controlador de
dominio dispone de una copia del directorio en todo el dominio en el que est ubicado. Los cambios realizados
en el directorio en un controlador de dominio se replican al resto de los controladores en el dominio, el rbol
de dominios o el bosque. El Directorio Activo utiliza cuatro tipos diferentes de particiones de directorio para
almacenar y copiar distintas clases de datos. Las particiones de directorio contienen datos de dominio,
configuracin, esquema y aplicacin. Este diseo de almacenamiento y replicacin proporciona la informacin
de directorio a los usuarios y administradores de todo el dominio.
Los datos del directorio se almacenan en el archivo Ntds.dit del controlador de dominio. Se recomienda
almacenar este archivo en una particin NTFS. Los datos privados se almacenan de forma segura y los datos
pblicos del directorio se guardan en un volumen del sistema compartido, desde el que se pueden replicar a
otros controladores del dominio. Los datos de directorio replicados entre controladores de dominio incluyen la
informacin siguiente:
Datos del dominio
Los datos del dominio contienen informacin acerca de los objetos de un dominio. Se trata de
informacin como contactos de correo electrnico, atributos de cuentas de usuarios y equipos, as
como recursos publicados que son de inters para administradores y usuarios.
Por ejemplo, cuando una cuenta de usuario se agrega a la red, un objeto de la cuenta de usuario y sus
atributos se almacenan en los datos de dominio. Cuando se producen cambios en los objetos de
directorio de la organizacin, como puede ser la creacin de un objeto, su eliminacin o la modificacin
de los atributos, estos datos se almacenan en los datos de dominio.
Datos de configuracin
Los datos de configuracin describen la topologa del directorio. Estos datos de configuracin incluyen
una lista de todos los dominios, rboles y bosques, as como las ubicaciones de los controladores de
dominio y los catlogos globales.
Datos de esquema
El esquema es la definicin formal de todos los datos de objetos y atributos que se pueden almacenar
en el directorio. Los controladores de dominio que ejecutan Windows Server 2008 incluyen un
esquema predeterminado que define muchos tipos de objetos, como cuentas de usuarios y equipos,
grupos, dominios, unidades organizativas y directivas de seguridad. Los administradores y los
programadores pueden ampliar este esquema mediante la definicin de nuevos tipos de objetos y
atributos o bien con la adicin de atributos nuevos para los objetos existentes. Los objetos del
esquema estn protegidos por listas de control de acceso, lo que asegura que slo los usuarios
autorizados puedan modificar el esquema.
Datos de aplicacin
Los datos almacenados en la particin de directorio de aplicaciones son de utilidad en aquellos casos
en los que se necesita replicar la informacin, pero no forzosamente a escala global. De manera
predeterminada, las particiones de directorio de aplicaciones no forman parte del almacn de datos del
directorio. El administrador es el encargado de crearlas, configurarlas y administrarlas.

Las cuotas, una nueva caracterstica de los controladores de dominio que ejecutan Windows Server 2008,
determinan el nmero de objetos que un principal de seguridad puede poseer en una particin de directorio
determinada. (El propietario del objeto suele ser su creador, pero esto no siempre es as). Las cuotas ayudan
a evitar la denegacin de servicio que puede ocurrir si un principal de seguridad crea objetos, accidental o
intencionalmente, hasta que el controlador de dominio afectado ya no tiene ms espacio para el
almacenamiento.

Las cuotas se especifican y se administran independientemente para cada particin de directorio. Sin
embargo, la particin de esquema no tiene cuotas. En una particin de directorio determinada, puede asignar
cuotas para cualquier principal de seguridad, incluidos los usuarios, los equipos y los grupos. Las cuotas no se
aplican a los miembros de los grupos Administradores del dominio y Administradores de organizacin. En
algunos casos, un principal de seguridad puede estar cubierto por mltiples cuotas. Por ejemplo, a un usuario
puede asignrsele una cuota individual y al mismo tiempo este usuario puede pertenecer a uno o a varios
grupos de seguridad que tambin tengan cuotas asignadas. En estos casos, la cuota efectiva es el nmero
mximo de cuotas asignadas al principal de seguridad.
Si un principal de seguridad no est asignado a una cuota directamente o mediante una pertenencia a grupos,
una cuota predeterminada de la particin controla el principal de seguridad. Si no establece explcitamente la
cuota predeterminada en una particin concreta, la cuota predeterminada de dicha particin no tiene lmite
(por ejemplo, no hay lmite).

El siguiente ejemplo muestra cmo puede utilizar las cuotas. Suponga que tiene el dominio
"sales.northwindtraders.com". Puesto que este dominio admite una gran cantidad de actividades de impresin,
el dominio contiene varios servidores de impresin y cada uno de ellos admite 1.000 o ms colas de
impresin. Inicialmente, la cuota predeterminada de la particin del dominio sales.northwindtraders.com es
ilimitada. Para controlar el nmero de objetos creados y propios, el administrador especifica una cuota
predeterminada de 500. Ahora,
cada usuario puede disponer de un mximo de 500 objetos en la particin. Puesto que las colas de impresin
son objetos de directorio creados y propiedad de sus respectivos servidores de impresin, la nueva cuota
predeterminada de 500 limita cada servidor de impresin a 500 colas de impresin. Para eliminar esta
restriccin, el administrador crea un grupo denominado "Servidores de impresin" y agrega la cuenta del
equipo de cada servidor de impresin al grupo. A continuacin, el administrador especifica una cuota de 2.000
para el grupo Servidores de impresin. Ahora, cada servidor de impresin admite su nmero original de colas
de impresin mientras que la cuota predeterminada sigue impidiendo la creacin excesiva de objetos por parte
del resto de los principales de seguridad. Slo los controladores de dominio que ejecuten Windows Server
2008 pueden aplicar cuotas.

Las cuotas slo se aplican en operaciones de directorio iniciales; las cuotas no se aplican en operaciones
replicadas. Para que las cuotas sean totalmente operativas en una particin de directorio determinada, todos
los controladores de dominio que contienen una copia modificable de dicha particin deben ejecutar Windows
Server 2008. Por lo tanto, para que las cuotas sean eficaces en una particin de directorio de dominio, todos
los controladores de dominio de ese dominio deben ejecutar Windows Server 2008. Para que las cuotas sean
eficaces en la particin de configuracin, todos los controladores de dominio del bosque deben ejecutar
Windows Server 2008.

Esquema del Directorio Activo

El esquema del Directorio Activo contiene las definiciones de todos los objetos del directorio. Cada objeto de
directorio nuevo que crea se valida mediante la definicin de objeto adecuada del esquema antes de
escribirse en el directorio. El esquema consta de clases de objeto y atributos. El esquema base (o
predeterminado) contiene un extenso conjunto de clases de objeto y atributos con los que se cumplen las
necesidades de la mayora de las organizaciones y se modela siguiendo el estndar X.500 de la International
Standards Organization (ISO) para los servicios de directorio. Dado que es ampliable, puede modificar y
agregar clases y atributos al esquema base. No obstante, debe tener muy en cuenta cada cambio aplicado, ya
que la ampliacin del esquema afecta a toda la red.

En el esquema, una clase de objeto representa una categora de objetos de directorio (como usuarios,
impresoras o aplicaciones) que comparten un conjunto de caractersticas comunes. La definicin de cada
clase de objeto contiene una lista de los atributos de esquema que se puede utilizar para describir instancias
de la clase. Por ejemplo, la clase Usuario tiene atributos como givenName, surname y streetAddress. Al crear
un nuevo usuario en el directorio, aqul se convierte en una instancia de la clase Usuario y la informacin de
usuario especificada se convierte en instancias de los atributos.

Cada bosque slo puede contener un esquema, que se almacena en la particin de directorio del esquema.
La particin de directorio del esquema, junto con la particin de directorio de configuracin, se replica a todos
los controladores de dominio de un bosque. Sin embargo, un solo controlador de dominio, el maestro de
esquema, controla la estructura y contenido del esquema.

Para mejorar el rendimiento en las operaciones de esquema (como la validacin de nuevos objetos), cada
controlador de dominio conserva una copia del esquema en memoria (adems de la copia que guarda en
disco). Esta versin residente en cach se actualiza automticamente (despus de un pequeo intervalo de
tiempo) cada vez que se actualiza el esquema.
Como cada objeto del Directorio Activo, los objetos de esquema se protegen contra usos no autorizados
mediante listas de control de acceso (ACL). De forma predeterminada, slo los miembros del grupo
Administradores de esquema tienen acceso de escritura al esquema. Por tanto, para ampliar el esquema debe
ser miembro de dicho grupo. El nico miembro predeterminado del grupo Administradores de esquema es la
cuenta de administrador del dominio raz del bosque. Debe restringir la pertenencia al grupo Administradores
de esquema, porque si ampla el esquema de forma inadecuada, puede tener serias consecuencias para la
red.

El catlogo global
Un catlogo global es un controlador de dominio que almacena una copia de todos los objetos del Directorio
Activo de un bosque. En el catlogo global se almacena una copia completa de todos los objetos del directorio
para su dominio host y una copia parcial de todos los objetos de los dems dominios del bosque, segn se
muestra figura 5.5.

Figura 5.5: Ejemplo de Catlogo Global

Las copias parciales de todos los objetos de dominio incluidas en el catlogo global son las ms utilizadas en
las operaciones de bsqueda de los usuarios. Estos atributos se marcan para su inclusin en el catlogo
global como parte de su definicin de esquema. El almacenamiento de los atributos ms buscados de todos
los objetos de dominio en el catlogo global ofrece a los usuarios bsquedas ms efectivas sin afectar al
rendimiento de la red con referencias innecesarias a controladores de dominio.
Se puede agregar o quitar en el catlogo global de forma manual otros atributos de objetos mediante el
complemento Esquema del Directorio Activo.
En el controlador de dominio inicial del bosque se crea automticamente un catlogo global. Se puede
agregar funcionalidad del catlogo global a otros controladores de dominio, o cambiar su ubicacin
predeterminada a otro controlador de dominio.

El catlogo global realiza las siguientes funciones de directorio:
Busca objetos
El catlogo global permite al usuario realizar bsquedas de informacin del directorio en todos los
dominios de un bosque, independientemente de la ubicacin de los datos. Las bsquedas dentro de un
bosque se efectan con la mxima velocidad y un mnimo de trfico de red.
Proporciona la autenticacin de nombre principal de usuario
El catlogo global resuelve los nombres principales de usuarios (UPN) cuando el controlador de
dominio de autenticacin no tiene conocimiento de la cuenta. Por ejemplo, si una cuenta de usuario se
encuentra en ejemplo1.upm.es y el usuario decide iniciar la sesin con el nombre principal de usuario
usuario1@ejemplo1.upm.es desde un equipo ubicado en ejemplo2.upm.es, el controlador de dominio
de ejemplo2.upm.es no podr encontrar la cuenta del usuario, por lo que tendr que establecer
contacto con un catlogo global para completar el proceso de inicio de sesin.
Proporciona informacin de pertenencia al grupo universal en un entorno de
dominios mltiples
A diferencia de la pertenencia al grupo global, que se almacena en cada dominio, la pertenencia al
grupo universal slo se almacena en un catlogo global. Por ejemplo, si un usuario que pertenece a un
grupo universal inicia la sesin en un dominio configurado en el nivel funcional de dominio nativo de
Windows 2000 o superior, el catlogo global proporciona la informacin de pertenencia al grupo
universal de la cuenta del usuario en el momento en que ste inicia la sesin en el dominio. Si un
catlogo global no est disponible en el momento en que el usuario inicia la sesin en un dominio
configurado en el nivel funcional nativo de Windows 2000 o superior, el equipo utilizar las
credenciales almacenadas en cach para iniciar la sesin, si el usuario la inici anteriormente. Si el
usuario no haba iniciado antes una sesin en el dominio, solamente podr iniciar una sesin en el
equipo local. Sin embargo, si el usuario pertenece al grupo Administradores de dominio, siempre podr
iniciar la sesin en el dominio, aunque no est disponible ningn catlogo global.
Valida las referencias a objetos dentro de un bosque
Los controladores de dominio utilizan el catlogo global para validar las referencias a objetos de otros
dominios del bosque. Si un controlador de dominio incluye un objeto de directorio con un atributo que
contiene una referencia a un objeto de otro dominio, esta referencia se validar mediante un catlogo
global.

Relaciones de confianza

Una confianza entre dominios es una relacin que se establece entre dominios y que permite a los usuarios
de un dominio ser autenticados por un controlador de dominio de otro dominio. Todas las relaciones de
confianza entre dominios tienen lugar entre dos dominios: el dominio que confa y el dominio en el que se
confa.
Las solicitudes de autenticacin siguen una ruta de confianza. Una ruta de confianza es la serie de relaciones
de confianza que deben seguir las solicitudes de autenticacin entre dominios.
Para que un usuario pueda tener acceso a un recurso de otro dominio, la seguridad de Windows 2000 y
Windows Server 2008 deben determinar si el dominio que confa (el dominio que contiene el recurso al que el
usuario intenta obtener el acceso) tiene una relacin de confianza con el dominio en el que se confa (el
dominio donde inicia la sesin el usuario). Para determinarlo, el sistema de seguridad de Windows 2000 y
Windows Server 2008 calculan la ruta de confianza entre un controlador de dominio del dominio de confianza
y un controlador de dominio del dominio en el que se confa. En la figura 5.6, las rutas de confianza aparecen
indicadas mediante flechas que muestran la direccin de la confianza.

Figura 5.6: Rutas de confianza entre dominios

En la figura 5.6, las confianzas se indican mediante una flecha, que seala al dominio en el que
se confa.
En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la
confianza y la relacin de confianza era de un solo sentido. En versiones de Windows 2000 y Windows
Server 2008, todas las confianzas son transitivas y de dos sentidos Los dominios de una relacin de confianza
confan el uno en el otro de forma automtica.

Figura 5.7: Relaciones de confianza entre dominios

Como se muestra en la ilustracin, esto supone que si el dominio A confa en el dominio B y ste confa en el
dominio C, los usuarios del dominio C, cuando se les concedan los permisos correspondientes, podrn tener
acceso a los recursos del dominio A. Cuando un controlador de dominio autentica a un usuario, no implica el
acceso a ningn recurso de ese dominio. Esto slo viene determinado por los derechos y permisos que el
administrador del dominio concede a la cuenta de usuario para el dominio que confa.


Direccin de las relaciones de confianza

Confianza unidireccional
Una confianza unidireccional es una sola relacin de confianza, en la que el dominio A confa en el dominio B.
Todas las relaciones unidireccionales son intransitivas y todas las intransitivas son unidireccionales. Las
solicitudes de autenticacin slo se pueden transmitir desde el dominio que confa al dominio en el que se
confa. Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y ste la tiene
con el dominio C, el dominio A no tiene una relacin de confianza con el dominio C.
Un dominio de Directorio Activo puede establecer una confianza unidireccional con:
Los dominios de Directorio Activo de un bosque diferente
Los dominios de Windows NT 4.0

Confianza bidireccional
Todas las confianzas entre dominios de un bosque de Windows 2000 y/o Windows Server 2008 son
confianzas transitivas bidireccionales. Cuando se crea un nuevo dominio secundario, automticamente se
crea una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio principal. En una
confianza bidireccional, el dominio A confa en el dominio B y el dominio B confa en el A. Esto significa que
las solicitudes de autenticacin se pueden transmitir entre dos dominios en ambas direcciones. Para crear una
confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre los dominios implicados.

Transitividad de las relaciones de confianza

Confianza transitiva
Todas las confianzas entre dominios de un bosque de Windows 2000 y/o Windows Server 2008 son
transitivas. Las relaciones de confianza transitiva son siempre bidireccionales. Ambos dominios de la relacin
confan el uno en el otro.
Una relacin de confianza transitiva no est limitada por los dos dominios de la relacin. Siempre que se crea
un nuevo dominio secundario, implcitamente (es decir, automticamente) se crea una relacin de confianza
transitiva bidireccional entre el dominio principal y el nuevo dominio secundario. De esta forma, las relaciones
de confianza transitivas fluyen hacia arriba a travs del rbol de dominios a medida que ste se forma, con lo
que se crean relaciones de confianza transitivas entre todos los dominios del rbol de dominios.
Cada vez que se crea un rbol de dominios en un bosque, se forma una relacin de confianza transitiva
bidireccional entre el dominio raz del bosque y el nuevo dominio (la raz del nuevo rbol de dominios). Si no
se agrega ningn dominio secundario al dominio nuevo, la ruta de confianza est entre este nuevo dominio
raz y el dominio raz del bosque. Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un
rbol de dominios, la confianza fluye hacia arriba a travs del rbol de dominios hasta el dominio raz del rbol
de dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raz del dominio y el
dominio raz del bosque. Si el nuevo dominio agregado al bosque es un solo dominio raz, es decir, no tiene
dominios secundarios, o un rbol de dominios, la ruta de confianza se extiende desde el dominio raz del
bosque hasta cualquier otro dominio raz del bosque. De esta forma, las relaciones de confianza transitivas
fluyen a travs de todos los dominios del bosque. Las solicitudes de autenticacin siguen estas rutas de
confianza y de este modo las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro.
Con un solo proceso de inicio de sesin, las cuentas que poseen los permisos adecuados pueden tener
acceso a los recursos en cualquier dominio del bosque.

La figura 5.8 muestra cmo las relaciones de confianza transitivas fluyen a travs de todos los dominios del
bosque.

Figura 5.8: Relaciones de confianza transitiva en un bosque de dominios

Puesto que el dominio 1 tiene una relacin de confianza transitiva con el dominio 2 y ste la tiene con el
dominio 3, los usuarios del dominio 3 (una vez obtenidos los permisos necesarios) pueden tener acceso a los
recursos del dominio 1. Y, puesto que el dominio 1 tiene una relacin de confianza transitiva con el dominio A
y los otros dominios del rbol de dominios del dominio A la tienen con el dominio A, los usuarios del dominio B
(una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 3. Igualmente,
puede crear de forma explcita (manualmente) confianzas transitivas entre los
dominios de Windows 2000 y/o Windows Server 2008 del mismo rbol o bosque de dominios.
Estas relaciones de confianza de acceso directo se pueden utilizar para acortar la ruta de confianza en
rboles o bosques de dominios grandes y complejos.
Las confianzas transitivas slo pueden existir entre dominios de Windows 2000 y/o Windows Server 2008 del
mismo bosque. Debido a la necesidad de este flujo de confianzas, no es posible tener relaciones intransitivas
entre dominios del mismo bosque.

Confianza intransitiva

Una confianza intransitiva est limitada por los dos dominios de la relacin y no fluye a cualquier otro dominio
del bosque. En la mayor parte de los casos, debe crear las confianzas intransitivas explcitamente.
Todas las relaciones de confianza entre los dominios de Windows 2000, Windows Server 2008 y los de
Windows NT son intransitivas. Al actualizar Windows NT con Windows 2000 o Windows Server 2008, todas
las confianzas existentes en Windows NT permanecen intactas. En un entorno en modo mixto, todas las
confianzas de Windows NT son intransitivas.
De forma predeterminada, las confianzas intransitivas son unidireccionales, aunque tambin se puede crear
una relacin bidireccional si se crean dos unidireccionales. Todas las relaciones de confianza establecidas
entre dominios de Windows 2000 y/o Windows Server 2008 que no pertenecen al mismo bosque son
intransitivas.
En resumen, las confianzas intransitivas son la nica forma de relacin de confianza posible entre:
Un dominio de Windows 2000 y un dominio de Windows NT.
Un dominio de Windows 2000 y/o Windows Server 2008 de un bosque y un dominio de Windows
2000 y/o Windows Server 2008 de otro.

Tipos de relaciones de confianza
Los dos tipos de relaciones de confianza predeterminada se describen en la tabla



Tabla 5.1: Relaciones de confianza predeterminadas














Adems de las relaciones de confianza predeterminada, se pueden establecer otros cuatro tipos de confianza
con el Asistente para nueva confianza, tal y como se muestran en la tabla 5.2.



Tabla 5.2: Otros tipos de Relaciones de confianza



Figura 5.9: Relaciones de confianza de acceso directo en un bosque de dominios

Como se muestra en la figura 5.9, puede crear una confianza de acceso directo entre dominios del nivel medio
de dos rboles de dominio para acortar la ruta de confianza entre dos dominios de Windows 2000 y/o
Windows Server 2008 de un bosque y optimizar el proceso de autenticacin de Windows 2000 y/o Windows
Server 2008.