Está en la página 1de 47

2012

Apuntes para la
preparacin del examen
70-642
Configuracin de Infraestructura de red
Windows Server 2008
Eduardo Torres Cobos hace constar que es titular intelectual de la obra
denominada Apuntes para la preparacin del examen 70-642.
Configuracin de Infraestructura de red Windows Server 2008".Al reutilizar,
reproducir, transmitir y/o distribuir LA OBRA se debe reconocer y dar crdito
de autora de la obra intelectual en los trminos especificados por el propio
autor, y el no hacerlo implica el trmino de uso de esta licencia para los
fines estipulados. Este ebook est registrado bajo Licencia de Creative
Commons http://creativecommons.org/licenses/by/3.0/

MCTS 70-642

Pgina 2


1. - CONFIGURAR IP ................................................................................................................... 3
1.1.- IPV4 ................................................................................................................................... 3
1.2.- IPv6 .................................................................................................................................. 13
2.- CONFIGURAR LA RESOLUCIN DE NOMBRE .......................................................................... 17
2.1.- LLMNR ............................................................................................................................. 17
2.2.- NET BIOS.......................................................................................................................... 17
2.3.- DNS .................................................................................................................................. 19
2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS .................................................. 19
2.3.2.-PROPIEDADES DE UN SERVIDOR DNS ....................................................................... 20
2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS ......................................................... 21
2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS ............................................ 21
4.- DHCP ...................................................................................................................................... 26
5.- CONFIGURAR EL ENRUTAMIENTO IP ..................................................................................... 28
6.- VPN ......................................................................................................................................... 30
7.- IPSEC ....................................................................................................................................... 35
8.- NAP ......................................................................................................................................... 37
9.- ACTUALIZACIONES ................................................................................................................. 41
10.- MONITORIZACIN ................................................................................................................ 43
11.-ADMINISTRACIN DE ARCHIVOS .......................................................................................... 44
12.- IMPRESORAS ........................................................................................................................ 47









MCTS 70-642

Pgina 3


1. - CONFIGURAR IP
- Para hacer que un PC que ejecuta Windows XP aparezca en el mapa de red, hay que
instalar el respondedor LLTD en dicho PC
- El uso compartido de archivos habilita el PING, ya que crea excepciones en el Firewall
para el Protocolo para el Control de Mensajes en Internet (ICMP)
- TRUCO DE EXAMEN: Cuando dos ordenadores clientes pueden verse pero no se
pueden conectar a nada ms de la red (o de Internet), sospechar de APIPA. O bien hay
un problema con el servidor DHCP de la red o hay una conexin daada con el servidor
DHCP
- Cuando una conexin se configura para que obtenga una direccin automticamente y
no hay disponible un servidor DHCP, esta conexin se asignar de forma
predeterminada una direccin en forma 169.254.x..y. Tambin puede definir una
configuracin alternativa que se asignar la conexin en ausencia de un servidor DHCP
- Para probar conectividad de red: Ipconfig, Ping, Tracert, Pathping y Arp
1.1.- IPV4

Estrategias para racionalizacin direcciones IPs
- Clases
- NAT
o Direcciones privadas
o Direcciones publicas
- Mascaras
o Subnetting
o Supernetting
255.255.0.0 11111111.11111111.00000000.00000000
1 Forma parte del identificativo de red
0 Forma parte del identificativo de host
Ej: IP 192.168.3.2 Mascara 255.255.255.0
ID de red 192.168.3.0 ID de host: 2 192.168.3.2
Ej: IP 172.16.17.2 Mascara 255.255.0.0
ID de red 172.16.0.0 ID de host: 17.2 192.168.17.2
Para identificar de que clase es la red sin la mscara en binario:
Ej: 172..16.17.2
Se puede ver por el 172. Lo pasamos a binario (172 es 10101100, si fuesen menos de 8 dgitos
se rellena con 0 a la izquierda). Vemos que empieza por 10, por lo tanto es clase B
MCTS 70-642

Pgina 4


------------------------------------------------------------------------------------------------------------------------------
EJERCICIO: Ahora hay 250 equipos. Se est utilizando el rango de red 192.168.3.0 con
mscara 255.255.255.0. Meten 20 equipos nuevos podr instalarlos dentro de la red sin
comprar nada ms?
SOLUCION: En esta red podremos tener 254 equipos, ya que la parte de mscara
255.255.255.0 indica que 255.255.255 es el ID de red, nos quedaran 254 host
La solucin es hacer supernetting. Agregamos 0 a la mscara. Actualmente la mscara es
11111111.11111111.11111111.00000000 (255.255.255.0). La cambiamos a
11111111.11111111.00000000.00000000 (255.255.0.0) y as podremos meter 254 equipos
ms

CIDR
Podemos obtener la mscara de la siguiente manera
192.168.5.0 / 24 Significa que tiene 24 unos, quiere decir
11111111.11111111.11111111.00000000 (255.255.255.0)
IP 192.16.5.3 con mscara 255.255.0.0 sera 192.16.5.3 / 16 porque 255.255.0.0 es
11111111.11111111.00000000.00000000 (16 unos)
VALORES POSIBLES DE UNA MASCARA
Todos los ceros o unos tienen que ir seguidos. Ej: 11111111.1010000.00000000.000000000
nunca podra ser una mscara, ya que lleva unos y ceros intercalados
Los nicos dgitos que valen para una mscara son:
00000000 0
10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
MCTS 70-642

Pgina 5


255.0.255.0 no es vlida por que en binario es 11111111.00000000.11111111.00000000. Tiene
unos y ceros intercalados, por lo que no es una mscara vlida


Dos equipos se ven si forman parte del mismo ID de red
Ejemplo1:
IP: 173.20.2.1 Mas: 255.255.0.0 IP:173.20.3.1 Mas:255.255.0.0 IP:172.21.3.1 Mas: 255.255.0.0
Se ven el primero y el segundo porque estn en el mismo ID de red (173.20.0.0) y el ltimo no
(172.21.0.0)
Ejemplo2:
IP1: 173.20.2.1/15 IP2: 173.20.3.1/15 IP3:173.21.3.1/15
IP1: 10101101.00010100.00000010.00000001
Mascara1: 11111111.11111110.00000000.00000000
Id red1: 173.20.0.0
El Id de red se obtiene haciendo un and entre el 00010100 y el 11111110. Sale 00010100 (es
20)
IP2: 173.20.3.1
Mascara2: 255.254.0.0
Id red2: 173.20.0.0
El Id de red se obtiene haciendo un and entre el 254 y el 20 (habindolo pasado a binario
antes). En este caso sale 20
IP3:173.21.3.1
Mascara3: 255.254.0.0
Id red3: 173.20.0.0
EXCEPCIONES IPV4
- No utilizar el rango 127.0.0.0/8
- No se puede utilizar todo ceros o todo unos en la parte de host. Todos ceros es el
identificativo de red y todo unos es la direccin de Broadcast. Ej. 192.168.3.0/24 tiene
como id de red 192.168.3.0 y de direccin de Broadcast 192.168.3.255
- Rango APIPA 169.254.0.1/16
- 0.0.0.0
MCTS 70-642

Pgina 6


PROTOCOLOS IPV4
ARP En la capa de Red nos encontramos con el protocolo ARP. Este protocolo pasa
de la MAC a la IP y de la IP a la MAC
Con la MAC vamos a trabajar siempre en base 16. (0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F)
. Ej: 4A es en vinario 0100 1010 y en decimal 4,10
Con el comando arp a vemos los equipos con los que nos hemos conectado por MAC
Ej: hago ping a 192.16.20.13

Ahora hago arp a

Me aparece su equipo con su MAC, as como los dems dispositivos que se han conectado con
mi equipo. (mi IP es 192.16.20.16)
El comando arp es para entornos de rea local. No traspasa router
MCTS 70-642

Pgina 7


TTL Es el tiempo de vida
TRACERT Te dice el nmero de routers por los que pasa antes de llegar a la
direccin
Hacemos un tracert a www.google.com

En este caso vemos que ha pasado por 10 routers
PATHPING Calcula el porcentaje de paquetes perdidos en el envo total. Hacemos
un pathping a www.google.com

MCTS 70-642

Pgina 8



Vemos los porcentajes de paquetes que ha perdido al pasar por cada router. Vemos en
algunos casos que se han perdido el 100% de los paquetes en algunos casos. Si esto fues
verdad no habra conexin. Seguramente tengan deshabilitado el IGMP
SUBNETING
Una red dividida en varias
- Optimizacin
- Seguridad
- Elevado nmero de equipos
El objetivo es obtener los rangos de direcciones as como obtener una mscara adecuada.
Objetivos:
- Obtener la nueva mscara
- Obtener los rangos de direccin
Ejemplo. De la red 172.16.0.0/16 puedo sacar 254 subredes tipo 172.16.1.0/24;172.16.2.0/24;
172.16.3.0/24;172.16.4.0/24; etc
Un subneting consiste en agregar unos a la mscara y eliminar ceros a la mscara
OBTENER NUEVA MSCARA

EJERCICIO: Cuntos equipos podemos instalar en la red 192.168.8.0/23?
SOLUCION:
Mascara: 255.255.254.0
Hay 23 unos en la mscara. Una direccin de red tiene 32 posiciones
32-23 = 9 ceros 2
9
2
*
510 IPs disponibles
*
Hay que quitarle 2 siempre
EJERCICIO: Cuntos equipos podemos instalar en la red 172.16.16.0/22?
Mascara: 255.255.252.0
SOLUCION:
Hay 22 unos en la mscara. Una direccin de red tiene 32 posiciones
32-22 = 10 ceros 2
10
2
*
1022 IPs disponibles
*
Hay que quitarle 2 siempre
MCTS 70-642

Pgina 9



Pasos a seguir:
1.- Obtener la nueva mscara de red
2.- Comprobar que el nmero de host es soportado por la nueva mscara

EJERCICIO: Te dan la red 128.1.0.0/16. Tienes que meter 5000 equipos y obtener 3 subredes
SOLUCION:
1.- 2
n
-2 >= 3, donde n es el nmero de unos que voy a agregar a la mscara y 3 es el nmero de
subredes que nos piden
En este caso el menor nmero que puede ser n es 3 2
3
-2>=3
La mscara sera 16+3=19
2.- 32unos 19unos = 13 ceros 2
13
-2 = 8192>= 5000
EJERCICIO: Tenemos 192.168.3.0/24. Se quieren obtener 5 redes de 30 equipos cada una
SOLUCION:
1.- Obtener mscara:
2
0
-2=1 no es >=5
2
1
-2=0 no es>=5
2
2
-2=2 no es >=5
2
3
-2=6>=5 3 es el nmero de unos que hay que agregarle a la mscara
Es /24, le sumamos 3 27. Las subredes seran /27 (255.255.255.224)
32 27= 5 Le sumamos 5 ceros a la mscara 2
5
-2= 30 Justo podramos poner 30
equipos por subred
EJERCICIO: Tenemos 125.0.0.0/8. Se quieren obtener 600 redes de 7000 Host cada una
SOLUCION:
1.- Obtener mscara:
2
10
-2=1022 >= 600 --> 10 es el nmero de unos que hay que agregarle a la mscara
Es /8, le sumamos 10 18. Las subredes seran /18 (255.255.192.0)
32-18=14 ceros Le sumamos 4 a la mscara 2
14
-2= 16382 equipos
MCTS 70-642
Pgina
10


OBTENER LOS RANGOS DE DIRECCIN
EJERCICIO: Tenemos 128.1.0.0/16. Se quieren obtener 3 subredes de 5000 puestos cada uno
SOLUCION:
La mscara ya la hemos obtenido en el primer ejercicio. Sera 255.255.224.0 (se agregaron 3
bits)
1.- Tabla con el nmero de unos que agrego a la mscara:
2
3
=8 . Son ocho valores:
0 000
1001
2010
3011
4100
5101
6110
7111
Como estamos utilizando RFC 1878, eliminamos 2 (por eso en los ejercicios anteriores hemos
restado 2 a 2
n
). Por lo tanto nos quedaran:
1001
2010
3011
4100
5101
6110
Para sacar los rangos, la parte 128.1 NO SE TOCA


La primera direccin del primer rango sera
01000000.00000001.00100000.0000001 (128.1.32.1)
MCTS 70-642
Pgina
11


La ltima direccin del primer rango sera
01000000.00000001.00111111.11111110 (128.1.63.254)
La primera direccin del ltimo rango sera:
01000000.00000001. 11000000.00000001 (128.1.192.1)
La ltima direccin del ltimo rango sera:
01000000.00000001. 11011111.11111110 (128.1.223.254)
EJERCICIO
Tenemos la red 125.0.0.0/8
1.- Calcular la mascara 600 subredes de 7000 host
2.- Calcular primer y ultimo rango
SOLUCION
1.- 2
n
-2 >= nmero de redes
2
10
2 >=600
Sumo 10 unos. 10+8 = 18
CIDR /18. Notacin decimal 255.255.192.0
N host por red: 32bits totales 18 unos de la mascara= 14 2
14
-2= 16382 >= 7000
- Mtodo cientfico para sacar los unos que hay que agregar a l a mascara

n>=ln(x+2)/ln2

n nmero de unos
ln logaritmo neperiano
x nmero de subredes que queremos sacar
2 es dos, esto nunca vara
2.- Sera de 0000000000 a 1111111111 (de 0 a 1023 en decimal). Estos dos los quitamos, por
ser el primero y el ltimo
Primer rango:
Se le hace un and con 0000000001 que es la primera posicin y a que la 0000000000 la hemos
quitado
125.00000000.01000000.0000000001
125.00000000.01111111.11111111
MCTS 70-642
Pgina
12


La parte en negrita es el and entre la ip y la primera posicin (0000000001)
Ultimo rango:
Se le hace un and con 1111111110 ya que hemos quitado el ltimo 1111111111
125.11111111.10000000.00000001
125.11111111.10111111.11111110
La parte en negrita es el and entre la ip y la ultima posicin (1111111110)
Ejercicio 15 de la fotocopia
a)255.255.192.0
las mscaras de clase A son por defecto 255.0.0.0
Lo que se ha agregado en este caso a la clase A es 255.192 11111111.1100000 (tengo 10
unos)
2
10
-2 = 1022 redes
EJERCICIO
Tenemos la red 172.30.0.0/16
1) Calcular 50 redes de 1000 host cada una
2) Calcular los 5 primeros rangos
3) Cuntas direcciones IP se han perdido por la segmentacin?
4) Completar el esquema de red
EJERCICIO
Si tenemos la red 192.168.0.0/24 y tenemos 250 host. Se han adquirido 514 equipos solucin
ms barata y con menos carga administrativa? Razonar respuesta y otras alternativas
SUPERNETTING
Se trata de fusionar dos redes
Ej. Tenemos las redes 192.168.193.0/24 y 192.168.201.0/24. Las podramos fusionar con la
mscara /16, ya que el ID de red quedara 192.168.0.0, o con la mscara /8, ya que el ID de red
quedara 192.0.0.0 pero lo que tenemos que buscar es la mscara ideal
Lo haremos de la siguiente manera:
192.168.193.0 = 11000000.10101000.11000000.00000000
192.168.201.0=11000000.10101000.11001001.00000000
La parte en negrita es igual
MCTS 70-642
Pgina
13


Para sacar la mscara, ponemos la parte en negrita como unos y el resto como ceros, por lo
tanto saldra:
11111111.11111111.11110000.00000000 255.255.240.0

No se podra hacer supernetting entre dos redes que no empiecen igual. Ej
10.10.0.0/16 00001010.00001010.00000000.00000000
y
172.16.0.0/16 10101100.00010000.00000000
No coincide el primer octeto, no se puede hacer supernetting

1.2.- IPv6

Es un protocolo que sustituye a IPv4 en la capa de internet. Lo dems es igual
Aplicacin HTTP FTP SMTP DNS POP3 SNMP
Transporte TCP UDP
Internet IPv4 IPv6
Enlace/Fsico Ethernet Token Ring
Frame
Relay
ATM

- Las direcciones IPv6 tienen 128 bits, a diferencia de los 32 bits de IPv4
- Se muestra en hexacedimal
- Se puede utilizar la compresin de ceros
- Utiliza prefijo para determinar la parte de red (no utiliza mscaras)
o Nomenclatura_: Son 128 bits en bloques de 16, por lo que son 8
posiciones:1:2:3:4:5:6:7:8







MCTS 70-642
Pgina
14


Nomenclatura
No se trabaja en base decimal, se trabaja en base hexadecimal (base16)
HEXADECIMAL BINARIO DECIMAL
0 0000 0
1 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
A 1010 10
B 1011 11
C 1100 12
D 1101 13
E 1110 14
F 1111 15

Importante: La direccin retroalimentada en IPv6 es ::1 (simplificada), para IPv4 es 127.0.0.1
- Ejemplo de simplificacin
2001:0000:0000:2F3B:0000:0000:FE28:095A
Simplificada sera 2001::2F3B:0:0:FE28:95A 2001:0:0:2F3B::FE28:95A
No valdra 2001::2F3B::FE28::95A porque el sistema no sabe que has simplificado. Slo puedes
simplificar una parte

Ejemplo de IPv6:
2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A/64
64 entre 16 son 6, por lo que quiere decir que las cuatro primeras posiciones son el ID de red y
el resto el ID de host
2001:0DB8:0000:0000 ID de red
02AA:00FF:FE28:9C5A ID de host
- Direccionamiento IPv6 incluye:
o Unicast: Equivalente a unicast IPv4
o Multicasts: Tipo unicast adicional
o Anycast: Equivalente a multicast IPv4
MCTS 70-642
Pgina
15



- Neighbor Discovery: Sustituye a ARP, es un conjunto de mensajes y procesos para
determinar la relacin entre los nodos vecinos

- Direccionamiento Unicast IPv6
o Direccionamiento Global : Se utilizan en redes pblicas
o Direccionamiento Link-Local : Son enrutables, pero solo para redes privadas
o Direccionamiento Unique Local : Son autoconfigurables que slo proporcionan
conectividad limitada
o Direcciones especiales

Tipo de direccin
Equivalencia
IPv4
Prefijo en binario
Prefijo en
hexadecimal
Global Pblicas 001 2 3
Link-local APIPA 1111 1110 10 FE8
Site-local (descatalogada)
Privada
1111 1110 11 FEC0
Unique-local (ULA) 1111 110 FC FD
Multicast Multicast 1111 1111 FF

- Direccionamiento privado-pblico
o Rangos privados:
10.0.0.0 hasta 10.255.255.255
172.16.0.0 hasta 172.31.255.255
o Rangos pblicos
Las no privadas, excepto rango APIPA y rango retroalimentado
A veces lleva un sufijo de red (%x). Es el identificativo de tarjeta de red, pero no hace falta
ponerlo
- NetBIOS
o No soporta NetBIOS
o No existen servidores WINS
o Nuevo concepto: Zonas Globales en DNS
o En Windows existe el descubrimiento automtico (deshabilitado por defecto)
- DNS
o El DNS de Windows 2008 soporta AAAA
o Dominio IP6.INT para consultas inversas
PREGUNTAS TIPO EXAMEN
- Qu tipo de direccin ipv6 existen y como se llaman en ipv4?

Globales, link-local, unique local (ULA), multicast en ipv6
Pblicas, APIPA, Privada, multicast en ipv4

MCTS 70-642
Pgina
16


- Qu es un DNS?

Domine Name Server. Directorio en el que se asocia la ip a nombre de equipo y
nombre de equipo a nombre

- Cmo se denominan en ipv6 los registros A del DNS?

AAAA

- Cmo se llama el servicio que me permite automatizar la asignacin de direcciones
ipv6? Existe en 220003 para ipv6? Existe en w2008?

DHCPv6,
No existe en w2003, existe slo DHCPv4
S

- Cmo se llama el servicio que me permite gestionar un directorio de direcciones ip y
nombres NetBios? Explica brevemente cmo lo haras en w2003 Cmo lo haras en
w2008 si utilizas ipv6?

WINS
Instalando el servicio wins
Con zonas Globales (global names)

CONVIVIR IPv4 CON IPv6
- ISATAP (Microsoft lo implementa) Comunica una LAN IPv4 con una LAN IPv6
- Teredo (Microsoft lo implementa) Es un protocolo de tunelamiento que permite a
los clientes ubicados tras un dispositivo NAT IPv4 utilizar IPv6 sobre Internet
- 6 To 4 (No Microsoft, enrutadores) Comunica un PC IPv4 con un PC IPv6






MCTS 70-642
Pgina
17


2.- CONFIGURAR LA RESOLUCIN DE NOMBRE

2.1.- LLMNR
- Slo se utiliza en Windows Server 2008 y Windows Vista
- Multidifusin IPv6 en la misma Subred
2.2.- NET BIOS
- Cache NetBios comando nbtstat
- Broadcast
- LMHOST (esttico) Tiene que estar habilitado para que funcione. Es el
fichero donde pongo IP y nombre en un listado, para que al hacer ping al
nombre, te diga la IP
- WINS (dinmico)
Es una caracterstica. Hay que poner IP esttica

DHCP
Cliente WINS
Manualpropiedades avanzadas TCP/IP
- Pasos a seguir:
0. Le pongo al servidor WINS con IP esttica
1. Instalar la caracterstica WINS en Server Manager Add feature
2. Configurar el cliente WINS del Servidor WINS. OJO Debemos tener
habilitado Enable burst handling (rfagas)
3. Replicacin. Lo ms crtico es el modo de replicacin
Insercin (push). Cambios Lneas rpidas
Extraccin (pull). Por tiempo Lneas lentas (menos de 512
Kbps)
Truco de examen: Cuando hay varios servidores WINS en una organizacin grande, hay
que configurar la replicacin entre ellos para que cada BBDD WINS se encuentre
actualizada



MCTS 70-642
Pgina
18


TIPOS DE NODOS NET BIOS
PEER TO PEER (P) BROADCAST (B) MIXTO (M) HIBRIDO (H)
Cach NetBios Cach NetBios Cach NetBios Cach NetBios
Servidor WINS Broadcast Broadcast Servidor WINS
LMHOST LMHOST Servidor WINS Broadcast
LMHOST LMHOST

COMPORTAIMIENTO:
- Si en las propiedades de TCP/IP no se define servidor WINS B
- Si en las propiedades de TCP/IP s se define servidor WINS H
NOMBRE NETBIOS:
15 caracteres + 1 de control










MCTS 70-642
Pgina
19


2.3.- DNS

Concepto DNS: es una base de datos jerrquica y distribuida
En general, un cliente DNS que necesita resolver un nombre DNS primero comprueba
su cache local para hallar la respuesta. Si no encuentra la respuesta, el cliente DNS
consulta a un servidor DNS preferido. Si el servidor DNS no puede resolver la consulta
a travs de su autoridad o de los datos de la cach, el servidor DNS intentar resolver
la consulta realizando consultas repetitivas al espacio de nombre DNS, comenzando
por el servidor raz
- FQDN: Nombre totalmente cualificado
- URI=FQDN+servicio distribuido (URL=http://FQDN)
- UNC: \\servidor\recurso compartido
- SMB: Protocolo de intercambio de ficheros
ROOT
TOP-LEVEL
DOMAIN


Net Com Org
SECOND-LEVEL
DOMAIN


Newtraders
SUBDOMAIN
West South East

Sales Host: Server1

FQDN Server1.sales.south.newtraders.com

- El DNS no gestiona sufijos DNS, lo que realmente gestiona son las zonas
2.3.1.- PONER EN FUNCIONAMIENTO UN SERVIDOR DNS

- Para poner en funcionamiento un servidor DNS, se puede hacer con dcpromo
(a la vez que se asciende un servidor a DC. En este caso el servidor DNS y la zon
MCTS 70-642
Pgina
20


a de bsqueda directa albergada se configuran automticamente) o despus de
hacer el dcpromo (habr que agregar y configurar una o ms zonas de
bsqueda directa)
- En versin Server Core, se necesita un fichero de salida al ejecutar dcpromo
- Servidor DNS de cach (caching-only server): Se utiliza cuando se quiere
mejorar la resolucin del nombre de una oficina rama (con lneas lentas). No se
requiere experiencia tcnica y normalmente se pone en branch office
(permitira a los usuarios de la oficina canalizar sus consultas de DNS a travs
de un solo servidor y crear una gran pila de consultas en la cach. Las consultas
repetidas se resuelven en el servidor de cah en vez de a travs de internet)
2.3.2.-PROPIEDADES DE UN SERVIDOR DNS
- Interfaces Tab: Permite especificar cul de las direcciones IP del ordenador
local debe escuchar el servidor DNS para obtener consultas DNS. Por defecto, la
configuracin de esta pestaa especifica que el servidor DNS escucha todas las
direcciones IP asociadas con el ordenador local
- Root Hints Tab: Contiene una copia de la informacin que se encuentra en el
archivo WINDOWS\System32\DNS\Cache.DNS. Para los servidores DNS que
responden consultas de nombres de Internet, esta informacin no tiene que
modificarse. Cuando se configura un servidor DNS raz (.) para una red
privada, se debe eliminar todo el archivo Cache.DNS
- Forwarders Tab: Permite configurar el servidor DNS local para re-direccionar las
consultas DNS que recibe a servidores DNS superiores, llamados
redireccionadores
o Cundo utilizar los re-enviadores:
Si la organizacin est conectada a Internet a travs de un
vnculo lento, se puede optimizar el rendimiento de la resolucin
de nombre canalizando todas las consultas DNS a travs de un
renviador
Permite a los clientes y servidores DNS que se encuentran
dentro de un firewall resolver con seguridad nombres externos
o Cundo utilizar el re-envo condicional:
Cuando se fusionan dos redes separadas. Para que los clientes
de cada compaa resuelvan consultas para los nombres de la
red opuesta, el re-envo condicional est configurado en los
servidores DNS de ambos dominios. Las consultas para resolver
nombres en el dominio opuesto se reenviarn al servidor DNS de
dicho dominio. Todas las consultas de Internet se direccionan al
siguiente servidor DNS superior que se encuentra tras el firewall
MCTS 70-642
Pgina
21


2.3.3.- CONFIGURAR LOS AJUSTES DEL CLIENTE DNS
- En DNS, el nombre del ordenador se denomina nombre de host. ste es un
nombre de una sola etiqueta que se puede descubrir escribiendo el comando
hostname en un smbolo del sistema
- El sufijo DNS primario permite a un cliente registrar automticamente su
propio registro de host en la zona DNS cuyo nombre corresponde con el
nombre de sufijo DNS primario. El cliente tambin agrega al sufijo DNS primario
a las consultas DNS que todava no incluyen un sufijo. Un sufijo especfico de la
conexin slo se aplica a conexiones a travs de un determinado adaptador de
red
- Se puede configurar un cliente DNS para que especifique una lista de sufijos
DNS para agregar nombres sin clasificar. Esta lista se conoce como lista de
bsqueda de sufijos DNS
- Los clientes pueden registrar sus propios registros en DNS slo cuando estn
configurados con un sufijo DNS primario o especfico de la conexin que
coincide con el nombre de la zona albergada en el servidor DNS referido. Por
defecto, los clientes DNS que tienen asignadas direcciones estticas intentan
registrar tanto registros de host como de enlace. Los clientes DNS que tambin
son clientes DHCP slo intentan registrar registros de host

2.3.4.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS

2.3.4.1.- CREAR Y CONFIGURAR ZONAS
- Para forzar a un cliente DNS para que realice una actualizacin dinmica, utilice
el comando Ipconfig / registerdns
- Cuando creas una zona estndar, quiere decir, sin integrar en AD, se crean
ficheros de texto dentro la zona

LNEA LENTA LNEA RPIDA
Zonas
primarias/secundarias
NO SI (no Windows)
Zonas integradas en DA NO/SI SI
Zonas delegadas SI NO/SI (depende jerarqua)
Zonas auxiliares SI NO
Redirectores SI NO (normalmente)/SI




MCTS 70-642
Pgina
22


ADMINISTRACIN DE ZONAS
Una zona es una porcin del espacio de nombre para la cual el servidor es autoritario.
Por ejemplo, el servidor DNS que alberga la zona fabrikam.com puede resolver
nombres de forma autoritario como server2.fabrikam.com
- Directas (99%): Devolver IP a partir de nombres Forward
- Inversas: Devolver nombres a partir de IP Reverse
- Dentro de los dos tipos de zonas, hay otros 2 tipos
o Primarias
o Secundarias
Primarias
Directas
Secundarias
ZONAS DNS
Primarias
Inversas
Secundarias

- Zonas primarias slo hay una (lectura/escritura): proporciona datos de origen
de lectura y escritura originales que permiten que el servidor DNS local
responda a las consultas DNS de forma autoritaria en una porcin del espacio
de nombres DNS
- Zonas secundarias hay de 0 a N (slo lectura). Son rplicas de las zonas
primarias. Proporciona una copia autoritaria de solo lectura de una zona
primaria o de otra zona secundaria
- Zona de rutas internas (stub zone): es parecida a una zona secundaria, pero
slo contiene aquellos registros de recursos necesarios para identificar los
servidores DNS autoritarios de la zona maestra
- Tipos de registros DNS:
o A Traduce nombres de servidores de alojamiento a direcciones IPv4
o AAAA Traduce nombres de servidores de alojamiento a direcciones
IPv6
o PTR Traduce IPs en nombres de dominio
o NS Especifica un servidor que es autoritario en una zona
determinada
MCTS 70-642
Pgina
23


o CNAME Misma IP distintos nombres. Tambin puede haber lo
contrario: Mismo nombre a distintas IPs (Round Robin)
o MX Ubica un servidor de correo dentro de una zona
o SOA Start Of Authority
Serial number: Este nmero incrementa cada vez que cambia un
recurso en la zona o cuando incrementa el valor de forma
manual, haciendo clic en el botn Increment (cuando hacemos
clic en este botn, forzamos una transferencia de zona)
Primary Server: Contiene el nombre completo del equipo del
servidor DNS primario de la zona. Este nombre debe terminar
con punto
Responsible person: Nombre de la persona responsable o correo
Refresh Interval: Es el tiempo que espera un servidor DNS
secundario antes de consultar una renovacin de zona al
servidor maestro. Cuando expira este tiempo, el servidor DNS
secundario solicita una copia del registro SOA. Luego compara el
serial number del maestro con el suyo local, si son diferentes, el
servidor DNS solicita una transferencia de zona. Aumentar el
intervalo de actualizacin disminuye el trfico de la zona
Retry interval: es el tiempo que espera un servidor secundario
antes de reintentar una transferencia de zona fallida
Expires After: Es el tiempo que un servidor secundario, sin
ningn contacto con su servidor maestro, contina
respondiendo a consultas de los clientes DNS
Minimum TTL: Es el TTL que se aplica a todos los registros de
recurso de la zona
CADUCIDAD Y BORRADO
- Caducidad (aging) Se refiere al proceso de utilizar etiquetas de tiempo para realizar
un seguimiento de la edad de los registros de recursos que se han registrado
dinmicamente
- Borrado (scavening) Se refiere al proceso de eliminar los registros de recursos
obsoletos en los que se han colocado marcas de tiempo. Slo puede tener lugar
cuando se ha activado la deteccin
- Modificar las propiedades de caducidad /borrado de la zona:
o Modificar el intervalo sin actualizacin (no-refresh interval): El intervalo sin
actualizacin es el periodo tras una marca de tiempo en el cual una zona o
servidor rechaza una actualizacin de la etiqueta de tiempo. La caracterstica
sin actualizacin previene al servidor de procesar actualizaciones innecesarias
y reduce la transferencia de trafico innecesario de la zona
o Modificar los intervalos de actualizacin (refresh interval): El intervalo de
actualizacin es el tiempo tras el intervalo sin actualizacin durante el cual se
MCTS 70-642
Pgina
24


aceptan las actualizaciones de la marca de tiempo y los registros de recursos
no se eliminan. Despus de que expire en los intervalos sin actualizacin y de
actualizacin los registros se pueden borrar de la zona
o El intervalo de actualizacin debe ser igual o mayor que el intervalo sin
actualizacin
ZONAS GLOBALES
Solo es compatible con servidores DNS que estn ejecutando Windows Server 2008, no
puede replicarse en servidores que ejecutan versiones anteriores de Windows Server
- Se utiliza para facilitar la resolucin de nombres de equipo de una etiqueta en
una red grande
- No registran nombres dinmicamente
- Es obligatorio poner zona global cuando no tienes wins y quieres resolver
nombres de etiqueta (Ej.: \\servidor01)
- Hay que activarlo en cada servidor DNBS en el cual se replicar la zona de
nombres globales
- No es una zona especial, es una zona de bsqueda directa integrada en AD que
se llama nombres globales
- Para cada servidor que desee que sea capaz de proporcionar resolucin de
nombre de una etiqueta, hay que crear un registro de alias (CNAME) en la zona
de nombres globales. El nombre que le proporcionamos a cada registro CNAME
representa el nombre de una etiqueta que debern utilizar los usuarios para
conectarse al recurso

2.3.4.2.- CONFIGURAR UNA INFRAESTRUCUTRA DE ZONA DNS

- La replicacin de zona se refiere a la sincronizacin de los datos de zonas
integradas en AD
- Una particin es una estructura de datos de AD que distingue los datos para
diferentes propsitos de replicacin. Por defecto, los DC incluyen dos
particiones de directorio de aplicaciones reservadas para datos DNS:
DomainDnsZones (se replican entre todos los DC que tambin son servidores
DNS de un dominio determinado) y ForestDnsZones (se replica entre todos los
DC que tambin son servidores DNS en cada dominio de un bosque Active
Directory)
- Tambin puede crear particiones de directorio definidas por el usuario con el
nombre que desee. Entonces, puede configurar una zona para que se almacene
en esta nueva estructura que ha creado
MCTS 70-642
Pgina
25


- La particin en la cual se almacena una zona determina el mbito de replicacin
de dicha zona
- Las transferencias de zona esencialmente son operaciones de extraccin que se
inician en zonas secundarias que copian datos de zona de una zona maestra
(puede ser primaria o secundaria). De forma predeterminada, las transferencias
de zonas estn desactivadas en cualquier zona
- Puede utilizar zonas de rutas internas (stub zones) para mantener actualizada la
informacin de zona o para mejorar la resolucin de nombre entre dominios
dentro de un gran espacio de nombre DNS
DELEGACIN DE ZONA
DC1 SRV1





- Zonas auxiliares (stub): Slo sube de la SOA y Registros DNS. Es como una
delegacin, pero slo entiende de SOA y Registros DNS
*Para el examen normalmente si aparece la palabra STUB, esta es la
correcta

2.3.4.3.- DNSSEC

- DNSSEC permite a un servidor DNS firmar digitalmente los registros de recursos
en sus zonas
- Trust anchors son las claves pblicas de otras zonas que se utilizan para validar
una firma digital registros procedentes de dichas zonas y de subdominios
delegados que son tambin DNSSEC-compatible. Un servidor DNS configurado
con DNSSEC debe haber configurado en al menos un Trust anchor desde una
zona remota
- Se utiliza Group Policy para configurar clientes DNS para solicitar la validacin
DNSSEC
- Se utiliza el comando Dnscmd para crear las keys necesarias para DNSSEC y
para firmar la zona con estas keys
Azpe.es (primaria)
madrid
Azpe.es
(secundaria)
Madrid.azpe.es
(primaria)
MCTS 70-642
Pgina
26


4.- DHCP
- Se debe instalar en mquinas que solo tengan una tarjeta de red. Es
importante que la tarjeta de red est dentro del mbito de red donde quieres
distribuir IPs
- Las opciones DHCP se asignan normalmente a un mbito completo, pero
tambin se pueden asignar a nivel del servidor y aplicarse a todas las cesiones
dentro de todos los mbitos definidos en una instalacin de servidor DHCP.
Finalmente, tambin pueden asignarse en trminos de equipo en nivel de
reserva. Por ejemplo, si queremos que una opcin se aplique en todos los
mbitos, concesiones y reservas, se debe definir el mbito a nivel de servidor
(herencia)
- Antes de que un servidor DHCP en el entorno de un dominio pueda conceder
direcciones desde un mbito existente a cualquier cliente DHCP, primero hay
que autorizar el servidor y activar el mbito
- Clase de usuario predeterminada: es una clase a la que pertenecen todos los
clientes DHCP y la clase en la que se crean las opciones de forma
predeterminada. Las opciones particulares asignadas a travs de la clase de
usuario predeterminada pueden quedar invalidadas por otras opciones
definidas en otras clases. Despus de crear una clase de usuario personalizada
y de asignarle opciones, se puede asignar a un cliente a la clase utilizando el
comando Ipconfig /setclassid
- mbito: rango de IPs que asigna el DHCP
Explcita (lo reservo en DHCP)
- IPs estticas
Implcita (no meto esas IPs dentro del mbito)

- IMPORTANTE: Si algn da tienes que cambiar la mscara, tienes que eliminar el
mbito y volverlo a crear, no hay otra opcin
- Para finalizar una concesin
o en un equipo ipconfig /relase
o en muchos equipos desde la consola DHCP
- Exclusin: es una direccin dentro del rango de direccin de un mbito que no
se puede conceder a los clientes DHCP. Puede utilizar las exclusiones para
hacer que el rango de direcciones de un mbito sea compatible con las
direcciones estticas que ya estn asignadas a los ordenadores de una red
- Reserva: Segn la MAC, se asigna una configuracin IP. Esta configuracin UO
no puede estar excluida
o Opciones de servidor -
MCTS 70-642
Pgina
27


o Opciones de mbito
o Opciones de reserva prioridad
o Clases +
- Tolerancia a fallos DHCP
o Ms de un DHCP
o Agentes de retransmisin DHCP
o Cluster > Esta es la mejor opcin
- Implementar clases de usuarios:
o Ipconfig /set classid [adaptador de red]
- Tolerancia a fallos DHCP:
o Mas de un DHCP
o Agentes de retransmisin DHCP
o Cluster Esta es la mejor















MCTS 70-642
Pgina
28


5.- CONFIGURAR EL ENRUTAMIENTO IP

- La direccin IP de un enrutador siempre debe estar en la misma subred que el
ordenador. Por ejemplo, un ordenador con la direccin IP 192.168.1.10 y la
mscara de subred 255.255.255.0 puede tener un enrutador con la direccin IP
192.168.1.1. Sin embargo, un enrutador con la direccin IP 192.168.2.1 no
servira debido a que el enrutador se encuentra en una subred diferente, y para
comunicarse con una subred remota un ordenador necesita enviar paquetes a
un enrutador
- El enrutamiento le permite a los enrutadores re-direccionar trfico entre ellos
para permitir que se comuniquen los clientes y los servidores de diferentes
redes
- Cuando se activa RIP, se permite a Windows Server 2008 anunciar rutas hacia
enrutadores cercanos y detectar automticamente los enrutadores cercanos y
las redes remotas
- Los enrutadores utilizan protocolos de enrutamiento para comunicar rutas
disponibles, adems de para comunicar cambios como vnculos errneos.
Windows Server 2008 soporta RIP v2, el cual puede activar instalando la
funcin de servicio Enrutamiento y acceso remoto (Routing and Remote Access
Services role service)
- La direccin IP de destino del paquete nunca cambia; siempre est fijada en la
direccin IP del ordenador objetivo. Para re-direccionar paquetes hacia un
enrutador sin cambiar la IP de destino, los ordenadores utilizan la direccin
MAC. Por lo tanto, mientras el paquete se re-direcciona entre redes, las
direcciones IP de origen y de destino nunca cambian. Sin embargo, las
direcciones MAC de origen y de destino se reescriben en cada rede entre el
cliente y el servidor
- Las rutas estticas son necesarias cuando hay conectadas varias puertas de
enlace a la red local, y una o ms de ellas no actan como puerta de enlace
predeterminada
COMANDO IMPORTANTE
Para ver la tabla de enrutamiento
route print
Si un enrutador vecino con la direccin IP 192.168.1.2 proporciona acceso a la red
10.2.2.0/24, ejecutara el siguiente comando para agregar una ruta esttica a la red
route add p 10.2.2.0 MASK 255.255.255.0 192.168.1.2
MCTS 70-642
Pgina
29


Con el comando route add, primero se pone la red de destino y a continuacin la
mscara de subred. Finalmente se pone el enrutador que se utilizar para
acceder a la red remota
























MCTS 70-642
Pgina
30


6.- VPN










TRUCO DE EXAMEN: Cuando pregunten por EAP, esa es la correcta

METODOS DE ACCESO A REDES REMOTAS
NAS Network Access Server, servidor de VPN









Intento de conexin
Aplicar la
configuracin
Conexin
Restricciones
FIN DE LA
CONEXIN
Permisos
Concedidos
Coincide la
condicin?
Hay directivas?
IP Pblica IP Privada
NO
SI
SI
SI
NO
NO
NO
SI
MCTS 70-642
Pgina
31


Arquitectura:
1. Acceder al NAS nicamente
2. Acceder a la red local
a. Validacin en el DA (Autenticacin)
b. Autorizar (Autorizacin)
c. Determinar el protocolo de VPN
- PPTP: Microsoft. Es muy fcil de instalar, pero los problemas son
que no autentica al cliente y esta muy obsoleto.
- L2TP: Utiliza IPSec
- SSTP: Usa certificado https. Requiere IIS
- IPSec: Externalizacin
d. Directivas RADIUS






1. Ping cliente externo a DC Interno
2. Instalar
a. VPN
b. Enrutamiento
3. Agregar el NAS al grupo de dominio RAS and IAS Servers
4. Habilitar la VPN y el router
5. Configuracin TCP/IP Clientes
6. Si no hay Radius, el permiso de marcado (Dial Up) tiene que estar Allow
7. Crear cliente VPN

Cliente 1
SRV1 (NAS)
Domain
Controler
10.10.0.10/16
IP Pblica
80.0.0.1/2
4
IP Privada
10.10.0.24/16
MCTS 70-642
Pgina
32



DIRECTIVAS DE ACCESO REMOTO (Muy Importante)
- Condiciones: por ejemplo, grupos Windows
- Permisos: de usuarios
- Perfiles: mantenimiento, conexin y otros

CONDICIONES

1.- Ms restrictiva
Permitir
2.- Menos restrictiva

3.- Ms restrictiva
Denegar
4.- Menos restrictiva

ENTIDADES CERTIFICADORAS
- PKI Infraestructura de clave pblica
- Tipos de cifrados:
o Simtrico: la misma palabra de paso para cifrar que para descifrar
o Asimtrico: diferentes palabras de paso para cifrar y descifrar
SIMTRICO


Palabra de paso (clave) Palabra de paso (clave)
- Caractersticas:
o Rpido
o Compacto
- Inconvenientes:
o Distribucin de claves
Algoritmo
Algoritmo
MCTS 70-642
Pgina
33



ASIMTRICO


Clave (pblica) Clave (privada)

- Proceso: Se enva la clave pblica al cliente. ste, para conectarse, la enva y
slo el que tiene la clave privada puede descifrar la clave pblica (el receptor).
Por eso da igual enviar la clave pblica por correo, por ejemplo
- Se cifra siempre con la clave pblica del receptor y se descifra con la clave
privada del receptor
- Caractersticas:
o Facilita el intercambio de claves
- Inconvenientes:
o Poco compacto
o Lento
FIRMA DE DOCUMENTOS
- Se firma con la clave privada del emisor y se descifra con la clave pblica del
mismo
- Certificado digital = clave pblica + firma CA
CREACIN CERTIFICADOS
En el contenedor se crea una clave privada (esta clave nunca sale del
contenedor)
Tarjeta inteligente Clave privada Clave pblica







Algoritmo
Algoritmo
CA
Clave pblica
Informacin


Firma CA
MCTS 70-642
Pgina
34




CONFIGURAR EL CIFRADO SIMTRICO CON EL ASIMTRICO
Certificado. El certificado es la clave pblica + la firma




3.- El certificado genera la clave simtrica (CS)
4.- 5.-






TIPOS DE ENTIDADES CERTIFICADORAS
- Independientes: Grupo de trabajo
- Empresa: Dominio Windows
o Distribucin directivas de grupo (GPO)
o Emitir certificado de forma automtica
DISTRIBUCIN DE CERTIFICADOS
Se pueden distribuir de las siguientes maneras:
- Directivas de grupo
- Consola MMC
- Aplicacin Web (IIS)
1.- https:\\www.ejemplo.com
2.- Clave pblica del servidor
CS CS
CS CS CS CS Clave pblica
del servidor
Clave privada
del servidor
Cifrado simtrico utilizando CS
Servidor Web
MCTS 70-642
Pgina
35


7.- IPSEC

Existen dos maneras de aplicarlo: por directivas IPSec o por Firewall
- Directiva IPSec






- Utiliza el protocolo SMB (protocolo para compartir carpetas de Windows)
o Puerto TCP 445
o Puerto UDP 445
- Cuando creamos una poltica IPSec, nunca marcar la opcin Activate the default
response rule
- Con IPSec, si utilizas IPv4, no puedes utilizar IPv6 y viceversa
- Se puede utilizar una regla Aislamiento para configurar el aislamiento del dominio.
Este trmino significa que puede utilizar reglas de seguridad de conexin para
bloquear el trfico que tenga como origen equipos de fura del dominio
- De forma predeterminada, IPSec funciona en modo transporte. Este modo se utiliza en
la mayora de las VPN basadas en IPSec, para las cuales se utiliza el protocolo L2TP
para realizar el tnel dela conexin IPSec a travs de la red pblica. Sin embargo,
cuando una determinada puerta de enlace VPN no es compatible con las VPN
L2TP/IPSec, se puede utilizar IPSec en modo tnel
ASOCIACIONES DE SEGURIDAD
o Necesita cifrado ESP (Encapsulating Security Payload)
o Slo autenticar el origen de los datos o verificar la integridad de los datos
AH (Autentication Header)
DIRECTIVAS PREDEFINIDAS:
o Client (Respond Only): No inicia negociacin IPSec, pero s cuando se lo
soliciten desde otro equipo
o Sever (Request Security): El ordenador acepta trfico no seguro pero siempre
intenta asegurar las comunicaciones adicionales solicitando seguridad al
remitente original
Conexiones
- Kerberos
- Palabra de paso
- Certificado digital
- Ambas
- LAN
-RAS
- Permitir
- Denegar
- Negociar
Firma
Cifrado
MCTS 70-642
Pgina
36


o Secures Server (Require security): Se asigna a servidores de intranet que
necesitan comunicaciones seguras
























MCTS 70-642
Pgina
37


8.- NAP
Network Access Protection. Se utiliza para clientes especiales
Escenarios NAP:
- DHCP (no necesita certificado)
- IPSec
- 802.1x requieren certificado
- VPN
Para configurar NAP en el servidor




Pasos para configurar un cliente NAP:
1. Habilitar proteccin
2. Configurar el tipo de cliente
3. Habilitar el servicio
REDES INLMBRICAS:
- Estndares: 802.11b fue el estndar de red original mayor adoptado. Hoy en da,
802.11g y 802.11n son los estndares de red inalmbrica ms elegidos ya que
proporcionan un rendimiento mejorado mientras que ofrecen retrocompatibilidad con
802.11b
- Estndares de seguridad:
o WEP: cifrado 64 128 bit
o WPA
WPA-PSK: Clave esttica
WPA-EAP: Autentica con RADIUS
o WPA2: actualizacin de WPA
WPA2-PSK
WPA2-EAP


PRCTICA
MONTAR NAP + IPSEC
SHV SHV SHV
Health Policy Health Policy
Direct Access
MCTS 70-642
Pgina
38


1. HRA-CA-NPS
2. Permisos HRA-CA
3. Configurar HRA
4. Configurar NPS
5. GPO envo de certificado
CONFIGURAR CLIENTE
1. Cliente seguro
2. NAP IPSec
3. Servicio NAP
4. Directivas IPSec
PROCESO
1. Radius cumple directivas?
2. Si cumple, sigue
3. Le dicen a HRA que solicite un certificado
4. HRA solicita certificado para NAP IPSec
5. Enva certificado NAP IPSec
6. Utiliza certificado NAP IPSec





CA Autoridad de certificacin; HRA Health Registration Authority; NPS Servidor de
directivas de redes
CONFIGURAR REDES INALMBRICAS
Una red inalmbrica puede funcionar de 2 formas distintas: ad-hoc (entre puestos) e
infraestructura (con punto de acceso)
6
7
3
1
2
4
5
CA
NPS
HRA
MCTS 70-642
Pgina
39







Certificado RADIUS


Certificado de usuario
Certificado de equipo





1. El cliente se autentica con el NAS
2. El NAS le pasa el testigo al RADIUS
3. El RADIUS comprueba la seguridad
4. Si cumple, por un canal cifrado, negocian la palabra de paso

WPA - EAP
RADIUS. Directivas 802.11
802.1x
Cliente RADIUS
WPA-EAP
NAS
SWITCH
DC CA
IMPORTANTE: aqu
nunca van certificados
- Template user
- Template computer
- Template RAS/IAS
MCTS 70-642
Pgina
40


FIREWALL DE WINDOWS
- Windows Vista y Windows Server 2008 soportan tres perfiles de firewall
o Dominio: se aplica siempre que un ordenador se puede comunicar con su DC
o Pblico: se aplica en cualquier momento en el que no hay disponible un DC y
una red no se ha configurado como privado
o Privado: debe aplicarse manualmente a una red
- Firewall con seguridad avanzada
o Para crear una regla de entrada/salida que permita a un aplicacin del servidor
recibir/enviar conexiones entrantes/salientes. Slo se crean reglas de salida
del firewall si se configuran las conexiones salientes para que se bloqueen de
forma predeterminada
o Netstat: se utiliza para identificar los puertos que escucha una determinada
aplicacin. En este caso habra que crear reglas de puerto

















MCTS 70-642
Pgina
41


9.- ACTUALIZACIONES

WSUS Windows Server Update Services

Hay un servidor WSUS encargado de bajar las actualizaciones



Cuando la red es muy grande, el esquema queda de la siguiente manera






De esta manera, slo tendremos que autorizar la actualizacin una vez, en el WSUS
principal, que es el que est justo antes de internet
- Requerimientos WSUS:
o Versin 32 bit o 64 bit
o Debe ser una mquina dedicada
WINDOWS
UPDATE
WINDOWS
UPDATE
WSUS1
WSUS2
WSUS3
WSUS4
WSUS
PRINCIPAL
WSUS
MCTS 70-642
Pgina
42


o Microsoft Viewer
o SQL Server 2005 SP2 o posterior
- Para indicarle a un cliente cual es el WSUS, normalmente se realiza mediante GPO
- De forma predeterminada, la BBDD de WSUS est ubicada en
C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf
- Plan de actualizacin:
o Actualizaciones funcionales
o Drivers
o Hotfix
- Una vez instalado WSUS
o Synchronization Schedule: tiempo de sincronizacin
o Update source and proxy server: si tienes varos WSUS que apuntan a otro
WSUS, aqu puedes indicarle cual es el WSUS principal. Siempre http://IP
nombre
o Update Files and Languages: Eliges los idiomas del SO donde descargas las
actualizaciones
- WUAU: Plantilla administrativa WSUS cliente
- Comando wauclt: es para que el cliente detecte las actualizaciones (le fuerza). Ej:
Wauclt /restetauthorization/detectnow Detecta clientes y nuevas actualizaciones























MCTS 70-642
Pgina
43


10.- MONITORIZACIN

- Herramientas de monitorizacin:
o Administrador de tareas
o Visor de eventos
o Rendimiento y compatibilidad
Tradicional
Novedad
o Monitor de red
o WSRM (Windows System Resource Manager)

- El monitor de red de Windows es gratuito, pero no puede trabajar en modo promiscuo
(monitor equipos remotos). Para trabajar en este modo hay que instalar SNMP
o Comandos
Nmcap /network /capture tcp/file
- Administrador de tareas
o Se pueden subir de prioridades los procesos
o Pagefile.sys=RAMx1,5 (Ej. Si tengo 4Gb de Ram, pagefile.sys=4x1,5=6Gb)
- VSRM Ajusta recursos a programas
- Reliability and Performande Monitor
o Performance Monitor: Puedes monitorizar lo que quieras. Se pueden ver
cientos de contadores de rendimiento en tiempo real
o Reliability Monitor: Registra instalaciones de aplicaciones y diferentes tipos de
fallos. Se puede utilizar esta herramienta para ver rpidamente la historia de
un equipo, lo cual es til para relacionar instalaciones de software con errores
- Eventos:
o WECUTIL QC: Recolector de eventos
o WINRM QUICKCONFIG: Suministrador de eventos (utiliza http o https)
- Event Log Readers Es el grupo donde incluimos las mquinas que recolecta eventos








MCTS 70-642
Pgina
44



11.-ADMINISTRACIN DE ARCHIVOS
- Permisos NTFS
o Lectura
o Escritura (no incluye lectura)
o Modificar: Lectura + Escritura + borrado
o Control total: Modificar + cambio de permisos y toma de posesin

EFS (Sistema de cifrado de ficheros)
CIFRADO Usuario clave pblica

DRA clave pblica


DESCIFRADO




Usuario (esta es la clave privada del receptor)

- Si hay que descifrar sin el usuario, utilizaremos DRA (Data Recovery Agent). Con DRA la
clave simtrica se cifra dos veces, esto es porque la clave simtrica siempre es la
misma
- EFS es soportado por w2000 y versiones posteriores
- EFS directiva de grupo
o Emitir automticamente certificados
o Habilitar Agente de Recuperacin
- Archivos .pfx clave pblica + clave privada
- Archivos .cert clave pblica



CS
FEK FEK
FICHERO
FICHERO
AES
MCTS 70-642
Pgina
45



ADMINISTRACIN DE CUOTAS
- OJO: No se puede asignar cuota por grupo, solamente por usuario
- Dos formas
o Tradicional
o W2008
- Comando principal: dirquota
ADMINISTRACIN COMPARTICIN DE CARPETAS
- Comando para compartir carpetas: net share
- Dos tipos de permisos
o Permisos carpeta compartida: no hay herencia, los permisos que se dan aqu lo
tendr en la carpeta y en todas las subcarpetas, aunque modifiques los
permisos NTFS. Existen tres tipos:
Lectura: L
Cambiar: L + Escritura + Borrado
Control total: C+ cambio de permisos
o Permisos NTFS: Es lo que da seguridad a las carpetas. Tipos:
Lectura: L
Escritura: E
Modificar: L + E + Borrado
Control Total: M + Cambio de permisos
Ejemplo:
PERMISOS CARPETA COMPARTIDA PERMISOS NTFS
USUARIO(L) G-SSCC-CONTA(C) USUARIO(L) G-SSCC-CONTA(E)
Menos restrictiva (combinacin) Menos restrictiva (combinacin)
USUARIO (C) USUARIO (L+E)





USUARIO (L+E)


Ms restrictiva
USUARIO (L+E)
MCTS 70-642
Pgina
46



- Para carpetas compartidas no se meten en grupos o usuarios individuales.
Normalmente los permisos de carpeta compartida son:
o Administradores del dominio: Control total
o Usuarios del dominio: Cambiar
Denegar siempre prevalece sobre los dems permisos
- DFS: Sistema de ficheros distribuidos
o Organizar las carpetas compartidas
o Tolerancia a fallos
o Comando: dfsutil
Ejemplo:







El usuario accedera a: \\contoso.com\Documentos, pero vera lo siguiente:
- Informes
- Facturas
- Planes
Robocopy: te crea un clon de una carpeta en otro sitio

Espacio nombres Carpeta compartida

\\nombreDominio\Espacio nombres\Carpeta

\\woodgrovebank.com\Docstop

Carpeta (virtual)
Documentos
DC (contoso.com)
SRV2 SRV1
Informes
Informes
Planes Facturas
replicada
MCTS 70-642
Pgina
47




COPIAS DE SEGURIDAD
- Shadow copies copias instantneas a nivel de volumen
- Para las copias instantneas (shadow copies) va comando es VSSAdmin
- No se puede hacer copia de seguridad a nivel de ficheros independientes, slo de
volmenes
- Se pueden hacer copias de seguridad programadas
- Ntbackup no existe en w2008
- Comando para iniciar una copia de seguridad wbadmin

12.- IMPRESORAS

- Impresora local El puerto est en el propio servidor
- Impresora en red El cliente se conecta a una impresora compartida
- Permisos:
o Imprimir
o Administrar impresoras: I + cambiar propiedades + cambiar puestos
o Administrar documentos: administrar documentos de la cola de impresin
- Scripts almacenados en %Systemroot%\System 32\Printing_Admin_Scripts\es-ES\:
o PrnMngr.vbs: Agrega y elimina impresoras
o PrnCnfg.vbs: Configura impresoras
o PrnDrvr.vbs: Agrega, elimina o lista los controladores de las impresoras
o PrnJobs.vbs: Administra los trabajos de impresin
o PrnPort.vbs: Administra puertos de impresin
o PrnQctl.vbs: Imprime una pgina de prueba
o PubPrn.vbs: Publica una impresora en Acrive Directory