Está en la página 1de 526

Windows Server 2012 R2

Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen


70-410

Captulo 1 Introduccin

A. Introduccin 12

B. Organizacin de las certificaciones 12

C. Cmo est organizado este libro? 12

D. Competencias evaluadas en el examen 70-410 14


1. El examen de certificacin 14
2. Preparacin del examen 14

E. Mquinas virtuales utilizadas 14

Captulo 2 Instalacin de Hyper-V

A. Informacin general de las tecnologas de virtualizacin 16


1. Virtualizacin del puesto de trabajo 16
2. Virtualizacin de aplicaciones 16
3. Hyper-V en Windows 8.1 17

B. Implementacin de Hyper-V 17

1. Requisitos previos de Hardware 17


2. Las mquinas virtuales en Hyper-V 17
3. La memoria dinmica con Hyper-V 19
4. Presentacin de las diferentes generaciones 20
5. Uso del modo de sesin mejorada 20

C. El disco duro de las mquinas virtuales 23

1. Los diferentes tipos de discos 23


2. Administracin de un disco virtual 24
3. Los discos de diferenciacin 25

www.ediciones-eni.com Ediciones ENI 1/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

4. Los puntos de control en Hyper-V 25

D. Gestin de redes virtuales 26

E. El Sandbox 27

1. Configuracin necesaria 27
2. La instalacin de Windows Server 2012 R2 27

F. Talleres 28

1. Configuracin de la red virtual 28

G. Creacin de las mquinas virtuales 29


1. Esquema de la maqueta 32
2. Mquina virtual AD1 33
a. Creacin y configuracin de la VM 33
b. Instalacin del sistema operativo 37
c. Configuracin post-instalacin 39
3. Mquina virtual SV1 43
4. Mquina virtual SV2 43
5. Mquina virtual SVCore 43
6. Mquina virtual CL8-01 43
7. Mquina virtual CL8-02 44
8. Creacin de puntos de control 44

H. Configuracin de la QoS a nivel de almacenamiento 45

I. Validacin de conocimientos: preguntas/respuestas 47

Captulo 3 Despliegue y administracin de Windows Server 2012 R2

A. Informacin general de Windows Server 2012 R2 50

1. Las ediciones de Windows Server 2012 R2 50


2. Presentacin de los principales roles 51

www.ediciones-eni.com Ediciones ENI 2/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

3. Presentacin de las principales caractersticas 52

B. Informacin general de la administracin de Windows Server 2012 R2 53

C. Instalacin de Windows Server 2012 R2 56

1. Mtodos de instalacin 56
2. Requisitos previos de hardware para Windows Server 2012 R2 57

D. Configuracin del sistema operativo despus de su instalacin 57

1. Configuracin del adaptador de red 57


2. Unirse a un dominio sin conexin 65
3. Configuracin de un servidor Core 65

E. Introduccin a PowerShell 66

1. Presentacin de PowerShell 66
2. Sintaxis de los cmdlets PowerShell 66
3. Presentacin de la consola PowerShell ISE 67
4. Instalar y configurar la caracterstica DSC (Desired State Configuration) 68

F. Talleres 68

1. Creacin del bosque Formacion.local 68


2. Configuracin de un servidor en modo de instalacin Core 75
3. Administracin de servidores 81
4. Utilizacin de PowerShell para administrar los servidores 85
5. Unirse a un dominio sin conexin 88
6. Agregar caractersticas a una imagen sin conexin 90
7. Agregar/eliminar una interfaz grfica 92

G. Validacin de conocimientos: preguntas/respuestas 94

Captulo 4 Introduccin a los servicios Active Directory

A. Introduccin 98

www.ediciones-eni.com Ediciones ENI 3/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

B. Informacin general de Active Directory 98


1. El dominio Active Directory 99
2. Las unidades organizativas 99
3. El bosque Active Directory 101
4. El esquema de Active Directory 102
5. Las particiones de Active Directory 103
6. Los maestros de operacin FSMO 103
7. Los sitios Active Directory y la replicacin 104

C. Informacin general de un controlador de dominio 104


1. Los controladores de dominio 104
2. Presentacin de los catlogos globales 105
3. Proceso de inicio de sesin con Active Directory 105

D. Promover un controlador de dominio 105

1. Promover un controlador de dominio de forma grfica 105


2. Instalacin de un controlador de dominio en un servidor Core 106
3. Actualizacin de un controlador de dominio a Windows Server 2012 R2 107
4. Promover un controlador de dominio utilizando IFM 107

E. La papelera de reciclaje AD 108

F. La directiva de contrasea muy especficas 108

G. Talleres 109
1. Promover un servidor utilizando IFM 109
2. Utilizacin de la interfaz de la papelera de reciclaje AD 116
3. Implantacin de una directiva de contrasea muy especfica 120

H. Validacin de conocimientos: preguntas/respuestas 126

Captulo 5 Administracin de objetos AD

www.ediciones-eni.com Ediciones ENI 4/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

A. Introduccin 132

B. Presentacin de las consolas Active Directory 132

C. Administracin de las cuentas de usuario 133

1. Creacin de una cuenta de usuario 133


2. Configuracin de los atributos de una cuenta de usuario 134
3. Creacin de un perfil de usuario mvil 137

D. Administracin de grupos 139

1. Diferencia entre grupos de seguridad y de distribucin 139


2. El mbito de un grupo 140

E. Administracin de las cuentas de equipo 141


1. El contenedor equipo 141
2. Reinicio del canal seguro 143

F. Talleres 144

1. Implementar la delegacin 144


2. Administracin de cuentas de usuario 147

G. Validacin de conocimientos: preguntas/respuestas 157

Captulo 6 Automatizar la administracin de Active Directory

A. Introduccin 160

B. Administracin mediante lneas de comandos 160


1. Utilizacin del comando CSVDE 160
2. Utilizacin del comando LDIFDE 161

www.ediciones-eni.com Ediciones ENI 5/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

C. Administracin del rol AD DS empleando PowerShell 162


1. Administracin de cuentas de usuario con PowerShell 162
2. Administracin de grupos con PowerShell 166
3. Administracin de cuentas de equipo con PowerShell 168
4. Administracin de unidades organizativas con PowerShell 170

D. Taller 172
1. Modificacin de varios usuarios en PowerShell 172

E. Validacin de conocimientos: preguntas/respuestas 173

Captulo 7 Implementacin del protocolo IP

A. Introduccin 176

B. Informacin general del protocolo TCP/IP 176

C. Entender el direccionamiento IPv4 178

1. El direccionamiento IPv4 178


2. Direccionamiento privado/pblico 179
3. Conversin de binario a decimal 180
4. Las diferentes clases de direcciones 181
5. El CIDR 181

D. Establecimiento de subredes 182

1. La ventaja de las subredes 182


2. Calcular una subred 182

E. Configurar y mantener IPv4 184

1. El comando ipconfig 184


2. El comando ping 185

www.ediciones-eni.com Ediciones ENI 6/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

3. El comando tracert 186

F. Implementacin del protocolo IPv6 186


1. Informacin general del protocolo IPv6 186
a. Direcciones locales nicas 187
b. Direcciones globales unicast 188
c. Direccin de enlace local 188

G. Talleres 189

1. Conversin de decimal a binario 189


2. Clculo de direcciones de subredes 190
3. Implementacin del protocolo IPv6 192

H. Validacin de conocimientos: preguntas/respuestas 196

Captulo 8 Implementacin de un servidor DHCP

A. Introduccin 200

B. Rol de servicio DHCP 200


1. Asignacin de una direccin IP 200
2. Utilizacin de un relay DHCP 201

C. Funcionalidad del servidor DHCP 202

1. El mbito del servidor DHCP 202


2. Reserva de concesiones DHCP 203
3. Las opciones de DHCP 204
4. Implementacin de filtros 207

D. Base de datos DHCP 208

1. Presentacin de la base de datos DHCP 208


2. Copia de seguridad y restauracin de la base de datos 208
3. Reconciliacin y desplazamiento de la base de datos 209

www.ediciones-eni.com Ediciones ENI 7/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

E. Securizacin y mantenimiento de DHCP 212


1. Securizar la distribucin de concesiones DHCP 212
2. Utilizacin de las estadsticas y registros de auditora 213

F. IPAM 216

G. Talleres 218

1. Agregar el rol DHCP 218


2. Configurar un nuevo mbito y agregar opciones 219
3. Copia de seguridad y restauracin de la base de datos 227
4. Implementacin de IPAM 228

H. Validacin de conocimientos: preguntas/respuestas 246

Captulo 9 Implementacin de un servidor DNS

A. Introduccin 250

B. Funcionamiento de DNS 250


1. Base de datos distribuida 251
2. Consultas iterativas y recursivas 252

C. Zonas y servidores DNS 253

1. Los diferentes tipos de zona 253


2. La zona GlobalNames 254

D. Instalacin y administracin del servidor 254

1. Instalacin del rol 254


2. La actualizacin dinmica 255
3. Los diferentes registros 256

www.ediciones-eni.com Ediciones ENI 8/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

E. Soporte del servidor DNS 257


1. El comando nslookup 257
2. El comando dnslint 259
3. El comando ipconfig 260
4. El comando dnscmd 260

F. Talleres 261
1. Configuracin de un redirector condicional 261
2. Creacin de una zona GlobalNames 268

G. Validacin de conocimientos: preguntas/respuestas 273

Captulo 10 Gestin del espacio de almacenamiento local

A. Introduccin 276

B. El sistema de almacenamiento 276


1. Los diferentes discos y su rendimiento 276
2. Diferencia entre DAS y NAS 277
3. Informacin general de una SAN 278
4. Utilizacin de la tecnologa RAID 279

C. Gestin de discos y volmenes 280

1. Tablas de particin MBR y GPT 280


2. Los diferentes tipos de discos 281
3. Sistemas de archivo FAT, NTFS y ReFS 281
4. Extender o reducir una particin en Windows Server 2012 R2 282

D. Implementacin de un espacio de almacenamiento 283

1. La caracterstica Espacio de almacenamiento 283


2. Opciones de configuracin de discos duros virtuales 283

www.ediciones-eni.com Ediciones ENI 9/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

E. Talleres 284
1. Implementar un sistema GPT 284
2. Reduccin de una particin 292
3. Despliegue de diferentes volmenes 294
4. Implementar un espacio de almacenamiento redundante 303

F. Validacin de conocimientos: preguntas/respuestas 311

Captulo 11 Administracin de los servidores de archivos

A. Introduccin 316

B. Seguridad de carpetas y archivos 316

1. Los permisos NTFS 316


2. Definicin de una carpeta compartida 318
3. Visualizar recursos compartidos en funcin de los permisos de acceso 320
4. Presentacin de la caracterstica Work Folders 322

C. Utilizacin de instantneas 323


1. Presentacin y planificacin de las instantneas 323
2. Restauracin de datos empleando instantneas 324

D. Configuracin de la impresora de red 326

1. Las ventajas de la impresora de red 326


2. Los controladores v3 y v4 para las impresoras 326
3. Presentacin de los grupos de impresoras 327

E. Administracin de un servidor no unido al dominio 327

F. Talleres 331

1. Creacin de un recurso compartido y uso de ABE 331

www.ediciones-eni.com Ediciones ENI 10/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

2. Implementar instantneas 340


3. Creacin de un grupo de impresin 345
4. Gestin del servidor de impresin 356
5. Implantacin de la solucin Work Folders 361

G. Validacin de conocimientos: preguntas/respuestas 371

Captulo 12 Implementacin de directivas de grupo

A. Introduccin 376

B. Informacin general de las directivas de grupo 376

1. Los componentes de una directiva de grupo 376


2. Directiva de grupo local mltiple 377
3. Almacenamiento de los diferentes componentes de una GPO 378
4. Las preferencias en las directivas de grupo 378
5. Nociones de las GPO de inicio 379
6. Implementacin de una delegacin a nivel de GPO 381

C. Tratamiento de directivas de grupo 383

1. Los vnculos de una directiva de grupo 383


2. La aplicacin de una directiva de grupo 384
3. Orden de aplicacin de una directiva de grupo 387
4. Las directivas predeterminadas 388
5. Los filtros de seguridad 388

D. Despliegue de un almacn central 390

1. Presentacin del almacn central 390


2. Las plantillas administrativas 391
3. Parmetros administrados y no administrados 393
4. Utilizacin de los filtros en las plantillas administrativas 393

E. Talleres 395

www.ediciones-eni.com Ediciones ENI 11/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

1. Implementar un almacn central 395


2. Creacin de una directiva de grupo 397
3. Creacin de una GPO de inicio 404
4. Implementacin de preferencias 408

F. Validacin de conocimientos: preguntas/respuestas 415

Captulo 13 Securizacin del servidor con GPO

A. Introduccin 420

B. Configuracin de los parmetros de seguridad 420

1. Creacin de una plantilla de seguridad 420


2. Configuracin de los derechos de usuario 421
3. Configuracin de la UAC (User Account Control) 422
4. Implantacin de una directiva de auditora 426
5. Utilizacin de los grupos restringidos 428

C. Implantacin de una restriccin de software 429


1. La directiva de restriccin de software 429
2. Utilizacin de AppLocker 430

D. El Firewall de Windows 432

E. Talleres 433

1. Creacin de una plantilla de seguridad 433


2. Utilizacin de grupos restringidos 440
3. Auditora de un sistema de archivos 444
4. Auditora de modificaciones en el directorio 451
5. Creacin de reglas con AppLocker 455
6. Configuracin del Firewall de Windows 468

F. Validacin de conocimientos: preguntas/respuestas 477

www.ediciones-eni.com Ediciones ENI 12/13


Windows Server 2012 R2
Instalacin y Configuracin - Preparacin para la certificacin MCSA - Examen
70-410

Captulo 14 Supervisin de servidores

A. El Administrador de tareas 482

B. El Monitor de recursos 492

C. El Monitor de rendimiento 497

D. Los registros de eventos 502

1. Creacin de una vista personalizada 505


2. Suscripcin 506

E. Talleres 507

1. Utilizacin del Monitor de rendimiento 507


2. Creacin de una vista personalizada 515
3. Asociar una tarea a un evento 517
4. Implantacin y uso de una suscripcin 521

F. Validacin de conocimientos: preguntas/respuestas 528

Tabla de objetivos 531

ndice 533

www.ediciones-eni.com Ediciones ENI 13/13


Windows Server 2012 R2
MCSA 70-410 - Instalacin y Configuracin

El examen 70-410 "Instalacin y Configuracin de Windows Server 2012" es el primero de tres


exmenes obligatorios para obtener la certificacinMCSA Windows Server 2012. Este examen
valida sus competencias y conocimientos acerca de la puesta en marcha de una infraestructura
Windows Server 2012 bsica en un entorno empresarial existente.

Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista terico como prctico. Ha sido redactado por un formador
profesional reconocido, tambin consultor, certificado tcnica y pedaggicamente por Microsoft. De
esta forma, su saber hacer pedaggico y tcnico conducen a un enfoque claro y visual, de un alto
nivel tcnico.

Captulo tras captulo, podr validar sus conocimientos tericos, empleando un gran nmero
de preguntas-respuestas (154 en total) haciendo hincapi tanto en los fundamentos como las
caractersticas especficas de los conceptos abordados..

Cada captulo est terminado por los talleres (46 en total) tendr los medios para medir su
autonoma. Estas operaciones concretas, llegando ms all de los objetivos fijados para el
examen, le permitirn forjar una primera experiencia significativa y adquirir verdaderas
competencias tcnicas en situaciones reales. Los scritps incluidos en el libro pueden descargarse
en est pgina.

A este dominio del producto y sus conceptos, se aade la preparacin especfica para la
certificacin: en el sitio www.edieni.com podr acceder de forma gratuita a 1 examen en lnea,
destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio, cada pregunta
est planteada dentro del espritu de la certificacin y, para cada una, se encuentran respuestas
suficientemente comentadas para cubrir o identificar sus lagunas.

Los captulos del libro:


Descripcin - Introduccin - Instalacin de Hyper-V - Despliegue y administracin de Windows
Server 2012 R2 - Introduccin a los servicios Active Directory - Administracin de objetos AD -
Automatizar la administracin de Active Directory - Implementacin del protocolo IP -
Implementacin de un servidor DHCP - Implementacin de un servidor DNS - Gestin del espacio
de almacenamiento local - Administracin de los servidores de archivos - Implementacin de
directivas de grupo - Securizacin del servidor con GPO - Supervisin de servidores - Tabla de
objetivos

Nicolas BONNET
Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace aos.
Est certificado MCT (Microsoft Certified Trainer) y transmite al lector, a travs de este libro, toda
su experiencia en las tecnologas servidor y su evolucin. Sus cualidades pedaggicas conducen a
un libro verdaderamente eficaz para la preparacin a este examen acerca de Windows Server
2012.R2.
Introduccin
El examen 70-410 "Instalacin y configuracin de Windows Server 2012 R2" es el primero de los tres
exmenes obligatorios para obtener la certificacin MCSA Windows Server 2012 certification. Este
examen valida sus competencias y conocimientos acerca de la puesta en marcha de una
infraestructura Windows Server 2012 R2 bsica en un entorno empresarial existente.

Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales (se
proporciona la lista en el anexo) tanto desde un punto de vista terico como prctico.

Cada captulo est organizado de la siguiente forma:

Una definicin de los objetivos a alcanzar: permite definir de forma precisa las competencias
proporcionadas por el captulo una vez validado.

Una parte terica: permite definir los trminos y conceptos abordados y esquematizar en
forma de hilo conductor los diferentes puntos a asimilar.

Una parte de validacin de conocimientos que se presenta bajo la forma de


preguntas/respuestas (154 en total). Estas preguntas y sus respuestas comentadas destacan
tanto los elementos fundamentales como las caractersticas especficas de los conceptos
tratados.

Los talleres (46 en total): permiten ilustrar con precisin ciertas partes del curso y le aportan
los medios para evaluar su autonoma. Estas operaciones, en particular, le permitirn forjar
una primera experiencia significativa y adquirir verdaderas competencias tcnicas sobre todo
un conjunto de situaciones reales, ms all de los objetivos fijados para el examen.

A este dominio del producto y sus conceptos se aade la preparacin especfica para la certificacin:
en el sitio www.edieni.com podr acceder de forma gratuita a un examen en lnea, destinado a
entrenarle en condiciones similares a las de la prueba. En este sitio, cada pregunta est planteada
dentro del espritu de la certificacin y, para cada una, se encuentran respuestas suficientemente
comentadas que le permitirn cubrir o identificar sus lagunas.
Introduccin
El antiguo plan de certificacin permita obtener la certificacin MCITP (Microsoft Certified IT
Professional). stas han sido rebautizadas MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Organizacin de las certificaciones

Plan de estudios MCSA

El plan de estudios MCSA est compuesto por tres exmenes. El examen 70-410, que trata sobre
lainstalacin y la configuracin de Windows Server 2012. Se requiere aprobar, a continuacin, el
segundo examen cuyo nmero es el 70-411. ste trata sobre la administracin de Windows Server
2012. Finalmente, para aprobar el plan de estudios, es necesario aprobar el examen 70-412. ste
tiene por objeto la administracin avanzada de Windows Server 2012.

A partir de ahora, existen varios planes de estudio MCSE (Microsoft Certified Solutions Expert).

MCSE Server Infrastructure

Se deben aprobar dos exmenes para obtener esta certificacin. Adems del plan de estudios MCSA,
es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el examen 70-414,
Implementacin de una infraestructura de servidor avanzada para validar el plan de estudios.

MCSE Desktop Infrastructure

Este plan de estudios se compone de tres exmenes. Se deben aprobar los exmenes 70-415,
Implementacin de una infraestructura de puestos de trabajo y el 70-416, Implementacin de entorno
de aplicacin ofimtica.

MCSE Private Cloud

Para obtener la certificacin MCSE Private Cloud, se requiere aprobar los exmenes 70-246
Monitorizacin y uso de un cloud privado con System Center 2012 y 70-247 Configuracin y
despliegue de un cloud privado con System Center 2012.
Cmo est organizado este libro?
Este libro le prepara para el examen 70-410 Instalacin y configuracin de Windows Server 2012.
Este libro est dividido en captulos que le proporcionan el conocimiento terico en el momento
preciso. Los talleres se presentan a los lectores permitindoles una puesta en prctica de los puntos
tratados en las partes tericas.

Es preferible seguir los captulos en su orden. En efecto, estos confieren las competencias necesarias
para aprobar el examen de forma progresiva al lector. Al final de cada captulo, una serie de
preguntas validarn el nivel que debe ser alcanzado. Si se supera, el lector podr pasar al siguiente
captulo.

El primer captulo introduce el libro y permite una mejor comprensin de la forma en la que el libro
est construido.

A continuacin, se aborda el tema de Hyper-V. Permite familiarizarse con su funcionamiento. Los


puntos tratados son los diferentes discos duros virtuales y los conmutadores de red que es posible
utilizar. Seguidamente se construye una maqueta (Sandbox) para poder llevar a cabo los talleres de
los mdulos siguientes. Se presentan, a continuacin, las diferentes generaciones de mquinas
virtuales y se aborda tambin el modo de sesin extendido. La gestin de la calidad (QoS) a nivel de
almacenamiento finaliza este captulo.

Despus de Hyper-V se presenta el captulo sobre el despliegue y la administracin de Windows


Server 2012. Trata sobre los diferentes mtodos de instalacin, el servidor Core e incluye una
introduccin a PowerShell. Los talleres presentados consisten en la creacin del bosque Active
Directory, la configuracin de un servidor en modo Core as como la administracin de servidores
empleando las herramientas presentes en el sistema operativo o, simplemente, mediante
instrucciones PowerShell.

Los tres captulos siguientes tratan sobre Active Directory. Los primeros puntos permiten obtener o
revisar los conceptos bsicos necesarios para Active Directory. Despus de haber visto las diferentes
maneras de promover un servidor a controlador de dominio (promover con IFM), se abordan las
diferentes caractersticas (papelera de reciclaje, directiva de contraseas muy especfica). Se abordan,
a su vez, los objetos Active Directory (usuario, equipo...) que es posible crear. Los talleres permiten
implementar delegaciones, la gestin de cuentas de usuario o el restablecimiento de un canal seguro.
La parte Active Directory termina con el captulo de automatizacin de la administracin. Los puntos
tratados son la administracin por lnea de comandos y mediante PowerShell.

La seccin acerca de las redes se aborda posteriormente a estos captulos. Se estudian los protocolos
IPv4 e IPv6. Se abordan la conversin binario/decimal, las direcciones privadas/pblicas y el
direccionamiento IPv4. Esta seccin se complementa con la implantacin de subredes y los diferentes
comandos (ping, tracert e ipconfig). Finalmente, la seccin sobre IPv6 (informacin general del
protocolo y las diferentes direcciones) completa y cierra el captulo.

El servicio DHCP tambin se aborda en este libro, despus de haber estudiado el funcionamiento de la
asignacin de una direccin IP, as como el uso de DHCP. Las caractersticas y la gestin de la base de
datos se estudian a continuacin. IPAM complementa y cierra el captulo sobre DHCP.

Un elemento esencial en un dominio Active Directory es el DNS. Se le dedica un captulo. Se estudiarn


la instalacin y el soporte del servidor DNS antes que su funcionamiento y sus distintas zonas. El
soporte incluye los diferentes comandos necesarios para la gestin y el mantenimiento del servidor
(nslookup, dnslint, ipconfig y dnscmd).

Los dos captulos siguientes tratan sobre la administracin del espacio de almacenamiento y el
servidor de archivos. En el primer captulo, se proporciona una definicin de DAS (Direct Attached
Storage), NAS (Network Attached Storage) y SAN (Storage Area Network) para seguidamente estudiar la
gestin de discos y volmenes (MBR, GPT, FAT, NTFS y ReFS) y el despliegue de un espacio de
almacenamiento. El captulo siguiente permite comprender la gestin de los diferentes controladores,
las instantneas y ABE (Access Based Enumeration).

Los siguientes dos captulos tratan sobre el despliegue de directivas de grupo y la securizacin de
servidores empleando GPO. Los diferentes componentes y el almacenamiento de una directiva de
grupo, las preferencias, as como las GPO de inicio dan comienzo al captulo de Implementacin de
directivas de grupo. ste se completa con el tema de su tratamiento (gestin de vnculos, orden de
aplicacin y filtros de seguridad) as como la funcin del directorio central. El captulo Securizacin del
servidor empleando GPO presenta las funcionalidades de seguridad mediante la configuracin de los
parmetros, el despliegue de AppLocker y el firewall de Windows.

El captulo decimocuarto y ltimo del libro trata sobre las herramientas de anlisis incluidas en
Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
Competencias evaluadas en el examen 70-410
Puede encontrar la tabla con las competencias evaluadas al final del libro.

1. El examen de certificacin
El examen de certificacin est compuesto de varias preguntas. Para cada una, se ofrecen varias
respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener una nota
de 700 para aprobar el examen.

El examen se presenta en un centro Prometric, sin embargo la inscripcin se debe hacer en el


sitiowww.prometric.com. Existen varios sitios en la regin. Es necesario seleccionar la fecha y hora
antes de elegir el examen deseado (70-410).

El da indicado, contar con varias horas para responder al examen. No dude en tomarse todo el
tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es posible marcar
las preguntas para una relectura antes de terminar el examen. El resultado se emite al finalizar el
examen.

2. Preparacin del examen


Para preparar el examen de una forma ptima es necesario, en primer lugar, leer los diferentes
captulos y luego realizar los talleres.

Las preguntas al final de cada mdulo le permiten validar sus conocimientos. No se salte ningn
captulo y reptalo tantas veces como sea necesario. Se ofrece un examen de prueba con este libro
que le permite evaluar sus conocimientos antes de presentarse al examen.
Mquinas virtuales utilizadas
Para realizar los talleres y evitar multiplicar el nmero de mquinas, se instala un sistema de
virtualizacin. El captulo permite la instalacin del Sandbox o maqueta. ste emplea el hipervisor de
Microsoft Hyper-V. Puede utilizar, si lo desea, su propio sistema de virtualizacin.

A continuacin, se instalan varias mquinas virtuales que ejecutan Windows Server 2012 o Windows
8.

Se puede descargar las versiones de evaluacin en los siguientes enlaces:

http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx

http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
Requisitos previos y objetivos

1. Requisitos previos
Contar con nociones sobre los sistemas de virtualizacin.

Poseer conocimientos de microinformtica.

2. Objetivos
Presentacin de la situacin de virtualizacin Hyper-V.

Creacin y configuracin de una mquina virtual.

Gestin de conmutadores de red y de instantneas (snapshots).

Creacin del Sandbox.


Informacin general de las tecnologas de virtualizacin
Las tecnologas de virtualizacin ofrecen desde ahora a los administradores la posibilidad de reducir el
nmero de servidores. La virtualizacin incluye la parte servidor pero, tambin, los equipos cliente y
las aplicaciones. Todos los modos de virtualizacin tienen como objetivo facilitar la administracin y
reducir los costes de un sistema de informacin. De esta forma, es muy fcil hacer funcionar uno o
ms servidores en una mquina fsica. Empleando varios servidores fsicos, es muy frecuente no
utilizar toda la potencia de estos; virtualizando varios servidores sobre una mquina anfitriona, los
recursos de esta ltima se reparten entre todas las mquinas virtuales (VM), lo que permite una
utilizacin completa de los recursos. Es sencillo realizar de una solucin, igual que la migracin de una
mquina virtual entre distintos servidores.

Existen varios sistemas de virtualizacin, cada uno utiliza un disco virtual (un archivo en formato vhd,
vhdx) as como una red virtual (interna al equipo o empleando la red fsica).

1. Virtualizacin del puesto de trabajo


El principio de la virtualizacin del puesto de trabajo consiste en utilizar una o varias imgenes
virtuales sobre uno o ms equipos en la red. Se puede comparar este gnero de virtualizacin con
un streaming de sistema operativo.

Este puede igualmente tomar la forma de una virtualizacin completa del puesto de trabajo, esta
tecnologa llamada VDI (Virtual Desktop Initiative) permite la virtualizacin del sistema operativo pero
tambin de las aplicaciones. El puesto puede, entonces, ser de tipo cliente ligero o de tipo PC.

2. Virtualizacin de aplicaciones
La virtualizacin de aplicaciones engloba varios tipos de virtualizacin. Es posible realizar la
virtualizacin de aplicaciones centralizadas. El usuario ejecuta una aplicacin en un puesto de
trabajo, sin embargo sta realmente ejecutndose en un servidor remoto (solo se ejecuta el
sistema operativo en el puesto de trabajo).

De igual manera se puede encontrar el aislamiento de aplicaciones en forma de burbuja. Esta


prctica consiste en resolver un problema de incompatibilidad entre aplicaciones ejecutando cada
una en una burbuja que est aislada de las otras aplicaciones. Esta ltima solucin es menos
frecuente.

3. Hyper-V en Windows 8.1


Es posible instalar el rol Hyper-V en un equipo cliente a partir de Windows 8 (solo en las ediciones
Pro y Enterprise). Los requisitos previos a nivel de procesador son idnticos a Windows Server 2012
R2. El procesador debe soportar SLAT (Second Level Address Translation). Tambin es necesario un
mnimo de 4 GB de RAM. Las caractersticas llamadas "Enterprise" (Live migration, etc.) solo estn
disponibles si Hyper-V se instala en un servidor.
Implementacin de Hyper-V
Hyper-V es un sistema de virtualizacin disponible en los sistemas operativos servidor a partir de
Windows Server 2008. Est disponible actualmente en versin 3. La ventaja de este hipervisor es el
acceso directo al hardware de la mquina host (y por ende un mejor tiempo de respuesta). El rol
Hyper-V puede instalarse con Windows Server 2012 R2 en modo instalacin completa (con el interfaz
grfico instalado) o en una instalacin mnima (sin interfaz grfico).

1. Requisitos previos de Hardware


Como muchos de los roles en Windows Server 2012 R2, Hyper-V tiene sus requisitos previos. Esto
concierne al hardware del equipo.

El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). La capacidad del procesador debe responder a las necesidades de las
mquinas virtuales. Estas ltimas pueden soportar como mximo 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la asignada a las mquinas virtuales.
Durante la asignacin de la memoria a las mquinas virtuales, es necesario reservar una parte para
el funcionamiento de la mquina fsica. Si el equipo consta de 32 GB de RAM, es aconsejable reservar
de 1 a 2 GB para el funcionamiento del servidor fsico (el tamao de la reserva vara en funcin de
los roles instalados en la mquina fsica).

2. Las mquinas virtuales en Hyper-V


Una mquina virtual emplea los siguientes componentes; sin embargo, en funcin de la generacin
de las VM (ver ms abajo en este captulo), algunos componentes no estarn disponibles.

BIOS: se simula la BIOS de un ordenador fsico, es posible configurar varios factores:

El orden de arranque para la mquina virtual (red, disco duro, DVD).

El bloqueo digital automtico.

Memoria RAM: se asigna una cantidad de memoria RAM a la mquina virtual. Se puede asignar
un mximo de 1 TB. A partir de Windows Server 2008 R2 SP1, es posible asignar la memoria
dinmicamente (tratado en profundidad en este captulo).

Procesador: al igual que la memoria, es posible asignar uno o ms procesadores (en funcin
del nmero de procesadores y ncleos de la mquina fsica). Se puede asignar un mximo de
32 procesadores a una mquina.

Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Mquina Virtual).
Cada una posee dos discos como mximo.

Controladora SCSI: aade una controladora SCSI a la mquina virtual. De esta forma es
posible aadir discos duros o lectores DVD.

Adaptador de red: por defecto no se hereda el adaptador de red de la mquina virtual, lo que
permite un mejor trfico pero impide que la mquina realice un arranque PXE (arranque a
travs de la red cargando una imagen). Para poder arrancar desde la red, es necesario
agregar un adaptador de red heredado.

Tarjeta de vdeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento grfico
haciendo uso de DirectX.

Seleccionando una mquina virtual y despus haciendo clic en Configuracin, en el men Acciones,
aparecer la ventana de configuracin.
Configuracin de una mquina virtual de generacin 2

Todos los componentes descritos arriba pueden configurarse durante la creacin de la mquina
virtual (adaptador de red, disco duro, unidad DVD) o accediendo a la configuracin del equipo virtual.

3. La memoria dinmica con Hyper-V


Al publicarse Windows Server 2008, el sistema de virtualizacin Hyper-V permita solo asignar una
cantidad de memoria esttica. De esta forma el nmero de mquinas virtuales estaba limitado. Si un
servidor quera asignar 4 GB de RAM, la cantidad reservada era la misma incluso si no exista
ninguna actividad en la mquina virtual.

La memoria dinmica permite asignar una cantidad mnima de memoria. Sin embargo, si la mquina
virtual tiene necesidad de ms memoria, est autorizada a solicitar una cantidad suplementaria
(esta ltima no puede exceder la cantidad mxima asignada). Esta caracterstica se introdujo en los
sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1.

A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores
mnimos y mximo de la memoria durante el arranque.

La memoria bffer es una caracterstica que permite a la mquina virtual contar con una cantidad
adicional de memoria RAM en caso de necesidad.
La ponderacin de memoria permite establecer prioridades para la memoria disponible.

4. Presentacin de las diferentes generaciones


Durante la creacin de una mquina virtual, debemos seleccionar la generacin deseada. sta
opcin es irreversible y hay que volver a crear la mquina para pasar a otra generacin.

VM de generacin 1

Este tipo de mquina virtual proporciona las mismas ventajas que las versiones anteriores de
Hyper-V.

VM de generacin 2

Con este tipo de VM, aparecen nuevas funcionalidades:

Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible
arrancar la mquina virtual desde una unidad conectada a un controlador SCSI.

Boot PXE con una tarjeta de red estndar: con las mquinas virtuales de 1 generacin es
necesario tener una tarjeta de red heredada para poder efectuar un arranque PXE. Microsoft
permite ahora realizar la misma operacin con una tarjeta de red estndar (los rendimientos
se ven mejorados). Preste atencin, sin embargo, solo las mquinas virtuales de 2
generacin son compatibles con esta mejora.

Las mquinas virtuales de esta generacin no permiten utilizar tarjetas de red heredadas o
unidades conectadas a un controlador IDE. Adicionalmente, solo estn soportados los siguientes
sistemas operativos:

Windows Server 2012

Windows Server 2012 R2

Windows 8 64 bits solamente

Windows 8.1 64 bits solamente

5. Uso del modo de sesin mejorada


En adelante es posible, en Hyper-V, redirigir los recursos locales a una mquina virtual. De esta
forma, esta funcionalidad proporciona funciones similares a la conexin de escritorio remoto.

En las versiones anteriores de Hyper-V solo la pantalla, el ratn y el teclado estaban redirigidos. Era
entonces necesario establecer una conexin con el escritorio remoto para redirigir la impresora u
otros dispositivos. Windows Server 2012 R2 contiene ahora una herramienta de sesin mejorada, a
travs del men Ver, que permite llevar a cabo esta redireccin mediante el bus (VMBus) de la
mquina virtual. Ya no es necesario establecer la conexin a travs de la red para efectuar esta
operacin.

Es posible redirigir los siguientes recursos:

Configuracin de vista

Dispositivos de audio

Impresoras

Portapapeles

Tarjetas inteligentes

Dispositivos USB

Dispositivos plug and play soportados

Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.

Habilitar la Directiva de modo de sesin mejorada en la configuracin de Hyper-V. Esta ltima


est deshabilitada de forma predeterminada.
El servicio de escritorio remoto debe estar activado en la mquina virtual. No es necesario, sin
embargo, proceder a una posible autorizacin.

El usuario que va a efectuar la redireccin debe ser miembro del grupo de usuarios del
escritorio remoto o del grupo de administradores locales en el sistema invitado.

Durante la conexin a una mquina virtual que soporte esta funcionalidad, se abre un cuadro de
dilogo que permite configurar la visualizacin.
Tambin es posible configurar la redireccin de recursos locales.

Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
El disco duro de las mquinas virtuales
Un disco duro virtual es un archivo utilizado por Hyper-V para representar los discos duros fsicos. De
esta forma, es posible almacenar en archivos el sistema operativo o los datos. Se puede crear un
disco duro empleando:

La consola de administracin de Hyper-V.

La consola de administracin de discos.

El comando DOS DISKPART.

El comando PowerShell New-VHD.

Con la llegada de la nueva versin de Hyper-V, incluida en Windows Server 2012, se emplea un nuevo
formato VHDX.

Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD (Virtual
Hard Disk). Con este formato, el tamao de los archivos ya no est limitado a 2 TB, cada disco duro
virtual puede tener un tamao mximo de 64 TB. El formato VHDX es menos sensible a la corrupcin
de archivos por un cierre inesperado (por un corte de luz por ejemplo) del servidor. Es posible
convertir los archivos VHD existentes en VHDX (este punto se aborda en profundidad en este
captulo).

A partir de Windows Server 2012, el almacenamiento de discos duros virtuales puede realizarse en
particiones de archivos SMB 3. Del mismo modo, es posible especificar un recurso compartido local
durante la creacin de una mquina virtual Hyper-V.

1. Los diferentes tipos de discos


Al igual que un servidor fsico, una mquina virtual posee un disco duro. Los datos se almacenan en
un archivo que hace las veces de contenedor.

Durante la creacin de un nuevo disco duro virtual es posible crear diferentes tipos de discos,
incluyendo discos de tamao fijo, dinmico y de acceso directo pass-through. Al crear un disco
virtual de tamao fijo se reserva el tamao total del archivo en el disco. De esta forma, se puede
limitar la fragmentacin del disco duro de la mquina host y mejorar su rendimiento. Sin embargo,
este tipo de disco presenta el inconveniente de consumir espacio en disco incluso si el archivo VHD
no contiene datos.

Un disco de tamao dinmico, posee un tamao mximo de archivo, sin embargo el tamao de
archivo aumenta en funcin del contenido hasta alcanzar su tamao mximo. Al crear un archivo VHD
dinmico, ste tendr un tamao de 260 KB, en comparacin con los 4096 KB para un formato VHDX.
Es posible crear un archivo VHD empleando el cmdlet PowerShell New-VHD con el parmetro -
Dynamic.

El disco virtual de acceso directo (pass-through) permite a una mquina virtual acceder
directamente a un disco fsico. El sistema operativo de la mquina virtual considera el disco como
interno. Esto puede ser til para conectar la mquina virtual a una LUN (Logical Unit Number) iSCSI.
Sin embargo, esta solucin requiere un acceso exclusivo de la mquina virtual al disco fsico
empleado. El disco deber quedar operativo mediante la consola de Administracin de discos en el
equipo host.

2. Administracin de un disco virtual


Se pueden realizar ciertas operaciones con los archivos VHD. Es posible, por ejemplo, comprimirlos
para reducir el espacio utilizado o para convertir su formato de vhd a vhdx. Durante la conversin
del disco duro virtual, el contenido se copiar al nuevo archivo (conversin de un archivo de tamao
fijo en un archivo de tamao dinmico, por ejemplo). Una vez se copian los datos al nuevo disco, el
archivo antiguo se elimina.
Se pueden llevar a cabo otras operaciones como la reduccin de un archivo dinmico. Esta opcin
permite reducir el tamao de un disco si este ltimo no emplea todo el espacio que le ha sido
asignado. Para los discos de tamao fijo, eventualmente ser necesario convertir los archivos VHD
en archivos de tipo dinmico.

Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales,
opcin Editar disco en el panel Acciones. La ventana proporciona acceso a varias opciones.

Tambin es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar la
compresin de un disco duro virtual dinmico.

3. Los discos de diferenciacin


Un disco de diferenciacin permite reducir el tamao de almacenamiento necesario. De hecho, este
tipo de disco consiste en crear un disco comn a varias mquinas y un disco que contiene las
modificaciones aportadas al disco raz, siendo este ltimo especfico de cada mquina.

El tamao necesario para el almacenamiento de las mquinas virtuales se ve as reducido. Tenga en


cuenta que la modificacin de un disco principal causar la prdida de los enlaces al disco duro de
diferenciacin. Ser entonces necesario volver a conectar los discos de diferenciacin utilizando la
opcin Inspeccionar disco en el panel Acciones.

Es posible crear un disco de diferenciacin utilizando el cmdlet PowerShell New-VHD. El comando


siguiente permite crear un disco de diferenciacin llamado Diferencial.vhd, este ltimo utiliza un disco
raz llamado Raiz.vhd.

New-VHD c:\Diferencial.vhd -ParentPath c:\Raiz.vhd

4. Los puntos de control en Hyper-V


Un punto de control (o instantnea, en las anteriores versiones de Hyper-V) corresponde a una
"foto" de la mquina virtual en el momento en que se realiza. sta est contenida en un archivo con
la extensin avhd o avhdx, en funcin del tipo de archivo del disco seleccionado. Esta operacin
puede llevarse a cabo seleccionando la mquina y haciendo clic en la opcin Punto de control del
panel Acciones.

Cada mquina puede tener varios puntos de control. Si el punto de control se crea cuando la
mquina est arran-cada, contendr el contenido de la memoria RAM. Si se usa un punto de control
para revertir a un estado anterior es posible que la mquina virtual no pueda conectarse al dominio.
En efecto, se realiza un intercambio entre un controlador de dominio y una mquina unida al
dominio. Al restaurar una mquina, este intercambio (contrasea) tambin se restaura. Sin
embargo, la contrasea restaurada no sigue siendo vlida, rompiendo el canal seguro. Es posible
reinicializarlo efectuando nuevamente la operacin de unirse al dominio o utilizando el comando
netdom resetpwd.

Tenga cuidado, esta funcionalidad no reemplaza en ningn caso a las copias de seguridad, ya que
los archivos avhd o avhdx se almacenan en el mismo volumen que la mquina virtual. En caso de
fallo del disco, todos los archivos se perdern y ser imposible restaurarlos.

Al utilizar discos de diferenciacin, cada uno contiene los datos agregados desde el ltimo punto de
control efectuado.
Gestin de redes virtuales
Se puede crear y utilizar varios tipos de redes en una mquina virtual. Esto con el fin de permitir a las
diferentes mquinas comunicarse entre ellas o con equipos externos a la mquina host (router,
servidores).

Las mquinas estn conectadas a sus redes mediante conmutadores virtuales (vswitch). Un
conmutador virtual se corresponde con un conmutador fsico como el que podemos encontrar en
cualquier red informtica. Conocido como red virtual en Windows Server 2008, ahora en Windows
Server 2012 R2 hablamos de conmutador virtual. Es posible gestionar estos ltimos empleando la
opcin Administrador de conmutadores virtuales en el panel Acciones.

Es posible crear tres tipos de conmutadores:

Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la
mquina host desde la mquina virtual. De esta forma, la ltima tiene una conexin a la red
fsica, permitindole acceder a los equipos o servidores de la red fsica.

Interno: permite la creacin de una red entre la mquina fsica y las mquinas virtuales. Es
imposible para las mquinas de la red fsica comunicar con las mquinas virtuales.

Privada: la comunicacin puede hacerse exclusivamente entre las mquinas virtuales, la


mquina host no puede contactar con ninguna de las mquinas virtuales.

Una vez creado, es conveniente vincular el adaptador de red de la mquina virtual con el conmutador
deseado.
El Sandbox
El Sandbox consiste en la creacin de un entorno virtual o fsico de pruebas que permita realizar las
pruebas sin perturbar las mquinas o servidores de produccin.

La virtualizacin permite disminuir el nmero de mquinas fsicas necesarias. Todas las mquinas
virtuales funcionan en una misma mquina fsica. Sin embargo, ser necesario contar con una
cantidad de memoria y espacio en disco suficientes.

1. Configuracin necesaria
Ser necesario contar con una mquina robusta para hacer funcionar las mquinas virtuales, como
por ejemplo una mquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El sistema
operativo ser Windows Server 2012 R2.

Si su configuracin es inferior a sta, bastar con arrancar solamente las mquinas necesarias. Es
aconsejable reservar un mnimo de 1 GB para la mquina host, dejando 5 GB para el conjunto de las
mquinas virtuales.

2. La instalacin de Windows Server 2012 R2


Antes de proceder a la instalacin de Windows Server 2012 R2 en el equipo fsico hay que
asegurarse de que se respetan los requisitos mnimos del sistema operativo.

Procesador: 1,4 GHz como mnimo y arquitectura de 64 bits.

Memoria RAM: 512 MB como mnimo, sin embargo un servidor equipado con 1024 MB parece
el mnimo indispensable.

Espacio en disco: una instalacin base sin ningn rol necesita un espacio en disco de 15 GB.
Ser necesario prever un espacio mayor o menor en funcin de los roles del servidor.

A partir de Windows Server 2008, se presentan dos tipos de instalacin:

Una instalacin completa: se instala una interfaz grfica que permite administrar el servidor
de forma grfica o por lnea de comandos.

Una instalacin mnima: se instala el sistema operativo, sin embargo no est presente
ninguna interfaz grfica. Solo se cuenta con un smbolo de sistema, la instalacin de roles,
caractersticas o la administracin diaria se realizan por lnea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server
Administration Tools) en un puesto remoto.

Una vez terminada la instalacin del servidor, se requiere configurar el nombre del servidor y su
configuracin IP.
Talleres
Esta seccin sigue con la implementacin de la maqueta con el objetivo de familiarizarle con Hyper-V.
De esta forma podr crear las mquinas virtuales para proceder a su instalacin y configuracin.

1. Configuracin de la red virtual


Objetivo: el objetivo de este ejercicio es crear conmutadores virtuales que puedan utilizarse, a
continuacin, en la maqueta.

Arranque la consola Administrador de Hyper-V mediente la interfaz Modern UI.

En el panel Acciones, haga clic en Administrador de conmutadores virtuales.

Haga clic en Nuevo conmutador de red virtual y luego en Interno.

Valide la opcin haciendo clic en el botn Crear conmutador virtual.

En el campo Nombre, introduzca Interno y luego haga clic en Aplicar.

Ahora podemos utilizar el conmutador virtual para las mquinas alojadas en este servidor.
Creacin de las mquinas virtuales
Una vez instalado el sistema operativo en la mquina fsica, la etapa siguiente consiste en la
instalacin del rol Hyper-V y luego la creacin, instalacin y configuracin de las diferentes mquinas
virtuales.

Haga clic en el primer icono para ejecutar el Administrador del servidor.

En la consola Administrador del servidor, haga clic en Agregar roles y caractersticas.

Se arranca el asistente, haga clic en Siguiente.

Al ser Hyper-V un rol, marque la opcin por defecto Instalacin basada en caractersticas o en
roles y luego haga clic en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en Siguiente.

Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
caractersticas.

Haga clic en Siguiente en la ventana de instalacin de caractersticas.

Es necesario crear un conmutador virtual. Haga clic en el adaptador de red para establecer un
puente entre la red fsica y la mquina virtual.

Si no desea utilizar el adaptador de red fsico, ser necesario crear un conmutador virtual antes
de volver a arrancar el servidor.
Haga clic tres veces en Siguiente y, a continuacin, en Instalar.

Una vez terminada la instalacin, vuelva a arrancar el servidor.

Haga clic en el botn Inicio para mostrar la interfaz de Windows.

Acceda a las Herramientas administrativas para poder iniciar Hyper-V.


1. Esquema de la maqueta
Se crearn seis mquinas virtuales, los sistemas operativos sern Windows Server 2012 R2 y
Windows 8.1.

La maqueta contiene cuatro servidores y dos puestos cliente:

AD1, controlador de dominio del dominio formacion.local.

SV1, servidor miembro del dominio formacion.local.

SV2, servidor miembro del dominio formacion.local.

SVCore, servidor en versin Core (instalacin mnima), no miembro del dominio.

CL8-01, puesto cliente con Windows 8 miembro del dominio formacion.local.

CL8-02, puesto cliente con Windows 8 miembro del dominio formacion.local.

Es posible descargar el archivo ISO de la versin de evaluacin de Windows Server 2012 R2 del sitio
web siguiente: http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx

2. Mquina virtual AD1


El procedimiento descrito a continuacin deber repetirse para la creacin de todas las mquinas
virtuales.

a. Creacin y configuracin de la VM

En la consola Hyper-V, haga clic en Nuevo en el men Acciones y luego en Mquina virtual.
En la ventana Antes de comenzar, haga clic en Siguiente.

Introduzca AD1 en el campo Nombre.

En nuestro ejemplo, los archivos de las mquinas virtuales se almacenarn en un segundo


disco. Puede, si lo desea, seleccionar la ruta por defecto.
Seleccione el botn Generacin 2 y, a continuacin, haga clic en Siguiente.

Introduzca 2048 en el campo Memoria de inicio y luego haga clic en Siguiente.

En la ventana Configurar funciones de red, seleccione el adaptador de red deseado (interno


o tarjeta de red fsica) y, a continuacin, haga clic en siguiente.

Introduzca 60 en el campo Tamao y luego haga clic en Siguiente.

Conecte la mquina virtual al archivo ISO o al DVD de Windows Server 2012 R2.
En la ventana resumen, haga clic en Finalizar.

La nueva mquina aparecer en la ventana central de la consola.

El disco duro de la mquina se crea, pero en blanco, es necesario particionarlo e instalar el sistema
operativo.

b. Instalacin del sistema operativo

Haga doble clic en la mquina virtual en la consola Hyper-V y luego haga clic en el
botnIniciar (botn verde).
La mquina arranca y se inicia la instalacin de Windows Server 2012 R2.

Haga clic en Siguiente en la ventana de seleccin de idiomas (se selecciona Espaol por
defecto).

Haga clic en Instalar ahora para arrancar la instalacin.

Haga clic en la versin Standard (servidor con una GUI).

Acepte la licencia y luego haga clic en Siguiente.

Seleccione Personalizada: instalar solo Windows (avanzado).


Empleando las Opciones de unidad (avanz.), cree dos particiones de 30 GB.
Haga clic en la primera particin disponible y luego en Siguiente.

La instalacin est en marcha

Introduzca la contrasea Pa$$w0rd y luego confirme.

La instalacin ha finalizado, la etapa siguiente es la modificacin del nombre del equipo y la


configuracin IP de la mquina. Se instalarn los roles en los siguientes captulos.

c. Configuracin post-instalacin

Para poder realizar un [Ctrl][Alt][Supr] en la mquina virtual recin instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.

Abra una sesin como administrador, introduciendo la contrasea configurada en la seccin


anterior.

En el Administrador del servidor, haga clic en Configurar este servidor local.


Haga clic en el nombre de equipo para abrir las propiedades del sistema.

Haga clic en Cambiar y, a continuacin, introduzca el nombre del servidor (AD1).

Haga clic dos veces en Aceptar y luego en Cerrar.

Vuelva a iniciar la mquina virtual para confirmar las modificaciones.

Falta configurar la direccin de la tarjeta de red.

Haga un clic con el botn derecho del ratn en Centro de redes y recursos compartidos y
luego haga clic en Abrir.

Haga clic en Cambiar configuracin del adaptador.

Haga doble clic en la tarjeta de red, y luego en Propiedades.

En la ventana Propiedades, haga doble clic en Protocolo de Internet versin 4 (TCP/IPv4).


Configure el adaptador de red segn se muestra abajo.

El procedimiento a seguir ser el mismo, siguiendo los parmetros detallados para las mquinas
virtuales siguientes.

Las modificaciones a realizar sern el nombre del equipo y la configuracin IP.

3. Mquina virtual SV1


Este servidor es un miembro del dominio, se llama SV1. La cantidad de memoria asignada es de
2048 MB, el disco virtual de 60 GB particionado en dos particiones.

Direccin IP: 192.168.1.11

Mscara de sub-red: 255.255.255.0

Servidor DNS Preferido: 192.168.1.10

Contrasea del administrador local: Pa$$w0rd

La instalacin de los roles y la adhesin al dominio se realizarn en los captulos siguientes.

4. Mquina virtual SV2


Este servidor es un segundo servidor miembro del dominio, se llama SV2. La cantidad de memoria
asignada es de 2048 MB, el disco virtual de 60 GB particionado en dos particiones.

Direccin IP: 192.168.1.12

Mscara de sub-red: 255.255.255.0


Servidor DNS Preferido: 192.168.1.10

Contrasea del administrador local: Pa$$w0rd

La instalacin de los roles y la adhesin al dominio se realizarn en los captulos siguientes.

5. Mquina virtual SVCore


Este servidor se instala en modo sin interfaz de usuario (modo Core), todas las opciones se
proporcionan en los captulos siguientes.

La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.

Contrasea del administrador local: Pa$$w0rd

6. Mquina virtual CL8-01


Puesto cliente con Windows 8.1, esta mquina es miembro del dominio (operacin que realizaremos
en los captulos siguientes). La configuracin IP se realizar mediante DHCP. Conecte el archivo ISO
de Windows 8.1 a la mquina virtual para llevar a cabo la instalacin.

La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.

Nombre del puesto: CL8-01

Contrasea del administrador local: Pa$$w0rd

7. Mquina virtual CL8-02


Segundo puesto cliente con Windows 8.1, esta mquina es miembro del dominio. La configuracin IP
se realizar por medio de DHCP. Conecte el archivo ISO de Windows 8.1 a la mquina virtual para
proceder a la instalacin.

La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una nica
particin.

Nombre del puesto: CL8-02

Contrasea del administrador local: Pa$$w0rd

8. Creacin de puntos de control


Esta funcionalidad nos permitir en los captulos siguientes poner en prctica los talleres (promocin
de servidores a controladores de dominio, puesta en marcha de un RODC...).

Abra la consola Administrador de Hyper-V.

Haga un clic con el botn derecho en la mquina virtual y luego seleccione Punto de control.

Aparece una nueva lnea en la consola.


Ahora es posible restaurar el estado de las mquinas virtuales.
Configuracin de la QoS a nivel de almacenamiento
Esta nueva caracterstica permite utilizar la QoS (calidad de servicio) para el almacenamiento en la
configuracin en las mquinas virtuales. De esta forma, en lo sucesivo es posible definir el umbral
mni-mo para un funcionamiento eficaz. Cuando se alcanzan los distintos umbrales (produciendo
rendimientos poco satisfactorios), se advierte al administrador.

Muy til para las cloud pblicas, la caracterstica permite garantizar que la mquina virtual de un
cliente no impacta en el rendimiento de lectura/escritura de otro cliente.

Se proveen las siguientes funcionalidades:

Cada disco duro virtual puede tener un valor mximo IOPS (Input/output Operations Per Second -
operaciones de escritura por segundo).

Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS mximo
definido para los discos duros virtuales.

La QoS a nivel de almacenamiento requiere el rol Hyper-V. Durante la instalacin del rol, la caracte-
rstica se habilita automticamente. Sin embargo no es posible emplearla con discos duros virtuales
compartidos.

Para configurar la QoS a nivel de discos duros, realice el procedimiento siguiente:

En el Administrador de Hyper-V, haga clic con el botn derecho en la mquina virtual deseada y
luego seleccione Configuracin.

En la categora Controladora SCSI, seleccione el disco deseado.


En el panel de la izquierda, haga clic en el signo + y, a continuacin, haga clic en Caractersticas
avanzadas.

Marque la opcin Habilitar administracin de calidad de servicio y, a continuacin, configure los


campos como desee.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 En qu consiste la virtualizacin de aplicaciones?

2 Cules son los requisitos previos para la instalacin de un servidor Hyper-V?

3 Qu es la memoria dinmica?

4 Cul es el formato para el archivo del disco virtual de una mquina? Cules son sus
ventajas?

5 Qu tipos de discos duros virtuales pueden crearse con Hyper-V?

6 Qu permite hacer un punto de control?

7 Cules son los conmutadores virtuales que es posible crear?

8 Cules son las mejoras aportadas por las mquinas virtuales de generacin 2?

9 Cules son los sistemas operativos compatibles con las mquinas virtuales de generacin 2?

10 Qu permite hacer el modo de sesin mejorada?

11 Cul es la utilidad de la QoS a nivel de almacenamiento en Hyper-V?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 8 puntos para
aprobar el captulo.

3. Respuestas
1 En qu consiste la virtualizacin de aplicaciones?

La virtualizacin de aplicaciones consiste en ejecutar, por parte del usuario, aplicaciones que no se
encuentran en el puesto de trabajo sino en un servidor. Esto permite facilitar la administracin de
las aplicaciones, las cuales estarn agrupadas en un nico equipo.

2 Cules son los requisitos previos para la instalacin de un servidor Hyper-V?

La mquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). Tambin es necesario que la cantidad de memoria sea superior a la asignada a las
mquinas virtuales.

3 Qu es la memoria dinmica?

La memoria dinmica es una caracterstica aparecida con el SP1 de Windows Server 2008 R2. sta
permite asignar una cantidad mnima de memoria a una mquina virtual. sta puede, en caso
necesario, solicitar ms memoria adicional, sin embargo no puede exceder la cantidad mxima.

4 Cul es el formato para el archivo del disco virtual de una mquina? Cules son sus
ventajas?

Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco duro. El
formato VHDX proporciona ciertas ventajas. El tamao del archivo puede, ahora, tener un tamao
mximo de 64 TB y resuelve el problema de la corrupcin de archivos tras un error no esperado.

5 Qu tipos de discos duros virtuales pueden crearse con Hyper-V?

Es posible crear tres tipos de discos duros virtuales:

Los discos de tamao fijo: el tamao total del archivo se reserva en el disco, este tipo de
disco permite limitar la fragmentacin del archivo. Tiene sin embargo el inconveniente de
consumir el espacio en disco incluso si el archivo est vaco.

Los discos dinmicos: se define un tamao mximo durante su creacin. El tamao


aumenta en funcin del contenido.

Los discos de acceso directo "pass-through": permiten conectar un disco fsico


directamente a la mquina virtual. El acceso al disco por la VM es exclusivo.

6 Qu permite hacer un punto de control?

Un punto de control permite capturar el estado de una mquina virtual en un momento dado, con
el fin de poder restaurar el estado de la instantnea.

7 Cules son los conmutadores virtuales que es posible crear?

Se puede crear tres conmutadores en Hyper-V:

Externo: se crea un puente entre la interfaz de red de la mquina fsica y la interfaz de red
virtual. De esta forma la VM tiene la posibilidad de acceder a la red fsica.

Interno: este tipo de conmutador permite a las mquinas virtuales comunicarse con la
mquina host. Por el contrario, les es imposible acceder a la red fsica.

Privado: permite realizar la comunicacin solamente entre las mquinas virtuales, la


mquina host no puede contactar con ninguna de las VM.

8 Cules son las mejoras aportadas por las mquinas virtuales de generacin 2?

Las mquinas virtuales de generacin 2 aportan la posibilidad de arrancar desde una unidad SCSI y
tambin de realizar un arranque PXE desde una tarjeta de red estndar.

9 Cules son los sistemas operativos compatibles con las mquinas virtuales de generacin 2?

Solo los sistemas operativos Windows Server 2012, Windows Server 2012 R2, Windows 8 y
Windows 8.1 son compatibles con las mquinas virtuales de generacin 2. Los sistemas operativos
anteriores debern instalarse en una mquina virtual de generacin 1.

10 Qu permite hacer el modo de sesin mejorada?

Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una
conexin de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la mquina
virtual. Este modo de sesin mejorada permite, en lo sucesivo, redirigir los perifricos sin tener que
pasar por la red y el cliente de escritorio remoto.

11 Cul es la utilidad de la QoS a nivel de almacenamiento en Hyper-V?

La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos
duros virtuales de las VM. Se configura un umbral mnimo y mximo de operaciones por segundo
para garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de direccionamiento IP.

Poseer competencias para la instalacin y configuracin de un sistema operativo cliente o


servidor.

2. Objetivos
Presentacin de Windows Server 2012 R2.

Utilizacin de la consola Administrador del servidor.

Instalacin y configuracin del servidor.

Introduccin al lenguaje PowerShell.


Informacin general de Windows Server 2012 R2
Windows Server 2012 R2, como su antecesor, aporta todo un conjunto de caractersticas que permite
ofrecer nuevos servicios.

1. Las ediciones de Windows Server 2012 R2


Podemos encontrar diferentes ediciones de Windows Server 2012 R2. As cada empresa tiene la
posibilidad de elegir la edicin en funcin de sus necesidades.

Edicin Standard: esta edicin incluye todos los roles y caractersticas. Soporta hasta 4 TB de
memoria RAM e incluye dos licencias para dos mquinas virtuales.

Edicin Datacenter: esta edicin incluye todos los roles y caractersticas. Permite instalar un
nmero ilimitado de mquinas virtuales y soporta un procesador con hasta 640 ncleos y 4 TB
de memoria RAM.

Edicin Foundation: utilizada en las pequeas empresas con menos de 15 usuarios, incluye
un nmero limitado de roles y no puede unirse a un dominio. Soporta un procesador con un
solo ncleo y hasta 32 GB de memoria RAM.

Edicin Essentials: esta edicin reemplaza a las versiones Small Business Server. Puede
actuar como servidor raz en un dominio pero no puede poseer los roles Hyper-V, clster de
conmutacin o servidor Core. Esta edicin limita el nmero de usuarios a 25, la cantidad de
memoria RAM no puede exceder 64 GB.

El servidor Core es uno de los mtodos de instalacin disponibles a partir de Windows Server 2008.
Solo se puede administrar un servidor instalado en modo Core empleando comandos PowerShell o
comandos DOS. De hecho este tipo de instalacin est desprovisto de interfaz grfica, reduciendo
de esta forma el nmero de actualizaciones requeridas y los recursos hardware necesarios. La
cantidad de memoria RAM o el espacio en disco son menores comparados con una instalacin
completa. A partir de Windows Server 2012 es posible pasar de un modo de instalacin al otro
eliminando o agregando la caracterstica que proporciona la interfaz grfica (esta operacin era
imposible de realizar en los sistemas operativos precedentes).

Es posible agregar la caracterstica empleando la consola Administrador del servidor o mediante un


cmdlet PowerShell.

Las siguientes herramientas pueden utilizarse en un servidor en modo Core:

Cmd.exe: permite la ejecucin de comandos DOS (ping, ipconfig...).

PowerShell: ejecuta una sesin PowerShell con el fin de poder ejecutar los comandos.

Sconfig.cmd: men por lnea de comandos que permite efectuar las tareas de administracin
en el servidor.

Notepad.exe: permite el inicio y ejecucin del bloc de notas.

Regedt32.exe: proporciona acceso a la base de datos del registro.

TaskMgr.exe: inicio y administracin de tareas.

Se puede administrar un servidor Core de forma remota instalando en un servidor o puesto de


trabajo los archivos RSAT. Sin embargo, es necesario autorizar la administracin remota en el
cortafuegos de Windows. Para esto, emplee el comando netsh:

Netsh.exe advfirewall set service remoteadmin enable ALL

El servidor puede ahora administrarse desde otro servidor.


2. Presentacin de los principales roles
Los roles hicieron su aparicin con Windows Server 2008, permiten proporcionar a un servidor
funciones suplementarias (controlador de dominio...).

Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una empresa.

El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory, que
tiene por objetivo la autenticacin de las cuentas de usuario y de equipo en un dominio Active
Directory.

AD CS (Active Directory Certificate Services) permite instalar una entidad de certificacin, que
tiene por objetivo entregar y administrar certificados digitales.

AD FS (Active Directory Federation Service) proporciona un servicio federado de gestin de


identi-dades. Identifica y autentica a un usuario que desea acceder a una extranet. De esta
forma dos empresas pueden compartir de forma segura informacin de identidad de Active
Directory para un usuario. Varias funciones de rol integran este rol:

Servicio de federacin: instala la infraestructura para proporcionar acceso a los recursos.

Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un
acceso autenticado a un recurso web.

Proxy FSP: permite recopilar informacin de autenticacin del usuario desde un navegador
o una aplicacin web.

Otro rol llamado AD RMS permite la gestin del acceso a un recurso. Se despliega un
mecanismo de proteccin contra usos no autorizados. Los usuarios se identifican y se les
asigna una licencia para la informacin protegida. De este modo resulta ms sencillo prohibir
a un usuario realizar una copia de un documento en una llave USB o imprimir un archivo
confidencial. Durante la instalacin del rol es posible instalar dos servicios de rol:

Active Directory Rights Management Services: permite proteger un recurso frente a un


uso no autorizado.

Compatibilidad con la federacin de identidades: se beneficia de las relaciones federadas


entre dos organizaciones para establecer la identidad del usuario y proporcionarle un
acceso a un recurso protegido.

El rol Servidor de aplicaciones permite efectuar la administracin y hospedaje de


aplicaciones creadas empleando .NET Framework 4.5 u otros. Existen ms servicios de rol
incluidos en este rol:

.NET Framework 4.5: procede a la instalacin del Framework .NET.

Acceso a red COM+: utilizacin del protocolo COM+ para comunicacin remota.

Uso compartido de puertos TCP: permite a varias aplicaciones gestionar el mismo puerto.

Puesta en marcha del servidor Web (IIS): instala el servicio Web (IIS).

Servicio de activacin de procesos Windows: permite la invocacin de aplicaciones


utilizando protocolos como HTTP, Message Queue Server y TCP.

Transacciones distribuidas: agrega los servicios que permiten utilizar transacciones en


varias bases de datos.

Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System)
que permiten, respectivamente, la distribucin de configuraciones de red a los equipos cliente
y la resolucin de nombres en direcciones IP (o viceversa).

Existen otros roles disponibles en Windows Server 2012 R2, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
3. Presentacin de las principales caractersticas
Una caracterstica aporta herramientas adicionales al sistema operativo. Al igual que para un rol,
una caracterstica puede instalarse de forma manual o automtica.

El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en
caso de prdida o robo del equipo. Se requiere la presencia de una tarjeta TPM en la mquina
para una verificacin del sistema de propagacin.

El clster de conmutacin por error permite a los servidores funcionar conjuntamente, para
proporcionar alta disponibilidad. En caso de fallo de uno de los servidores, los otros
garantizan la continuidad del servicio.

El equilibrio de carga de red realiza una distribucin del trfico para evitar la saturacin de
uno de los servidores.

El servicio de administracin de direcciones IP instala una infraestructura que permite


gestionar un espacio de direcciones IP y los servidores correspondientes (DHCP). IPAM se
encarga de descubrir los servidores en el bosque Active Directory de forma automtica.

Al igual que los roles, las caractersticas pueden instalarse con la consola Administrador del servidor
o mediante PowerShell.
Informacin general de la administracin de Windows
Server 2012 R2
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de
administracin. Es posible arrancarlas desde la consola Administrador del servidor.

La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde
Windows Server 2008 y Windows Server 2008 R2, ha sufrido un enorme cambio en Windows Server
2012.

Permite aadir o eliminar roles e igualmente la gestin de PC remotos. Se pueden instalar roles y
caractersticas empleando el protocolo WinRM. Se puede configurar igualmente un grupo de
servidores por medio de esta consola, para poder administrar varios servidores desde una misma
consola.

La gestin del servidor local se hace tambin mediante esta consola. Se puede modificar cierta
informacin muy rpidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece la mquina. Tambin se puede gestionar la configuracin del escritorio
remoto o la administracin remota.
La caracterstica Configuracin de seguridad mejorada de Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Esta opcin se encuentra habilitada por
defecto.

De igual forma, el panel permite verificar rpidamente que no existe ningn problema en el servidor.
As, podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de
almacenamientofuncionan correctamente. Servidor local y Todos los servidores (que por el
momento solo incluye al Servidor local) estn igualmente presentes.

Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las
categoras est precedida por una cifra el administrador sabe que existen eventos pendientes de
visualizar.

Haciendo clic en la categora se muestra una ventana que contiene los detalles del evento.
As, es posible intervenir en un problema (reiniciar un servicio...) muy rpidamente. Adicionalmente, el
aspecto visual proporciona una vista inmediata del estado de salud del servidor o servidores.
Instalacin de Windows Server 2012 R2
Antes de realizar la instalacin de Windows Server 2012 R2 conviene verificar que el hardware
respeta los requisitos previos exigidos por el fabricante. Adicionalmente, se debe hacer una eleccin:
la instalacin completa que incluye la interfaz grfica o una instalacin mnima sin interfaz grfica.

1. Mtodos de instalacin
Para instalar Windows Server 2012 R2, pueden usarse varios mtodos:

El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de
instalacin es mucho ms larga que el uso de un medio USB y presenta el inconveniente de
no poder modificar la imagen (sin cambiar el medio).

El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo
software o un controlador) sin tener que volver a crear el medio. Se puede usar un archivo de
respuestas para automatizar las etapas de la instalacin. Esto requiere sin embargo
permisos de administracin para algunas etapas.

El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft Deployment


Toolkit). De esta forma no es necesario tener un soporte USB o un lector DVD. Esta solucin
consume muchos recursos de red.

Una vez seleccionado el mtodo, debemos seleccionar la instalacin deseada.

Una nueva instalacin consiste en instalar el sistema operativo en un disco o volumen nuevo.

Una actualizacin permite conservar los archivos y aplicaciones. Esta operacin se puede
realizar desde Windows Server 2008 R2 SP1 o Windows Server 2012. Sin embargo se debe
tener cuidado, la edicin debe ser equivalente o superior.

La migracin, que es til al pasar de Windows Server 2003 o Windows Server 2003 R2 a
Windows Server 2012 R2.

2. Requisitos previos de hardware para Windows Server 2012 R2


Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware. Conviene
respetarlos para garantizar que el sistema operativo ejecuta en buenas condiciones. Evidentemente
conviene adaptarlos en funcin de los roles instalados, Hyper-V tiene, como es natural, requisitos
ms exigentes para poder hacer funcionar las mquinas virtuales.

Es necesario garantizar antes de la instalacin que se tiene, como mnimo, un procesador con una
arquitectura de 64 bits, el cual debe tener una velocidad mnima de 1,4 GHz. El servidor debe tener
512 MB de memoria RAM y 32 GB de espacio en disco.

Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Configuracin del sistema operativo despus de su
instalacin
A partir de Windows Server 2008, se ha reducido el nmero de parmetros a configurar durante la
instalacin. Ya no es posible configurar la red, el nombre del equipo o la adhesin a un dominio
durante la instalacin. Es posible automatizar la configuracin de estos parmetros utilizando un
archivo de respuestas). El nico parmetro a introducir es la contrasea de la cuenta del
administrador local del servidor.

Estas operaciones deben realizarse despus de la instalacin. Para ello hay que usar el
nodoServidor local de la consola Administrador del servidor.

1. Configuracin del adaptador de red


Toda mquina conectada a una red debe tener una configuracin IP. sta tiene como mnimo una
direccin IP, una mscara de subred, la direccin IP de la puerta de enlace predeterminada y la del
servidor DNS. La direccin IP asignada a la mquina le permite ser identificada y comunicarse con
sus pares.

Se puede contar con un servidor DHCP para proporcionar direcciones de forma automtica. Estas
concesiones DHCP tienen una duracin limitada en el tiempo y contienen toda la configuracin IP
(direccin IP, mscara de subred, etc.) necesaria para que la mquina se comunique en la red.
Tambin es posible asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la
consola Administrador del servidor (nodo Servidor local).

Tambin es posible realizar la configuracin por lnea de comando DOS. El comando netsh permite
realizar esta operacin.

Netsh interface ipv4 set address "Conexin a red local"


static 192.168.1.1 255.255.255.0

Para configurar la direccin IP del servidor DNS, utilice el comando siguiente:

Netsh interface ipv4 set dnsservers "Conexin a red local"


static 192.168.1.2 primary

Debe remplazar "Conexin a red local" con el nombre de su adaptador de red.


Formacin de equipos de NIC

La formacin de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta
caracterstica permite utilizar una direccin IP en varios adaptadores de red, la conexin se
mantiene de esta forma incluso si una de las tarjetas de red sufre algn problema. No es necesario,
en ningn caso, contar con adaptadores de red idnticos para instalar la formacin de equipos de
NIC.

Conecte el servidor SV1 para poder aadir un adaptador de red.

Una vez abierta la conexin a la mquina virtual, haga clic en Archivo y luego
enConfiguracin...

Haga clic en Agregar hardware, luego en Adaptador de red y finalmente en Agregar.


Conecte el nuevo adaptador de red al mismo conmutador virtual (este ltimo debe ser de
tipoExterno) que el adaptador de red ya instalado.
Haga clic en Aceptar y luego en el botn verde en la barra de la mquina virtual para iniciarla.

Abra una sesin en la mquina SV1.

Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic en el enlace Deshabilitado al lado de Formacin de equipos de NIC.

En ADAPTADORES E INTERFACES, seleccione los dos adaptadores de red manteniendo


pulsada la tecla [Ctrl] del teclado.

Haga clic con el botn derecho y luego, en el men contextual, seleccione Agregar a nuevo
equipo.
En el campo Nombre del equipo, introduzca Equipo 1.

Despliegue el men Propiedades adicionales y seleccione Ethernet en Adaptador de modo de


espera.

La formacin de equipos de NIC est ahora en servicio.


Se ha aadido un elemento en la consola Conexiones de red.

Verifique la configuracin IP para comprobar que el adaptador de red tiene la direccin IP


192.168.1.11.

Inicie un smbolo de sistema DOS e introduzca el comando ping -t 192.168.1.11.


Deshabilite los dos adaptadores de red.

Al deshabilitarlos, desaparece Equipo 1.

En adelante es imposible efectuar un ping o utilizar la red.

Reactive los adaptadores de red, Equipo 1 vuelve a aparecer.

De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz contina con la
comunicacin. Adicionalmente, el conjunto de adaptadores comparten la misma configuracin de red.
2. Unirse a un dominio sin conexin
La unin a un dominio sin conexin permite a un equipo unirse a un dominio. Incluso sin que se
encuentre conectado. Para realizar esta operacin es preciso utilizar el comando djoin.exe. En
primer lugar ser necesario ejecutar, en el controlador de dominio, el comando djoin con la
opcin/provision.

djoin /provision /domain formacion.local /machine NombreDeLaMquina


/savefile c:\Union.txt

El archivo Union.txt contiene toda la informacin necesaria para unirse al dominio. Puede copiarlo al
equipo. Utilice, una vez ms, el comando djoin y el parmetro /requestODJ.

djoin /requestODJ /loadfile union.txt /windowspath


%systemroot% /localos

Por ltimo, reinicie el equipo para terminar la operacin de unin al dominio (en un entorno de
produccin, la ltima operacin se validar durante la prxima conexin del equipo a la red
empresarial).

3. Configuracin de un servidor Core


Un servidor Core no posee interfaz grfica, la configuracin debe hacerse por lnea de comandos. El
comando sconfig, presente en las instalaciones mnimas, evita a los administradores tener que
escribir los diferentes comandos empleados para configurar el nombre del servidor o la configuracin
IP.

Se pueden realizar varias operaciones:

Configuracin del grupo de trabajo o unin a un dominio Active Directory.

Editar el nombre del equipo.

Aadir una cuenta de administrador local.

Descargar e instalar actualizaciones de Windows Update.

Configurar la fecha y hora.

Desconexin, apagado y reinicio del servidor.

Uno de los talleres presentes en este captulo trata sobre la configuracin de un servidor Core.
Introduccin a PowerShell
PowerShell es una plataforma de lnea de comandos que permite automatizar ciertas tareas de
administracin.

1. Presentacin de PowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administracin de
servidores y redes informticas. Estos scripts permiten automatizar las tareas (creacin de usuarios,
etc.). El lenguaje est compuesto por cmdlets que se ejecutan desde un smbolo del sistema
PowerShell. Muchos productos de Microsoft utilizan scripts de PowerShell mediante interfaces
grficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los asistentes en MDT 2010 y MDT 2012
muestran el script PowerShell empleado. Ciertos roles como Hyper-V pueden gestionarse empleando
comandos PowerShell.

Las funciones bsicas pueden extenderse agregando mdulos (mdulo Active-Directory, etc.), lo que
permite la administracin del rol en lnea de comandos.

La importacin del mdulo se realizar usando el comando:

Import-Module NombreModulo

2. Sintaxis de los cmdlets PowerShell


Un cmdlet utiliza un nombre y un verbo, los nombres tienen cada uno una coleccin de verbos
asociados.

Pueden usarse varios tipos de verbos en funcin del nombre seleccionado.

Get

New

Set

Restart

Resume

Remove

Add

Show

Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:

Get-Help -Noun NounName

Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:

Get-Help -Verb VerbName

Ejemplo de cmdlet utilizable

El cmdlet Service permite administrar servicios mediante PowerShell.

Get-Service: permite mostrar las propiedades de un servicio.


Restart-Service: efecta el reinicio de un servicio existente.

Set-Service: configura las propiedades de un servicio.

Start-Service: inicia un servicio detenido.

Stop-Service: detiene un servicio arrancado.

El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2.

Get-EventLog: muestra los eventos de un registro de eventos especificado.

Clear-EventLog: elimina todos los eventos de un registro.

Limit-EventLog: define un tamao y un tiempo lmite para los diferentes eventos.

El cmdlet Process permite gestionar los diferentes procesos del servidor.

Get-Process: permite obtener informacin sobre un proceso.

Start-Process: efecta el inicio de un nuevo proceso.

Stop-Process: detiene un proceso.

3. Presentacin de la consola PowerShell ISE


La interfaz PowerShell ISE es un entorno que proporciona asistencia para la elaboracin de scripts
PowerShell. Permite visualizar los comandos y los parmetros utilizados por estos comandos y
acceder a diferentes cmdlets.

Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Para facilitar su mantenimiento,
se emplea un cdigo de colores al igual que en una herramienta de depuracin.

Finalmente, se pueden visualizar los diferentes cmdlets por mdulo, esto permite saber que mdulo
cargar.

4. Instalar y configurar la caracterstica DSC (Desired State Configuration)


La caracterstica DSC es una extensin de PowerShell que permite efectuar algunas operaciones
como:

Instalar o eliminar roles y caractersticas.

Administrar archivos y carpetas.

Iniciar, detener y gestionar un proceso o un servicio.

Administrar los grupos y usuarios locales.

DSC proporciona a PowerShell nuevos cmdlets as como recursos que permiten realizar la definicin
de un entorno deseado. Adicionalmente, es posible efectuar la gestin y el mantenimiento de las
configuraciones existentes.

Se ha incluido una nueva palabra clave Configuration en PowerShell. Se utiliza para definir un
bloque dentro de un script. Estar seguida por un identificador y corchetes, que permiten delimitar el
bloque. ste contendr la configuracin deseada.

Es necesario definir en el script el equipo, as como los recursos pertinentes.

Para obtener ms informacin acerca de esta funcionalidad visite la


pgina:http://technet.microsoft.com/en-us/library/dn249918.aspx
Talleres
Estos talleres permiten poner en prctica los puntos tratados en el captulo.

1. Creacin del bosque Formacion.local


Objetivo: el objetivo de este ejercicio es promover el primer controlador de dominio del bosque
Formacion.local. Una vez realizada la configuracin, habr que promover el servidor.

Mquina virtual utilizada: AD1.

Haga doble clic en la mquina AD1 para conectarse a ella.

Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].

En la consola Administrador del servidor, haga clic en Agregar roles y caractersticas.

Se inicia el asistente, haga clic en Siguiente.

Haga clic en Instalacin basada en caractersticas o en roles.

En la ventana de seleccin del servidor de destino, seleccione la opcin por defecto.


Marque la opcin Servicios de dominio de Active Directory (Active Directory Domain Services -
directorio Active Directory) y luego haga clic en Agregar caractersticas.

Haga clic dos veces en Siguiente y luego en Instalar.


La instalacin est en marcha

Una vez terminada la instalacin, haga clic en Cerrar.

En el Administrador del servidor, haga clic en la bandera con el signo de exclamacin.


Haga clic en Promover este servidor a controlador de dominio.

Haga clic en Agregar un nuevo bosque e introduzca Formacion.local en el campo Nombre de


dominio raz.

Haga clic en Siguiente para validar su eleccin.


Seleccione el nivel funcional Windows Server 2012 R2, deje la casilla Servidor DNS marcada para
instalar y configurar el rol.

Introduzca la contrasea de modo de restauracin de servicios de directorio (DSRM): Pa$$w0rd.

En la ventana Opciones de DNS, haga clic en Siguiente.

Despus de algunas bsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre
es FORMACION.

Haga clic en Siguiente para validar la informacin.


Deje las rutas de acceso por defecto.

Haga clic en Siguiente despus de haber verificado los parmetros en la ventana Revisar
opciones.

Haga clic en Instalar para iniciar la instalacin de Active Directory y promover el servidor. Al
terminar la instalacin, el servidor reinicia.

2. Configuracin de un servidor en modo de instalacin Core


Objetivo: configurar SVCore que ejecuta Windows Server 2012 R2 en modo instalacin mnima. El
taller permite efectuar la configuracin del nombre del servidor, la fecha y hora al igual que el
adaptador de red. Seguidamente, el servidor se agregar al dominio Formacion.local.

Mquinas virtuales utilizadas: AD1 y SVCore.

Abra una sesin en SVCore como administrador local.

En el smbolo del sistema, introduzca: netdom renamecomputer %computername%


/newname:SVCore
Introduzca S y, a continuacin, pulse la tecla [Intro] para realizar el cambio de nombre.

Utilice el comando shutdown -R -t 0 para reiniciar el servidor.

Despus del reinicio, abra una sesin como administrador y verifique el nombre usando el
comando hostname.

Introduzca sconfig y valide con la tecla [Intro].


Introduzca 9 y valide con la tecla [Intro].

Verifique que la zona horaria est bien configurada UTC+01 (Madrid).

Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora.

En la ventana sconfig, seleccione la opcin 8) Configuracin de red.

Introduzca el ndice del adaptador de red deseado y luego pulse la tecla [Intro].

Seleccione la opcin 1 para definir la direccin del adaptador de red.


Introduzca e (para efectuar una configuracin esttica) y valide su eleccin empleando la tecla
[Intro].

Responda a las diferentes preguntas para configurar la direccin IP como 192.168.1.13, la


mscara de subred como 255.255.255.0 y finalmente la puerta de enlace predeterminada
como192.168.1.254.

Seleccione la opcin 2) Establecer servidores DNS.

En la lnea Escriba un nuevo servidor DNS, introduzca 192.168.1.10 y valide su opcin.

Haga clic en Aceptar en la ventana Configuracin de red y luego pulse [Intro] sin introducir
ningn valor para volver al men.
Seleccione la opcin 4) Regresar al men principal.

Salga del men sconfig seleccionando la opcin 15) Salir a la lnea de comandos.

Introduzca el comando netdom join %computername% /domain:Formacion.local


/Userd:Formacion\administrador /PasswordD:*

El smbolo * introducido en el parmetro PasswordD permite introducir la contrasea de forma


segura. De hecho, sta no se mostrar.

Si la operacin ha funcionado bien, reinicie el servidor introduciendo el comando shutdown -R -t


0.

3. Administracin de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalar un rol en uno de los
servidores del grupo.

Mquinas virtuales utilizadas: AD1 y SVCore.

Abra una sesin en AD1 y luego ejecute la consola Administrador del servidor.

En el panel, haga clic en Crear un grupo de servidores.

Haga clic en la pestaa Active Directory y luego en el botn Buscar ahora.


Introduzca Grupo-Formacion en el campo Nombre de grupo de servidores.

Agregue los servidores AD1 y SVCore al grupo.


Haga clic en Aceptar para validar la creacin del grupo.

En el panel de la consola Administrador del servidor, haga clic en Agregar roles y


caractersticas.

Haga clic en Siguiente en la ventana Antes de comenzar.

Deje el valor predeterminado en la ventana Seleccionar tipo de instalacin.

Seleccione SVCore como servidor de destino de la instalacin del rol y luego haga clic
enSiguiente.
Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente.

En la ventana Seleccionar caractersticas, haga clic en Siguiente.

Haga clic dos veces en Siguiente y luego en Instalar.


Se realiza la instalacin del servidor remoto.

4. Utilizacin de PowerShell para administrar los servidores


Objetivo: obtener informacin acerca de los servidores remotos mediante la interfaz PowerShell.

Mquinas virtuales utilizadas: AD1 y SVCore.

En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion.
Haga clic con el botn derecho del ratn en SVCore y luego seleccione Windows PowerShell.

Introduzca Import-Module ServerManager y, a continuacin, valide con la tecla [Entrar].

Utilice el comando Get-WindowsFeature para visualizar los roles y caractersticas.

Podemos ver igualmente aquellos ya instalados.

Introduzca el comando Get-service | where-object {$_.status -eq "Running"} para visualizar


los servicios arrancados.
Utilice los comandos get-process para enumerar los procesos en ejecucin.

Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones IPv4 e
IPv6 del servidor consultado.

Introduzca Install-WindowsFeature WINS -ComputerName SVCore para instalar la


caracterstica WINS en SVCore.

De esta forma es muy sencillo instalar un rol o una caracterstica, y tambin realizar la administracin
de un servidor local o remoto.

5. Unirse a un dominio sin conexin


Objetivo: unir un servidor utilizando el mtodo sin conexin. El taller consiste en crear el archivo
necesario para unir un servidor a un dominio y utilizar el comando DJoin.

Mquinas virtuales utilizadas: AD1 y SV1.

En AD1, inicie un smbolo del sistema DOS.

Introduzca el comando Djoin /provision /domain formacion.local /machine SV1 /savefile


c:\union.txt.
Abra una sesin en SV1 como administrador local.

Site el ratn en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz
Windows. Haga clic con el botn derecho en la miniatura y seleccione Ejecutar.

Introduzca \\192.168.1.10\c$ y luego haga clic en Aceptar.

Autentquese como formacion\administrador.

Copie el archivo union.txt en el disco duro local del servidor SV1.

Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.

Introduzca el comando Djoin /requestODJ /loadfile c:\union.txt /windowspath


%systemroot% /localos en SV1.
Efecte un reinicio en SV1.

Abra una sesin, el servidor estar ahora conectado al dominio.

Active los adaptadores de red y luego abra una sesin como administrador del dominio.

SV1 ser miembro del dominio, la unin al dominio sin conexin ha funcionado.

6. Agregar caractersticas a una imagen sin conexin


Objetivo: agregar caractersticas a una imagen de instalacin para que est disponible durante la
instalacin del servidor.
Mquinas virtuales utilizadas: AD1.

En AD1, conecte la ISO de Windows Server 2012 R2 y luego copie el


archivo install.wimubicado en el directorio Sources en c:\ImageWim (cree la carpeta en el
rbol).

Abra un smbolo del sistema DOS y, a continuacin, introduzca el comando dism /get-imageinfo
/imagefile:c:\imagewim\install.wim

El comando permite obtener informacin del archivo de imagen.

Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim.
Para ello, se recupera la imagen de la edicin Datacenter con interfaz grfica. El siguiente comando
indica que la imagen deseada tiene asignado el nmero 4. El archivo install.wim contiene cuatro
archivos install.wim (uno por edicin).

Cree una carpeta Montar en c:\ImageWim.

Introduzca el comando dism /Mount-Image /ImageFile:c:\ImageWim\install.wim /Index:4


/MountDir:c:\ImageWim\Montar.

No acceda a la carpeta Montar porque esto causar que la imagen no pueda ser desmontada
(recomprimida en el archivo wim).

Active la caracterstica TFTP introduciendo el comando Dism /online /Enable-Feature


/FeatureName:TFTP.

Es posible recuperar la lista de caractersticas mediante el comando Dism /online /Get-


Features.

Valide las modificaciones introduciendo el comando Dism /Unmount-Image


/MountDir:C:\ImageWim\Montage /Commit.

De esta forma, durante la instalacin del servidor, se instalar la caracterstica.

7. Agregar/eliminar una interfaz grfica


Objetivo: el taller consiste en agregar una interfaz grfica al servidor SVCore.

Mquinas virtuales utilizadas: SVCore.

El servidor Core no tiene los recursos necesarios para la instalacin de la interfaz grfica, nos basa-
remos en primera instancia en el archivo install.wim presente en el DVD.

Abra una sesin en SVCore como administrador y luego conecte la imagen ISO de Windows
Server 2012 R2.

Introduzca los comandos mkdir c:\Sources y, a continuacin, copy D:\sources\install.wim


C:\Sources\install.wim para crear una carpeta que va a contener el archivo wim e iniciar una
copia del archivo install.wim en el directorio local.
Substituya la letra de la unidad D: por la de su unidad de DVD.

Elimine la propiedad Solo lectura introduciendo el comando attrib.exe -r


C:\Sources\install.wim.

La instalacin de la interfaz grfica ya puede empezar. Introduzca en primer lugar el


comandopowershell en la interfaz grfica.

Inicie la instalacin mediante el comando PowerShell Install-WindowsFeature Server-Gui-


Mgmt-Infra,Server-Gui-Shell -source:wim:C:\Sources\install.wim:2 -restart.
El servidor reinicia al terminar la instalacin. Ahora cuenta con una interfaz grfica. Es posible
eliminarla desinstalando la caracterstica Infraestructura e interfaces de usuario.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cul es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?

2 Cul es la ventaja del panel de la consola Administrador del servidor?

3 Cules son los tipos de instalacin que podemos encontrar en Windows Server 2012 R2?

4 Cul es la ventaja de instalar un servidor en modo Core?

5 Nombre algunos roles y caractersticas presentes en Windows Server 2012 R2.

6 Cul es el rol que debe instalar si desea distribuir certificados digitales?

7 Cul es el rol de un servidor Active Directory Domain Services?

8 Cul es la ventaja de una formacin de equipos de NIC?

9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexin.

10 Qu tipo de archivo se proporciona como argumento a la consola djoin para unirse a un


dominio?

11 Qu comando se utiliza en un servidor Core para mostrar la interfaz de configuracin?

12 Cul es la ventaja de la consola PowerShell ISE?

13 Cul es el nombre de la caracterstica que permite agregar/eliminar la interfaz grfica?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.

3. Respuestas
1 Cul es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?

La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y caracterstica
de forma remota.

2 Cul es la ventaja del panel de la consola Administrador del servidor?

Empleando un cdigo de color (rojo, blanco) es, en adelante, muy fcil distinguir si existe un
problema en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar resolver el
problema (por ejemplo: iniciar o detener el servicio que est detenido).

3 Cules son los tipos de instalacin que podemos encontrar en Windows Server 2012 R2?

Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar Windows
Server 2012 R2 en modo completo (interfaz grfica presente en el servidor) o en modo instalacin
mnima (sin interfaz grfica).

4 Cul es la ventaja de instalar un servidor en modo Core?

Con este tipo de instalacin, es posible utilizar un hardware ms antiguo. Adicionalmente, menos
servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un
hacker, e igualmente el nmero de actualizaciones a instalar. A partir de Windows Server 2012, es
posible pasar de un tipo de instalacin al otro.
5 Nombre algunos roles y caractersticas presentes en Windows Server 2012 R2.

Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al
servidor. Podemos encontrar los siguientes roles Servidor de aplicaciones, DNS (Domain Name
System), DHCP (Dynamic Host Configuration Protocol), AD DS (Active Directory Domain Services),
AD CS (Active Directory Certificate Services), AD FS (Active Directory Federation Service), AD RMS
(Active Directory Rights Management Services)

Adicionalmente, es posible instalar caractersticas que aportan herramientas suplementarias.


Encontraremos el cifrado de unidad BitLocker, el clster de conmutacin por error, el equilibrador de
carga, IPAM (administracin de direccionamiento IP)...

6 Cul es el rol que debe instalar si desea distribuir certificados digitales?

El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que
tiene como funcin la gestin de certificados digitales.

7 Cul es el rol de un servidor Active Directory Domain Services?

AD DS permite la instalacin de un directorio Active Directory. Este directorio permite autenticar e


identificar objetos usuario y equipo.

8 Cul es la ventaja de la formacin de equipos de NIC?

Una formacin de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como
mnimo) con la misma configuracin IP. Esto permite, de forma muy simple, contar con una mayor
redundancia en caso de fallo de uno de los adaptadores.

9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexin.

El ejecutable djoin permite a una mquina sin conexin unirse a un dominio. Debe ejecutarse con
permisos de administrador en el controlador de dominio, con el objetivo de poder crear el archivo
necesario para la operacin. A continuacin, se utilizar el ejecutable en el equipo que se unir al
dominio.

10 Qu tipo de archivo se proporciona como argumento a la consola djoin para unirse a un


dominio?

El archivo utilizado por el comando djoin es de tipo txt, contiene la informacin necesaria para
unirse al dominio AD.

11 Qu comando se utiliza en un servidor Core para mostrar la interfaz de configuracin?

Un servidor en modo instalacin Core puede administrarse por lnea de comandos. Ciertos
elementos (IP, etc.) pueden configurarse mediante una interfaz de configuracin. Es posible
mostrarla utilizando el comando sconfig.

12 Cul es la ventaja de la consola PowerShell ISE?

Esta consola facilita la creacin de scripts o el uso de PowerShell. Permite igualmente visualizar los
diferentes mdulos y sus cmdlets.

13 Cul es el nombre de la caracterstica que permite agregar/eliminar la interfaz grfica?

La caracterstica Infraestructura e interfaces de usuario permite instalar o eliminar la interfaz


grfica. Sin embargo este paso puede realizarse desde PowerShell empleando el cmdlet Install-
WindowsFeature (til bsicamente en un servidor en modo Core).
Requisitos previos y objetivos

1. Requisitos previos
Poseer conocimientos de Active Directory.

2. Objetivos
Definicin del directorio Active Directory.

Presentacin de los roles FSMO.

Promover un servidor miembro a controlador de dominio.

Gestin de la papelera AD y de una directiva de contrasea muy especfica.


Introduccin
Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de
Windows 2000 Server. Como los otros directorios, se basa en la normativa LDAP. Se han aportado
muchas mejoras desde entonces. Abarca generalmente el conjunto de cuentas necesarias para la
autenticacin de los equipos y usuarios de una empresa.
Informacin general de Active Directory
El rol Servicios de dominio de Active Directory contiene los componentes fsicos y lgicos.

Los componentes fsicos van a englobar varios elementos clave en un dominio Active Directory. Estos
ltimos pueden ser hardware o software:

El controlador de dominio, que contiene una copia de la base de datos Active Directory.

La base de datos y la carpeta sysvol, que contendrn el conjunto de la informacin de Active


Directory (propiedades de las cuentas de usuarios, equipos). Cada controlador de dominio del
dominio Active Directory contiene una copia.

El servidor de directorio global, que contiene una copia parcial de los atributos (nombre,
nombre de pila, direccin del usuario) y objetos del bosque. Permite realizar bsquedas
rpidas sobre los atributos de algn objeto de un dominio diferente al del bosque.

Todos los componentes funcionan con componentes lgicos, los cuales permiten la puesta en marcha
de la estructura de Active Directory deseada.

De esta forma podemos encontrar los siguientes componentes:

Las particiones, que son selecciones de la base de datos de Active Directory. As, podremos
encontrar la particin de configuracin, la particin de dominio, la particin DNS

El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden
ser creados en Active Directory.

El dominio, que permite poner en marcha un lmite administrativo para los objetos usuarios y
equipos.

Un rbol de dominio, contiene un conjunto de dominios que comparten un espacio de nombres


DNS contiguo.

El bosque Active Directory, que contiene el conjunto de dominios Active Directory.

El sitio de Active Directory, que permite dividir un dominio en varias partes, para as limitar y
controlar la replicacin entre dos sitios remotos.

La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar
una delegacin.

1. El dominio Active Directory


Un dominio Active Directory es una agrupacin lgica de cuentas de usuario, equipos o grupos. Los
objetos creados se almacenan en una base de datos presente en todos los controladores de
dominio Active Directory. Esta base de datos puede almacenar varios tipos de objeto:

La cuenta de usuario, que permite efectuar una autenticacin y autorizar los accesos a los
diferentes recursos compartidos. Corresponde a una persona fsica o una aplicacin.

La cuenta de equipo, que permite autenticar la mquina en la que el usuario inicia una
sesin.

Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo
de autorizar el acceso a un recurso, implementar una delegacin

2. Las unidades organizativas


Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que permiten la
agrupacin de cuentas de usuario o de equipo. La creacin de este tipo de objeto se utiliza con el
fin de asignar una directiva de grupo al conjunto de objetos presentes en el contenedor. La
segunda funcin es la puesta en marcha de una delegacin para permitir a una persona diferente al
administrador gestionar objetos presentes en el contenedor.

De esta forma las OU representan una jerarqua lgica en el dominio Active Directory (se las puede
anidar, entonces hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad
organizativa por ciudad (Alicante, Madrid...) o por tipo de objeto (usuario, equipo...). Durante la
creacin del dominio se encuentran presentes las carpetas de sistema y unidades organizativas
predeterminadas:

Carpeta Builtin: almacena los grupos predeterminados: Administradores, Operadores de


impresin

Carpeta Users: carpeta predeterminada al crear un nuevo usuario. Contiene de forma


predeterminada la cuenta de administrador y los diferentes grupos administradores
(Administradores de dominio, Administradores de empresas...).
Carpeta Computers: carpeta predeterminada donde se ubican las cuentas de equipo al
agregar nuevos equipos.

Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas


de los controladores de dominio. Esta OU es la nica presente al crear el dominio. La directiva
de grupo Default Domain Controller Policy est ubicada en esta unidad organizativa.

3. El bosque Active Directory


Un bosque est formado por uno o ms dominios Active Directory. Hablamos de dominio raz para el
primer dominio del bosque, adicionalmente este ltimo proporciona el nombre al bosque. En nuestra
maqueta el dominio raz es Formacion.local, el bosque tiene pues el nombre de este ltimo, es decir
Formacion.local. En un bosque Active Directory encontramos una sola configuracin y un solo
esquema que son compartidos por el conjunto de los controladores de dominio presentes en el
bosque. Tiene asimismo como objetivo la puesta en prctica de una frontera de seguridad, los otros
bosques no tienen ningn permiso sobre ste y no se replica ningn dato fuera del bosque.

Un bosque Active Directory est compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos ltimos comparten un espacio de nombres contiguo. La relacin
entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un
espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un lmite de seguridad porque el objeto usuario que permite la
autenticacin de una entidad (persona fsica de la empresa...) se define por cada dominio. Este
ltimo contiene al menos un controlador de dominio, siendo dos lo recomendable en trminos de
alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios
y equipos en un dominio AD.

4. El esquema de Active Directory


El esquema de Active Directory es un componente que permite definir los objetos as como sus
atributos, que es posible crear en Active Directory. Al crear un nuevo objeto, se utiliza el esquema
para recuperar sus atributos y su sintaxis (booleano, entero...).
De esta forma, al crear el objeto, el directorio Active Directory conoce cada atributo y el tipo de datos
a almacenar. Al migrar Active Directory o cuando se instalan ciertas aplicaciones (por ejemplo,
Exchange, etc.) el esquema debe estar actualizado. Esta operacin permite agregar los objetos y
sus atributos que podrn crearse a continuacin (por ejemplo, un buzn de correos). Esta operacin
no puede realizarse en un controlador de dominio con el rol miembro de esquema. El usuario que
efecte esta operacin debe ser miembro del grupo Administradores de esquema. Despus de
efectuar la modificacin, esta ltima se replicar al conjunto de los controladores de dominio del
bosque.

El complemento software Esquema de Active Directory se encuentra oculto de forma


predeterminada. Para poder activarlo, es necesario escribir el comando regsvr32 schmmgmt.dll en
la consola Ejecutar.

El complemento software puede agregarse, ahora, a una consola MMC.

5. Las particiones de Active Directory


Active Directory est compuesto de varias particiones. Son cuatro, y se comparten entre los
controladores de dominio.

Particin de dominio: contiene la informacin de los diferentes objetos que se han creado en
el dominio (atributos de cuentas usuario y equipo).

Particin de configuracin: en esta particin est descrita la topologa del directorio (lista
completa de dominios, arborescencias).

Particin de esquema: contiene todos los atributos y clases de todos los objetos que es
posible crear.

Particin DNS: en esta particin se almacena el conjunto de zonas y sus registros.

Estas particiones se almacenan en la base de datos. Esta ltima se encuentra en la carpeta


%systemroot%\NTDS.

6. Los maestros de operacin FSMO


En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single Master Operation).
Dos de estos se encuentran solamente en uno de los controladores de dominio del bosque, los
otros tres se encuentran en cada dominio.

Rol maestro de esquema: se atribuye este rol a un nico servidor del bosque. Este ltimo es el
nico que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar esta
operacin, es necesario que la cuenta empleada sea miembro del grupo Administradores de
esquema. Los otros servidores solo tienen un acceso de lectura.

Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se
encuentra nicamente en un nico controlador de dominio del bosque. El Maestro de nomenclatura
de dominios es necesario al aadir o eliminar un dominio del bosque. Se contacta este servidor para
garantizar la coherencia de los nombres de dominio.

Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC estn
presentes en cada dominio del bosque.

Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador nico est asociado al SID del dominio
para crear el SID (identificador de seguridad) del objeto. Es mediante este identificador como se
reconoce un objeto.

Maestro de infraestructura: su rol es la vigilancia de objetos ajenos a su dominio, que estn


presentes en los grupos de seguridad o en las ACL. Ejemplo: el objeto Javier OLIVARES forma parte
del dominio ES.Formacion.local pero es miembro del grupo G_Conta-US-R, que se encuentra en el
dominio US.Formacion.local.

Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un servidor PDC


NT4. Permite tambin la migracin entre Windows 2000 (uso del controlador de dominio Active
Directory) y Windows NT4 (uso del servidor PDC y BDC). Su segundo rol es la sincronizacin del reloj
para el conjunto del dominio.

7. Los sitios Active Directory y la replicacin


Los dominios Active Directory estn divididos en sitios AD que representan la topologa fsica de la
empresa. Si consideramos la conectividad de red de un sitio como buena, hablaremos de una
replicacin intra-sitio. La replicacin inter-sitio se refiere a la realizada entre dos sitios Active
Directory.

Los sitios Active Directory permiten definir fronteras de replicacin, lo cual permite ahorrar ancho de
banda en la lnea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesin, se utilizan los controladores de dominio Active
Directory a los que est conectado. Sin embargo, si la autenticacin no puede realizarse en stos, la
operacin se ejecuta en otro sitio.

La replicacin inter-sitio permite garantizar la transmisin de una modificacin a uno o varios sitios.
Para ello, conviene utilizar un objeto de conexin de tipo unidireccional (solo de entrada). Mediante
estas rutas de replicacin, la topologa se crear automticamente. Esta ltima garantiza la
verificacin de la coherencia de los datos (KCC - Knowledge Consistency Checker). De esta forma
garantizamos la continuidad de servicio a nivel de replicacin en caso de una avera en uno de los
controladores de dominio. Sin embargo, es imposible realizar ms de tres saltos entre dos
controladores de dominio.
Informacin general de un controlador de dominio
El controlador de dominio es uno de los servidores ms sensibles en un dominio Active Directory.
Conviene tomar precauciones adecuadas al instalar el servidor.

1. Los controladores de dominio


Un controlador de dominio contiene una copia de la base de datos Active Directory (archivo NTDS.dit)
al igual que la carpeta Sysvol. A partir de Windows 2000, el conjunto de controladores de dominio
cuenta con un acceso de lectura/escritura a la base de datos y la carpeta Sysvol. Es, sin embargo,
posible instalar un controlador de dominio en solo lectura (a partir de Windows Server 2008).

La carpeta Sysvol contiene los scripts utilizados y los parmetros para las directivas de grupo. A
diferencia de la base de datos, la replicacin de la carpeta sysvol se efecta utilizando el servicio de
replicacin de archivos (FRS) o ms recientemente mediante el sistema DFS (Distributed File System).
En un dominio es necesario contar con al menos un servidor que tenga el rol de catlogo global as
como dos controladores de dominio por dominio. Los sitios remotos que cuenten con un nmero muy
restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller - Controlador
de dominio de solo lectura).

2. Presentacin de los catlogos globales


En un bosque con un nico dominio, la base de datos contiene el conjunto de la informacin de
todos los objetos del bosque. Sin embargo si el bosque est compuesto por varios dominios, la
situacin es ms compleja. La informacin de los objetos de los dominios slo la conoce el propio
dominio. Si se efecta un bsqueda de un objeto de otro dominio, el resultado ser nulo. Debemos
entonces configurar un controlador de dominio por dominio que contenga una copia del catlogo
global. Este ltimo consiste en una base de datos que contiene la informacin acerca de todos los
objetos de todos los dominios del bosque.

El catlogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos
que son susceptibles de ser utilizados por las bsquedas inter-dominio (nombre, apellidos...). En un
bosque compuesto de varios dominios, los servidores con el rol de Maestro de infraestructura no
deben ser tambin catlogo global.

3. Proceso de inicio de sesin con Active Directory


Al iniciar una sesin en un dominio Active Directory, el sistema busca los registros de tipo SRV en el
DNS para poder encontrar el controlador de dominio ms cercano. Si la autenticacin tiene xito, la
autoridad de seguridad local (LSA - Local Security Authority) genera un token de acceso y se lo
atribuye al usuario. Este token contiene el identificador de seguridad (SID) del usuario al igual que el
conjunto de los grupos de los que es miembro. Del mismo modo, el controlador de dominio atribuir
al usuario un ticket llamado TGT (Ticket-Granting Ticket). Al intentar acceder a un recurso de la red, el
usuario enva su ticket TGT al controlador de dominio. Este ltimo le responde con otro ticket que le
autoriza el acceso al recurso.
Promover un controlador de dominio
Promocionar un controlador de dominio consiste en darle el rol de controlador de dominio a un
servidor miembro. La operacin puede realizarse por lnea de comandos (en un servidor Core) o
empleando una interfaz grfica.

1. Promover un controlador de dominio de forma grfica


La promocin de un servidor a controlador de dominio se realizaba mediante el comando dcpromo
en los sistemas anteriores a Windows Server 2012. Desde este ltimo, el comando ya no se puede
utilizar. Al utilizar el comando, aparece un mensaje invitando al administrador a utilizar el
Administrador del servidor.

Como hemos visto en el taller del captulo precedente, es necesario instalar el rol Servicios de
dominio de Active Directory.

El comando dcpromo solo puede utilizarse por lnea de comandos. Despus de haber instalado el rol
en un servidor con interfaz grfica, es necesario iniciar el asistente para promover el servidor. Este
ltimo ofrece la posibilidad de crear un nuevo bosque, de agregar un nuevo dominio o de agregar un
controlador de dominio suplementario.

La instalacin necesita cierta informacin, que solicita el asistente al promover el servidor. Es


necesario introducir el nombre de dominio DNS. Se debe seleccionar el nivel funcional (para el
bosque y el dominio). Por ltimo, tambin es preciso indicar la contrasea para acceder al modo de
restauracin Active Directory (DSRM - Directory Services Restore Mode).

2. Instalacin de un controlador de dominio en un servidor Core


La instalacin de un controlador de dominio en un servidor Core puede realizarse de varias
maneras:
Utilizando la consola Administrador del servidor para promover el servidor de forma remota.

Ejecutando el comando dcpromo /unattend seguido de las opciones adecuadas.

Dcpromo /unattend /InstallDns:Yes /ConfirmGc:Yes


/ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:
"Formacion.local" /databasePath:"c:\windows\ntds"
/logpath:"c:\Windows\ntds" /sysvolpath:"c:\windows\SYSVOL"
/safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes

Para obtener ms informacin sobre las diferentes opciones, puede consultar la pgina
Technet que se encuentra en: http://technet.microsoft.com/es-
es/library/cc732887(v=ws.10).aspx

3. Actualizacin de un controlador de dominio a Windows Server 2012 R2


Existen dos formas de realizar la actualizacin de un controlador de dominio. Actualizando el sistema
operativo o agregando un nuevo servidor. Tenga precaucin con la primera solucin, ciertos
sistemas operativos como Windows Server 2003 o Windows 2000 no permiten ser actualizados. Es
necesario realizar primero la actualizacin de los controladores de dominio a Windows Server 2008.

Es aconsejable contemplar, en la medida de lo posible, la opcin de agregar un nuevo controlador


de dominio, esto permitir una nueva instalacin en un sistema operativo limpio. La primera
operacin antes de promover un controlador de dominio que ejecute Windows Server 2012 es
extender el esquema de Active Directory. Esta operacin, que consiste en agregar los objetos
necesarios al igual que sus atributos al esquema AD, se realizaba antes mediante el
comandoadprep (adprep /forestprep, adprep /domainprep /gpprep).

Estas etapas estn automatizadas al promover un nuevo controlador de dominio.

4. Promover un controlador de dominio utilizando IFM


Un punto muy importante, en el caso de promover un controlador de dominio en un equipo remoto,
es el ancho de banda de la lnea que conecta ambos servidores. En el caso de que la lnea
proporcione poca capacidad, la primera sincronizacin del controlador de dominio puede ser difcil de
gestionar porque la lnea corre el riesgo de verse rpidamente saturada. En este caso, es
conveniente utilizar la opcin de promover el servidor empleando el mtodo IFM (Install From Media).
ste consiste en copiar el contenido completo de la base de datos Active Directory al igual que la
carpeta SYSVOL. Al promover la rplica del controlador de dominio, el asistente debe emplear el
archivo de medios creado previamente (y copiado en su soporte USB, por ejemplo). De esta forma la
lnea WAN (Wide Area Network) que comunica los dos sitios no se satura. Faltar que el nuevo
controlador de dominio recupere los cambios realizados a los objetos despus de la creacin del
archivo de medios realizando una rplica inter-sitio.

Para crea el archivo de medios, deben usarse los siguientes comandos:

Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM

Se dedica un taller a la puesta en marcha de un controlador de dominio utilizando IFM.


La papelera de reciclaje AD
No hay nada ms molesto que una eliminacin accidental de un objeto de Active Directory. Esto puede
tener un impacto ms o menos importante en la produccin. En los sistemas operativos anteriores a
Windows Server 2008 R2, se poda utilizar el tombstoned. Esta funcionalidad permite la recuperacin
de una cuenta donde el atributo isDeleted se ha configurado como True. La herramienta LDP permite
efectuar esta operacin. Elimina el atributo isDeleted, sin embargo se pierden los atributos
(pertenencia a grupo, etc.) del objeto. Se han desarrollado herramientas de terceros, no oficiales, que
permiten efectuar esta operacin de forma grfica y ms rpida.

A partir de Windows Server 2008 R2 es posible utilizar una nueva caracterstica llamada papelera de
reciclaje de Active Directory. Esta ltima permite efectuar la restauracin de un objeto eliminado del
directorio al igual que sus atributos.

Para proceder a la activacin de la papelera de reciclaje Active Directory es necesario disponer de un


nivel funcional Windows Server 2008 R2 como mnimo. Observe que, una vez activada, es imposible de
desactivar.

Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y
activar la funcionalidad desde el Centro de administracin de Active Directory. Todas las operaciones
se realizarn, en adelante, empleando una interfaz grfica en lugar de PowerShell.
La directiva de contrasea muy especficas
Un dominio incluye una directiva de seguridad (contraseas y bloqueos). Puede ser necesario
implantar una directiva de contrasea diferente, ms o menos estricta en funcin de las cuentas
afectadas (cuenta de servicio, cuenta de administrador...). Para esto, antes de Windows Server 2008,
era necesario implantar varias directivas de grupo.

Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creacin de
directivas de contrasea muy especficas. Esto permite a una empresa definir varias directivas de
contrasea o de bloqueo. stas se atribuyen, a continuacin, a un usuario o a un grupo de seguridad
global. El sistema operativo utilizado en el controlador de dominio deber ser por lo menos Windows
Server 2008. El nivel funcional deber estar, a su vez, configurado a nivel Windows Server 2008. La
operacin debe realizarla un administrador de dominio, sin embargo es posible implementar una
delegacin para un usuario.

Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema:

El contenedor de contraseas (PSC - Password Settings Container): este contenedor se


crea en el contenedor del sistema del dominio. Se puede visualizar empleando la consola de
Usuarios y equipos de Active Directory (Caractersticas avanzadas, men Ver).

El objeto PSO (Password Settings Object): ubicado en el contenedor PSC, posee los
atributos de todos los parmetros de una directiva de dominio predeterminada (sin parmetros
Kerberos).

Los parmetros incluidos son los siguientes:

Histrico de contraseas.

Duracin mxima de la contrasea.

Duracin mnima de la contrasea.

Longitud mnima de la contrasea.

Cumplir los requisitos de complejidad.

Grabacin utilizando cifrado reversible.

Duracin de bloqueo de cuenta.

Umbral de bloqueo de cuenta.

Reinicio del contador de bloqueo de cuenta despus de un tiempo definido por el


administrador.

Adems de estos parmetros, podemos encontrar igualmente:

Vnculo PSO: este atributo permite indicar a qu objetos (usuario y equipo) se encuentra
vinculada esta directiva.

Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicacin de
varias PSO a un objeto.

Un objeto PSO posee el atributo msDS-PSOAppliesTo. ste permite implementar un vnculo entre los
objetos de usuario o grupo y el objeto PSO. De esta forma el objeto que la recibe ve configurado su
atributo msDS-PSOAppliced, que permite el vnculo de retorno a la directiva.

Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una novedad
con la gestin y la creacin de las directivas de contrasea muy especficas.

En efecto se incluye una interfaz de usuario para facilitar la creacin de las nuevas directivas pero,
sobre todo, para visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de
administracin de Active Directory. Esta consola permite en adelante la visualizacin de la directiva
resultante de un usuario.
Talleres
Los talleres siguientes le permitirn promover un controlador de dominio utilizando el mtodo IFM. Se
tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contrasea
muy especficas.

1. Promover un servidor utilizando IFM


Objetivo: este taller permite promover un controlador de dominio utilizando el mtodo IFM.

Mquinas virtuales utilizadas: AD1 y SV1.

En AD1, inicie un smbolo del sistema DOS y luego introduzca el comando ntdsutil.

Al aparecer el smbolo de entrada, seleccione la instancia ntds utilizando el comando activate


instance ntds.

Introduzca ifm para poder crear un archivo de medios IFM.

Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creacin del
archivo de medios.

Los archivos necesarios se copian en c:\MediosIFM.


Abra una sesin en SV1.

Haga clic con el botn derecho en el botn Inicio y, a continuacin, en el men contextual,
seleccione la opcin Ejecutar.

Introduzca en el men Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor AD1.

Si fuera necesario autentquese como Formacion\administrador.

El explorador de Windows se despliega, copie la carpeta MediosIFM en el disco C del


servidorSV1.

En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en Agregar
roles y caractersticas.
Se inicia el asistente; haga clic en Siguiente.

En la ventana Seleccionar tipo de instalacin, deje la opcin predeterminada y luego haga clic
en Siguiente.

En la ventana Seleccionar servidor de destino, haga clic en SV1.Formacion.local y luego


enSiguiente.

Marque Servicios de dominio de Active Directory para efectuar la instalacin.


En la ventana que aparece haga clic en Agregar caractersticas.

Haga clic en Siguiente en la ventana Seleccionar caractersticas.

Haga clic dos veces en Siguiente y luego en Instalar.

En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el


enlacePromover este servidor a controlador de dominio.

En la ventana Configuracin de implementacin, seleccione la opcin Agregar un controlador


de dominio a un dominio existente.
Haga clic en el botn Cambiar para proporcionar la informacin necesaria para promover el
servidor.

Introduzca administrador en el primer campo y luego la contrasea Pa$$w0rd en el segundo


campo.

Haga clic en Aceptar y luego en Siguiente en la ventana Configuracin de implementacin.

Introduzca Pa$$w0rd en el campo Escribir contrasea de modo de restauracin de servicios


de directorio (DSRM) y luego haga clic en Siguiente.
Haga clic en Siguiente en la ventana Opciones de DNS.

Marque Instalar desde medios y haga clic en el botn ....

Seleccione la carpeta C:\MediosIFM y haga clic en Aceptar.


Haga clic en Siguiente para validar su eleccin.

Deje las rutas por defecto y haga clic en Siguiente.

Haga clic dos veces en Siguiente y luego en Instalar.

El servidor reinicia, se ha promovido a controlador de dominio.

2. Utilizacin de la interfaz de la papelera de reciclaje AD


Objetivo: este taller permite poner en marcha la papelera de reciclaje Active Directory, y
principalmente el uso de la interfaz grfica, aparecida con Windows Server 2012.

Mquina virtual utilizada: AD1

Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del
bosque.
Inicie la consola Centro de administracin de Active Directory desde las Herramientas
administrativas ubicadas en la pantalla Inicio.

En el men de la izquierda, haga doble clic en Formacion (local).

Haga clic en Habilitar papelera de reciclaje en el panel Tareas.

Haga clic Aceptar para iniciar la activacin.

Cree la unidad organizativa Form, los grupos Formadores y Alumnos y los usuarios de
prueba (Nicolas BONNET, Alumno 1, Alumno 2 y Alumno 3).

La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno
son miembros del grupo Alumnos.
Elimine los grupos y cuentas de usuario para enviarlas a la papelera de reciclaje.

En la consola Centro de administracin de Active Directory, haga doble clic en Deleted Objects.

Actualice la consola si no se muestra Deleted Objects.

Aparecen los objetos eliminados previamente.

Seleccione todos los objetos presentes y luego haga clic en Restaurar.

La opcin Restaurar en... en el panel Tareas permite realizar la restauracin en un entorno


diferente del original.

Los atributos de las cuentas han sido restaurados correctamente.


3. Implantacin de una directiva de contrasea muy especfica
Objetivo: el taller permitir implementar una directiva de contrasea muy especfica llamada "Fine
Grained Password".

Mquina virtual utilizada: AD1

Desde el servidor AD1, inicie la consola Centro de administracin de Active Directory.

En el panel de la derecha, haga doble clic en la raz del dominio Formacion (local).

En el componente de navegacin, haga doble clic en el contenedor System y luego en Password


Settings Container.
Haga clic en Nuevo en el panel Tareas y luego en Configuracin de contrasea.

Introduzca PSO Formadores en el campo Nombre y 1 en Precedencia.

Deje marcada Exigir longitud mnima de contraseas e introduzca en el campo el valor 5.

En el campo Exigir historial de contraseas, introduzca 8.

Marque la casilla Exigir directiva de bloqueo de cuenta y luego introduzca 3 en el campoNmero


de intentos de inicio de sesin incorrectos.

Haga clic en el botn Agregar y luego introduzca Formadores en el campo.


Haga clic en Aceptar para validar la creacin de la PSO.

Haga clic en Nuevo en el panel Tareas y luego en Configuracin de contrasea.

Introduzca PSO Alumnos en el campo Nombre y 1 en Precedencia.

Deje marcada Exigir longitud mnima de contraseas e introduzca en el campo el valor 7.

En el campo Exigir historial de contraseas, introduzca 24.

Desmarque la casilla Las contraseas deben cumplir los requisitos de complejidad.

Modifique el valor de la vigencia mxima de contraseas para que sea igual a 90 das.

Haga clic en el botn Agregar y luego introduzca Alumnos en el campo.

Haga clic en Aceptar para validar la creacin de la PSO.

Las dos directivas de contrasea muy especfica aparecen en la consola.


La consola permite de igual forma conocer la configuracin de contrasea resultante para un usuario.

Haga doble clic en la raz del dominio Formacion (local) y luego en la unidad organizativa Form.

Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuracin de contrasea
resultante.

Se muestra la directiva de contrasea muy especfica que se le ha atribuido.


Repita la misma operacin seleccionando esta vez a Nicolas BONNET.

La directiva aplicada es PSO Formadores.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Enumere los componentes fsicos y lgicos de un dominio Active Directory.

2 Qu es un dominio Active Directory?

3 Cul es el comando que permite la actualizacin del esquema AD?

4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional est
configurado como Windows Server 2008 R2 (para el dominio y el bosque). Es necesario
actualizar el esquema para la migracin a Windows Server 2012 R2?

5 Qu es un bosque Active Directory?

6 Enumere las particiones en Active Directory.

7 Cul es la utilidad de un servidor de catlogo global?

8 Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catlogo global?

9 Qu operaciones debe realizar para promover un servidor Core a controlador de dominio?

10 Enumere los cinco roles FSMO y luego proporcione sus funciones.

11 Cul es la utilidad de un sitio de Active Directory?

12 Es posible ejecutar el comando dcpromo utilizando la interfaz grfica?

13 Por qu promover un servidor utilizando IFM? Proporcione una breve descripcin de esta
solucin.

14 Cul es la consola que permite gestionar la papelera de reciclaje AD y las directivas de


contrasea muy especficas?

15 Cul es la diferencia entre el tombstoned y la papelera de reciclaje AD?

16 Cmo creamos las dos directivas de seguridad (contrasea y bloqueo) en un dominio AD?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 13 puntos para
aprobar el captulo.

3. Respuestas
1 Enumere los componentes fsicos y lgicos de un dominio Active Directory.

Varios componentes fsicos constituyen Active Directory, es posible encontrar controladores de


dominio, bases de datos y la carpeta SYSVOL al igual que servidores de catlogo global. Estos
ltimos se apoyan en componentes lgicos tales como particiones, el esquema AD, el bosque o el
sitio AD.

2 Qu es un dominio Active Directory?

Un dominio Active Directory es una agrupacin de objetos (usuarios, equipos o grupos...). Al ser
creados, todos estos objetos se almacenan en una base de datos. Permiten la autenticacin
(objetos usuario y equipo) o simplemente la agrupacin de un conjunto de objetos (grupo). Los
grupos se utilizan para proporcionar autorizacin a un recurso.

3 Cul es el comando que permite la actualizacin del esquema AD?

El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender el
esquema), es necesario ejecutar el comando Adprep. ste se ejecuta al migrar un servidor o al
instalar el primer servidor Exchange

4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional est
configurado como Windows Server 2008 R2 (para el dominio y el bosque). Es necesario
actualizar el esquema para la migracin a Windows Server 2012 R2?

No, a partir de Windows Server 2012 ya no es necesario efectuar esta operacin. La etapa de
actualizacin se realiza automticamente (si es necesaria) al promover el nuevo controlador de
dominio.

5 Qu es un bosque Active Directory?

Un bosque Active Directory se compone de uno o varios dominios. stos se agrupan en


arborescencias de dominios. De esta forma, cuando hablamos de un bosque, se trata simplemente
del conjunto de los dominios.

6 Enumere las particiones en Active Directory.

La base de datos Active Directory se compone de varias particiones. Podemos encontrar la particin
de dominio, que contiene el conjunto de objetos creados en el dominio, la particin de
configuracin, que contiene la topologa del directorio (lista completa de los dominios,
arborescencias y bosque). Encontramos de igual manera la particin del esquema, que contiene
todos los atributos y clases de un objeto. Finalmente la particin DNS, que contiene el conjunto de
zonas DNS integradas en Active Directory.

7 Cul es la utilidad de un servidor de catlogo global?

Un servidor con el rol catlogo global posee una base de datos de todos los objetos presentes en el
bosque as como algunos de sus atributos. Este tipo de servidor facilita la bsqueda de objetos.

8 Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catlogo global?

No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el dominio
solo cuenta con un controlador de dominio, es posible (solo en este caso) albergar el Maestro de
infraestructura en el servidor con el catlogo global.

9 Qu operaciones debe realizar para promover un servidor Core a controlador de dominio?

Existen dos posibilidades: la instalacin y configuracin del rol de forma remota empleando la
consola Administrador del servidor o el empleo del comando dcpromo en local en el servidor. El
comando necesita que se informen las distintas opciones. Se puede utilizar un archivo de
respuestas para automatizar la operacin.

10 Enumere los cinco roles FSMO y luego proporcione sus funciones.

Podemos encontrar cinco roles FSMO en Active Directory:

Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el nico poseedor de estos permisos.

Maestro de nomenclatura de dominio: utilizado solamente al agregar, modificar o eliminar


el nombre de dominio.

Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador nico est asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.

Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio, que


estn presentes en los grupos de seguridad o en las ACL.

Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un


servidor PDC NT4. Permite, de este modo, la migracin entre Windows 2000 (uso del
controlador de dominio Active Directory) y Windows NT4 (uso del servidor PDC y BDC). Su
segundo rol es la sincronizacin del reloj para el conjunto del dominio.

11 Cul es la utilidad de un sitio de Active Directory?

Los sitios Active Directory permiten definir fronteras de replicacin con el objetivo de ahorrar ancho
de banda de la lnea que conecta dos sitios remotos.

12 Es posible ejecutar el comando dcpromo utilizando la interfaz grfica?

No, a partir de Windows Server 2012 este comando solo puede utilizarse por lnea de comandos.
Para promover un controlador de dominio, es necesario instalar el rol Servicios de directorio Active
Directory.

13 Por qu promover un servidor utilizando IFM? Proporcione una breve descripcin de esta
solucin.

El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. El
archivo de medios contiene todos los datos (objetos, carpeta SYSVOL...) necesarios para promover
un nuevo servidor, de esta forma este ltimo no tiene ms que replicar los cambios de los objetos
creados despus de la creacin del archivo de medios. Esto permite evitar sobrecargar la lnea de
comunicacin durante la primera replicacin.

14 Cul es la consola que permite gestionar la papelera de reciclaje AD y las directivas de


contrasea muy especficas?

A diferencia de Windows Server 2008 R2, que utilizaba PowerShell y la consola de modificacin
ADSI para gestionar la papelera de reciclaje y la directiva de contrasea muy especfica, a partir de
Windows Server 2012 es posible utilizar la consola Centro de administracin de Active Directory. La
administracin de estas dos caractersticas se realiza en adelante de forma grfica.

15 Cul es la diferencia entre el tombstoned y la papelera de reciclaje AD?

El tombstoned permite la restauracin de una cuenta AD pero se pierden el conjunto de atributos,


a diferencia de la papelera de reciclaje AD que restaura los atributos.

16 Cmo creamos las dos directivas de seguridad (contrasea y bloqueo) en un dominio AD?

Para esto es necesario utilizar la directiva de contrasea muy especfica que permite crear y asignar
varias directivas de seguridad.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de la creacin y administracin de cuentas de equipo.

Tener conocimientos de la creacin y administracin de cuentas de usuario.

Tener conocimientos de la creacin y administracin de grupos.

2. Objetivos
Informacin general de las consolas Active Directory.

Creacin y administracin de objetos de Active Directory.


Introduccin
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno permite
autenticar las personas fsicas y los equipos unidos al dominio.
Presentacin de las consolas Active Directory
Al promover un servidor a controlador de dominio, se agregan varias consolas a las herramientas de
administracin. La consola Usuarios y equipos de Active Directory permite la gestin de las cuentas
de usuario, equipos y grupos. Desde esta consola es posible efectuar todas las operaciones
(creacin, eliminacin, desactivacin...) en los diferentes objetos.

Sitios y servicios de Active Directory permite gestionar la replicacin entre dos sitios as como la
topologa de red. La gestin de las relaciones de confianza y del nivel funcional del bosque se realiza
mediante la consola Dominios y confianzas de Active Directory. Por ltimo, la consola Esquema de
Active Directory permite administrar el esquema de Active Directory. Esta consola solo est
disponible si se ha ejecutado el comando regsvr32 schmmgmt.dll al menos una vez, y permite definir
la librera en el registro de Windows.

Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1)
despus de descargar e instalar el archivo RSAT (Remote Server Administration Tools).

La consola Centro de administracin de Active Directory proporciona otras opciones para la gestin
de los objetos. Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar
la creacin de objetos (usuarios...), crear y administrar una unidad organizativa. Un administrador
puede conectarse a otro dominio y administrarlo desde la consola.

Es, tambin, posible realizar la administracin de este servicio mediante comandos PowerShell.
Importando el mdulo Active Directory es tambin posible realizar las mismas operaciones que las
realizadas con las diferentes consolas. Para llevar a cabo estas acciones, tambin se pueden usar los
comandos DOS:

Dsadd: crea un nuevo objeto.

Dsget: muestra las propiedades de un objeto.

Dsmove: efecta el desplazamiento de un objeto

Dsrm: elimina un objeto.


Administracin de las cuentas de usuario
Como todo objeto, una cuenta de usuario contiene sus propiedades, nombre del usuario, contrasea
y una lista de grupos de los cuales es miembro. De esta forma es posible, segn el tipo de cuenta:

Autorizar o denegar el inicio de sesin en un equipo.

Autorizar el acceso a un recurso compartido.

1. Creacin de una cuenta de usuario


Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la contrasea deben
ser introducidos obligatoriamente. El nombre de usuario debe ser nico en el dominio y el bosque.
Despus de seleccionar la unidad organizativa que va a contener la cuenta de usuario, es posible
crearla.

Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesin y los
apellidos o el nombre de pila. Despus de introducir la informacin obligatoria, se activa el
botnSiguiente.

El campo Nombre completo se construye empleando la informacin introducida en los


camposNombre de pila y Apellidos. Por supuesto es posible cambiar el valor creado
automticamente por el deseado. ste debe ser nico en el contenedor o la unidad organizativa.

A diferencia del SAMAccountName (nombre de inicio de sesin anterior a Windows 2000) que estaba
construido segn la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN
(User Principal Name - campo nombre de inicio de sesin de usuario) se construye segn la forma
NombreInicioDeSesin@dominio (nbonnet@Formacion.local).

Se pueden utilizar caracteres no alfanumricos para generar nombres de usuario nicos (ejemplo:
n.bonnet, n-bonnet...). Observe que esto puede causar problemas con ciertas aplicaciones.

En adelante, es necesario proporcionar una contrasea temporal. Es interesante marcar la opcin El


usuario debe cambiar la contrasea en el siguiente inicio de sesin, esto obliga al usuario a
cambiar su contrasea en su primer inicio de sesin (este cambio es obligatorio).

Existen otras opciones disponibles, que permiten prohibir el cambio de contrasea o configurar una
contrasea que no expira nunca (muy til para las cuentas de sistema).

2. Configuracin de los atributos de una cuenta de usuario


Despus de crear el objeto, es posible configurar otros atributos opcionales (direccin, nmero de
telfono...). Los atributos pueden estar clasificados en diferentes categoras.

Los atributos de cuenta: incluidos en la pestaa Cuenta, podemos encontrar informacin


incluyendo el nombre de usuario, la contrasea

La informacin personal: informacin personal del usuario (direccin, nmero de telfono).


Los atributos pueden modificarse mediante la pestaa General que contiene la informacin
introducida durante la creacin de la cuenta (Nombre de pila, Apellidos, Nombre completo), y
tambin en las pestaas Direccin, Telfonos y Organizacin.

La gestin de cuentas de usuario: agrupa los atributos encontrados en la pestaa Perfil, es


posible configurar la ruta del perfil o los scripts de inicio de sesin.

Miembro de los grupos: este atributo encontrado en la pestaa Miembro de permite aadir
o eliminar al usuario de un grupo de seguridad o de distribucin.

Adicionalmente es posible ver el conjunto de atributos empleando la pestaa Editor de atributos.


Esta pestaa requiere mostrar las caractersticas avanzadas (men Ver). De esta forma se
muestran todos los atributos, adicionalmente el botn Filtro permite visualizar un mayor nmero de
atributos.

Se puede cambiar el atributo desde la pestaa especfica o desde la pestaa Editor de atributos.
El atributo givenName tiene como valor inicial Alumno 4. Si modificamos el nombre de pila en la
pestaa General...
... podemos ver que el atributo se actualiza correctamente:
3. Creacin de un perfil de usuario mvil
Un perfil de usuario puede ser local o mvil. En el caso de un perfil local, se crea un directorio en la
carpeta Usuarios de cada mquina en la que el usuario abre una sesin.

Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es necesario
emplear un perfil mvil. ste se encuentra en una carpeta compartida en el servidor.

Al iniciar sesin, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente,
durante el cierre de sesin, se realiza la copia en sentido inverso. Para instalar esta solucin es
necesario configurar el atributo Ruta de acceso al perfil en la pestaa Perfil.
La variable %username% se reemplaza por el nombre de inicio de sesin del usuario despus de
hacer clic en Aplicar.

Es, tambin, posible configurar un script (en formato vbs o bat), este ltimo se ejecuta cuando el
usuario abre una sesin. Si este se almacena en la carpeta SYSVOL, solo ser necesario introducir el
nombre del archivo.

Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello ser
necesario especificar la letra de la unidad.
Administracin de grupos
Los grupos en Active Directory permiten facilitar la administracin. Es ms fcil agregar el grupo a la
ACL (Access Control List - lista que permite proporcionar permisos) de un recurso compartido en lugar
de aadir a todos los usuarios. Una vez ubicado el grupo, el administrador solo tendr que agregar o
eliminar los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administracin no se efecta ms a nivel de la ACL, sino al nivel de Active Directory (consola Usuarios
y equipos de Active Directory, Centro de administracin de Active Directory o directamente en
PowerShell). Adicionalmente, un grupo se puede colocar en una lista de control de acceso de varios
recursos. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del
departamento de contabilidad, RRHH...) o por recursos (G_Conta_r, G_Conta_w...).

Es preferible utilizar un nombre para el grupo que sea lo ms descriptivo posible. Sugerimos nombrar
los grupos de esta forma:

El mbito (G para global, U para universal o DL para dominio local).

El nombre del recurso (Conta, Fax, BALNicolas, RH).

El permiso NTFS que se atribuye al grupo (w para escritura, m para modificacin, r para
lectura...).

De esta forma, si un grupo se llama G_Conta_w, podr deducir con seguridad que es un grupo global
ubicado en la carpeta compartida Conta y que proporciona derechos de escritura a sus miembros.

1. Diferencia entre grupos de seguridad y de distribucin


Se puede crear dos grupos en Windows Server. La eleccin se realiza durante la creacin del grupo.
El administrador podr elegir entre un grupo de distribucin y un grupo de seguridad.

Tambin es posible convertir el mbito del grupo despus de su creacin.

El grupo de distribucin lo utilizan los servidores de mensajera (Exchange por ejemplo). No se


atribuye un SID al grupo, por lo que es imposible incluirlo en la lista de control de acceso de un
recurso. El enviar un correo electrnico al grupo, el conjunto de miembros reciben el correo.
El grupo de seguridad posee un SID (Security IDentifier), esto proporciona la posibilidad de incluirlo
en una ACL. As, se otorga a los miembros de este grupo permisos de acceso al recurso. Su segunda
funcin es la de servir de grupo de distribucin para un software de mensajera.

Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo para
asignar permisos a sus usuarios o para crear listas de distribucin de correo.

2. El mbito de un grupo
El mbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo as como
los objetos que pueden ser miembros.

Local: presente solamente en un servidor miembro o puesto de trabajo, un grupo con este
mbito no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las
cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los usuarios
locales o del bosque Active Directory.

Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y
usuarios del dominio son respectivamente miembros de los grupos locales Administradores y
usuarios del equipo.

Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos del
dominio, un grupo de este mbito puede tener como miembros a los usuarios, equipos o
grupos globales y universales del bosque. Los grupos locales de miembros del dominio de
este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse nicamente
a los recursos de su dominio.

Global: a diferencia del mbito del Dominio local, un grupo global puede contener solamente
a los usuarios, equipos y otros grupos globales del mismo dominio. Se puede asignar a
cualquier recurso del bosque.

Universal: un grupo de este mbito puede contener usuarios, equipos y grupos globales y
universales de un dominio del bosque, puede ser miembro de un grupo de tipo universal o
dominio local. El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga
cuidado de no abusar de este tipo de grupo porque se replica en el catlogo global. Un gran
nmero de grupos universales sobrecargan la replicacin del catlogo global.

Microsoft ha definido una estrategia de administracin de grupos (IGDLA). sta consiste en agregar
las Identidades (usuarios y equipos) en un grupo Global. ste es miembro de un
grupo DominioLocal (permite proporcionar el acceso al recurso). El grupo Dominio local se incluye en
una ACL.

As, si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado
informtica, no ser necesario acceder a la ACL. Agregndolo al grupo DL_TEC_W (el cual est, por
supuesto asignado al recurso) se proporciona el acceso deseado.
Administracin de las cuentas de equipo
Al unir el equipo al dominio se crea una cuenta de equipo. sta permite autenticar la mquina al iniciar
sesin, y tambin asignar directivas de grupo.

1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las cuentas
de equipo de las mquinas unidas al dominio. No es una unidad organizativa, no es posible aadir
una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar los objetos equipo a la
OU deseada.

En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU
Puestos, OU Porttiles); para poder vincular las diferentes directivas de grupo o simplemente para
delegar en otras personas diferentes la gestin de los diversos objetos.

La gestin de los contenedores es propia de cada empresa y debe responder a sus necesidades y
limitaciones.

Para efectuar una unin al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El usuario que
efecte la unin debe ser necesariamente miembro del grupo de administradores locales del equipo.

Si el servidor DNS configurado en la configuracin IP del equipo no es correcta, entonces el


equipo no se integrar nunca en el dominio.

La creacin previa permite al administrador ubicar la cuenta de equipo directamente en su unidad


organizativa definitiva. As, al reiniciar el equipo se aplica la directiva de grupo adecuada. Adems,
esta solucin permite delegar el proceso de unin al dominio en otro usuario.

Tambin es posible modificar el contenedor predeterminado. Esta operacin permite crear la cuenta
de equipo en la unidad organizativa deseada. Para ello, se deber utilizar el comando DOS redircmp.
La sintaxis del comando es la siguiente:

redircmp ou=Aix,DC=Formacion,dc=local

Un usuario (que no posea permisos de administracin) tiene, por defecto, la posibilidad de unir 10
equipos al dominio. Al solicitar autenticacin, deber introducir su nombre de usuario y su
contrasea. A partir de Windows 2000 Server es posible modificar el nmero de equipos sobre los
cuales un usuario tiene permisos modificando el atributo LDAP.

Para ello, es necesario modificar el atributo ms-DS-MachineAccountQuota ubicado en la raz del


dominio (la pestaa Editor de atributos aparece si se activan las caractersticas avanzadas).

Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya
existe en el dominio.

2. Reinicio del canal seguro


Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo
(sAMAccountName) y una contrasea. Se efecta un cambio de contrasea cada 30 das. Estos
identificadores los utiliza el servicio NetLogon para iniciar una sesin y establecer un canal seguro
con su controlador de dominio. Ciertos casos impactan el canal seguro e impiden el inicio de sesin
(no se autoriza al equipo):

Restauracin de la imagen del puesto unido a un dominio: la contrasea de la cuenta de


equipo al crear la imagen es diferente de la que existe en el controlador de dominio. La
restauracin de una imagen restaura el estado previo del puesto al igual que los
identificadores de la cuenta del equipo. Es, por tanto, necesario restaurar el canal seguro. Es
aconsejable realizar un sysprep antes de la creacin de la imagen, para poder eliminar todos
los parmetros especficos de un equipo (nombre, etc.).

Restauracin del controlador de dominio. Si el dominio solo contiene un controlador de


dominio y es preciso restaurarlo, la contrasea del controlador de dominio es diferente de la
del puesto de trabajo.

Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesin. Se incluye un evento a
su vez en el registro. Tendr como fuente a NETLOGON y un ID 3210.

Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podr unir el
equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a
unirse al dominio, se genera un nuevo SID, la lista de grupos de los que era miembro el equipo
antes del problema del canal seguro se crean nuevamente de forma idntica. Para reiniciar el canal
seguro es, tambin, posible efectuar otras operaciones:

Consola Usuarios y equipos de Active Directory: la operacin consiste en usar la


opcinRestablecer la cuenta que permite restablecer toda la informacin vinculada al puesto.

Comando DOS: tambin es posible utilizar comandos DOS para restablecer la contrasea en
el controlador de dominio y el puesto cliente. Es posible utilizar los comandos dsmod, netdom
o nltest.

Sintaxis de los comandos

dsmod computer ComputerDN -reset

netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password


| *}

NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER


Talleres
Los talleres le permitirn poner en prctica la administracin de cuentas Active Directory.

1. Implementar la delegacin
Objetivo: implementar una delegacin para que un usuario pueda administrar la unidad organizativa
sobre la que se ha establecido la delegacin.

Mquina virtual utilizada: AD1.

En el servidor AD1, inicie la consola Usuarios y equipos de Active Directory.

En el rbol, seleccione la unidad organizativa Form.

Haga clic con el botn derecho en la OU Form y luego en el men contextual seleccione Delegar
control....

Haga clic en Siguiente en la primera ventana del asistente.

En la ventana Usuarios o grupos, haga clic en Agregar.

Introduzca Formadores y luego haga clic en el botn Comprobar nombres en la nueva ventana
que se muestra.
Haga clic en Aceptar para validar el campo y luego en Siguiente.

En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de
usuario y Crear, eliminar y administrar grupos.

Haga clic en Siguiente y luego en Finalizar.

En la barra de mens de la consola Usuarios y equipos de Active Directory, haga clic en Ver y
luego en Caractersticas avanzadas.

Haga clic con el botn derecho en la unidad organizativa Form y luego en Propiedades.

Haga clic en la pestaa Seguridad y luego en el botn Opciones avanzadas.


El grupo Formadores tiene los permisos en la unidad organizativa.

Haga clic en Aceptar para cerrar la ventana.

Para permitir al usuario administrar la unidad organizativa, es posible instalar en su equipo los
archivos RSAT (Remote Server Administration Tool). De esta forma contar con acceso a la consola con
los permisos adecuados. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de
seguridad para poder abrir una sesin en el controlador de dominio. El usuario utilizado debe ser
miembro del grupo Formadores.

2. Administracin de cuentas de usuario


Objetivo: el objetivo del taller es efectuar la creacin de una cuenta plantilla a partir de un perfil
temporal.

Mquinas virtuales utilizadas: AD1 y CL8-01.

En CL8-01, abra una sesin y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuracin del adaptador y, a continuacin, haga doble clic en el
adaptador de red y luego en el botn Propiedades.

En las propiedades del Protocolo de Internet versin 4 (TCP/IPv4) configure el adaptador de


red como se indica a continuacin:

Direccin IP: 192.168.1.15

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.1.254

Servidor DNS preferido: 192.168.1.10

Servidor DNS alternativo: 192.168.1.11

Al no existir ningn servidor DHCP en la red, es necesario configurar el adaptador de red de


forma esttica.
Haga clic en Aceptar y luego efecte la unin al dominio Formacion.local.

En AD1, abra una sesin como administrador y luego inicie la consola Usuarios y equipos de
Active Directory.

Haga clic en la unidad organizativa Form y luego muestre las propiedades de la


cuentaNicolas BONNET.

En el campo Descripcin de la pestaa General introduzca Formador y consultor IT luego


www.nibonnet.fr en el campo Pgina web.
Haga clic en la pestaa Direccin e introduzca la informacin que se indica a continuacin:

Calle: 3200 rue de la tours

Ciudad: Velaux

Estado o provincia: 13

Cdigo postal: 13880


Seleccione la pestaa Perfil y luego en el campo Ruta de acceso al perfil,
introduzca\\AD1\Perfiles\%username%.

El recurso compartido Perfiles se crear posteriormente.


Haga clic con el botn derecho del ratn en Nicolas BONNET y luego seleccione Copiar.

En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y luego Mendez en
el campo Apellidos. Por ltimo, introduzca pmendez en el campo Nombre de inicio de sesin de
usuario.
Haga clic en Siguiente e introduzca una contrasea.

Valide la creacin haciendo clic Siguiente y Finalizar.

Las propiedades de la pestaa General se han copiado.


En la pestaa Direccin, nicamente no se ha copiado el campo Direccin.
Finalmente, las pestaas Perfil y Miembro de se han copiado.

Toda cuenta de usuario en Active Directory puede servir de plantilla. La creacin de un nuevo objeto
se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la pestaa Miembro
de) se replican.

Haga clic en Aceptar en las propiedades de la cuenta.

En el servidor AD1, cree una carpeta llamada Perfiles.

Si no ha creado la segunda particin, es posible realizar la operacin en la particin del sistema.

En las propiedades de la carpeta creada, seleccione la pestaa Compartir y luego haga clic
enUso compartido avanzado....
Marque la opcin Compartir esta carpeta y luego haga clic en Permisos.

Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuacin:

Admins. del dominio: Control total

Formadores: Cambiar
Valide los cambios haciendo clic dos veces en Aceptar.

Seleccione la pestaa Seguridad y luego haga clic en Opciones avanzadas.

En la ventana Configuracin de seguridad avanzada para Perfiles, haga clic en el


botnDeshabilitar herencia.
Haga clic en Quitar todos los permisos heredados de este objeto.

Haga clic en el botn Agregar y luego en el enlace Seleccionar una entidad de seguridad en la
ventana Entrada de permiso para Perfiles.

Escriba Formadores y luego haga clic en Comprobar nombres. Valide la informacin haciendo clic
en Aceptar.

Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.

Cierre todas las ventanas activas.

En CL8-01, abra una sesin como pmendez.

El perfil mvil se ha creado correctamente en el recurso compartido Perfiles en el servidor AD1.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 En qu lenguaje se basa la consola Centro de administracin de Active Directory?

2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creacin.

3 Escriba la UPN para el usuario nbonnet del dominio Formacion.local.

4 Qu podemos ver en la pestaa Editor de atributos? Es posible modificar los valores que
contiene?

5 Cmo funciona un perfil mvil?

6 Enumere los tipos de mbito de grupo que podemos encontrar.

7 Cul es la diferencia entre un grupo de seguridad y un grupo de distribucin?

8 Cul es la utilidad del comando redircmp?

9 Qu es un canal seguro?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 6 puntos para
aprobar el captulo.

3. Respuestas
1 En qu lenguaje se basa la consola Centro de administracin de Active Directory?

Cuando el administrador ejecuta una accin, la consola llama a comandos PowerShell. Esta consola
permite realizar operaciones tales como la activacin o la administracin de la papelera de reciclaje
Active Directory, y puede tambin realizar operaciones ms elementales como la creacin de un
objeto.

2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creacin.

Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios un
apellido o nombre de pila, un nombre de usuario y una contrasea.

3 Escriba la UPN para el usuario nbonnet del dominio Formacion.local.

La forma de la UPN es nbonnet@formation.local.

4 Qu podemos ver en la pestaa Editor de atributos? Es posible modificar los valores que
contiene?

La pestaa Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario
seleccionado. Estos valores estn, tambin, presentes en las diferentes pestaas (apellido, nombre
de pila, nombre de inicio de sesin). Es perfectamente posible modificar el valor de un atributo.

5 Cmo funciona un perfil mvil?

Con un perfil mvil el usuario recupera la personalizacin de su equipo (Mtodos abreviados,


favoritos...) desde cualquier puesto de trabajo al que se conecte. En efecto, el perfil no se almacena
de forma local sino en un recurso compartido de red en un servidor. Al iniciar sesin, el perfil del
usuario se copia al equipo, para copiarse en sentido inverso hacia el servidor durante la
desconexin.

6 Enumere los tipos de mbito de grupo que podemos encontrar.

Podemos encontrar cuatro tipos de mbito de grupo:


Local

Global

Dominio local

Universal

7 Cul es la diferencia entre un grupo de seguridad y un grupo de distribucin?

La diferencia estriba a nivel del SID, el grupo de seguridad posee este identificador nico. Puede
entonces utilizarse en una ACL o tener la funcin de lista de distribucin de correo. Al contrario que
este ltimo, un grupo de distribucin no cuenta con este identificador y solo puede utilizarse como
lista de distribucin.

8 Cul es la utilidad del comando redircmp?

Al realizar la unin al dominio de un equipo que no posee una cuenta, sta se crea
automticamente en la carpeta de sistema Computers. El comando redircmp permite alojar la
cuenta creada automticamente en otro contenedor (por ejemplo, en una unidad organizativa).

9 Qu es un canal seguro?

Un canal seguro es una relacin de aprobacin entre un controlador de dominio y un cliente


(puesto de trabajo...). Si el canal seguro se rompe es imposible autenticar el equipo.
Requisitos previos y objetivos

1. Requisitos previos
Conocer la lnea de comandos DOS.

2. Objetivos
Utilizacin de los comandos csvde y ldifde.

Administracin de Active Directory empleando cmdlets PowerShell.


Introduccin
Es posible utilizar comandos PowerShell para automatizar la administracin de Active Directory. Esto
permite ganar tiempo y una mayor fiabilidad en comparacin con una administracin manual.
Administracin mediante lneas de comandos
Windows Server 2012 R2 incluye varias herramientas que permiten efectuar la administracin por
lnea de comandos. As, es posible crear scripts para automatizar toda la gestin o la creacin de
objetos Active Directory.

Al gestionar el directorio por lnea de comandos, un administrador puede rpidamente implementar


varias operaciones (se ejecuta la 1 operacin de forma automtica, luego la 2, la 3 ...). Adems, es
posible actualizar aplicaciones desarrolladas por el equipo tcnico que se basen en estos scripts.
Tomemos un ejemplo concreto: puede desarrollar una aplicacin para el departamento de Recursos
Humanos, esta aplicacin se utiliza al llegar un nuevo empleado. El director de recursos humanos
introduce la informacin (su apellido, nombre de pila...) en la aplicacin y, al validarlo, el script
recupera la informacin y crea la cuenta de Active Directory.

1. Utilizacin del comando CSVDE


CSVDE es una herramienta por lnea de comandos que permite importar o exportar los objetos del
directorio Active Directory (cuentas de usuario...). Estas operaciones se efectan desde o sobre un
archivo en formato CSV (Comma Separated Values). Este tipo de archivo puede utilizarlo de igual
forma una base de datos o visualizarse en una hoja de clculo Excel. Sin embargo, esta herramienta
no puede modificar o importar un objeto existente.

El comando csvde incluye varias opciones como:

-d RootDN: indica el nombre del contenedor desde el que comenzar la bsqueda.

-p scope: permite especificar el mbito de la bsqueda. Cada opcin cuenta con diferentes
posibilidades: Base permite indicar nicamente una bsqueda del objeto, onelevel para la
bsqueda de un objeto solamente en el contenedor indicado y subtree para lanzar una
bsqueda en el contenedor y subcontenedores.

-r filter: permite incluir un filtro. Esta ltima utiliza una solicitud en formato LDAP.

-l ListOfAttributes: especifica los atributos que deben exportarse. Cada atributo debe
seleccionarse mediante su nombre LDAP y separarse por una coma.

Sintaxis para efectuar una exportacin

Csvde -f ArchivoCsv

La opcin -f permite indicar el archivo a utilizar.

Es posible utilizar otras opciones para una operacin de importacin.

-i: permite realizar una importacin.

-f ArchivoCsv: indica el archivo a utilizar para realizar la operacin.

-k: se ignoran los errores, lo que permite que el comando se ejecute sin interrupcin.

El archivo LDAP utilizado posee una lnea de cabecera, compuesta por el nombre de los atributos
LDAP (nombre...). Este comando no se puede utilizar para importar las contraseas porque stas
aparecen sin cifrar. Por lo tanto, la cuenta no posee contrasea y se deshabilita.

2. Utilizacin del comando LDIFDE


Al igual que CSVDE, LDIFDE es una herramienta por lnea de comandos que permite efectuar
operaciones de exportacin o creacin de objetos. Permite, a diferencia del comando anterior,
modificar o eliminar objetos ya existentes. El archivo debe estar en formato LDAP Data Interchange
Format (LDIF).

Este tipo de archivo de texto contiene bloques de lneas, cada una permite efectuar una operacin.
Cada lnea del bloque contiene informacin sobre la operacin a realizar, as como el atributo
afectado.

Cada operacin a realizar se separa por una lnea vaca. El atributo changetype permite definir la
accin a realizar. Puede tener como valor add, modify o delete.

Muchas de las opciones del comando csvde las utiliza el comando ldifde.

Sintaxis del comando

Es necesario utilizar al menos la opcin -f para la exportacin, que indica el archivo a utilizar.

Ldifde -f ArchivoLDIF

La importacin utilizar al menos dos opciones adicionales: -i para indicar que el comando va a
realizar una importacin y -k para ignorar los errores.

Ldifde -i -f ArchivoLDIF -k

Si se encuentra un error, la ejecucin no se detiene, al emplear la opcin -k.


Administracin del rol AD DS empleando PowerShell
La plataforma PowerShell es un lenguaje de scripting muy simple de usar. Incluye cmdlets necesarios
para la gestin del directorio Active Directory.

1. Administracin de cuentas de usuario con PowerShell


Los cmdlets PowerShell permiten crear, modificar y eliminar una cuenta de usuario. Es posible
ejecutar las diferentes instrucciones directamente en la consola PowerShell o ejecutando un script.

Las operaciones realizadas de manera grfica pueden llevarse a cabo empleando instrucciones
PowerShell.

Se pueden usar diferentes cmdlets, cada uno con una funcin bien definida:

Creacin de una cuenta de usuario: New-ADUser

Modificar una propiedad de la cuenta: Set-ADUser

Eliminar un usuario: Remove-ADUser

Modificar una contrasea: Set-ADAccountPassword

Modificar la fecha de expiracin: Set-ADAccountExpiration

Desbloquear una cuenta de usuario: Unlock-ADAccount

Activar una cuenta de usuario: Enable-ADAccount

Desactivar una cuenta de usuario: Disable-ADAccount

Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede tambin incluirse la contrasea en este comando.

En caso de creacin de un objeto usuario sin contrasea (parmetro -AccountPassword), sta


estar deshabilitada. Para activarla ser necesario utilizar el parmetro -Enabled a true.

Con el cmdlet NewADUser es posible utilizar diferentes parmetros:

AccountExpirationDate: permite definir la fecha de expiracin de una cuenta de usuario.

AccountPassword: proporciona la contrasea para el usuario.

ChangePasswordAtLogon: activa la opcin que obliga el cambio de contrasea tras el primer


inicio de sesin.

Enabled: permite definir si la cuenta est activa o eliminada.

HomeDrive: define la letra que debe utilizar, as como la ruta a la carpeta particular del
usuario.

GivenName: utilizada por el atributo Nombre de pila de la cuenta.

Surname: parmetro que permite configurar el apellido del usuario.

Path: ruta donde se crea el usuario.


Tomemos un ejemplo concreto. El usuario Jean BAK es un nuevo formador. Es necesario crear su
cuenta.

Aqu tenemos las propiedades de la cuenta:

Nombre: BAK

Nombre de pila: Jean

Nombre de inicio de sesin: jbak

Contrasea: Pa$$w0rd

Contenedor del objeto: OU Form

La contrasea deber cambiarse tras el primer inicio de sesin y la cuenta estar activa.

Si no ha importado el mdulo Active Directory, introduzca Import-Module ActiveDirectory. Esto


permite utilizar los diferentes cmdlets de Active Directory.

El comando PowerShell que debe utilizar para realizar esta operacin es el siguiente:

New-ADUser -Name "Jean BAK" -ChangePasswordAtLogon $True


-DisplayName "Jean BAK" -Enabled $True -Path
"OU=Formacion,DC=Form,DC=local" -SamAccountName jbak
-Surname Bak -UserPrincipalName jbak -AccountPassword (Read-Host
-AsSecureString "Password") -GivenName Jean

Puede descargar los scripts en la pgina Informacin.

El parmetro -AccountPassword (Read-Host -AsSecureString "Password") permite introducir la


contrasea de forma segura. sta debe introducirse manualmente.
Es hora de verificar el resultado del comando. La cuenta est presente en la unidad
organizativaForm y el nombre para mostrar Jean BAK.

El nombre de inicio de sesin del usuario es, efectivamente, jbak, para el UPN (User Principal Name)
o el SamAccountName (nombre de inicio de sesin anterior a Windows 2000).

La opcin que indica el cambio durante el inicio de sesin tambin est habilitada.
Los campos Apellidos y Nombre de pila tambin estn correctamente configurados.
Se han tenido en cuenta todos los parmetros del script.

2. Administracin de grupos con PowerShell


Al igual que para los usuarios, la creacin y la gestin de los grupos puede hacerse empleando
comandos PowerShell.

Podemos encontrar varios cmdlets para gestionar los grupos:

Creacin de una nuevo grupo: New-ADGroup

Modificar las propiedades: Set-ADGroup

Ver las propiedades: Get-ADGroup

Eliminar un grupo: Remove-ADGroup

Agregar un miembro: Add-ADGroupMember

Mostrar los miembros de un grupo: Get-ADGroupMember

Eliminar un miembro: Remove-ADGroupMember

Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Podemos efectuar la administracin de los miembros de un grupo empleando el cmdlet Add-
ADGroupMember. Si queremos agregar Jean BAK al grupo Formadores, debemos seguir la siguiente
sintaxis:

Add-ADGroupMember Formadores -Members "CN=Jean


BAK,OU=Form,DC=Formacion,DC=Local"

Comprobemos, a continuacin, que se ha aadido correctamente. Para ello, es necesario utilizar


Get-ADGroupMember.

Get-ADGroupMember Formadores

Ahora vamos a ocuparnos de la creacin del grupo. Para ello, debemos utilizar el cmdlet New-
ADGroup. Lo componen varios parmetros que permiten configurar los diferentes atributos de un
grupo.

Name: indica el nombre del grupo que vamos a usar.

GroupScope: define el mbito del grupo (Dominio Local, Global o Universal). Este parmetro
es obligatorio.

GroupCategory: especifica si el grupo es de tipo seguridad o distribucin. Si no se especifica


este parmetro, se crea un grupo de seguridad.

ManagedBy: indica el usuario o el grupo que lo puede administrar.

Path: proporciona el contenedor que va a almacenar al objeto.

SamAccountName: especifica el nombre de grupo anterior a Windows 2000.

De esta forma, para crear el grupo Alumnos (grupo de seguridad con un mbito global), debemos
utilizar el comando siguiente:

New-ADGroup -Name Alumnos -GroupScope Global -GroupCategory


Security -ManagedBy Formadores -Path "OU=Form, DC=Formacion,
DC=local" -SamAccountName Alumnos

Comprobemos, a continuacin, el resultado. Es posible visualizarlo de forma grfica o por lnea de


comandos.

Get-ADGroup Alumnos

El comando devuelve a su vez el SID del grupo.

Se puede descargar los scripts en la pgina Informacin.

3. Administracin de cuentas de equipo con PowerShell


Existen cmdlets para realizar la administracin de las cuentas de equipo.

Creacin de una cuenta de equipo: New-ADComputer

Modificacin de propiedades: Set-ADComputer

Mostrar las propiedades de la cuenta: Get-ADComputer

Eliminacin de cuentas: Remove-ADComputer

Verificacin de la relacin de confianza entre el controlador de dominio y el puesto: Test-


ComputerSecureChannel

Reinicio de la contrasea de la cuenta de equipo para reparar el canal seguro: Reset-


ComputerMachinePassword

Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes
cmdlets.

La primera operacin a realizar es reiniciar la cuenta de equipo CL8-01. El canal seguro se encuentra
roto.
Es necesario conectarse como administrador local para poder resolver el problema.

El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro est roto.

Es momento de reparar la relacin de confianza entre el puesto de trabajo y su controlador de


dominio.

Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando nos
devolver un error por permisos insuficientes.

Reset-ComputerMachinePassword -Server AD1 -Credential


administrador@formacion.local

El parmetro Server permite indicar qu controlador de dominio hemos de contactar. Credential


indica el nombre del usuario que tiene los permisos de administracin en la cuenta de equipo.

Es preciso indicar la contrasea de la cuenta utilizada para validar la autenticacin.


El puesto cliente puede ahora ser autenticado por su controlador de dominio.

Para realizar la creacin de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. ste
tiene tres argumentos:

Name: nombre de cuenta.

Path: ruta del contenedor que alberga la cuenta.

Enabled: configura el estado del equipo (Activo o Inactivo).

La cuenta se activa y se genera una contrasea aleatoria de forma predeterminada.

Si se ejecuta el siguiente comando en el controlador de dominio, se crea la cuenta llamada CL8-03.

New-ADComputer -Name CL8-03 -Path


"CN=Computers,DC=Formacion,DC=local" -Enabled $True

La cuenta de equipo se ha creado correctamente en la carpeta de sistema Computers.

Se puede descargar los scripts en la pgina Informacin.

4. Administracin de unidades organizativas con PowerShell


Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que
aplicaremos una directiva de grupo. Tambin es posible implementar la delegacin sobre este tipo
de objeto.

Podemos utilizar cuatro cmdlets:

New-ADOrganizationalUnit: realiza la creacin de una unidad organizativa.


Set-ADOrganizationalUnit: modifica las diferentes propiedades que tiene el objeto.

Get-ADOrganizationalUnit: muestra las propiedades de la unidad organizativa.

Remove-ADOrganizationalUnit: permite eliminar una OU.

Para poner en prctica la administracin de las unidades organizativas, vamos a eliminar la


proteccin contra la eliminacin accidental empleando PowerShell y crearemos un nuevo contenedor
llamado Equipos.

A partir de Windows Server 2008 es posible activar la proteccin contra la eliminacin accidental.
sta se encuentra activa de forma predeterminada durante la creacin de cualquier objeto.

Podemos desactivar esta opcin empleando el siguiente comando PowerShell:

Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False

La opcin est ahora desactivada.

Ahora podemos pasar a la etapa de creacin de una unidad organizativa. Como hemos visto
anteriormente, el cmdlet a utilizar para esta operacin es New-ADOrganizationalUnit. ste tiene
varios parmetros:

Name: define el nombre a utilizar.

Path: ruta donde se almacena el nuevo objeto.

ProtectedFromAccidentalDeletion: define el estado del atributo de proteccin contra la


eliminacin.

La unidad organizativa Equipos es un contenedor hijo de la unidad organizativa Form. El siguiente


comando permite realizar esta operacin:

New-ADOrganizationalUnit -Name Equipos -Path


"OU=Form,DC=Formacion,DC=local"
-ProtectedFromAccidentalDeletion $True

La unidad organizativa se encuentra en la OU Form.

Se puede descargar los scritps en la pgina Informacin.


Taller
El captulo se compone de operaciones (creacin de usuario, unidad organizativa...) que puede
reproducir. La parte prctica se reduce a un solo taller.

1. Modificacin de varios usuarios en PowerShell


Objetivo: modificar varios usuarios empleando un comando PowerShell.

Mquina virtual utilizada: AD1.

En el servidor AD1, inicie la consola Windows PowerShell.

Introduzca el comando Get-ADUser -Filter * -SearchBase ou=Form,dc=Formacion,dc=local


| Format-Wide DistinguishedName

Se puede descargar el script en la pgina Informacin.

El comando devuelve solamente los usuarios de la unidad organizativa Form.

Introduzca el comando Get-ADUser -Filter * -SearchBase ou=Form,dc=Formacion,dc=local


| Set-ADUser -ChangePasswordAtLogon $true -PasswordNeverExpires $False

Se puede descargar el script en la pgina Informacin.

Todos los usuarios de la OU Formacion debern cambiar la contrasea tras el prximo inicio de sesin.
La opcin PasswordNeverExpires permite desactivar la opcin La contrasea nunca expira.

De esta forma es muy sencillo implementar un filtro y modificar una propiedad.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Qu tipo de archivo explota el comando csvde?

2 Qu comandos es preciso utilizar para efectuar una exportacin y una importacin?

3 Cul es el comando a emplear para utilizar un archivo LDIF?

4 Qu comando debemos utilizar si tenemos que efectuar una operacin de modificacin o de


eliminacin?

5 Qu cmdlet debe usarse para crear una cuenta de usuario?

6 Cul es el comando PowerShell que hay que ejecutar para importar el mdulo Active
Directory?

7 Se ha roto la relacin de confianza entre un equipo y su controlador de dominio. Qu


comando es necesario ejecutar para volver a crearla?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 6 puntos para
aprobar el captulo.

3. Respuestas
1 Qu tipo de archivo explota el comando csvde?

El comando csv de utiliza archivos con extensin CSV (Comma-Separated Values).

2 Qu comandos es preciso utilizar para efectuar una exportacin y una importacin?

Para realizar una exportacin debemos utilizar el comando csv de - f Nom breDeArchiv o. La
opcin - f permite indicar el archivo a utilizar. La importacin necesitar ms parmetros, la
instruccin a ejecutar es de la forma csv de - i - f Archiv oCSV - k. La opcin - i indica que vamos a
realizar una importacin, - k permite continuar la ejecucin aunque se produzca algn error.

3 Cul es el comando a emplear para utilizar un archivo LDIF?

El archivo LDIF puede utilizarse mediante el comando ldifde.

4 Qu comando debemos utilizar si tenemos que efectuar una operacin de modificacin o de


eliminacin?

No es posible efectuar modificaciones o eliminaciones con el comando csv de. En este caso
tendremos que utilizar el comando ldifde.

5 Qu cmdlet debe usarse para crear una cuenta de usuario?

Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New- ADUser.

6 Cul es el comando PowerShell que hay que ejecutar para importar el mdulo Active
Directory?

El comando im port- m odule Activ eDirectory importa el mdulo que permite la administracin de
los objetos Active Directory.

7 Se ha roto la relacin de confianza entre un equipo y su controlador de dominio. Qu


comando es necesario ejecutar para volver a crearla?

Si el canal seguro se rompe es imposible autenticar el equipo. Ser entonces necesario emplear el
comando Reset- Com puterMachinePassword.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de direccionamiento IP.

Poseer nociones sobre la pila TCP/IP y sus protocolos.

2. Objetivos
Anlisis del protocolo TCP/IP.

Presentacin del direccionamiento IPv4 y sus diferentes tipos de direcciones.

Establecimiento de subredes.

Gestin y mantenimiento del protocolo IPv4.

Implementacin del protocolo IPv6.


Introduccin
El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet o en redes
locales.
Informacin general del protocolo TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) es un conjunto de protocolos que permiten la
comunicacin de redes heterogneas. Cada protocolo contenido en TCP/IP se reparte las diferentes
tareas a efectuar. El conjunto de protocolos se compone de varias capas (conteniendo cada una
varios protocolos); cada una posee una funcin bien definida.

Existen cuatro capas:

Aplicacin

Transporte

Internet

Interfaz de red

La capa de Aplicacin

Esta capa permite a una aplicacin acceder a los recursos de red. Contiene diferentes protocolos de
aplicacin. Corresponde a las capas de aplicacin, sesin y presentacin del modelo OSI (Open System
Interconnection).

La capa de Transporte

Garantiza el control y la fiabilidad de las transferencias de datos en la red. Corresponde a la capa de


transporte del modelo OSI. Encontramos aqu los protocolos TCP (Transmission Control Protocol) y UDP
(User Datagram Protocol).

El protocolo TCP permite establecer una conexin fiable entre dos entidades (equipos, etc.). Garanti-
za, antes de iniciar los intercambios de datos, que el receptor est listo para recibir las diferentes
tramas. Cada intercambio est seguido de un acuse de recibo, que garantiza la correcta recepcin de
cada paquete. El protocolo UDP proporciona una transmisin de datos sin conexin, el emisor y el
receptor intercambian tramas de sincronizacin y, a continuacin, comienzan la transferencia. La
entrega de paquetes se considera poco fiable, sin embargo se estima ms rpida (al no enviar acuse
de recibo).

La capa Internet

Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:

IP (Internet Protocol): responsable de la parte de enrutamiento y direccionamiento. Al igual que


sus predecesores, Windows 8 y Windows Server 2012 son compatibles con los protocolos IPv4
y IPv6.

ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access
Control) del destinatario. Las tramas utilizadas son de tipo broadcast. stas no pueden
franquear los routers.

ICMP (Internet Control Message Protocol): permiten transportar mensajes de control de errores
(mquina no accesible, por ejemplo).

La capa de interfaz de red

Corresponden a las capas 1 (nivel fsico) y 2 (nivel de datos) del modelo OSI. Permite el envo en la
red fsica de las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efecta
tambin la transformacin de la seal de digital a analgica.

Para establecer una conexin con una aplicacin o un equipo remoto, es necesario establecer un
socket TCP o UDP. Este ltimo cuenta con tres parmetros:

El protocolo de transporte (TCP o UDP).

El nmero de puerto utilizado.

La direccin IPv4 o IPv6 de los equipos origen y destino.

La combinacin de los tres permite la creacin de un socket.

El nmero de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se
encuentran reservados para aplicaciones especficas. La reserva de estos puertos permite a las
aplicaciones cliente una comunicacin ms fcil con el servidor.

Aqu puede encontrar una lista de los principales puertos utilizados:

TCP 80: HTTP

TCP 443: HTTPS

TCP 110: POP3

TCP 25: SMTP

UDP 53: DNS (peticiones DNS)

TCP 53: DNS (transferencia de zonas)

TCP 20 y 21: FTP


Entender el direccionamiento IPv4
Durante aos, el protocolo IPv4 ha sido utilizado en las redes para direccionar los equipos
conectados. Este protocolo permite a su vez a los diferentes equipos comunicarse entre ellos.

1. El direccionamiento IPv4
Una direccin IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte est separado
por puntos y escrito en forma decimal (de 0 a 255).

Una direccin IP es un identificador nico que permite reconocer el equipo en la red (igual que un
nmero de seguridad social identifica a un hombre o una mujer). Esta direccin puede configurarse
de forma manual o automtica. Se le atribuye a cualquier interfaz de red que la solicite.

Una direccin posee un ID de red que identifica la red a la que est conectado el equipo. Luego un
ID de host que permite una identificacin univoca del equipo en la red. En funcin de la direccin
utilizada (consulte la seccin Las diferentes clases de direcciones ms adelante en este captulo), se
atribuyen uno o varios bytes a los diferentes ID. Antes del envo de una trama, es necesario que el
equipo emisor sepa si el destinatario est en una red diferente de la suya.

Para efectuar esta verificacin, el equipo utiliza la mscara de subred y efecta un Y lgico (para
tener un resultado 1 los dos valores debern ser iguales a 1).

Tomemos el ejemplo de un equipo con direccin IP 10.0.0.2 y una mscara de subred 255.0.0.0.

Conversin de decimal a binario

En primer lugar, es necesario convertir de decimal a binario (este punto ser tratado en profundidad
posteriormente en este captulo).

10.0.0.2 = 0000 1010. 0000 0000 . 0000 0000 . 0000 0010

255.0.0.0 = 1111 1111. 0000 0000 . 0000 0000 . 0000 0000

Operacin Y lgico entre dos valores binarios

Ahora efectuamos un Y lgico entre los dos valores (El resultado es igual a 1 si los dos valores son
iguales a 1).

0000 1010 . 0000 0000 . 0000 0000 . 0000 0010

1111 1111 . 0000 0000 . 0000 0000 . 0000 0000

0000 1010 . 0000 0000 . 0000 0000 . 0000 0000

Conversin de binario a decimal

Ahora convertimos el resultado de binario a decimal.

0000 1010. 0000 0000. 0000 0000. 0000 0000 = 10.0.0.0

El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo destino
tiene un ID de red diferente, estar necesariamente en una red diferente. En ese caso, el equipo
emisor de la trama debe enviarla a la puerta de enlace especificada en su configuracin IP.

El objetivo de la puerta de enlace, generalmente un router, es la transmisin de los paquetes a otra


red (Internet...). La trama se redirige a otros routers empleando las tablas de enrutamiento, hasta
el destinatario. Es por esto muy importante en una red de produccin el configurar una puerta de
enlace vlida.
2. Direccionamiento privado/pblico
La gran demanda de direcciones IP debida a la popularizacin de la micro-informtica ha obligado a
la creacin de una nueva normativa. La RFC 1918 (o direccionamiento privado) ha visto la luz para
paliar el riesgo de carencia de direcciones IPv4. Esta carencia se ha convertido en realidad y se ha
desarrollado un nuevo protocolo IP (IPv6).

Las direcciones privadas y pblicas tienen cada una diferentes cometidos en un sistema de
informacin.

Las direcciones IP pblicas se encuentran en la red Internet. Dicha direccin IP es nica en el mundo
y la distribuyen organismos especiales. Los equipos que poseen este tipo de direccin IP son
accesibles en Internet. Toda empresa o particular utiliza un router o modem-router (livebox...) para
acceder a Internet. Este equipo posee una direccin IP que le ha sido asignada por el proveedor de
acceso.

Los equipos en una red local utilizan por su parte una direccin privada. Esta ltima no es accesible
desde Internet (ningn equipo en una red pblica posee este tipo de direccin). Solo es nica en
una red de rea local. Dos empresas diferentes que no estn conectadas entre s pueden tener las
mismas direcciones.

Al crear esta norma, se reservaron conjuntos de direcciones IP pblicas para las direcciones de
equipos en una red local. De esta forma cada clase posee su propio conjunto de direcciones
reservadas.

Clase A: 10.0.0.0 a 10.255.255.255

Clase B: 172.16.0.0 a 172.31.255.255

Clase C: 192.168.0.0 a 192.168.255.255.

3. Conversin de binario a decimal


Como hemos podido ver, una direccin IP est compuesta por bytes cuyo valor se encuentra en
formato decimal. Sin embargo este nmero se calcula empleando cifras binarias (dos estados
posibles, 0 o 1).

Conversin de binario a decimal

Si descomponemos un byte, nos daremos cuenta de que ste posee 8 bits y cada uno tiene un
rango. El de menor valor, el de la derecha, tiene un rango 0 (ver ms abajo). El de mayor valor,
situado ms a la izquierda, tiene un rango 8. Para obtener el valor decimal de cada rango, hace falta
elevar 2 a la potencia del rango del bit.

De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 2 0 =1, el del rango 1 tiene el valor
de 2 por 2 1 =2

Para efectuar la conversin de binario a decimal debemos aadir los valores decimales de los bits
con valor 1.

Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 73:

Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 73.

Conversin de decimal a binario


Esta conversin es ms compleja. Para explicarla tomemos un ejemplo: debemos convertir a binario
el valor 102.

Para efectuar la conversin, debemos comenzar por el bit de mayor valor, es decir, con rango 7.

El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del rango 7
es entonces igual a 0.

El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el nmero 38 (102-64).

El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango 5 es
entonces igual a 1. Falta convertir el nmero 6 (38-32).

El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango 4 es
entonces igual a 0.

El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3 es
entonces igual a 0.

El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2 es
entonces igual a 1. Falta convertir el nmero 2 (6-4).

El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es
entonces igual a 1.

De esta forma hemos terminado de convertir el nmero 102. El valor binario del rango 0 es 0.

Hemos convertido el valor decimal 102 al nmero binario 0110 0110.

4. Las diferentes clases de direcciones


Todas las direcciones IP se organizan en clases de direcciones. Cada una permite direccionar un
nmero de hosts y de redes diferentes. Solo pueden utilizarse las tres primeras clases. Para
diferenciar las distintas clases, es necesario fijarse en el primer byte.

La clase A

Las direcciones contenidas en esta clase permiten direccionar 22 4 equipos. En efecto, se reservan
tres bytes para la direccin del ID del equipo y uno solo para el ID de la red.

El conjunto de direcciones contenidas en la clase A va desde 1.0.0.0 a 126.0.0.0. La mscara de


subred es igual a 255.0.0.0.

El primer bit de todas las direcciones comienza por 0. El resto vara desde todos los bits en 0 para la
direccin inicial hasta todos los bits en 1 para la direccin final. O sea:

0.000 0000 .0 . 0 0 para la direccin de inicio.

0 111 1111 .0 .0 .0 para la direccin final.

Los siguientes valores son nmeros binarios.

Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0. Los valores 0 y 127 estn
reservados, y el mbito va desde 1.0.0.0 hasta 126.0.0.0.

La clase B

La clase B permite utilizar dos bytes para el ID del equipo. La mscara utilizada es 255.255.0.0. El
rango de direcciones va desde 128.0.0.0 a 192.255.0.0.

El primer bit de todas las direcciones comienza por 10, o sea:


10 00 0000 .0 . 0 0 para la direccin de inicio (128.0.0.0 en decimal).

10 11 1111 .255 .0 .0 para la direccin final (191.0.0.0 en decimal).

Los siguientes valores son nmeros binarios.

La clase C

Esta es la clase que proporciona menor nmero de direcciones para los equipos. Tiene un nico byte
disponible para los equipos. Su mscara es igual a 255.255.255.0. Posee un rango de direcciones
entre 192.0.0.0 y 223.255.255.0.

El primer bit de todas las direcciones comienza por 110, o sea:

110 0 0000 .0 . 0 0 para la direccin de inicio (128.0.0.0 en decimal).

110 1 1111 .255 .255 .0 para la direccin final (223.255.255.0 en decimal).

De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la direccin es de clase A. Si el
valor se encuentra entre 128 y 191 la direccin es de clase B. Por ltimo, si el valor se encuentra
entre 192 y 223 la direccin es de clase C.

5. El CIDR
La notacin CIDR (Classless Inter-Domain Routing) permite escribir de forma sinttica la mscara de
subred. Si tomamos la mscara de clase A (255.0.0.0), sta puede escribirse /8. La cifra proviene del
nmero de bits en 1.

La mscara de la clase B puede escribirse en la forma /16, mientras que la de la clase C se escribe
/24.
Establecimiento de subredes
Una subred consiste en dividir una red informtica en varias subredes. La mscara de subred se
utiliza para identificar la red en la que est conectado el equipo. Al igual que una direccin IP, est
compuesto de 4 bytes donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del
host (valor decimal 0).

En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El primer
byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce el numero de
hosts direccionables.

1. La ventaja de las subredes


La ventaja de una subred es la posibilidad de realizar una divisin lgica de la red fsica. Esto
permite impedir que las mquinas fsicas se vean entre s, con el objetivo de crear redes diferentes.

Es posible utilizar subredes en los sitios remotos, cada sitio puede tambin tener su propia direccin
manteniendo el mismo ID de red. La divisin lgica permite reducir el trfico de red y las tramas de
tipo broadcast que un router debe transferir entre las distintas redes.

Tambin es posible prohibir el acceso a una red de un tercero (por ejemplo la red de produccin no
puede acceder a la red de administracin). De esta forma garantizamos la seguridad de los datos.
Sin embargo esta operacin necesita un cortafuegos.

2. Calcular una subred


Para simplificar la comprensin, vamos a tomar un ejemplo. La empresa ABC posee una direccin
192.168.1.0 y una mscara de subred igual a 255.255.255.0. Esta empresa necesita crear tres
subredes.

Clculo de direcciones de subredes

La primera operacin es calcular el nmero de bits que necesitamos reservar para identificar la
subred. Si se quieren crear tres subredes entonces el nmero de bits a reservar es de 2, pues 2 2 =4
> 3.

Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.

Direccin de la subred 1: 192.168.1.00 00 0000 o 192.168.1.0

Direccin de la subred 2: 192.168.1.01 00 0000 o 192.168.1.64

Direccin de la subred 3: 192.168.1.10 00 0000 o 192.168.1.128

Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.

Para comprobar que el clculo es correcto, debemos verificar el paso de una subred a la otra. De
esta forma podemos confirmar que es igual a 64. De hecho, si sumamos 64 a la direccin de la
subred 1, entonces el resultado es la direccin de la subred 2 (192.168.1.64 + 64 = 192.168.1.128).
Esta comprobacin debe ser cierta para el conjunto de subredes.
Clculo de la mscara de subred

A continuacin debemos calcular la mscara de subred a utilizar. Esta debe configurarse en todas
las mquinas para que pertenezcan a la subred correcta.

Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo nmero para
la mscara de subred. A diferencia de las direcciones, estos bits no variarn y tendrn el valor 1. La
direccin empleada es una direccin de clase C. La mscara ser 255.255.255.0.

Una vez ms, el primer paso a realizar es la descomposicin del primer byte del ID del host, los bits
de subred debern valer 1:

255.255.255.11 00 0000 o 192.168.1.192

La mscara a utilizar es 255.255.255.192.

Clculo del rango de direcciones IP distribuibles

Para conocer el rango de direcciones que es posible distribuir a los equipos, debemos hacer variar el
ID de host, (de todos los bits a 0 a todos los bits a 1, es decir:

Subred 1:

192.168.1.00 00 0000 a 192.168.1.00 11 1111

192.168.1.0 a 192.168.1.63

La direccin 192.168.1.0 es la direccin de red y 192.168.1.63 es la de broadcast. El rango de


direcciones va desde 192.168.1.1 hasta 192.168.1.62.

Subred 2:

192.168.1.01 00 0000 a 192.168.1.01 11 1111

192.168.1.64 a 192.168.1.127

La direccin 192.168.1.64 es la direccin de red y 192.168.1.127 es la de broadcast. El rango de


direcciones va desde 192.168.1.65 hasta 192.168.1.126.

Subred 3:

192.168.1.10 00 0000 a 192.168.1.10 11 1111

192.168.1.128 a 192.168.1.191

La direccin 192.168.1.128 es la direccin de red y 192.168.1.191 es la de broadcast. El rango de


direcciones va desde 192.168.1.129 hasta 192.168.1.190.

El rango entre la primera direccin y la ltima es de 63 (de 192.168.1.1 a 192.168.1.163), es el


mismo para las otras subredes.
Configurar y mantener IPv4
Una mala configuracin IP puede tener un impacto ms o menos importante. En un servidor, varios
servicios pueden sufrir fallos parciales o dejar de funcionar. Es muy importante verificar la
configuracin que ha sido introducida o asignada automticamente a un equipo.

Los comandos DOS pueden ser utilizados para la administracin y mantenimiento diario de una red.

Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente
diagnosticar un problema de red.

1. El comando ipconfig
El comando ipconfig permite mostrar la configuracin IP de los adaptadores de red.

Utilizando las distintas opciones, es posible realizar operaciones u obtener diferentes datos.

ipconfig /all: muestra la configuracin completa de los adaptadores de red presentes en el


equipo.

ipconfig /release: libera la configuracin IP distribuida por el servidor DHCP.

ipconfig /renew: solicita una nueva configuracin al servidor DHCP.

ipconfig /displaydns: muestra las entradas en la cach DNS.

ipconfig /flushdns: permite limpiar la cach DNS.

ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.

2. El comando ping
Este comando permite comprobar la comunicacin entre dos equipos. De esta forma se pueden
reparar rpidamente problemas de comunicacin en un equipo o servidor. El comando cuenta con
opciones y luego el nombre o direccin IP del equipo a verificar.
Ejecutado sin opciones, solo se envan cuatro tramas de tipo echo. Si el puesto est encendido y
conectado a la red se recibe una respuesta. En caso contrario, se emite una respuesta negativa.

Se pueden aplicar varias opciones a este comando:

-n nmero: la opcin -n permite enviar x solicitudes antes de detenerse, siendo x el nmero


proporcionado despus de n.

-t: a diferencia de -n, se efecta el envo de tramas hasta que se solicita la interrupcin.

-a: permite la resolucin de la direccin IP a un nombre.

-4: fuerza el uso de IPv4.

-6: fuerza el uso de IPv6.

Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host
remoto. Sin embargo, este tipo de solicitudes pueden estar bloqueadas por un cortafuegos.

3. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un
destino. La trama es de tipo ICMP. Es intil utilizar este comando si el destino se encuentra en la
misma red de rea local. De hecho, el comando reenva el nombre o la direccin IP del router que
devuelve la trama echo.
Este comando es muy til para conocer qu router tiene un problema.

Es posible usar otros comandos, como nslookup. Este ltimo permite verificar la resolucin DNS.
Implementacin del protocolo IPv6
Desde hace muchos aos, se contina con la implementacin de IPv6. Los sistemas operativos cliente
o servidor tienen la posibilidad de ser accedidos va IPv6.

1. Informacin general del protocolo IPv6


Una direccin IPv6 es cuatro veces mayor que una direccin IPv4, es decir 128 bits para la versin 6
y 32 bits para la versin 4. Este protocolo ofrece un rango de direcciones casi ilimitado.

Adicionalmente, al contrario que una direccin IPv4, es posible realizar un configuracin automtica
sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la
red proporciona al cliente la informacin sobre la subred y el prefijo. Esto permite a los clientes
configurarse automticamente. Hablamos entonces de configuracin automtica de direcciones sin
estado (RFC 2462). La configuracin de direcciones sin estado necesita la presencia de un servidor
DHCPv6 (Windows Server 2008 como mnimo).

Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensin del protocolo anterior. Los perifricos de red cuentan con la posibilidad de determinar el
ancho de banda deseado para la gestin del paquete. Es posible igualmente administrar la prioridad
del trfico. Ciertos paquetes (difusin de vdeo continuo...) son prioritarios. Los perifricos de la red
se percatan de esto mediante el empleo del campo QoS.

Diferencias entre IPv4 y IPv6

Las dos versiones del protocolo IP poseen cada uno sus propiedades.

IPv4 IPv6

Fragmentacin Fragmentacin realizada en los Fragmentacin efectuada


routers y el emisor. solamente por el emisor.

Protocolo ARP Utilizacin de tramas broadcast. Utilizacin de tramas multicast.

Registro en el Registro de host (A) en la zona Registro de host (AA AA) en la


DNS de bsqueda directa y PTR en la zona de bsqueda directa y PTR
zona de bsqueda inversa (IN- en la zona de bsqueda inversa
ADDR.ARPA). (IP6.ARPA).

Los formatos de las direcciones son, a su vez, diferentes. La versin anterior utiliza un formato
decimal (192.168.1.2) mientras que las direcciones se escriben en formato hexadecimal con la
versin 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se recomienda el uso de nombres de host en lugar
de direcciones IPv6.

El direccionamiento IPv6

Cada direccin est compuesta por 128 bits. Se utiliza un prefijo para indicar el nmero de bits
utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un
prefijo de 64 bits se asigna a la direccin, que es la mitad de los bits para identificar la red, los
restantes 64 permiten una identificacin nica del host (identificador de interfaz). ste puede ser
generado de manera aleatoria y asignado por DHCP o basado en el control de acceso o soporte
(MAC).

Equivalencia IPv4/IPv6

IPv4 IPv6

Direccin no especificada 0.0.0.0 ::

Direccin de bucle invertido 127.0.0.1 ::1


Direccin APIPA 169.254.0.0/16 FE80::/64

Direccin de broadcast 255.255.255.255 Utilizacin de tramas


multicast

Direccin de multicast 224.0.0.0/4 FF00::/8

a. Direcciones locales nicas

Las direcciones locales nicas corresponden a las direcciones privadas en IPv4 (RFC 1918). Este
tipo de direccin puede encaminarse solamente hacia el interior de una empresa. Para evitar los
problemas de duplicacin que podan ocurrir en IPv4 al interconectar varias redes, la direccin est
compuesta por un prefijo de 40 bits.

sta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequea de tener
dos prefijos idnticos.

1111110 Identificador de Identificador de Identificador de


organizacin subred interfaz

Los siete primeros bits poseen un valor fijo igual a 1111110. El prefijo de la direccin es
igual a fc00::/7.

El identificador de organizacin de 40 bits permite evitar problemas durante la conexin


entre redes. El identificador se genera automticamente.

La identificacin de subred permite la creacin de subredes.

Los ltimos 64 bits se utilizan para representar el identificador de la interfaz.

b. Direcciones globales unicast

Este tipo corresponde a las direcciones IPv4 pblicas. Permiten designar un equipo en la red
Internet.

Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques estn
reservados para implementar tneles 6to4 (por ejemplo el bloque 2002::/16).

Esta direccin est compuesta de varios bloques:

001 Prefijo de encaminamiento Identificador de Identificador de


global subred interfaz

Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits) permiten
formar un primer bloque de 48 bits. ste lo asigna el proveedor de acceso.

El identificador de subred, codificado en 16 bits, permite crear subredes en una


organizacin.

El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo


especfico en una subred. Este bloque se genera aleatoriamente o lo asigna un servidor
DHCPv6.

c. Direccin de enlace local

Se asigna una direccin de enlace local a un adaptador de red para permitirle comunicar con la red
local. Este tipo de direccin se genera automticamente y no se puede encaminar. Son homlogos
a las direcciones IPv4 correspondientes a las direcciones APIPA (169.254.x.x).

El prefijo utilizado por este tipo de direccin es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
1111 1110 Continuacin de ceros (54 bits) Identificador de interfaz
10

Los 10 primeros bits (111 1110 10) al igual que los siguientes ceros forman el prefijo de 64
bits (FE80::).

El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo


especfico en una subred. Este bloque se genera aleatoriamente o lo asigna un servidor
DHCPv6.
Talleres
Los dos primeros talleres son tericos. No es necesario realizar ninguna operacin.

1. Conversin de decimal a binario


Objetivo: convertir un nmero binario o direccin binaria a decimal y viceversa.

192

224

1110 0111

192.168.1.102

0011 1100

1001 1100

Solucin:

192

El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el nmero 64 (192-128).

El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.

El valor binario de los otros rangos est en 0.

La conversin de 192 a binario es 1100 0000.

224

El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el nmero 96 (224-128).

El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el nmero 32 (96-64).

El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.

El valor binario de los otros rangos est en 0.

La conversin de 224 a binario es 1110 0000.

1110 0111

Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:

2 7 +2 6 +2 5 +2 2 +2 1 +2 0 = 128+64+32+4+2+1

Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.

192.168.1.102

Primero convertimos cada byte:

192: 1100 0000

168: 1010 1000

1: 0000 0001

102: 0110 0110


La direccin IP 192.168.1.102 en binario nos da:

1100 0000.1010 1000. 0000 0001.0110 0110

0011 1100

Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:

2 5 +2 4 +2 3 +2 2 = 32+16+8+4

Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.

1001 1100

Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:

2 7 +2 4 +2 3 +2 2 = 128+16+8+4

Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.

2. Clculo de direcciones de subredes


Objetivo: calcular las direcciones de diferentes subredes.

Debemos dividir la red con la direccin 172.16.0.0 en 8 subredes. Proporcione, para cada una, la
direccin de subred, la direccin de la mscara de subred y los rangos de direccin que pueden ser
distribuidos.

Solucin:

Para direccionar 8 subredes, debemos reservar 3 bits (2 3 =8).

Mscara de subred:

255.255.111 0 000.0 o sea una mscara de subred igual a 255.255.224.0

Subred 1:

172.16.000 0 0000.0 o sea la direccin de red 172.16.0.0

Rango de direcciones para todos los hosts:

172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0
hasta 172.16.31.255. En este rango, debemos incluir la direccin de red 172.16.0.0 y la direccin de
broadcast 172.16.31.255. Tenemos pues un rango efectivo desde 172.16.0.1 hasta 172.16.31.254.

Direccin de subred 2:

172.16.001 0 0000.0 o sea la direccin de red 172.16.32.0

Rango de direcciones para todos los hosts:

172.16. 001 0 0000.0 a 172.16.001 1 1111.255 o sea un rango de direcciones desde 172.16.32.0
hasta 172.16.63.255. Tenemos pues un rango efectivo desde 172.16.32.1 hasta 172.16.63.254.

Direccin de subred 3:

172.16.010 0 0000.0 o sea la direccin de red 172.16.64.0

Rango de direcciones para todos los hosts:

172.16. 010 0 0000.0 a 172.16.010 1 1111.255 o sea un rango de direcciones desde 172.16.64.0
hasta 172.16.95.255. Tenemos pues un rango efectivo desde 172.16.64.1 hasta 172.16.95.254.

Direccin de subred 4:

172.16.011 0 0000.0 o sea la direccin de red 172.16.96.0


Rango de direcciones para todos los hosts:

172.16. 011 0 0000.0 a 172.16.011 1 1111.255 o sea un rango de direcciones desde 172.16.96.0
hasta 172.16.127.255. Tendremos un rango efectivo desde 172.16.96.1 hasta 172.16.127.254.

Direccin de subred 5:

172.16.100 0 0000.0 o sea la direccin de red 172.16.128.0

Rango de direcciones para todos los hosts:

172.16. 100 0 0000.0 a 172.16.100 1 1111.255 o sea un rango de direcciones desde 172.16.128.0
hasta 172.16.159.255. Tenemos pues un rango efectivo desde 172.16.128.1 hasta 172.16.159.254.

Direccin de subred 6:

172.16.101 0 0000.0 o sea la direccin de red 172.16.160.0

Rango de direcciones para todos los hosts:

172.16. 101 0 0000.0 a 172.16.101 1 1111.255 o sea un rango de direcciones desde 172.16.160.0
hasta 172.16.191.255. Tenemos pues un rango efectivo desde 172.16.160.1 hasta 172.16.191.254.

Direccin de subred 7:

172.16.110 0 0000.0 o sea la direccin de red 172.16.192.0

Rango de direcciones para todos los hosts:

172.16. 110 0 0000.0 a 172.16.110 1 1111.255 o sea un rango de direcciones desde 172.16.192.0
hasta 172.16.223.255. Tenemos pues un rango efectivo desde 172.16.192.1 hasta 172.16.223.254.

Direccin de subred 8:

172.16.111 0 0000.0 o sea la direccin de red 172.16.224.0

Rango de direcciones para todos los hosts:

172.16. 111 0 0000.0 a 172.16.111 1 1111.255 o sea un rango de direcciones desde 172.16.224.0
hasta 172.16.255.255. Tenemos pues un rango efectivo desde 172.16.224.1 hasta 172.16.255.254.

3. Implementacin del protocolo IPv6


Objetivo: configurar los servidores AD1 y SV1 para que puedan usar el protocolo IPv6 para
comunicarse.

Mquinas virtuales utilizadas: AD1 y SV1.

En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la direccin IP (campo Ethernet) para abrir la ventana Conexiones de red.

Haga doble clic en el adaptador de red Ethernet y luego en el botn Propiedades.

Seleccione Protocolo de Internet versin 6 (TCP/IPv6) y haga clic en Propiedades.


Marque la opcin Usar la siguiente direccin IPv6.

En el campo Direccin IPv6, introduzca FD00:AAAA:BBBB:CCCC::A y luego en Longitud del


prefijo de subred introduzca 64.

Introduzca ::1 en el campo Servidor DNS preferido.


Haga clic en Aceptar y, a continuacin, cierre las diferentes ventanas.

Repita la operacin siguiente para configurar SV1.

Direccin IPv6: FD00:AAAA:BBBB:CCCC::15

Longitud del prefijo de subred: 64

Servidor DNS preferido: FD00:AAAA:BBBB:CCCC::A


En SV1, inicie un smbolo del sistema DOS.

Introduzca el comando ping -6 ad1.

El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecucin del comando.

Introduzca el comando ping -4 ad1.

El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecucin del comando.

AD1 responde empleando su direccin IPv4 o IPv6.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cules son las capas presentes en el protocolo TCP/IP?

2 Cul es la utilidad del direccionamiento privado y el direccionamiento pblico?

3 Nombre los rangos de direcciones incluidos en cada clase.

4 Para cada clase, cite el rango de direcciones IP privadas.

5 Cul es el objetivo de una subred?

6 De qu byte hay que utilizar bits para definir diferentes subredes?

7 Cmo forzamos a un equipo a registrarse en su servidor DNS?

8 Cules son los comandos y opciones necesarios para ver la cach DNS?

9 Cules son los comandos y opciones para enviar un nmero definido de tramas echo?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 5 puntos para
aprobar el captulo.

3. Respuestas
1 Cules son las capas presentes en el protocolo TCP/IP?

Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicacin. Cada una
tiene su propia funcin. Los diferentes protocolos que comprenden la suite TCP/IP estn
organizados en las diferentes capas.

2 Cul es la utilidad del direccionamiento privado y el direccionamiento pblico?

El direccionamiento privado normalizado en la RFC 1918 permite proporcionar direcciones a equipos


en una red local. Este tipo de direcciones no son enrutables. Los equipos con estas direcciones IP
no pueden tener acceso directo a Internet. Este tipo de direcciones se normalizaron para evitar el
riesgo de escasez de direcciones. El direccionamiento pblico permite a los diferentes equipos
(servidor web...) un acceso directo a Internet. Para acceder desde la red pblica se debe poseer una
direccin IP pblica. Estas direcciones las distribuye un organismo especial.

3 Nombre los rangos de direcciones incluidos en cada clase.

La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con direcciones
desde 128 hasta 191. Finalmente, la clase C cuenta con direcciones desde 192 hasta 223. El valor
del primer byte permite determinar a qu clase pertenece la direccin.

4 Para cada clase, cite el rango de direcciones IP privadas.

En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango
10.0.0.0 a 10.255.255.255 est reservado a la clase A. Con la clase B es posible utilizar las
direcciones entre 172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre 192.168.0.0 y
192.168.255.255 estn reservadas para la clase C.

5 Cul es el objetivo de una subred?

Permite efectuar una divisin de la red fsica de forma lgica. Es tambin ms fcil limitar el
nmero de equipos en la red o garantizar la seguridad de los datos.

6 De qu byte hay que utilizar bits para definir diferentes subredes?


Los bits de subred se encuentran en el primer byte del ID del host.

7 Cmo forzamos a un equipo a registrarse en su servidor DNS?

Para efectuar esta operacin debemos usar el comando DOS ipconfig /registerdns.

8 Cules son los comandos y opciones necesarios para ver la cach DNS?

Para ver la cach DNS de un equipo se debe emplear el comando ipconfig /displaydns.

9 Cules son los comandos y opciones para enviar un nmero definido de tramas echo?

El comando ping enva por defecto cuatro tramas echo. Para enviar un nmero mayor de tramas,
debemos usar la opcin -n seguida del nmero deseado.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de direccionamiento IP.

Tener nociones sobre el funcionamiento de un direccionamiento dinmico.

2. Objetivos
Definicin del rol DHCP.

Presentacin de las funcionalidades ofrecidas por el servicio.

Gestin de la base de datos.

Puesta en marcha del mantenimiento del servidor DHCP.

Instalacin y configuracin de la funcionalidad IPAM.


Introduccin
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en una
arquitectura de red. Su funcin es la distribucin de la configuracin IP, lo que permite a los equipos
conectados comunicarse entre ellos.
Rol de servicio DHCP
DHCP permite automatizar la configuracin de los adaptadores de red. Sin ste, es preciso efectuar la
operacin manualmente.

Una configuracin IP incluye una direccin IP, una mscara de subred y una puerta de enlace.

De esta forma es posible evitar errores humanos y asimismo garantizar una configuracin adecuada
para cada equipo. Muy til para los usuarios itinerantes, a stos se les asigna una configuracin sin
intervencin del administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP
y NAP (Network Address Protection) para distribuir las concesiones DHCP en funcin del estado de
salud del equipo (antivirus actualizado, cortafuegos activado). Este rol puede instalarse en un
servidor en modo Core para limitar la superficie de ataque.

1. Asignacin de una direccin IP


Se provee una asignacin a un adaptador de red por una duracin limitada a varias horas, das o
simplemente ilimitada. Las tramas utilizadas son de tipo broadcast. stas no pueden atravesar los
routers.

Para obtener una asignacin DHCP, el cliente y el servidor realizan un intercambio de tramas:

El cliente enva un broadcast (DHCPDISCOVER) a todos los equipos de la subred.

Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. Mediante
esta trama, se ofrece una configuracin IP. De este modo, el cliente puede recibir una trama
del mismo tipo de varios servidores. El cliente selecciona el servidor que haya sido ms
rpido.

El cliente enva una trama de tipo DHCPREQUEST al servidor que ha seleccionado. Permite
informar al servidor que ha aceptado la oferta.

La direccin IP seleccionada se graba ahora en la base de datos de servidor, el cual valida la


transaccin enviando un DHCPACK al equipo cliente.

La operacin de renovacin de la asignacin se ejecuta cuando se ha cumplido el 50% de la


duracin transcurrida. Si no logra renovar la asignacin, se vuelve a intentar al 87,5% de la
concesin y luego en el momento de su expiracin.

La renovacin se efecta enviando una trama broadcast DHCPREQUEST; el servidor responde con
un mensaje de tipo DHCPACK.

2. Utilizacin de un relay DHCP


Al utilizar tramas de tipo broadcast, stas no pueden atravesar los routers. Esto implica la necesidad
de un servidor para cada subred IP. La necesidad de muchos servidores puede conllevar un coste
excesivo para la empresa. Para remediar este problema, es posible implementar un relay DHCP. ste
permite transferir las solicitudes de asignacin a un servidor ubicado en otra subred.

El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en
la subred IP. Transfiere a continuacin las diferentes solicitudes que recibe al servidor DHCP
presente en la red B.
Debemos sin embargo verificar el ancho de banda de la lnea y los tiempos de respuesta.
Funcionalidad del servidor DHCP
Despus de instalar el servidor, es necesario configurar el mbito.

1. El mbito del servidor DHCP


El mbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Est limitado a una
subred IP.

Tomemos por ejemplo un servidor DHCP que posee un mbito con un conjunto de direcciones entre
172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignacin
DHCP recibe una direccin del mbito configurado para la red 172.16.0.0. El resultado es idntico si
el servidor posee mbitos para redes diferentes.

La configuracin del mbito requiere la configuracin de varias propiedades:

Nombre y descripcin: permite identificar el mbito por un nombre o una descripcin.

Intervalo de direcciones IP: configura el grupo de direcciones IP que es posible distribuir.

Mscara de subred: mscara de red que deben utilizar todos los clientes que reciben una
concesin DHCP.

Exclusiones: define las direcciones IP que deben excluirse del intervalo de direcciones que se
pueden distribuir.

Retraso: permite definir el tiempo transcurrido antes de proponer una concesin DHCP al
cliente (DHCPOFFER).

Opciones: configuracin de las opciones complementarias que se distribuirn con la direccin


IP. Pueden configurarse diferentes opciones tales como el nombre del dominio DNS, la
direccin del router, etc.

A partir de Windows Server 2008, es posible aadir un mbito para el protocolo IPv6. Al igual que
para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.

2. Reserva de concesiones DHCP


Para ciertos equipos (impresoras de red, etc.), es necesario asignar una configuracin IP. sta no
debe sufrir ninguna modificacin, lo que obligara a una reconfiguracin en los puestos de trabajo.

Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una reserva
en DHCP. sta permite garantizar la recepcin de la misma configuracin IP para cada cliente.

Una reserva necesita que se informen varios datos:

El nombre de la reserva: este campo es simplemente el nombre que daremos a la reserva.


Es aconsejable utilizar un nombre que indique el destinatario (nombre del equipo o de la
impresora...).

La direccin IP: direccin IP que se asignar al puesto cliente cada vez que lo solicite.

La direccin MAC: direccin fsica del adaptador de red a la que se asigna la concesin.

Despus de su creacin, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente
efecta una nueva solicitud (renovacin o nueva concesin).

La direccin MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all, y
aparece tambin en el nodo Concesiones de direcciones (campo ID exclusivo).

El equipo ser visible solamente despus de recuperar la concesin DHCP.

3. Las opciones de DHCP


Despus de configurar un mbito DHCP, es posible aadir opciones. Distribuidas al mismo tiempo
que la concesin, permiten completar la configuracin proporcionada (direccin IP, mscara de
subred). Al configurar el mbito, es posible configurar la direccin de la puerta de enlace (opcin 003
Enrutador) s como la del servidor DNS (006 Servidores DNS).
Sin embargo, es posible aadir otras opciones:

Opcin 004: Servidor horario

Opcin 015: Nombre de dominio DNS

Opcin 042: Servidores NTP

Opcin 044: Servidores WINS/NBNS

Opcin 069: Servidores SMTP

Opcin 070: Servidores POP3

Los cdigos (003, etc.) estn normalizados, es posible encontrar la lista completa en la
documentacin de la RFC.

Estas opciones pueden agregarse en varios niveles diferentes:

Opciones de servidor: se aplican al conjunto de clientes que efectan una solicitud de una
concesin al servidor DHCP. Si la misma opcin se encuentra configurada en el nodoOpciones
de mbito, se conserva esta ltima.
La opcin 003 Enrutador se encuentra configurada en las opciones de servidor, la
direccin IP introducida es 192.168.1.1.

La misma opcin se encuentra en Opciones de mbito. Adicionalmente, podemos ver


la diferencia en los dos iconos.

Opciones de mbito: incluidas en cada mbito, se aplican a sus clientes. Cada mbito puede
tener opciones diferentes o las mismas con otros valores.

Opciones de clase: existen diferentes clases (clase de proveedores, de usuarios) al


implantar un servidor NAP (Network Access Protection), pueden emplearse estas opciones de
clase.

Opciones de reserva: al implantar una reserva, se aplican las opciones del mbito.

Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botn derecho en
la reserva deseada, el men contextual nos proporciona un acceso a la ventana que permite
efectuar la seleccin de la configuracin y sus opciones.
Las opciones de reserva reemplazan a las opciones configuradas a nivel de mbito.

El icono es diferente, lo que permite de forma sencilla saber a qu nivel se aplica la opcin.

4. Implementacin de filtros
La implementacin de filtros permite crear listas verdes y listas de exclusin. Cada una tiene un uso
bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesin DHCP.

De esta forma, todos los adaptadores de red cuya direccin MAC se encuentre en la lista verde
tienen la posibilidad de recibir una concesin. Est representada en la consola por el nodo Permitir.
La lista de exclusin permite anotar los adaptadores de red que no recibirn respuesta del servidor.
La lista de exclusin se puede configurar por medio del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso
contrario el servidor no responder a las solicitudes del cliente.

Es posible desplazar un filtro de la lista verde a la lista de exclusin y viceversa. Esta caracterstica
permite garantizar que solo los puestos autorizados recibirn una configuracin IP. Sin embargo, al
aadir un nuevo equipo, es necesario crear un nuevo filtro. Esta operacin puede ser muy sencilla
de realizar pero se vuelve muy restrictiva en caso de contar con un nmero muy elevado de equipos.
Base de datos DHCP
La base de datos de DCHP permite registrar de informacin (direcciones MAC...) al distribuir una nueva
concesin.

1. Presentacin de la base de datos DHCP


La base de datos almacena un nmero de registros ilimitado. El tamao del archivo depende del
nmero de equipos presentes en la red. Por defecto, la base de datos se almacena en la carpeta
Windows\System32\dhcp.

Esta carpeta contiene varios archivos:

dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange Server
JET.

dhcp.tmp: este archivo se emplea como archivo de intercambio durante el mantenimiento de


los ndices de la base.

j50.log: permite registrar las transacciones.

j50.chk: archivo con puntos de control.

Para cada operacin (nueva solicitud, renovacin o liberacin de la concesin), se actualiza la base
de datos y se crea una entrada en los registros.

La informacin en la base de registros puede encontrarse accediendo al registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

2. Copia de seguridad y restauracin de la base de datos


La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad
asncrona) o automtica (copia de seguridad sincrnica).

La copia de seguridad sincrnica se realiza de forma predeterminada en la carpeta


Windows\System32\dhcp\backup. Es recomendable ubicar esta carpeta en otro volumen para evitar
su borrado en caso de una reinstalacin. La copia de seguridad asncrona se realiza manualmente
en el momento deseado. Esta operacin requiere sin embargo de permisos de administrador o un
usuario miembro del grupo Administradores de DHCP.

Durante la operacin de copia de seguridad (sincrnica o asncrona) todos los elementos vinculados
al servidor se incluyen en la copia. Encontraremos los siguientes elementos:

Todos los mbitos presentes en el servidor.

Las reservas que hayan sido creadas.

Las concesiones distribuidas.

Las opciones configuradas.

Las claves del registro e informacin de configuracin.

Al ejecutar la operacin de restauracin (clic derecho en el servidor y luego Restaurar en el men


contextual), se debe seleccionar la carpeta de la copia de seguridad.
A continuacin, se detienen los servicios DHCP y se restaura la base de datos. Al igual que para la
copia de seguridad, la operacin debe realizarse con permisos de administrador.

3. Reconciliacin y desplazamiento de la base de datos


La operacin de reconciliacin permite resolver ciertos problemas de coherencia, principalmente tras
restaurar la base de datos. En efecto, las concesiones DHCP se registran en dos lugares:

En la base de datos de forma detallada.

En el registro de forma resumida.

Al realizar una operacin de reconciliacin, las entradas contenidas en la base de datos y el registro
se comparan. Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que
no estn presentes en el registro y viceversa).

Ejemplo

En el registro, la direccin IP 192.168.1.250 ha sido asignada ya que apareca como disponible en la


base de datos. Al efectuar la reconciliacin, la entrada se crea en la base de datos.

Seleccionando Reconciliar... en el men contextual del mbito (clic derecho en el mbito deseado),
se muestra una ventana. Bastar con hacer clic en el botn Comprobar para iniciar la verificacin.
Seguidamente, una ventana muestra el resultado de la operacin.

Es posible iniciar esta operacin en todos los mbitos seleccionando Reconciliar todos los
mbitos... en el men contextual del nodo IPv4.

Como hemos visto anteriormente, el desplazamiento de la base de datos a otro volumen permite
una reinstalacin del servidor sin perder la base de datos. En caso de migracin del servidor DHCP,
es posible utilizar dos soluciones.

Primera solucin: se ha creado una cantidad de reservas han sido creadas y se han implementado,
a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo mbito en el nuevo
servidor DHCP y luego efectuar la etapa de creacin de las reservas y exclusiones. Es tedioso y
puede causar errores ms o menos perjudiciales para el sistema de informacin. Es entonces
necesario hacer copia de seguridad del antiguo servidor y luego restaurarlo en el nuevo o desplazar
la base de datos a otro volumen.

Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho en el
servidor y luego Propiedades en el men contextual).
Empleando el botn Examinar asociado al campo Ruta de acceso de la base de datos,
seleccione otra carpeta.

La actualizacin se efecta despus de reiniciar el servidor.

Si, durante el reinicio del servicio, el mbito no est presente, copie todos los archivos
contenidos en Windows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.

Segunda solucin: no se han creado reservas en el servidor, o se ha creado un nmero muy


reducido. En este caso se puede considerar la opcin de crear un nuevo mbito. Sin embargo, si
esta solucin se implementa errneamente, puede causar graves problemas. De hecho, si el nuevo
servidor carece de informacin acerca de las concesiones DHCP que se han distribuido antes de la
creacin, se corre el riesgo de distribuir direcciones ya asignadas a equipos cliente. Es preciso, en
este caso, solicitar al servidor DHCP que realice una prueba antes de asignar una direccin.

Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuacin, en
la pestaa Avanzadas, bastar con configurar el nmero de intentos de deteccin de conflictos que
el servidor debe efectuar.
Las nuevas concesiones se distribuirn sin riesgo de conflicto IP.
Securizacin y mantenimiento de DHCP
El protocolo DHCP no permite implementar una solucin de autenticacin, por lo tanto cualquier
equipo puede recibir una concesin DHCP. La solicitud resultar en una asignacin aunque el equipo
no est autorizado para recibirla.

1. Securizar la distribucin de concesiones DHCP


La obtencin de una concesin permite el acceso a la red. De esta forma, una persona
malintencionada puede fcilmente intentar corromper los datos o simplemente obtener datos
confidenciales. Es necesario poner en prctica un esquema de seguridad adecuado. En primer lugar
es posible reducir el acceso fsico activando en el conmutador solamente los puertos utilizados. Es
posible realizar una auditora para ver un historial de accesos vlidos. Sin embargo, es preferible
implantar una solucin de autenticacin robusta.

Esta ltima puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In
User Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su
vez, compatible con la norma 802.1x.

En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access-
Enterprise) y WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticacin RADIUS. Por
ltimo, es posible implantar un servidor NAP (Network Access Protection). Este ltimo autoriza el
acceso al servidor DHCP para los clientes que cumplan con la poltica de seguridad (antivirus
actualizado, cortafuegos activado).

2. Utilizacin de las estadsticas y registros de auditora


Las estadsticas proporcionan informacin sobre la actividad y utilizacin del servidor. Es muy fcil
detectar un posible problema. Un nmero elevado de acuses de recibo negativos indica una mala
configuracin del mbito (dos mbitos que proporcionan las mismas direcciones IP).

Es posible definir los intervalos de actualizacin modificando el parmetro en las propiedades del
campo IPv4 (pestaa General). Esta opcin est deshabilitada por defecto.
A diferencia de las estadsticas del servidor, que proporcionan informacin sobre su estado, las
estadsticas del mbito proporcionan solamente el nmero de direcciones presentes en el rango
permitido y el nmero de direcciones utilizadas y disponibles.

Como complemento a las estadsticas, es posible utilizar el registro de auditora, que permite el
seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y tambin a
aquellas que han sido rechazadas.

Se encuentra en la carpeta Windows\System32\dhcp y es posible visualizarlo mediante el bloc de


notas de Windows. El nombre de archivo contiene el da en que ha sido creado.
Podemos ver el archivo DhcpSrvLog-Vie en la carpeta. El principio del nombre de archivo
(DhcpSrvLog) es comn a todos los archivos, solo vara el nombre del da.

El archivo contiene varios campos:

ID: corresponde al nmero de evento (el enunciado de los diferentes ID se encuentra al


principio del archivo).

Fecha: al grabar el evento en el registro, se incluye la fecha.

Hora: hora a la que se ha producido el evento.

Descripcin: informacin sobre la operacin efectuada.


Direccin IP: direccin IP del cliente DHCP.

Nombre del equipo: nombre del equipo.

Direccin MAC: direccin MAC del cliente DHCP.

En este registro existen otros datos (ID de transaccin, resultado...).


IPAM
IPAM (IP Address Management) es una caracterstica integrada a partir del sistema operativo Windows
Server 2012. Permite descubrir, supervisar y auditar un grupo de direcciones IP. La administracin y
seguimiento de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name
Service) puede realizarse desde IPAM.

Los siguientes componentes se incluyen en la funcin:

Descubrimiento automtico de la infraestructura de direcciones IP: permite descubrir


automticamente controladores de dominio, servidores DHCP y servidores DNS en el dominio
deseado.

Ver, crear informes personalizados y administracin del espacio de direcciones IP: muestra
los datos detallados de seguimiento y uso de las direcciones IP. Los espacios de direcciones
IPv4 e IPv6 se organizan en bloques de direcciones IP, en rangos de direcciones IP y en
direcciones IP individuales.

Auditar los cambios de configuracin del servidor y seguimiento del uso de las direcciones
IP: permite ver los eventos operativos relacionados con los servidores IPAM y DHCP
administrados. A su vez, se realiza un seguimiento de las direcciones IP, ID de cliente, nombre
de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los
eventos de inicio de sesin de usuario en los servidores NPS (Network Policy Server), en los
controladores de dominio y los servidores DHCP.

Antes de desplegar la caracterstica IPAM es necesario tener en cuenta el mtodo de despliegue


seleccionado. Se nos presentan dos posibilidades de despliegue: el mtodo distribuido, con un
servidor IPAM en cada sitio de la empresa, o el mtodo centralizado, con un servidor para el conjunto
de la empresa.

IPAM realiza intentos peridicos para localizar controladores de dominio, servidores DNS y DHCP para
servidores que estn dentro del alcance del rea de descubrimiento especificada. Para poder ser
gestionados por IPAM y autorizar su acceso, se deben configurar los parmetros de seguridad y los
puertos del servidor.

La comunicacin entre el servidor IPAM y los servidores administrados se efecta mediante WMI o
RPC.

Al igual que otros roles, IPAM cuenta con especificaciones.

El mbito de descubrimiento para los servidores IPAM est limitado a un nico bosque Active
Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar Windows
Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS -
Windows Internet Name Service, proxy) no estn contemplados por el servidor IPAM. Con Windows
Server 2012 R2 aparecen nuevas caractersticas, incluyendo la posibilidad de utilizar una base de
datos SQL. Las anteriores versiones solo podan emplear la base de datos interna de Windows.

Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 mbitos y 150 zonas
DNS).

No hay implementada ninguna estrategia para vaciar la base de datos despus de un tiempo, el
administrador debe hacerlo manualmente.

Con la instalacin de IPAM, se instalan tambin las siguientes funcionalidades:

Herramientas de administracin remota del servidor: instalacin de las herramientas DHCP,


DNS y el cliente IPAM que permiten administrar de manera remota los servidores DHCP, DNS e
IPAM.

Base de datos interna de Windows: base de datos interna que puede ser instalada por los
roles y caractersticas internos.

Servicio de activacin de procesos Windows: elimina la dependencia del protocolo HTTP


generalizando el modelo de procesos IIS.
Administracin de directivas de grupo: instala la consola MMC que permite administrar las
directivas de grupo.

.NET Framework: instalacin de la caracterstica .NET Framework 4.5.

Durante la instalacin de la caracterstica, se crean los siguientes grupos locales:

Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la informacin de
descubrimiento de servidores, al igual que la relativa al rango de direcciones y la gestin del
servidor. El acceso a la informacin de seguimiento de direcciones IP les est prohibido.

Administradores IPAM MSM (Multi-Server Management): tienen permisos de usuario IPAM,


tambin tienen la posibilidad de efectuar tareas de administracin del servidor y tareas de
administracin corrientes IPAM.

Administradores IPAM ASM (Address Space Management): adems de los permisos del
usuario IPAM, tambin tienen la posibilidad de efectuar las tareas relacionadas con el espacio
de direcciones y tareas de gestin habitual de IPAM.

Administradores de auditora IPAM IP: los miembros de este grupo pueden efectuar las
tareas de gestin habitual de IPAM y, adems, ver la informacin de seguimiento de
direcciones IP.

Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden realizar cualquier tarea.

Las tareas IPAM se inician regularmente en funcin de una periodicidad dada. Se encuentran en el
administrador de tareas (Microsoft/Windows/IPAM):

Discovery: permite el descubrimiento automtico de los servidores DC, DHCP y DNS.

AddressUtilizationCollection: efecta la recogida de datos de utilizacin del rango de


direcciones para los servidores DHCP.

Audit: se recopila la informacin de auditora de los servidores DHCP, IPAM, NPS y DC as como
de las concesiones DHCP.

Configuration: se recopila la informacin de configuracin de los servidores DHCP, DNS para


ASM y MSM.

ServerAvailability: se recupera el estado de servicio de los servidores DHCP y DNS.

La instalacin y configuracin de la caracterstica IPAM se realiza en los talleres.


Talleres
Los talleres consisten en la instalacin del servidor DHCP y la funcionalidad IPAM y su configuracin.

1. Agregar el rol DHCP


Objetivo: efectuar la instalacin del rol DHCP.

Mquina virtual utilizada: AD1.

En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.

En la ventana Antes de comenzar, haga clic en Siguiente.

Marque la casilla Instalacin basada en caractersticas o en roles y luego haga clic enSiguiente.

En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.

Marque la casilla Servidor DHCP y luego haga clic en Agregar caractersticas en la ventana que
se muestra.

Haga clic en Siguiente en la ventana Seleccionar caractersticas.

Haga clic en Siguiente y luego en Instalar.

Espere al fin de la instalacin y luego haga clic en Cerrar.

2. Configurar un nuevo mbito y agregar opciones


Objetivo: una vez instalado, este taller tiene por objetivo realizar la configuracin del servidor.

Mquinas virtuales utilizadas: AD1, CL8-01 y CL8-02.

En la consola Administrador del servidor en AD1, haga clic en el icono con forma de bandera.
Haga clic en el enlace Completar configuracin de DHCP.

Se inicia el asistente, haga clic en Siguiente.

En la ventana Autorizacin, verifique que se est utilizando la


cuentaFORMACION\Administrador y luego haga clic en Confirmar.
Haga clic en Cerrar para cerrar el asistente.

Acceda a la pantalla Inicio.

Abra la consola DHCP incluida en las herramientas administrativas.

Despliegue ad1.formacion.local en el panel de navegacin y luego realice la misma operacin


con IPv4.

Haga clic con el botn derecho en IPv4 y a continuacin, en el men contextual, haga clic
enmbito nuevo....

Haga clic en Siguiente en la ventana del Asistente.

En el campo Nombre, introduzca mbito Formacion.local y luego haga clic en Siguiente.


Introduzca 192.168.1.50 en Direccin IP inicial y, a continuacin, 192.168.1.70 en Direccin
IP final.
En las ventanas Agregar exclusiones y retraso y Duracin de la concesin, haga clic
enSiguiente.

Marque la opcin Configurar estas opciones ms tarde y haga clic en Siguiente.

Haga clic en Finalizar para cerrar el asistente.

Haga clic con el botn derecho en Opciones de mbito y a continuacin, en el men contextual,
seleccione Configurar opciones.

Marque la opcin 003 Enrutador y el valor 192.168.1.254 en el campo Direccin IP. Haga clic
en Agregar para validar el valor.

Marque la opcin 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic
enAgregar para validar el valor.

Haga clic en Aceptar para proceder a crear las opciones.


El mbito se encuentra desactivado. Haga un clic derecho en mbito [192.168.1.0] y luego en el
men contextual, haga clic en Activar.

Verifique en los equipos CL8-01 y CL8-02 que la direccin est configurada para Obtener una
direccin IP automticamente.
Utilice el comando ipconfig para verificar la configuracin actual.

Si la direccin configurada es una direccin APIPA (169.254.x.x), efecte una nueva solicitud
de concesin empleando el comando ipconfig /renew.

Las concesiones se han asignado correctamente a las dos mquinas cliente.

Despliegue Filtros y luego haga clic con el botn derecho en el nodo Permitir. En el men
contextual, seleccione Habilitar. Realice la misma operacin para Denegar.

Haga clic en Concesiones de direcciones y, a continuacin, haga clic con el botn derecho en la
concesin de CL8-02. En el men contextual seleccione Agregar a filtro y, a
continuacin,Denegar.

Elimine la concesin asignada a CL8-02 y, a continuacin, verifique que se encuentra en la


listaDenegar.
En CL8-02, inicie un smbolo del sistema e introduzca ipconfig /release.

Introduzca ipconfig /renew para solicitar una nueva concesin.

El cliente no recibe respuesta ya que est en la lista Denegar.

Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew en CL8-
02.

Incluya el equipo CL8-02 en el dominio Formacion.local.

3. Copia de seguridad y restauracin de la base de datos


Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauracin.

Mquina virtual utilizada: AD1.

En AD1, abra la consola DHCP.

Despliegue el servidor ad1.formacion.local y luego haga clic con el botn derecho. Seleccione la
opcin Copia de seguridad.
En la ventana Buscar carpeta, seleccione el Disco local (C:) y luego haga clic en Crear nueva
carpeta.

Llame a la nueva carpeta CopiaSeguridadDHCP y haga clic en Aceptar.

Haga clic con el botn derecho en el mbito presente en DHCP y, en el men contextual,
seleccione la opcin Eliminar.

No existe ahora ningn mbito presente en el servidor.

Haga clic con el botn derecho en el servidor ad1.formacion.local y seleccione la


opcinRestaurar... en el men contextual.

En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic
enAceptar.
Haga clic en S para reiniciar los servicios.

Haga clic en Aceptar en el mensaje de validacin de la operacin.

Se restaura el mbito y el conjunto de la configuracin.

4. Implementacin de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauracin.

Mquinas virtuales utilizadas: AD1, SV2 y CL8-02.

En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.

IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
funcin.

En la ventana Antes de comenzar, haga clic en Siguiente.

Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y luego haga clic
enSiguiente.
Verifique la seleccin de SV2.Formacion.local y luego haga clic en Siguiente.

En la ventana de seleccin de caractersticas, marque la caracterstica Servidor de


administracin de direcciones IP (IPAM).
Haga clic en el botn Agregar caractersticas en la ventana que se muestra y luego en el
botnSiguiente.

Inicie la instalacin haciendo clic en Instalar.

En el Administrador del servidor, haga clic en IPAM para mostrar la pgina inicial.

Actualice la consola si fuera necesario.

Haga clic en el vnculo Aprovisionar el servidor IPAM.

En la ventana Configurar base de datos, deje el valor por defecto y haga clic en Siguiente.
Haga clic en Siguiente en la ventana Aprovisionar IPAM.

Seleccione un mtodo de aprovisionamiento Basado en la directiva de grupo.

En la zona Prefijo del nombre del GPO, introduzca SRVIPAM.


Valide la opcin haciendo clic en Aplicar.

El aprovisionamiento est en marcha

Al terminar la operacin, verifique que aparece el mensaje El aprovisionamiento de IPAM se


complet correctamente y luego haga clic en Cerrar.

Haga clic en Configurar deteccin de servidores.


Haga clic en Agregar para incluir Formacion.local en el mbito.

Configure los roles a detectar desmarcando aquellos no deseados.

Haga clic en Aceptar.

En la ventana INFORMACIN GENERAL, haga clic en Iniciar deteccin de servidores.

Haga clic en Ms en la banda amarilla para tener ms detalles.


Espere a que termine la ejecucin.

Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea de
Overview.

Haga clic en el vnculo Seleccionar o agregar servidores para administrar y comprobar el


acceso de IPAM.
El o los servidores mostrarn su estado como Bloqueado en Estado de acceso IPAM y Sin
especificar en Estado de manejabilidad.

Si no se muestra ningn servidor, haga clic en Actualizar IPv4 (a la izquierda del identificador de
notificacin).

Ahora hay que dar a SV2 el permiso de gestin de los diferentes servidores. Se utilizan los objetos de
directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol)
y DNS (Domain Name System).

Inicie la consola PowerShell como administrador en SV2.

Introduzca el siguiente comando y luego pulse en [Entrar]:

Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName


SRVIPAM -IpamServerFqdn sv2.formacion.local
Se puede descargar el script en la pgina Informacin.

Pulse la tecla S y luego valide empleando la tecla [Intro].

Las nuevas directivas de grupo se encuentran en la consola Administracin de directivas de grupo.

La directiva SRVIPAM_DHCP tiene los siguientes parmetros:


Las directivas se encuentran vinculadas a la raz del dominio de forma predeterminada. Es
posible desplazarlas si fuera necesario.

En la consola de configuracin de IPAM, haga clic con el botn derecho en la lnea AD1 y luego
seleccione Editar servidor.

En la lista desplegable Estado de capacidad de administracin, seleccione Administrado.


Haga clic en Aceptar.

En el servidor AD1, abra un smbolo del sistema DOS y luego introduzca el comando gpupdate
/force. Esto permite aplicar las directivas de grupo previamente creadas con el comando
PowerShell.

En la consola IPAM, haga clic con el botn derecho en AD1 y luego, en el men contextual,
seleccione Actualizar estado de acceso del servidor. El campo Estado de acceso IPAM muestra
ahora el estado Desbloqueado.

Pueden hacer falta varios minutos para la aplicacin de la directiva. Si esto no funciona, actualice
la consola.
En el panel INFORMACIN GENERAL, haga clic en Recuperar datos de servidores
administrados.

Espere a que termine la recuperacin (concesiones actuales...).

En el panel de navegacin IPAM, haga clic en Bloques de direcciones IP.


Visualice el contenido de la pestaa Detalles de configuracin, examine la informacin mostrada.

Se ha recuperado correctamente la informacin del servidor DHCP.

Haga clic con el botn derecho en el rango de direcciones IP y luego, en el men contextual, haga
clic en Buscar y asignar direccin IP disponible.
Despus de unos minutos, se presenta una direccin IP y luego se realizan las pruebas.
La direccin est disponible.

Haga clic en Configuraciones bsicas en el men izquierdo y luego en el campo Direccin


MACintroduzca la direccin MAC de CL8-02.

Seleccione Reservado en el campo Estado de direccin y luego CL8-02 en Propietario.

Seleccione el men Reserva de DHCP.

En la lista desplegable Nombre del servidor de reserva, seleccione AD1.Formacion.local.

Introduzca CL8-02 en el campo Id. de cliente y luego marque Asociar MAC a identificador de
cliente. La direccin MAC se asocia.

Seleccione Ambos en la lista desplegable Tipo de reserva.

Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitir recuperar ms
fcilmente la reserva.
Haga clic en el botn Aplicar y luego en Aceptar.

En la lista desplegable Vista actual, seleccione Direcciones IP.


Haga clic con el botn derecho en la entrada creada previamente y luego seleccione Crear
reserva DHCP.

La reserva se ha creado correctamente en la consola DHCP.

En el equipo CL8-02, renueve la concesin DHCP introduciendo los comandos ipconfig /releasey
luego ipconfig/renew.

La reserva se ha actualizado correctamente.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cul es el rol de un servidor DHCP?

2 Proporcione de forma porcentual el momento en que se efectuar la solicitud de renovacin


de la concesin DHCP.

3 Cul es la razn para instalar un relay DHCP?

4 Dnde se almacenan los conjuntos de direcciones?

5 Es posible configurar varios mbitos en un servidor DHCP?

6 Qu propiedades tiene un mbito?

7 Qu datos hace falta implementar para una reserva?

8 Cul es el objetivo de las opciones de DHCP?

9 Cules son los otros tipos de opciones que se pueden configurar en un servidor DHCP?

10 Cul es la funcin de los filtros?

11 Al asignar una concesin, dnde se almacena la informacin de esta ltima?

12 En qu carpeta predeterminada se almacena la base de datos del servidor DHCP?

13 Quiero migrar el rol de servidor DHCP a otro servidor. Cules son las dos posibilidades que
se me presentan?

14 Cul es la utilidad de IPAM?

15 Cules son los servidores que pueden ser gestionados?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 12 puntos para
aprobar el captulo.

3. Respuestas
1 Cul es el rol de un servidor DHCP?

El servidor DHCP tiene por objeto la distribucin de configuraciones IP a los equipos que la solicitan.
Este servicio permite evitar la distribucin de la misma configuracin a dos equipos diferentes.

2 Proporcione de forma porcentual el momento en que se efectuar la solicitud de renovacin


de la concesin DHCP.

La operacin de renovacin de una concesin se efecta cuando la duracin de la misma llega al


50% y, ms adelante, al alcanzar el 87,5%. Finalmente se realiza un ltimo intento de renovacin
cuando se alcanza el 100% de la concesin.

3 Cul es la razn para instalar un relay DHCP?

Cuando un cliente emite una trama para solicitar una configuracin IP, sta se enva a todos los
equipos de la red. Esta trama est basada en un tipo broadcast. Estas tramas no pueden atravesar
los enrutadores. Para evitar costes excesivos por la proliferacin de servidores DHCP, debemos
implantar relay DHCP cuya funcin es la retransmisin de las diferentes solicitudes a los servidores
DHCP.

4 Dnde se almacenan los conjuntos de direcciones?


Un conjunto de direcciones se almacena en un mbito.

5 Es posible configurar varios mbitos en un servidor DHCP?

S, es posible configurar varios mbitos en un servidor DHCP. Cada mbito posee un rango de
direcciones diferente.

6 Qu propiedades tiene un mbito?

Un mbito posee varias propiedades, entre las que se encuentran una nombre y una descripcin.
Encontramos, tambin, un conjunto de direcciones IP que pueden distribuirse, as como la mscara
de subred y las listas de exclusin. Estas opciones pueden, a su vez, configurarse.

7 Qu datos hacen falta para implementar una reserva?

Para implementar una reserva necesitamos introducir la direccin MAC y la direccin deseada.

8 Cul es el objetivo de las opciones de DHCP?

Una opcin DHCP permite complementar la configuracin IP distribuida. De esta forma es posible
distribuir la direccin del servidor DNS (opcin 044). Adicionalmente, la puerta de enlace
configurada con el asistente de creacin del mbito es la opcin nmero 003 enrutador. Es posible
distribuir otras opciones (opcin 069: servidor SMTP, opcin 070: servidor POP3).

9 Cules son los otros tipos de opciones que se pueden configurar en un servidor DHCP?

Es posible configurar varios tipos de opciones. Podemos configurar opciones de servidor, de clase o
de reserva.

10 Cul es la funcin de los filtros?

Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir
direcciones a los equipos incluidos en esta lista. La lista negra permite prohibir la concesin a los
equipos incluidos.

11 Al asignar una concesin, dnde se almacena la informacin de esta ltima?

La informacin de la concesin asignada se almacena en el registro y, tambin, en la base de datos


del servidor DHCP.

12 En qu carpeta predeterminada se almacena la base de datos del servidor DHCP?

La base de datos se almacena de forma predeterminada en la carpeta C:\Windows\System32\dhcp.

13 Quiero migrar el rol de servidor DHCP a otro servidor. Cules son las dos posibilidades que
se me presentan?

Si existen reservas configuradas, es preferible hacer una copia de seguridad de la base de datos y
luego restaurarla en otro servidor. De esta forma, las concesiones ya distribuidas por el antiguo
servidor se conocen en el nuevo. En el caso que el nmero de reservas sea limitado, podemos
recrear el mbito. En este ltimo caso, debemos configurar el servidor DHCP para que verifique si la
direccin se encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha
solicitado.

14 Cul es la utilidad de IPAM?

IPAM (IP Address Management) permite realizar el descubrimiento, supervisin y auditora de una
direccin IP. Tambin es posible supervisar y administrar los servidores DHCP y DNS.

15 Cules son los servidores que pueden ser gestionados?

Es posible gestionar servidores de tipo DNS, DHCP o NPS.


Requisitos previos y objetivos

1. Requisitos previos
Poseer nociones sobre los diferentes tipos de nombres (DNS y NetBIOS).

Tener conocimientos sobre el mecanismo de resolucin de nombres.

2. Objetivos
Analizar el funcionamiento de DNS.

Definicin de las diferentes zonas configurables.

Instalacin del rol Servidor DNS.

Implantacin de la actualizacin dinmica.

Soporte del servidor DNS.


Introduccin
Para acceder a un puesto de trabajo en la red, es posible utilizar su direccin IP o su nombre. Para
esto ltimo, se ha implantado un mecanismo de resolucin de nombre en direcciones IP y viceversa.
Funcionamiento de DNS
El servicio DNS permite la resolucin de nombres de host o de FQDN (Fully Qualified Domain Name) en
direcciones IP. Este servicio se incluye en todos los sistemas operativos servidor que permiten a los
usuarios utilizar los recursos de red (acceso a un servidor...).

De esta, forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la
direccin IP del servidor. Introduciendo la direccin URL, se efecta una resolucin DNS para poder
traducir el nombre a su direccin IP.

Se utiliza una base de datos para almacenar los registros. sta puede almacenarse en un archivo o
en el directorio Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder
efectuar las operaciones de resolucin necesarias.

El cliente DNS, presente en los sistemas operativos cliente y servidor, efecta las consultas y
actualizaciones en la base de datos.

Ejemplo

Un usuario intenta acceder al servidor de archivos. Se enva una consulta al servidor DNS para
resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se enva la direccin IP al
cliente que ha realizado la solicitud, en caso contrario se ponen en marcha otros mecanismos
(peticiones recursivas o iterativas) que comentaremos ms adelante.

El uso de un nombre, a diferencia de una direccin IP, permite realizar la resolucin incluso en caso de
cambio de direccin.

1. Base de datos distribuida


DNS est construido sobre un sistema jerrquico. Los servidores en la parte superior de la jerarqua,
se llaman servidores raz, se representan por un punto. Permiten la redireccin de las consultas a
los servidores DNS de primer nivel (org, net, fr, com...).

Situados debajo de los servidores raz, los servidores con autoridad sobre los dominios de primer
nivel permiten la gestin de las zonas es, net... Cada uno de los dominios es gestionado por un
organismo (ESNIC...).

En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un proveedor de
acceso, que puede hospedar un servidor web o solamente proporcionar un nombre de dominio.

Cada nivel est compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su
zona (el servidor raz contiene solamente el nombre de los servidores de primer nivel, y es el mismo
para todos los servidores de cada nivel).

Es posible para una empresa o particular aadir registros o subdominios para el nombre de dominio
que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi trfico de correo
electrnico a mi router, en concreto a la direccin de mi IP pblica).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona FR
puede resolver el registro nibonnet, pero no podr resolver el nombre de dominio shop.nibonnet.fr.

2. Consultas iterativas y recursivas


Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para intentar
realizar la resolucin de los nombres que no se encuentran en la base de datos.

Con las consultas iterativas, el equipo cliente enva a su servidor DNS una consulta para resolver el
nombre www.nibonnet.fr. El servidor consulta al servidor raz. ste le redirige al servidor que tiene
la autoridad sobre la zona FR. La consulta a este ltimo permite conocer la direccin IP del servidor
DNS con autoridad sobre la zona nibonnet. La consulta al servidor DNS con autoridad sobre la zona
nibonnet permite resolver el nombre www.nibonnet.fr. El servidor DNS interno responde a la
consulta que recibi previamente de su cliente.

Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Enva la peticin
a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor
externo para efectuar la resolucin. La peticin se transmite al reenviador configurado por el
administrador (el servidor DNS del ISP que posee una cach mayor, por ejemplo). Si la respuesta no
se encuentra en su cach, el servidor DNS del ISP efecta una consulta iterativa y luego transmite la
respuesta al servidor que ha realizado la peticin. ste puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador. En
ciertos casos (aprobacin de bosque AD...), es necesario que la solicitud de resolucin que se va a
reenviar a otro servidor DNS sea redirigida en funcin del nombre de dominio (para el dominio eni.fr
enviar la peticin a, por ejemplo, el servidor SRVDNS1). El reenviador condicional permite efectuar
esta modificacin y redirigir las consultas al servidor correcto si la consulta (nombre de dominio) es
vlida.
Zonas y servidores DNS
Una zona DNS es una porcin del nombre de dominio donde el responsable es el servidor DNS.
Podemos decir que ste tiene autoridad sobre la zona. El servidor DNS gestiona la zona al igual que
los diferentes registros que posee.

1. Los diferentes tipos de zona


Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona secundaria y
una zona de rutas internas.

La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene.
Este tipo de zona puede integrarse en Active Directory o simplemente estar contenida en un archivo
de texto. En el caso de que la zona no est integrada en el directorio, es necesario configurar la
transferencia de zona.

La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este tipo de
zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una transferencia de
zona es obligatoria.

Una zona de rutas internas es una copia de una zona, sin embargo esta ltima contiene solamente
los registros necesarios para la identificacin del servidor DNS que cuenta con autoridad sobre la
zona que se ha aadido.

Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion.local: el servidor
SV1 tiene para l autoridad sobre la zona Formacion.local y nibonnet.local.

La creacin de una zona de rutas internas se realiza para poder resolver los registros de otro
dominio.

Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolucin para el dominio
nibonnet.local, la solicitud se redirige a los servidores DNS configurados en la zona de rutas
internas. De esta forma se podr efectuar la resolucin.

La integracin de la zona en Active Directory requiere la instalacin del rol DNS en un controlador de
dominio. Este tipo de zona aporta ciertas ventajas a la gestin del rol DNS:

Actualizacin multimaestro: a diferencia de los servidores que hospedan zonas primarias y


secundarias, las zonas integradas en Active Directory tienen la posibilidad de ser modificadas para el
conjunto de los servidores. Si se trata de un sitio remoto, es posible actualizar los registros sin
necesidad de contactar al servidor remoto.

Replicacin de la zona DNS: la replicacin de zona integrada en Active Directory afecta solamente
al atributo modificado. Es posible emplear dos tipos de replicacin diferentes. Se realiza una
transferencia de zona con las zonas estndar, mientras que las zonas integradas en Active Directory
se replican con el controlador de dominio.

Actualizacin dinmica: la integracin en Active Directory garantiza una mejor seguridad impidiendo
una modificacin fraudulenta de los registros.

2. La zona GlobalNames
La resolucin de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres
NetBIOS). Estos ltimos pueden resolverse mediante un servidor DNS. En ciertos casos puede ser
necesario implantar un servidor WINS. Ms antiguo que DNS, emplea NetBIOS sobre TCP/IP (NetBT).
WINS y NetBT no tienen en cuenta IPv6. Estn llamados a desaparecer en unos aos.

Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migracin en
el servidor DNS para la resolucin de nombres cortos. Para esto, se debe utilizar una zona llamada
GlobalNames. Esta zona contiene los registros estticos que contienen los nombres.

stos se refieren a los equipos, siendo la configuracin de IP esttica y administrada por WINS
(fundamentalmente servidores, solo si los equipos cliente cuentan con direcciones estticas). La
resolucin de nombres de registros inscritos de forma dinmica no puede realizarse mediante esta
funcionalidad.

El despliegue de una zona GlobalNames se efecta en varias etapas. La primera es la creacin de la


zona. A continuacin, es preciso habilitar la actualizacin de la zona GlobalNames, para ello es
preciso ejecutar el siguiente comando:

dnscmd <ServerName> /config /enableglobalnamessupport 1

A continuacin es posible crear los diferentes registros.

Se presenta ms adelante en este captulo un taller sobre esta funcionalidad.


Instalacin y administracin del servidor
El servicio DNS es un rol muy importante en un dominio Active Directory. Una mala gestin puede
impactar en los equipos y tambin en la productividad de los usuarios.

1. Instalacin del rol


El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para ello,
elAsistente para agregar roles y caractersticas presente en la consola Administrador del
servidordebe ser utilizado.

Al promover un servidor miembro a controlador de dominio, es posible efectuar tambin la


instalacin del rol DNS. La consola que se agrega tras la instalacin en las herramientas de
administracin o la consola Administrador del servidor permiten administrar este servicio.

El comando dnsmgmt.msc permite a su vez abrir esta consola.

Adicionalmente, se aade el comando DOS dnscmd.exe, el cual permite crear un script y automatizar
la configuracin DNS.

Es posible, evidentemente, utilizar comandos PowerShell como complemento o en substitucin de la


consola y el comando DOS.

2. La actualizacin dinmica
La actualizacin dinmica consiste en una actualizacin del servidor DNS en tiempo real. Esta
caracterstica es muy importante. Permite, de hecho, tener un registro al da cuando el cliente
cambia de direccin IP. La operacin de actualizacin se efecta en varios momentos:

Cuando el cliente y el servicio DHCP estn arrancados.


Durante la modificacin de la direccin IP.

Durante la ejecucin del comando ipconfig /registerdns.

El proceso de actualizacin consta de varias etapas a efectuar.

Identificacin del servidor de nombres y envo de la actualizacin. La zona hospedada en el


servidor debe ser de tipo primaria.

El servidor responde a los clientes e informa si cuenta con la posibilidad de efectuar la


operacin.

El cliente enva una primera actualizacin dinmica no segura. Si la zona no permite las
actualizaciones seguras, se rechaza la modificacin.

El cliente enva al servidor una actualizacin dinmica segura que tramita la solicitud.

3. Los diferentes registros


Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten resolver un
nombre de equipo, una direccin IP o simplemente a un equipo encontrar un controlador de dominio,
un servidor de nombres o un servidor de correo electrnico.

La siguiente lista presenta los registros ms corrientes:

Registros A y AAAA (Address Record): permiten hacer corresponder un nombre de equipo y


una direccin IPv4. El registro AAAA permite la resolucin de un nombre de equipo en una
direccin IPv6.

CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El equipo es
accesible con su nombre al igual que con el alias.

MX (Mail Exchange): define los servidores de correo para el dominio.

NS (Name Server): define los servidores de nombres del dominio.

SRV: permite definir un servidor especfico para una aplicacin, en particular para el equilibrio
de carga.

PTR (Pointer Record): asocia una direccin IP a un nombre, es lo contrario a un registro de


tipo A. La zona de bsqueda inversa contiene este tipo de registro.

SOA (Start Of Authority): el registro proporciona informacin general de la zona (servidor


principal, correo de contacto, tiempo de expiracin).
Soporte del servidor DNS
Adems de los diferentes directorios incluidos en Windows Server 2012 R2, es posible utilizar
instrucciones por lnea de comandos para realizar el mantenimiento del servidor.

1. El comando nslookup
nslookup es un comando que permite la bsqueda de registros en el servicio DNS.

Ejecutado sin argumentos, la consola DOS muestra el nombre y la direccin IP del servidor de
nombres primario. Posteriormente, es posible interrogar al servidor.

Introduciendo un nombre de dominio, se efecta la resolucin y se proporciona un nombre.

Para evaluar la resolucin de un nombre de equipo por un servidor DNS, bastar con introducir el
nombre deseado despus del comando nslookup.
La opcin set permite indicar el tipo de registro que debe enviar el servidor.

Set type=mx, esta opcin devuelve informacin acerca del servidor de correo electrnico.

Pueden usarse otros registros:

Set type=ns: informacin acerca de los servidores de nombres de dominio.

Set type=a: el comando resuelve el nombre y muestra la direccin IP.

Set type=soa: se muestra toda la informacin contenida en el registro SOA (Start Of


Authority).

Este comando puede usarse para los registros de tipo pblico, que se encuentran en un servidor
DNS pblico, o para los registros de tipo privado, ubicados en una red local.

2. El comando dnslint
El comando dnslint es un comando externo, antes de poder ejecutarlo se debe descargar el archivo.

Es posible descargar el archivo accediendo al sitio


webhttp://support.microsoft.com/kb/321045/es

Esta herramienta presenta tres funciones que permiten la verificacin de los registros DNS (Domain
Name System). Se crea un informe en formato HTML para poder ver los resultados.

Diagnsticos de problemas como errores de delegacin. Debe emplearse la opcin /d para


efectuar esta operacin.

Verificacin de registros DNS definidos por un usuario en un servidor DNS. Es preciso utilizar
la opcin /ql.
Verificacin de registros usados para la replicacin de Active Directory. Se debe usar la
opcin/ad.

Sintaxis del comando dnslint

dnslint /d nombre_dominio | /ad [direccion_LDAP_IP] | /ql archivo_entrada


[/c [smtp,pop,imap]] [/no_open] [/r nombre_informe][/t]
[/test_tcp] [/s direccion_IP_DNS] [/v] [/y]

Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opcin /ad, debe
emplearse una direccin IP. No es posible emplear un nombre de equipo.

3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuracin IP del adaptador de red. Es
posible realizar otras acciones (renovacin de la concesin...) empleando diferentes opciones.

Sintaxis del comando

ipconfig [/all] [/renew [Tarjeta]] [/release [Tarjeta]] [/flushdns] [/displaydns]


[/registerdns] [/showclassid Tarjeta] [/setclassid Tarjeta [IDClasse]]
Varias opciones pueden acompaar al comando, cada una con una funcin especifca.

All: muestra la configuracin IP completa (servidores DNS, fecha de inicio de la concesin,


fecha de finalizacin de la concesin).

Release: libera la concesin DHCP del adaptador de red.

Renew: renueva la concesin DHCP.

Flushdns: elimina la cach DNS contenida en el puesto.

ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.

Displaydns: muestra el contenido de la cach DNS.

4. El comando dnscmd
La herramienta por lnea de comandos dnscmd es muy til para trabajar con scripts. Empleando
esta herramienta pueden automatizarse tareas de administracin del servicio DNS. Este comando
permite de igual manera la instalacin desatendida y la configuracin de nuevos servidores.

Sintaxis del comando

DnsCmd <NombreServidor><comando>[<parmetros de comando>]


El parmetro <NombreServidor> permite especificar el nombre del servidor destinatario de la accin.
Es posible utilizar los siguientes comandos:

DscCmd /clearcache: permite eliminar la cach en el DNS.

DnsCmd /config: reinicializa la configuracin realizada en el servidor o la zona.

DnsCmd /createdirectorypartition: permite efectuar la operacin de creacin de un


directorio de aplicaciones DNS.

DnsCmd /enumdirectorypartitions: enumera las particiones del directorio de aplicacin DNS


en un servidor.
Talleres
Los talleres permiten la instalacin de un servidor DNS, la creacin de un host y de un redirector, as
como la creacin de una zona GlobalNames.

1. Configuracin de un redirector condicional


Objetivo: creacin de un redirector con el objeto de redirigir las consultas del
dominio Formintra.msftal dominio SV2.

Mquinas virtuales utilizadas: AD1, SV2 y CL8-01.

En SV2, abra una sesin como administrador del dominio.

Inicie la consola Centro de conexiones de red y recursos compartidos.

Haga clic en Cambiar configuracin del adaptador.

Haga clic con el botn derecho en el adaptador de red y luego seleccione la


opcin Propiedadesen el men contextual.

Haga doble clic en Protocolo de Internet versin 4 (TCP/IPv4).

Modifique la configuracin IP de la mquina para que tenga su direccin IP en el campo Servidor


DNS preferido.

Haga clic en Aceptar.

Inicie la consola Administrador del servidor y haga clic en el vnculo Agregar roles y
caractersticas.

Se inicia un asistente, haga clic en Siguiente.


En las ventanas Seleccionar tipo de instalacin y Seleccionar servidor de destino, haga clic
enSiguiente dejando el valor predeterminado.

Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar
caractersticas.

Haga clic tres veces en Siguiente y luego en Instalar.

Cierre la ventana al terminar la operacin.

En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el


enlacePromover este servidor a controlador de dominio.

Seleccione la opcin Agregar un nuevo bosque, en el campo Nombre de dominio


raz introduzcaFormintra.msft y, por ltimo haga clic en Siguiente.
Introduzca la contrasea de modo de restauracin de servicios de directorio (DSRM) deseada
y luego confrmela.
Haga clic en Siguiente en la ventana Opciones de DNS.

Valide el nombre NetBIOS y luego haga clic en Siguiente.

Haga clic dos veces en Siguiente y luego en Instalar.

Al terminar la instalacin, el servidor reinicia.

En SV2, inicie la consola DNS desde la interfaz Windows.

Despliegue Zonas de bsqueda directa y luego Formintra.msft.

Haga clic con el botn derecho en el nodo Formintra.msft y luego en el men contextual
seleccione Host nuevo (A o AAAA).

Introduzca www en el campo Nombre y luego 192.168.1.12 en Direccin IP.


Haga clic en Agregar host.

En AD1, inicie la consola DNS desde la interfaz Windows.

Haga clic con el botn derecho en el nodo Reenviadores condicionales y, a continuacin,


seleccione Nuevo reenviador condicional... en el men contextual.

Introduzca Formintra.msft en el campo Dominio DNS y, a continuacin, 192.168.1.12 en el


campo IP (pulse [Intro] para validar).

Marque la opcin Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue y haga clic en Aceptar.
Si lo necesita, elimine los registros de SV2 presentes en el servidor DNS.

El reenviador se encuentra en el servidor AD1.

Abra un smbolo del sistema en el equipo CL8-01.


Introduzca ping www.formintra.msft y valide pulsando la tecla [Intro].

Se obtiene una respuesta y se realiza la resolucin.

En AD1, elimine el reenviador creado anteriormente.

Haga clic en S para eliminarlo, tambin, de Active Directory.

Haga clic con el botn derecho en el servidor AD1 y seleccione Borrar cach en el men
contextual.

En CL8-01, introduzca ipconfig /flushdns en el smbolo del sistema DOS.

Verifique la conectividad de www.formintra.msft utilizando el comando ping


www.formintra.msft.
Esta vez la resolucin no es posible.

2. Creacin de una zona GlobalNames


Objetivo: utilizacin de la zona GlobalNames con el fin de resolver con DNS los nombres cortos. El
nombre SQL debe estar asociado a AD1 y ste debe responder con su informacin cuando se utiliza
el nombre corto.

Mquinas virtuales utilizadas: AD1 y CL8-01.

En AD1, abra la consola DNS.

Despliegue AD1 y luego Zonas de bsqueda directa.

Haga clic con el botn derecho en la carpeta Zonas de bsqueda directa y seleccione Zona
nueva.

La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado
en la ventana Tipo de zona.
Seleccione el botn de opcin Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: Formacion.local y luego haga clic en Siguiente.

Introduzca GlobalNames en el campo Nombre de zona.


Los registros los crea el administrador, no es necesaria actualizacin dinmica alguna.

Seleccione el botn correspondiente a la opcin No admitir actualizaciones dinmicas.

La zona GlobalNames se encuentra ahora presente en la consola DNS.


Ahora debemos activar la actualizacin de la zona GlobalNames.

Abra un smbolo del sistema DOS.

Introduzca el comando dnscmd AD1 /config /enableglobalnamessupport 1.

La zona GlobalNames no estar disponible para la resolucin de nombres mientras que la


actualizacin no est activada de forma explcita con el comando anterior en cada servidor DNS
del bosque.

Haga clic con el botn derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).

Introduzca SQL en el campo Nombre de alias y luego introduzca ad1.formacion.local en el


campo Nombre de dominio completo.
Haga clic en Aceptar para proceder a la creacin.

En el equipo CL8-01, inicie un smbolo del sistema DOS y luego introduzca ping SQL.

El servidor ad1.formacion.local responde, la resolucin ha funcionado.


Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Dnde puede almacenarse la base de datos del servicio DNS?

2 Cul es la utilidad del cliente DNS?

3 Por qu hablamos de una base de datos distribuida?

4 Qu es una consulta iterativa?

5 Qu tipo de zona se puede crear en un servidor DNS?

6 Cules son las principales diferencias entre una zona primaria y una secundaria?

7 Qu es una zona de rutas internas?

8 Cul es la utilidad de la zona GlobalNames?

9 Qu es la actualizacin dinmica?

10 Cul es la utilidad de los registros SRV y CNAME?

11 Qu permite hacer el comando nslookup?

12 Para qu sirve el comando dnslint?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.

3. Respuestas
1 Dnde puede almacenarse la base de datos del servicio DNS?

La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el
directorio Active Directory (solamente para las zonas integradas en AD).

2 Cul es la utilidad del cliente DNS?

El cliente DNS tiene como funcin el envo de las consultas al servidor DNS para pedir la resolucin
de un nombre. Su segunda funcin es la actualizacin de los registros (si est activada la
actualizacin dinmica).

3 Por qu hablamos de una base de datos distribuida?

El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo tiene
autoridad sobre su zona. En la jerarqua encontramos varios niveles (raz, dominio de primer
nivel...), cada uno tiene su funcin especfica.

4 Qu es una consulta iterativa?

Cuando un servidor efecta una consulta iterativa, enva una consulta a los servidores DNS de
diferentes niveles (raz, dominio de primer nivel...). El objetivo del servidor es responder a la
consulta que ha recibido.

5 Qu tipo de zona se puede crear en un servidor DNS?

Se pueden crear tres tipos de zona en un servidor DNS. Podemos crear zonas primarias,
secundarias o zonas de rutas internas.

6 Cules son las principales diferencias entre una zona primaria y una secundaria?

Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un
controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de
solo lectura y no pueden ser integradas en AD.

7 Qu es una zona de rutas internas?

Una zona de rutas internas es una copia de una zona, donde solo existen los registros que
permiten la identificacin de los servidores DNS.

8 Cul es la utilidad de la zona GlobalNames?

Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona GlobalNames
permite crear registros estticos del tipo CNAME para que el servidor pueda resolver los nombres.

9 Qu es la actualizacin dinmica?

La actualizacin dinmica permite garantizar que un equipo que ha cambiado de direccin IP (nueva
concesin...) pueda modificar el registro sin intervencin del administrador. Integrando la zona en
Active Directory, se asegura la actualizacin dinmica.

10 Cul es la utilidad de los registros SRV y CNAME?

Un registro SRV permite definir un servidor especfico para una aplicacin, especialmente para el
balanceo de carga. Un registro de tipo CNAME permite la creacin de un alias en el nombre de otro
equipo. El equipo es accesible con su nombre y el alias.

11 Qu permite hacer el comando nslookup?

El comando nslookup permite verificar la resolucin de un servidor DNS o interrogar directamente


al servidor. Este comando permite verificar el uso del protocolo DNS pero no del protocolo NetBIOS.

12 Para qu sirve el comando dnslint?

El comando dnslint es un comando externo. Permite diagnosticar problemas tales como errores de
delegacin y tambin crear registros como los definidos por el usuario o los necesarios para la
replicacin Active Directory.
Requisitos previos y objetivos

1. Requisitos previos
Poseer conocimientos sobre la gestin de discos (particionado, sistemas de archivos...).

Conocimiento de los diferentes tipos de discos (bsicos y dinmicos).

2. Objetivos
Vista de las diferencias entre DAS, NAS y SAN.

Gestin de los formatos de particin y sistema de archivos.

Implementacin de un espacio de almacenamiento.


Introduccin
La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Las diferentes
aplicaciones tienen una necesidad creciente de espacio de almacenamiento. Por lo tanto, es necesario
gestionar el espacio de almacenamiento cuidadosamente.
El sistema de almacenamiento
Durante la implantacin de un servidor en un sistema de informacin, es necesario evaluar la solucin
de almacenamiento (discos locales, cabina de almacenamiento...) que ser desplegada. Puede ser
necesaria la tolerancia a fallos y el nmero de discos a emplear variar en funcin de la solucin
escogida.

1. Los diferentes discos y su rendimiento


Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una
capacidad de almacenamiento a los servidores o puestos de trabajo.

EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnologa se basa en las normas
creadas en 1986. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las
normasAdvanced Technology Attachment 2 (ATA-2) y Advanced Technology Attachment Packet
Interface(ATAPI).

SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexin de
discos duros o unidades pticas a la placa base. La tecnologa SATA tiene por objetivo
reemplazar al estndar ATA. Presentada en 2003, la norma lleva tres revisiones: SATA 1 con
una velocidad de transmisin de 1,5 GB por segundo, SATA 2 con una velocidad de
transmisin de 3 GB por segundo, y finalmente SATA 3 con una velocidad de 6 GB por
segundo. Este tipo de disco tiene un menor coste que otras tecnologas aunque posee
igualmente un rendimiento menor. Es posible seleccionar este tipo de tecnologa si se
requiere gran cantidad de espacio en disco sin muchas restricciones de rendimiento.

SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la
conexin fsica y la transferencia de datos entre ordenadores y perifricos. Introducida en
1978, esta interfaz permite una ejecucin de transacciones a alta velocidad. Estandarizada
en 1986, SCSI ha sido creada para la utilizacin de cables de tipo paralelo; posteriormente,
se han utilizado otros soportes con esta norma. Con el uso de cables paralelos, las
transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640 SCSI (o
Ultra 5) permite velocidades de transferencia de 640 MB por segundo. Este tipo de disco
ofrece un rendimiento mayor que un disco SATA, sin embargo tiene un coste ms elevado.

SAS (Serial Attached SCSI): SAS se dise para paliar los problemas de fiabilidad o de
transmisin que podan traer otros formatos. Este tipo de discos utilizan dos tcnicas; la
transmisin en serie de datos y SCSI. Cada disco utiliza un caudal de 3 GB/s para cada
perifrico, SCSI efecta la divisin del ancho de banda empleando 2,56 GB/s para el conjunto
de los perifricos del controlador. A diferencia de la norma SATA que solo puede procesar un
comando a la vez, el controlador SAS puede enviar dos comandos simultneamente. Los
discos SAS pueden encadenarse, a diferencia de los discos SATA que necesitan un puerto por
cada disco. Durante la normalizacin de SATA 6 GB/s, apareci una nueva versin de SAS.
Presentada en su versin 2.0, posee las novedades de SATA 3 con un caudal de datos
equivalente.

SSD (Solid State Drive): este tipo de disco emplea memoria flash para el almacenamiento de
los datos, a diferencia de los discos clsicos que emplean un soporte magntico. Los accesos
a disco son netamente superiores con un menor consumo de energa. Este tipo de disco
emplea generalmente una interfaz SATA, sin embargo el coste es mayor que el de un disco
tradicional.

2. Diferencia entre DAS y NAS


El espacio de almacenamiento presenta dos soluciones diferentes, DAS (Direct Attached Storage)
yNAS (Network Attached Storage). DAS consiste en la conexin directa al servidor de una solucin de
almacenamiento. Esta solucin incluye los discos internos de un servidor o un disco duro externo
conectado mediante USB.
En caso de parada del servidor (mantenimiento, parada por fallo, reinicio...), los archivos y carpetas
contenidos no estarn accesibles. Los discos de tipo SATA, SAS o SSD pueden utilizarse con esta
solucin, presentando cada uno sus ventajas e inconvenientes (velocidad, rendimiento...).

Ventajas de DAS

Un sistema DAS es una solucin que contiene varios discos conectados a un servidor u otro equipo
por medio de un adaptador de bus host (HBA). No puede existir ningn equipo de red de tipo hub,
repetidor, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el despliegue de
esta solucin es muy sencillo, basta con conectar el perifrico y verificar que el sistema operativo lo
reconoce. Tratndose de una solucin ms econmica, existen discos disponibles de diferentes
velocidades y tamaos. Esto permite una mejor adaptacin a las diferentes soluciones que pueden
implementarse. La administracin y la configuracin se realizan mediante la consola Administracin
de discos.

Inconvenientes de DAS

Esta solucin no permite centralizar los datos, que se encuentran repartidos entre varios servidores.
Adicionalmente a la administracin, la copia de seguridad y el acceso a los diferentes recursos es
tambin difcil de gestionar. Adems, el rendimiento del servidor (velocidad del procesador, memoria)
impacta en el acceso al DAS.

NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solucin no
necesita la conexin directa al servidor y proporciona acceso a un conjunto de servidores. Esta
solucin es frecuentemente un "appliance" sin interfaz para teclado, monitor, etc. La configuracin
se efecta a travs de la red, sin embargo el equipo debe contar con una configuracin IP. En caso
de implementar un recurso compartido de red, es preciso utilizar el nombre de la NAS (o su direccin
IP) en lugar del nombre de servidor. De esta forma, todos los usuarios pueden acceder a los
diferentes recursos compartidos del equipo ya que cuenta con una configuracin IP. Una mejor
opcin consiste en implementar una solucin SAN (Storage Area Network). Sin embargo, esta ltima
es muy costosa y necesita una arquitectura un poco ms pesada.

Ventajas de NAS

Como hemos visto, la solucin NAS ofrece la ventaja de proporcionar acceso a varios clientes con un
acceso directo desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar
cualquier problema de rendimiento vinculado al servidor, estando el equipo reservado
exclusivamente a la presentacin de los archivos y carpetas. Al estar los recursos almacenados en
un punto central, la administracin y la copia de seguridad son muy sencillas de realizar.
Adicionalmente, la solucin es independiente de la versin del sistema operativo.

Inconvenientes de NAS

Una NAS es una tecnologa mucho ms lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solucin est basada en red. No
es aconsejable almacenar aqu archivos de aplicaciones tales como SQL Server o Microsoft
Exchange.

3. Informacin general de una SAN


Es ms frecuente encontrar en las empresas espacios de almacenamiento de tipo SAN (Storage Area
Network). A diferencia de NAS, al que accedemos mediante la red, la SAN ofrece acceso directo a la
cabina. De esta forma cada servidor ve el espacio en disco de la cabina que le ha sido asignado
como su propio disco. Para evitar el acceso a los mismos recursos por parte de un servidor que
ejecuta Windows y otro que ejecuta Linux, es preciso realizar distintas operaciones para
implementar la LUN (Logical Unit Number). Estas operaciones configuran diversos nmeros que
permiten identificar el espacio de almacenamiento asignado a un servidor.

Las SAN pueden utilizar fibra ptica o iSCSI. Este ltimo tipo de interfaz permite la transmisin de
comandos SCSI a travs del protocolo IP.

Ventajas de SAN

Una de las ventajas de SAN es la posibilidad de cambiar el nmero de discos, y por ende la cantidad
total de almacenamiento. Es posible agregar un disco o una cabina de forma muy sencilla en
comparacin con una solucin de almacenamiento de tipo DAS. La centralizacin del almacenamiento
permite una mejor gestin y administracin de los recursos albergados. Los rendimientos en lectura
y escritura son ms elevados en este tipo de almacenamiento, adicionalmente es posible configurar
una redundancia a nivel de ciertos componentes (alimentacin, disco duro).

Inconvenientes de SAN

La configuracin, administracin y mantenimiento de una solucin SAN pueden presentar un


inconveniente en ciertos casos, dado que estas operaciones necesitan competencias tcnicas que
es preferible adquirir antes de implantar la solucin. A diferencia de DAS y de NAS que pueden
desplegarse sin poseer un presupuesto considerable, esta solucin es muy costosa. La
administracin se efecta frecuentemente por lnea de comandos. Es necesario tener conocimientos
sobre la configuracin de las LUN, as como todo un conjunto de diversos factores.

4. Utilizacin de la tecnologa RAID


La tecnologa RAID puede emplearse para proporcionar a una empresa una solucin de alta
disponibilidad o de alto rendimiento. El concepto se basa en la utilizacin de varios discos en una
nica unidad lgica. Variar en funcin del nivel RAID seleccionado, el nmero de discos utilizados o
la posibilidad de tener un fallo de disco.

En la actualidad, esta tecnologa est muy extendida en las empresas porque garantiza (en funcin
del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los
servidores (generalmente contamos con una redundancia a nivel de alimentacin, discos y tarjeta de
red).

Funcionamiento de RAID

Se emplean dos opciones para aumentar la tolerancia a errores.

Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se escribe
en el disco espejo. En caso de fallo de un disco, los datos estn todava disponibles mediante
el segundo disco.

Informacin de paridad: empleado en caso de fallo de un disco, la informacin de paridad


permite recuperar los datos que se encuentran en el disco fuera de servicio. La informacin
de paridad se calcula para cada dato escrito en el disco, esta operacin la realiza el servidor
o la controladora RAID. En caso de error, la informacin de paridad se asocia a los datos que
siguen disponibles en los otros discos para recuperar la informacin faltante.

El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurndola mediante diferentes herramientas. Esta configuracin no est disponible para el
sistema operativo. ste solo puede efectuar la creacin de volmenes. El RAID por software es un
poco diferente porque la configuracin RAID se realiza esta vez en el sistema operativo. Se emplea
la consola Administracin de discos para la gestin de los diferentes niveles de RAID.

Niveles de RAID

Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.

RAID 0

RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos. Los n
discos presentes en el RAID trabajan en paralelo, lo que permite una mejora en el acceso de lectura
y de escritura. Esta configuracin posee, sin embargo, un inconveniente en el tamao de los discos.
En efecto, la capacidad del volumen se corresponde con el tamao del disco ms pequeo
multiplicado por el nmero de los discos que componen el clster.

Ejemplo

Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La
capacidad del volumen es de 2 TB (tamao del disco ms pequeo * nmero de discos = 1 TB * 2 o sea 2
TB).

Esto se explica por el hecho de que en las bandas del sistema de agregacin (RAID 0) no se
escriben datos cuando el disco ms pequeo est lleno. Es muy aconsejable utilizar discos de igual
tamao.

No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se pierde el
conjunto de los datos.

RAID 1

Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los mismos
datos. Hablamos de espejo o "mirroring" en ingls. La capacidad del volumen es igual al menor de
los discos presentes en el clster.

Al igual que para RAID 0, es aconsejable emplear discos de igual tamao. Este tipo de RAID ofrece
una buena proteccin de datos. En caso de fallo de uno de los discos, la controladora RAID lo
desactiva sin que el usuario se percate. Al reemplazarlo, la controladora reconstruye el espejo. Una
vez terminada la operacin, se garantizan nuevamente la redundancia y la alta disponibilidad.

Durante la escritura de datos en el volumen, la operacin se realiza en el conjunto de discos del


clster.

Si los dos discos se alteran, los datos se pierden.

RAID 5

RAID 5 es una solucin que fusiona el stripping (RAID 0) con un mecanismo de paridad. De esta
forma los datos no se escriben nunca de la misma forma en los diferentes discos. Esto permite tener
en cada disco la informacin de paridad y los datos. Esta solucin garantiza la reconstruccin del
RAID combinando los bits de paridad y los datos. Sin embargo, en caso de prdida de ms de un
disco los datos no podrn ser recuperados.

Esta solucin RAID aporta un buen acceso de lectura, sin embargo el clculo de la paridad implica
tiempos de escritura mucho ms largos.
Gestin de discos y volmenes
Desde las primeras versiones de los sistemas operativos servidor, la gestin de discos y volmenes
es un punto esencial.

1. Tablas de particin MBR y GPT


Desde 1980, los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot Record) en
sus discos duros. Este tipo de tabla de particiones posee ciertas caractersticas. Un disco no puede
tener ms de 4 particiones y cada una puede tener un tamao mximo de 2 TB. Es recomendable
emplear una tabla de particiones de tipo GPT (GUID Partition Table) para los discos de
tamao&ensp;superior.

Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato
GPT permite rebasar los lmites impuestos por el formato MBR. Se soportan un mximo de 128
particiones por disco en GPT. El tamao de una particin alcanza los 8 zetabytes (10 21 ), sin
embargo es necesario que la BIOS soporte GPT para poder realizar un arranque desde este tipo de
particin.

2. Los diferentes tipos de discos


Windows Server 2012 R2 permite el uso de dos discos diferentes (los discos bsicos y los
discosdinmicos).

Los discos bsicos, utilizados en todas las versiones del sistema operativo Windows, utilizan tablas
de particiones de tipo MBR o GPT. Un disco bsico contiene particiones principales o particiones
extendidas. Estas ltimas estarn divididas en unidades lgicas. Al instalar un disco, la opcin por
defecto es el disco bsico. Sin embargo, es posible realizar la operacin para configurar un disco
dinmico, sin tener impacto sobre los datos presentes.

El paso de disco dinmico a disco bsico s causa, por su parte, la prdida del conjunto de datos
contenidos en el disco.

Los discos dinmicos se implementaron por primera vez con Windows Server 2000. Estos no aportan
rendimientos superiores; adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos.
La nocin de volumen hizo as su aparicin con este tipo de discos. En efecto, ya no hablamos de
particiones sino de volmenes dinmicos. Se trata de unidades de almacenamiento que se
extienden sobre uno o ms discos.

Al igual que para los discos bsicos, los volmenes pueden formatearse con el sistema de archivos
deseado y se les puede asignar una letra de unidad. Estn disponibles varios tipos de volumen,
losvolmenes simples utilizan un solo disco y poseen las mismas caractersticas que una particin
principal. No existe ningn lmite (salvo el espacio en disco) en el nmero de volmenes simples por
disco, a diferencia de las particiones principales que estn limitadas a 4 por disco. El volumen
distribuido se crea utilizando el espacio en disco libre en varios discos. Este volumen puede
extenderse a un mximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna
tolerancia a errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios
discos (como mnimo dos). Los datos se escriben de forma alternativa en los diferentes discos que
componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta solucin no ofrece
tolerancia a errores. Los volmenes reflejados, ms conocidos como RAID 1, permiten implementar
un volumen con tolerancia a errores. Empleando dos discos, los datos escritos en uno se replican,
automticamente, en el otro.

La prdida de un disco no impacta en ningn caso a la produccin, sin embargo es preferible de


cambiar rpidamente el disco que ha fallado. Por ltimo, encontramos el volumen RAID 5, que
ofrece tolerancia a fallos, pero al contrario que RAID 1 que emplea un sistema de espejo, ste opta
por una solucin basada en bit de paridad. Con un mnimo de tres discos, el bit de paridad se
reparte entre el conjunto de discos. Esta solucin permite la prdida de un disco, el sistema se
reconstruye asociando los datos y la informacin de paridad presente en los discos en
funcionamiento.

3. Sistemas de archivo FAT, NTFS y ReFS


En Windows Server 2012 pueden usarse varios sistemas de archivos, se encuentran disponibles los
sistemas FAT, NTFS o ReFS (Resilient File System).

FAT

FAT (File Allocation Table) es el ms rudimentario de los tres sistemas que se pueden usar con
Windows Server 2012 R2. Al formatear un disco con un sistema de archivos FAT, se realiza una
divisin en clster (grupo de sectores). La versin original de FAT no permita tener particiones de
ms de 2 GB, a causa de la limitacin en el tamao de la tabla de asignacin de archivos.
Desarrollado por Microsoft, este tipo de particiones admiten un tamao mximo de 2 TB. No se
implementa seguridad alguna a nivel de archivos. No es recomendable utilizar este tipo de sistema
en las particiones internas de un servidor que ejecute Windows Server 2012 R2.

NTFS

NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema
proporciona caractersticas muy tiles que el sistema FAT no tiene. Implementa ACL (Access Control
Lists) para los archivos y carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones
de acceso a los archivos, carpetas o cualquier recurso compartido permite obtener una mejor
seguridad en un sistema de informacin. Los sistemas operativos que emplean este sistema
cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es posible implementar la
compresin de archivos y cuotas por volumen. Se puede realizar conversin de una particin FAT a
una de tipo NTFS sin prdida de datos empleando el comando convert. El tamao de las particiones
formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamao
terico).

ReFS

Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamao de
archivo, carpeta o particin. Se han mejorado a su vez la correccin de errores y la verificacin de
datos. Es preciso utilizar este tipo de sistema para rebasar los lmites impuestos por NTFS. Se han
mejorado la integridad de datos, as como la proteccin contra la corrupcin. Esta novedad hereda
funcionalidades presentes en el sistema NTFS tales como la encriptacin BitLocker o la
implementacin de la seguridad mediante el despliegue de ACL. Esto permite garantizar la
compatibilidad hacia atrs con el sistema NTFS. Si el disco se formatea con este sistema, no se
reconocer si se conecta a un sistema operativo anterior a Windows Server 2012. A diferencia de
NTFS que permite la modificacin del tamao de los clsters, con ReFS cada clster tiene un tamao
de 64 KB. El sistema EFS (Encrypted File System) no es compatible con ReFS.

4. Extender o reducir una particin en Windows Server 2012 R2


En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para los
clientes, la reduccin o ampliacin de una particin deba efectuarse empleando software adicional.
En adelante, la consola Administracin de discos permite realizar estas operaciones. Sin embargo,
solo es posible redimensionar las particiones NTFS. Las particiones formateadas en FAT no pueden
ser ni extendidas ni reducidas, mientras que los volmenes ReFS solo pueden ser extendidos. No
obstante, la opcin que permite extender los datos solo puede utilizarse si existe un espacio no
asignado a continuacin de la particin sobre la que se realiza la accin. En caso de utilizar un
volumen dinmico, es posible extender el volumen con espacio no asignado de otro disco (volumen
agregado). Recuerde que los volmenes agregados no aplican la tolerancia a fallos; adems, no es
posible utilizar este tipo de volumen para una particin del sistema.
Un clster defectuoso puede causar la imposibilidad de reducir la particin; adicionalmente, aquellos
archivos que no se pueden mover (pagefile.sys...) no se desplazan. Esto obligar al administrador a
eliminar o desplazar estos archivos antes de realizar la operacin. Tambin es posible utilizar el
cmdlet Resize-Partition.
Implementacin de un espacio de almacenamiento
La implementacin de un espacio de almacenamiento puede ser costosa en funcin de la solucin que
haya que desplegar. A partir de Windows Server 2012, se proporciona una nueva funcionalidad para
poder implementar este tipo de solucin.

1. La caracterstica Espacio de almacenamiento


Integrada en Windows Server 2012 R2, esta funcionalidad proporciona redundancia y un
almacenamiento comn para los discos internos y externos. Estos ltimos pueden ser de diferentes
tamaos y utilizar diferentes interfaces. Tambin es posible crear discos duros virtuales con alta
disponibilidad. La creacin de estos discos duros virtuales requiere contar con volmenes accesibles
desde el sistema operativo, agrupados en uno o ms grupos de almacenamiento.

A continuacin, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho
ms flexibles, ofrecen funcionalidades idnticas a las de un disco fsico (resiliencia...).

La solucin necesita un grupo de almacenamiento que agrupe los diferentes discos fsicos. stos
pueden ser de tipo SATA o SAS. Antes de poder agregar un disco fsico a un grupo, es necesario que
el disco cumpla ciertos requisitos mnimos.

En primer lugar, necesitamos tener un disco para crear un grupo de almacenamiento. Necesitamos
dos discos para implementar un disco virtual en espejo. Finalmente, los discos que pueden usar una
interfaz iSCSI, SAS, SATA, USB... deben estar vacos y sin formatear.

2. Opciones de configuracin de discos duros virtuales


Si varios discos componen un grupo de almacenamiento, es posible crear discos virtuales
redundantes. La creacin se realiza empleando la consola Administrador del servidor o mediante
comandos PowerShell. Antes que nada, debemos tener en cuenta el nmero de discos.

Existen tres opciones:

Un espacio simple permite obtener los mejores rendimientos mediante RAID 0. No se


despliega ninguna redundancia, en caso de fallo los datos se pierden.

El Espejo permite la redundancia de datos garantizando la duplicacin de los datos en varios


discos. Esta solucin proporciona gran capacidad con una latencia de acceso relativamente
baja. Adicionalmente se garantiza una tolerancia a errores.

Finalmente la Paridad es similar al RAID 5. Los datos, as como los bits de paridad, se
reparten entre varios discos. Esta ltima solucin requiere tres discos fsicos. Al igual que
para el espejo, esta solucin incluye tolerancia a fallos.

Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.

Get-StoragePool Enumera los grupos de almacenamiento.

Get-VirtualDisk Enumera los discos virtuales.

Repair-VirtualDisk Repara los discos virtuales.

Reset-PhysicalDisk Elimina un disco fsico de un grupo de


almacenamiento.

Get-VirtualDisk | Get- Enumera los discos fsicos que se utilizan para un


PhysicalDisk disco virtual.
Talleres
Los talleres permiten instalar y administrar un espacio de almacenamiento.

1. Implementar un sistema GPT


Objetivo: aadir discos duros al servidor SV1 y desplegar un sistema GPT.

Mquinas virtuales utilizadas: AD1, SV1.

Abra una sesin como administrador en SV1.

En la consola de la mquina virtual SV1, haga clic en el men Archivo y luego en Configuracin.

Si la mquina virtual est arrancada, resulta imposible agregar un disco IDE. En este caso, puede
agregar discos duros de tipo SCSI.

En la ventana Configuracin para SV1 en SRV-HYPERV, haga clic en Controladora SCSI y luego
en Unidad de disco duro.

Haga clic en el botn Agregar y, a continuacin, en el botn Nuevo. Se agrega un nuevo disco
duro a la mquina.

Se inicia un asistente, haga clic en Siguiente en la pgina Antes de comenzar.

Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente.
Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la ubicacin y
haga clic en Siguiente.
Introduzca 10 en el campo Tamao y luego haga clic en Siguiente.

Haga clic en Finalizar para validar la creacin del archivo vhdx.

Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.

El nombre del archivo vhdx debe modificarse, los dems parmetros son idnticos.
Haga clic en Aceptar, luego en la mquina virtual SV1, abra la consola Administrador del
servidor.

Haga clic en Herramientas y luego, en el men contextual, seleccione Administracin de


equipos.

En el nodo Almacenamiento, haga clic en Administracin de discos.

Aparecen los tres discos pero no estn inicializados.

Haga clic con el botn derecho en Disco 1 y luego seleccione la opcin En lnea.

El nmero de disco puede variar en funcin del nmero de lectores incluidos en la mquina
virtual. Si la opcin En lnea no aparece, significa que no se ha hecho clic en el lugar adecuado.
La operacin debe hacerse en el texto encima del enlace Ayuda.

Repita la operacin, pero esta vez seleccione la opcin Inicializar disco.

En la ventana Inicializar disco, seleccione la opcin GPT (Tabla de particiones GUID) y haga
clic en Aceptar.
Haga clic con el botn derecho en el espacio no asignado (barra negra) y luego en el men
contextual seleccione Nuevo volumen simple.

Se inicia un asistente, haga clic en Siguiente.

En el campo Tamao del volumen simple en MB, introduzca 1000 y luego haga clic enSiguiente.

En la ventana Asignar letra de unidad o ruta de acceso, haga clic en Siguiente.

Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente.
Haga clic en Terminar para proceder a la creacin del volumen.

La creacin de un volumen con un sistema MBR y GPT es idntica. Solo difieren el tamao y el nombre
de las particiones.

2. Reduccin de una particin


2. Reduccin de una particin
Objetivo: el objetivo de este taller es efectuar la reduccin o la extensin de una particin del
sistema.

Mquinas virtuales utilizadas: AD1, SV1.

En la mquina virtual SV1, abra la consola Administrador del servidor.

Haga clic en Herramientas y luego, en el men contextual, seleccione Administracin de


equipos.

En el nodo Almacenamiento, haga clic en Administracin de discos.

Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic
enReducir volumen.

La ventana indica el Tamao total antes de la reduccin, en MB al igual que el Espacio


disponible para la reduccin, en MB; este ltimo dato indica el tamao mximo que es
posible recuperar reduciendo la particin.

En el campo Tamao del espacio que desea reducir, en MB, introduzca 200.

Haga clic en el botn Reducir.

Despus de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la particin D porque est ubicado antes que ella.

Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic
enExtender volumen.

En la pgina Bienvenida del asistente, haga clic en Siguiente.

En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego haga
clic en Siguiente.

Este campo indica al sistema operativo el valor que se agregar a la particin a extender.

Haga clic en Terminar. Despus de varios segundos la particin se extiende.

La particin del sistema puede reducirse o extenderse mientras el sistema operativo est cargado.

3. Despliegue de diferentes volmenes


Objetivo: crear los diferentes volmenes que se pueden crear desde la consola Administracin de
discos y luego simular un error desconectando un disco.

Mquinas virtuales utilizadas: AD1, SV1.

En la mquina virtual SV1, abra la consola Administrador del servidor.

Haga clic en Herramientas y luego, en el men contextual, seleccione Administracin de


equipos.

En el nodo Almacenamiento, haga clic en Administracin de discos.

Haga clic con el botn derecho en Disco 2 y luego seleccione la opcin En lnea.

El disco 2 corresponde al primer disco desconectado.


Haga de nuevo clic con el botn derecho y seleccione esta vez Inicializar disco.

Marque la opcin GPT (Tabla de particiones GUID) y luego haga clic en el botn Aceptar.

Efecte el mismo procedimiento para conectar e inicializar el Disco 3.

Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen distribuido.

En la ventana Asistente para nuevo volumen distribuido, haga clic en Siguiente.

Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.

Repita la misma operacin con el Disco 3.

En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la


cantidad de espacio (MB).
Haga clic en Disco 2 y asgnele un tamao de 100 MB empleando el campo Seleccione la
cantidad de espacio (MB).

Repita la misma operacin con el Disco 3.

Haga clic dos veces en Siguiente y luego en la ventana Formatear


volumen introduzcaDistribuido en el campo Etiqueta del volumen.
Haga clic en Siguiente y luego en Finalizar.

En el mensaje de advertencia, haga clic en S para que los discos se conviertan a discos
dinmicos.

El volumen distribuido se ha creado correctamente.


Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen seccionado.

En la ventana Asistente para nuevo volumen seccionado, haga clic en Siguiente.

Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.

Repita la misma operacin con el Disco 3.

En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la


cantidad de espacio (MB).
El valor se aplica a los discos 2 y 3. De hecho, no es posible tener tamaos diferentes para
cada disco.

Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen,


introduzcaSeccionado en el campo Etiqueta del volumen.

Haga clic en Siguiente y luego en Finalizar.


Se realiza la creacin del volumen.

Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen reflejado.

En la ventana Asistente para nuevo volumen reflejado, haga clic en Siguiente.

Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.

En el campo Seleccionados, haga clic en Disco 1 e introduzca 300 en el campo Seleccione la


cantidad de espacio (MB).
El valor se aplica automticamente al disco 2.

Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen,


introduzcaReflejado en el campo Etiqueta del volumen.

Haga clic en Siguiente y luego en Finalizar.

Haga clic con el botn derecho en el espacio sin asignar del Disco 1 y luego, en el men
contextual, haga clic en Nuevo volumen RAID-5.

En la ventana Asistente para nuevo volumen RAID-5, haga clic en Siguiente.

Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botn Agregar.

Repita la misma operacin con el Disco 3.

En el campo Seleccionados, haga clic en Disco 1 e introduzca 500 en el campo Seleccione la


cantidad de espacio (MB).
El valor se aplica automticamente a los discos 2 y 3.

Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen,


introduzca RAID5en el campo Etiqueta del volumen.

Haga clic en Siguiente y luego en Finalizar.


Cree un archivo llamado prueba.txt que contenga el texto "test" en cada volumen.

En la consola Administracin de discos, haga clic con el botn derecho en Disco 2 y luego, en el
men contextual, haga clic en Sin conexin.
Los volmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen
seccionado) no estn accesibles.

Haga clic con el botn derecho en Disco 2 y luego, en el men contextual, seleccione En lnea.

Repita la operacin, pero esta vez seleccione la opcin Reactivar disco.

Los volmenes vuelven a estar disponibles en la consola Equipo.

4. Implementar un espacio de almacenamiento redundante


4. Implementar un espacio de almacenamiento redundante
Objetivo: implementar un espacio de almacenamiento redundante en el servidor SV1.

Mquinas virtuales utilizadas: AD1, SV1.

Empleando la consola Administracin de discos, elimine los volmenes creados en el taller


anterior.

Inicie la consola Administrador del servidor y haga clic en el vnculo Servicios de archivos y
almacenamiento.

Seleccione la pestaa Grupos de almacenamiento y luego empleando el botn TAREAS, haga clic
en Nuevo grupo de almacenamiento.

Se inicia un asistente. En la ventana Antes de comenzar, haga clic en Siguiente.

Introduzca GrupoServidor1 en el campo Nombre y luego haga clic en Siguiente.


En la ventana Seleccionar discos fsicos para el grupo de almacenamiento, marque los tres
discos disponibles.

Haga clic en Siguiente y luego en Crear.

Se pone en marcha la creacin del grupo de almacenamiento.


Haga clic en Cerrar al terminar la creacin.

No se ha efectuado ningn cambio en Equipo.

Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento. Por ltimo, haga clic en Grupos de almacenamiento.

Seleccione el botn TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual.

Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el grupo de


almacenamiento.

Introduzca GrupoEspejo en el campo Nombre y luego haga clic en Siguiente.


Seleccione la opcin Mirror en la ventana Seleccionar la distribucin de almacenamiento y
haga clic en Siguiente.

Seleccione Fijo en la ventana Especificar el tipo de aprovisionamiento y haga clic en Siguiente.


En la ventana Especificar el tamao del disco virtual, introduzca 2 en el campo para crear un
disco virtual de 2 GB.

Haga clic en Siguiente y luego en Crear.

Se inicia el asistente de creacin de un nuevo volumen.

Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.

Deje el tamao por defecto y valide empleando el botn Siguiente.


Asigne la letra F al nuevo volumen y haga clic en Siguiente.

Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.

Haga clic en Crear para validar la creacin del volumen.


Ya no aparecen los discos fsicos de la mquina.

La administracin de volmenes se realizar en adelante desde el grupo de almacenamiento


(consolaAdministrador del servidor).
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Qu tipos de disco se pueden instalar en un servidor?

2 Cul es la diferencia entre una NAS y una DAS?

3 Cite una ventaja y un inconveniente de una SAN.

4 Qu es iSCSI?

5 Cundo utilizar un RAID 0?

6 Cules son las interfaces utilizadas para acceder a una SAN?

7 Cules son las interfaces utilizadas para acceder a una NAS?

8 Cul es la diferencia entre RAID 1 y RAID 5?

9 Por qu emplear una tabla de particiones GPT?

10 Por qu utilizar un sistema de archivos ReFS?

11 Desde qu consola es posible desplegar un espacio de almacenamiento?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 9 puntos para
aprobar el captulo.

3. Respuestas
1 Qu tipos de disco se pueden instalar en un servidor?

Se pueden instalar varios tipos de disco en un servidor: los discos SATA, SAS o SCSI.

2 Cul es la diferencia entre una NAS y una DAS?

Una DAS (Direct Attached Storage) es un disco conectado fsicamente a un servidor a diferencia de
una NAS (Network Attached Storage) a la que se accede mediante una interfaz IP.

3 Cite una ventaja y un inconveniente de una SAN.

Una SAN posee varias ventajas en cuanto a la escalabilidad de la cantidad de discos, la


centralizacin del almacenamiento o los rendimientos de lectura y escritura. El nivel tcnico
necesario para el mantenimiento diario de una SAN es un inconveniente.

4 Qu es iSCSI?

iSCSI es un protocolo que permite el envo de comandos SCSI a travs del protocolo IP.

5 Cundo utilizar un RAID 0?

RAID 0 o stripping permite obtener mejores rendimientos, sin embargo no se garantiza la


tolerancia a fallos. En caso de fallo de un disco, los datos se pierden.

6 Cules son las interfaces utilizadas para acceder a una SAN?

Una SAN puede utilizar dos tipos de interfaces: fibra ptica o iSCSI.

7 Cules son las interfaces utilizadas para acceder a una NAS?

Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su direccin IP.

8 Cul es la diferencia entre RAID 1 y RAID 5?


Adems del nmero de discos (dos para RAID 1 y tres para RAID 5), el funcionamiento de los dos
RAID es diferente. RAID 1 emplea un sistema de espejo: al escribir un bit en un disco, se escribe el
mismo en el segundo disco. RAID 5 emplea un sistema de paridad: cuando se escriben datos en el
disco, se calcula un bit de paridad y se escribe en el tercer disco. En caso de fallo de un disco, la
parte de los datos restante se asocia al bit de paridad para recuperar el valor original.

9 Por qu emplear una tabla de particiones GPT?

El MBR (Master Boot Record) impone limitaciones (tamao de las particiones, etc.). Para rebasar
estos lmites, debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear
ms de cuatro particiones principales

10 Por qu utilizar un sistema de archivos ReFS?

ReFS permite mejorar el sistema NTFS. En efecto, el tamao mximo de los archivos ha sido
aumentado. Este sistema aporta otras mejoras.

11 Desde qu consola es posible desplegar un espacio de almacenamiento?

La consola Administrador del servidor permite el despliegue de un espacio de almacenamiento. Una


vez activada esta funcionalidad, los discos empleados no son visibles en la consola Administracin
de discos.
Requisitos previos y objetivos

1. Requisitos previos
Poseer nociones acerca de los permisos NTFS.

2. Objetivos
Implementacin de permisos NTFS y compartir una carpeta.

Creacin y uso de instantneas.

Informacin general de las impresoras de red.

Utilizacin de controladores de tipos v3 y v4.

Presentacin de los grupos de impresoras.


Introduccin
Todas las empresas utilizan al menos un servidor de archivos y de impresin. La implementacin de
estos roles es un aspecto esencial que debe abordarse con mucho cuidado.
Seguridad de carpetas y archivos
Los archivos y carpetas almacenados en un servidor de archivos pueden contener informacin
confidencial. Es necesario garantizar la seguridad del acceso para asegurar la confidencialidad de los
datos.

1. Los permisos NTFS


Los permisos NTFS se asignan a los archivos o carpetas almacenados en una particin NTFS.
Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.

Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se
encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al
crear una nueva carpeta o archivo. Estos ltimos heredan de sus padres.

Se pueden configurar dos tipos de permisos: los permisos estndar y los permisos avanzados.

Los permisos estndar son los ms utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos. Esto incluye la
posibilidad de modificar los permisos o convertirse en propietario. El permiso Modificar permite leer,
escribir y eliminar un archivo o una carpeta. Concede al objeto afectado permisos para ejecutar un
archivo o efectuar su creacin.

Atribuyendo el permiso Lectura y ejecucin es posible leer un archivo y ejecutar un programa. El


permiso Escritura proporciona permisos de escritura sobre un archivo. Por ltimo, al atribuir a un
objeto el permiso Mostrar el contenido de la carpeta es posible enumerar las carpetas y archivos
contenidos en una carpeta pero sin tener la posibilidad de abrir y leer el contenido de un archivo.

Los permisos avanzados permiten implementar autorizaciones mucho ms granulares.

Atravesar El permiso Atravesar carpeta permite al objeto recorrer


carpeta/ejecutar un rbol de carpetas. Esto permite, por ejemplo, acceder a
archivo un archivo en una subcarpeta sin poder leer los archivo de
la carpeta compartida o de otras subcarpetas. La
autorizacin ejecutar archivo permite autorizar o denegar
la ejecucin de programas.

Mostrar carpeta/leer A diferencia de la autorizacin Atravesar carpeta, la


datos autorizacin Mostrar carpeta se aplica solamente a la
carpeta y a su contenido. Leer datos permite autorizar o
denegar a un usuario la lectura de los archivos.

Leer atributos Este permiso permite leer los atributos bsicos de un


archivo o carpeta (solo lectura, mostrar el contenido...).

Crear archivos/escribir Crear archivos se aplica exclusivamente a la carpeta y


datos proporciona permisos para escribir archivos en el interior
de esta carpeta. Escribir datos permite por su parte
autorizar al usuario a sobrescribir el contenido de un
archivo.

Crear carpetas/anexar Crear carpetas proporciona la autorizacin para crear


datos carpetas en el interior de la carpeta en la que se sita el
permiso de acceso. Anexar datos permite agregar datos al
final del archivo, el usuario no podr modificar ni eliminar
los datos existentes.

Escribir atributos Proporciona permisos para modificar los atributos bsicos


(mostrar el contenido, solo lectura).

Eliminar subcarpetas y Permite eliminar subcarpetas y archivos. Este permiso solo


archivos se aplica a las carpetas.
Eliminar Proporciona la posibilidad de eliminar las carpetas y
archivos. El usuario deber sin embargo poseer el
permisoEliminar subcarpetas y archivos en la carpeta
padre para poder efectuar las eliminaciones.

Permisos de lectura Autoriza al objeto que recibe este permiso a leer los
permisos asignados a un recurso.

Cambiar permisos La persona a la que se concede este permiso puede


efectuar la modificacin de los permisos.

Tomar posesin Autoriza al usuario a convertirse en propietario del


recurso. Tendr la posibilidad de modificar los permisos.

2. Definicin de una carpeta compartida


Las carpetas compartidas ofrecen un acceso directo a un recurso almacenado en un servidor. Para
limitar el acceso, con el objetivo de garantizar la confidencialidad, es necesario implementar
autorizaciones de seguridad. stas pueden asignarse a una carpeta o un archivo.

El acceso se efecta empleando una ruta UNC (Universal Naming Convention). sta se compone del
nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por
ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan desde hace aos.
Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. Para acceder, es
necesario introducir la ruta UNC. Los recursos como c$, admin$ se crean durante la instalacin de un
sistema operativo cliente o servidor. Para ocultar un recurso compartido y transformarlo en un
recurso administrativo, debemos aadir un $ al final del recurso (\\dc1\Data$).

Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un
archivo o carpeta, este ltimo recupera automticamente los permisos de seguridad aplicados a su
padre. En ciertas ocasiones, se puede llegar al caso de que los permisos heredados contradicen a
los permisos explcitos. Hablamos entonces de conflictos. En este caso, los permisos declarados
explcitamente por el administrador tienen prioridad sobre los permisos heredados. Los ltimos
pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Esta operacin se
efecta en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades -
pestaa Seguridad - Opciones avanzadas).
Despus de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarn ms al
hijo. A veces es necesario restablecer los permisos en cada nodo del rbol remplazando los
permisos del padre al hijo. Para esto, se debe usar la opcin Reemplazar todas las entradas de
permisos de objetos secundarios por entradas de permisos heredables de este objeto. La
operacin consiste en propagar los permisos del padre a todas las subcarpetas.

Una autorizacin efectiva es un permiso final otorgado a un objeto de Active Directory (usuario,
grupo o equipo). Puede ser complicado conocer esta autorizacin, se puede obtener un resultado
diferente del deseado si hay muchos grupos implicados y el usuario est incluido en diferentes
grupos. Desde hace algunos aos, existe una herramienta que permite calcular esta autorizacin
final disponible en los sistemas operativos de Microsoft. Muy prctica en arquitecturas complejas,
permite saber en pocos clics el permiso otorgado a un usuario o grupo.

La primera etapa consiste en seleccionar el usuario o grupo deseado.

Haciendo clic en Ver acceso efectivo, podemos visualizar las autorizaciones que el usuario tiene
sobre el recurso.
La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta.

3. Visualizar recursos compartidos en funcin de los permisos de acceso


La enumeracin basada en el acceso (ABE - Access-Based Enumeration) consiste en mostrar
solamente las carpetas contenidas en un recurso compartido a las que el usuario tiene permitido el
acceso. De esta forma, se simplifica el acceso a los recursos compartidos y a los archivos. La
activacin de esta funcin se realiza desde la consola Administrador del servidor.

Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamientoy
luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaa Configuracin,
podemos activar la opcin.
La opcin debe activarse en cada recurso compartido.

4. Presentacin de la caracterstica Work Folders


Hoy en da, las tabletas y smartphones han democratizado a las empresas. Los empleados tienen la
posibilidad de emplear dispositivos personales para acceder a los recursos de la empresa. sta
puede implantar una poltica BYOD (Bring Your Own Device) teniendo en cuenta las consideraciones
siguientes:

Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso
de prdida del dispositivo.

Los datos deben estar almacenados localmente, esto elimina la posibilidad de realizar copias
de seguridad.

No debe almacenarse ningn dato en un proveedor cloud no validado por el departamento de


sistemas.

La caracterstica Work Folders permite resolver estos problemas. Permite acceder a los datos
empresariales desde cualquier ubicacin donde se conecten los empleados. Adicionalmente, los
administradores mantienen el control a nivel de la gestin de los datos y las conexiones. Ellos tienen
la posibilidad de implantar un cifrado de datos as como los parmetros de seguridad en los
dispositivos que emplean esta caracterstica. No es necesario que los clientes que acceden a los
datos sean miembros del dominio.

Los Work Folders pueden publicarse en Internet utilizando la caracterstica Web Application Proxy.
Los usuarios pueden, de este modo, sincronizar los datos conectados a Internet.

El servidor de archivos que alberga los datos y gestiona los procesos de sincronizacin debe
ejecutar Windows Server 2012 R2. Las particiones debern estar formateadas en sistema NTFS.

Para los accesos desde el exterior del sistema de informacin hay que respetar varios requisitos
previos:

Un certificado de servidor en cada servidor de archivos que emplee los Work Folders.

Un certificado de servidor en el servidor proxy.

El certificado debe ser emitido por una autoridad de certificacin aprobada por el usuario.

Implementar las reglas de trfico y publicacin para poder acceder a los servidores desde
Internet.

El uso de un nombre de dominio pblico y la posibilidad de crear los registros DNS adecuados.

Los equipos deben ejecutar uno de los sistemas operativos Windows 8.1 o Windows RT 8.1.
Adicionalmente, el equipo o la tableta deber poseer suficiente espacio en disco para
albergar los datos del usuario. De manera predeterminada, la ubicacin empleada
es%USERPROFILE%\Work Folders.

Es posible modificar la ubicacin durante la instalacin (empleo de una unidad USB, etc.).

No existe ninguna limitacin configurada para el almacenamiento de los usuarios, sin embargo el
tamao mximo de los archivos individuales es de 10 GB.
Utilizacin de instantneas
Las instantneas permiten implantar una poltica de recuperacin de archivos o carpetas de una
forma sencilla.

1. Presentacin y planificacin de las instantneas


Una instantnea es una imagen esttica. Contiene los archivos y carpetas que estn compartidos
en el servidor. Esta funcionalidad proporciona al usuario o al administrador la posibilidad de
restaurar de forma sencilla un documento eliminado por error, o que ha sufrido una modificacin
errnea.

La instantnea se almacena en la misma unidad que el archivo original, sin embargo es posible
cambiar el lugar de almacenamiento. El espacio asignado a la funcionalidad puede, tambin,
configurarse permitiendo as evitar la saturacin de los discos. Una vez alcanzada la cuota, las
instantneas ms antiguas se eliminan en beneficio de las nuevas, creando as un ciclo que permite
respetar el tamao lmite configurado. Observe sin embargo que las instantneas no pueden
considerarse como una alternativa a las copias de seguridad. Los datos se perdern en caso de un
fallo de disco. Es casi imposible restaurar por este mtodo ciertos archivos complejos de tipo base
de datos... Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la
aplicacin.

Por defecto, la creacin de las instantneas se efecta de lunes a viernes a las 7:00 y las 12:00.
Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse de tener el
espacio en disco requerido.

La creacin de una instantnea se efecta accediendo a las propiedades de la unidad. La


pestaaInstantneas crear y gestionar las instantneas.
La activacin se puede efectuar en una o ms unidades, el botn Configuracin le permite realizar
la operacin.

El Tamao mximo, la Programacin, as como el rea de almacenamiento son parmetros que es


posible configurar.

2. Restauracin de datos empleando instantneas


Los administradores y usuarios pueden restaurar versiones anteriores de los archivos. El
administrador puede realizar la restauracin directamente en el servidor que contiene el archivo
mientras que el usuario lo hace desde el recurso compartido. Esta accin se realiza directamente
mediante el men Propiedades del recurso compartido (pestaa Versiones anteriores).
Accediendo a una instantnea podemos recuperar uno o varios archivos. La opcin Abrir permite
este acceso, bastar con abrir el archivo deseado. La opcin Restaurar efecta la restauracin
completa del recurso compartido en la carpeta original. En caso de querer restaurar en una
ubicacin diferente (para comparar los dos archivos, por ejemplo), debemos usar la
opcin Copiarpara evitar sobrescribir el archivo original.

La funcionalidad Versiones anteriores est implementada a partir de Windows XP SP2.

En el siguiente ejemplo, se han eliminado dos carpetas de la carpeta MedioslFM:

Accediendo a las instantneas (opcin Abrir), podemos abrirlo y restaurarlo si es necesario.


Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por medio
de cinta o copia de seguridad de disco. Esta operacin es perfectamente posible pero demanda
mucho tiempo: adems, la copia de seguridad se efecta normalmente una vez al da, a diferencia
de las instantneas que se ejecutan dos veces.
Configuracin de la impresora de red
El rol Servicios de impresin y documentos permite implantar una impresora compartida, as como
administrar una impresora de red. Es posible supervisar las colas de impresin desde esta consola.

1. Las ventajas de la impresora de red


Agregando las impresoras de red a un servidor de impresin los clientes tienen la posibilidad de
enviar sus trabajos de impresin a un servidor. ste enviar a la impresora correspondiente el
trabajo de impresin solicitado por el usuario.

Esta solucin permite realizar la gestin de la impresin y tambin distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma simplificamos
tambin el soporte tcnico. La publicacin en Active Directory facilita la instalacin y el despliegue de
las impresoras a un usuario.

2. Los controladores v3 y v4 para las impresoras


A partir de Windows Server 2000, los controladores utilizados para las impresoras son de versin 3.
Con este tipo de controlador, los fabricantes creaban un controlador para cada tipo de dispositivo. Si
el parque informtico est compuesto por varios tipos de dispositivos diferentes, los
administradores debern gestionar diferentes controladores. Adems, ambos tipos de plataforma,
32 y 64 bits, utilizan controladores diferentes, lo que complica una vez ms la gestin de los
controladores.

Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versin 4). Con este
nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora que gestiona los
lenguajes de impresin para una amplia gama de dispositivos. Los lenguajes incluyen XML Paper
Specification (XPS), Printer Control Language (PCL) Este tipo de controladores se distribuyen
mediante Windows Update o Windows Software Update Services (WSUS).

Los controladores v4 aportan muchas ventajas:

En caso de compartir la impresora, ya no es necesario proporcionar el controlador de la


impresora en funcin de la arquitectura del cliente.

Un controlador puede ser utilizado por varios tipos de perifricos diferentes.

El tamao reducido del archivo permite una instalacin ms rpida.

3. Presentacin de los grupos de impresoras


Crear un grupo de impresoras consiste en la creacin de una unidad lgica, la cual est conectada
lgicamente a varios dispositivos fsicos. Los clientes vern el grupo de impresoras como un
dispositivo fsico. Al enviar un trabajo de impresin, todas las impresoras disponibles y conectadas al
grupo tienen la posibilidad de efectuar el trabajo. Esta funcionalidad permite al usuario tener
siempre una impresora disponible. En caso de problema con una de las impresoras (atasco de
papel...) los trabajos de impresin se envan a las otras impresoras integrantes del grupo. La
creacin del grupo se efecta en el servidor de impresin y consiste en asignar a esta impresora
lgica varios puertos de destino de los dispositivo fsicos. En la mayora de los casos, los enlaces
apuntan a direcciones IP.

Requisitos previos para un grupo de impresoras

Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos.
En la mayora de los casos, un grupo est compuesto de dispositivos del mismo modelo.

Por comodidad, es preferible que las impresoras estn en un entorno cercano al usuario. La
impresin puede realizarla cualquiera de las impresoras contenidas en el grupo. El usuario
deber hacer el recorrido por las impresoras para recuperar su documento impreso, es
imposible saber en cul de los dispositivos se ha hecho la impresin.
Administracin de un servidor no unido al dominio
La consola Administracin de servidores permite administrar de manera remota varios servidores
creando un grupo, sin embargo stos deben ser miembros del dominio. Con Windows Server 2012 R2
y las herramientas RSAT (Remote Server Administration Tools) es posible administrar servidores que no
forman parte del dominio.

Antes de instalar las herramientas RSAT, se debe ejecutar un comando PowerShell desde el equipo
Windows 8.1.

Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC.

El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o
empleando un archivo hosts). Se ha agregado un redirector condicional en AD1 para poder resolver el
nombre SV2.Formintra.msft.

Los comandos ping y nslookup permiten verificar la conectividad y la resolucin. A continuacin


debemos ejecutar el comando PowerShell:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value


<YourtargetServernameHere> -Force

El argumento <YourtargetServernameHere> debe reemplazarse por el nombre del


servidor.
La instalacin de las herramientas RSAT en el equipo permite contar con la consola Administrador del
servidor en el equipo con Windows 8.1.

A continuacin, es posible aadir el servidor haciendo clic con el botn derecho en Todos los
servidores y seleccionando, en el men contextual, Agregar servidores.

Ahora basta con efectuar una bsqueda mediante DNS.

Tras aadir el servidor y validar con Aceptar, aparece un error. Este ocurre al no poder autenticar la
consola.
Haciendo clic con el botn derecho en el servidor, el men contextual proporciona acceso a la
opcinAdministrar como.

Se debe introducir un nombre de usuario y una contrasea en la ventana para obtener el acceso
adecuado para la consola. Marque la opcin Recordar mis credenciales para no tener que volver a
introducir las credenciales cada vez.
En lo sucesivo es posible gestionar el servidor de manera remota.
Talleres
Los talleres permiten configurar la comparticin de archivos y de instantneas, al igual que la gestin
de impresoras mediante un grupo de impresoras. El cuarto taller muestra el uso de la consola de
administracin de un servicio de impresin. Por ltimo, esta parte prctica concluye con un taller sobre
Work Folders y la gestin de un servidor no unido al dominio.

1. Creacin de un recurso compartido y uso de ABE


Objetivo: desplegar una estructura de carpetas compartidas desde el explorador y la consola
Administrador del servidor.

Mquinas virtuales utilizadas: AD1, SV1, CL8-01.

En el equipo SV1, inicie el explorador de Windows.

Haga clic en el nodo Equipo y luego haga doble clic en la particin F:.

La particin puede tener una letra diferente. Si tiene solo una particin, tome la particin del
sistema.

En la banda Inicio, haga clic en el botn Nueva carpeta.

Llame a esta carpeta Data.

Repita la operacin anterior para crear las carpetas Informtica, Ventas y Contabilidad.

Inicie la consola Administrador del servidor en SV1.

En el panel derecho, haga clic en Servicios de archivos y de almacenamiento.

Seleccione el nodo Recursos compartidos.


Haga clic con el botn derecho en el panel central y seleccione la opcin Nuevo recurso
compartido.

El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vaco
del panel central.

Varios Perfiles para recursos compartidos se encuentran en la lista, seleccione Recurso


compartido SMB - Rpido y haga clic en Siguiente.
En el campo Ubicacin del recurso compartido, seleccione el botn Escriba una ruta de acceso
personalizada y luego haga clic en Examinar.

Seleccione la carpeta contabilidad y luego haga clic en el botn Seleccionar carpeta.

En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic
enSiguiente.

En la ventana Parmetros de configuracin de recurso compartido, haga clic en Siguiente.


Haga clic en el botn Personalizar permisos... en la ventana Especificar permisos para
controlar el acceso.

La ACL debe contener solamente la entrada Administradores (grupo de dominio Formacion.local)


yUsuarios (grupo de dominio Formacion.local). El grupo Administradores recibe permisos de Control
total mientras que el grupo Usuarios autentificados tiene permisos de Lectura y ejecucin.
Una vez modificada, haga clic en Aceptar y luego en Siguiente.

Haga clic en Crear para iniciar la creacin del recurso compartido y luego en Cerrar para detener
el asistente.

La carpeta y el recurso compartido se crean.

Empleando la consola Administrador del servidor, comparta de la misma manera las


carpetasdata, informtica y ventas.

En SV1, cree en la carpeta contabilidad la subcarpeta nbonnet.


Haga clic con el botn derecho en nbonnet y luego seleccione Propiedades.

En la pestaa Seguridad, haga clic en el botn Opciones avanzadas.

Haga clic en el botn Deshabilitar herencia en la ventana Configuracin de seguridad avanzada


para nbonnet.

En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explcitos en este objeto.

Agregue el usuario nbonnet y asigne el permiso Modificar.

Elimine las entradas Administradores y Usuarios de la lista ACL.


Haga clic dos veces en Aceptar.

En la consola Administrador del servidor, haga clic con el botn derecho en el recurso
compartido contabilidad y seleccione la opcin Propiedades en el men contextual.

Actualice la consola si fuera necesario.

En la ventana de Propiedades, haga clic en Configuracin y marque la opcin Habilitar


enumeracin basada en el acceso.
Haga clic en Agregar.

Inicie el equipo CL8-01 y abra una sesin como Alumno 1.

Inicie el explorador de Windows y luego, en la barra de navegacin, introduzca \\SV1.

Valide pulsando la tecla [Intro].

La carpeta nbonnet no se muestra porque el usuario conectado al equipo (Alumno 1) no tiene


permisos y ABE (Access Based Enumeration) est habilitado.

2. Implementar instantneas
2. Implementar instantneas
Objetivo: configurar las instantneas para permitir a un usuario restaurar un archivo.

Mquinas virtuales utilizadas: AD1, SV1, CL8-01.

En SV1, abra el explorador de Windows, haga clic con el botn derecho en la particin que
contiene los datos, y a continuacin, en el men contextual, haga clic en Propiedades.

Haga clic en la pestaa Instantneas.

Haga clic en el botn Configuracin para poder configurar los parmetros de las instantneas.
Esta ventana permite configurar el tamao mximo que pueden utilizar las instantneas. Es posible
configurar a su vez el volumen en el que se almacenarn las instantneas.

Haga clic en el botn Programacin.

Esta ventana permite configurar el momento en que se crean las instantneas. De forma
predeterminada la operacin se efecta a las 7:00 y 12:00 de Lunes a Viernes.

El botn Nuevo permite crear una nueva programacin mientras que Eliminar elimina la programacin
seleccionada.

Haga clic dos veces en Aceptar.

Empleando el Explorador de Windows, cree un archivo de texto llamado Compra2013 en la


carpeta Data.
Escriba el texto Tableta para departamento IT en el archivo que acabamos de crear.

Grabe y luego cierre el archivo Compra2013.

En las propiedades de la particin que contiene el archivo previamente creado (F en este


ejemplo) haga clic en la pestaa Instantneas.

Verifique que las instantneas estn activadas y, a continuacin, haga clic en Crear ahora.

Abra una sesin como administrador de dominio en CL8-01.

Inicie el Explorador de Windows y luego, en la barra de navegacin, introduzca \\SV1.

Haga doble clic en el recurso compartido data y luego elimine el archivo presente.

Haga clic con el botn derecho en el recurso compartido data y luego en el men contextual
seleccione Propiedades.

Seleccione la pestaa Versiones anteriores; se muestra la instantnea.


Haga clic en el botn Abrir.

El contenido de la instantnea se muestra y es posible abrir el archivo para ver su contenido.

La opcin Abrir permite explorar la instantnea y, tambin, copiar/pegar solamente un archivo o


carpeta deseada.

En la ventana Propiedades: data, haga clic en Copiar.


Seleccione la unidad C: y luego haga clic en Aceptar en la ventana Copiar elementos.

Esta opcin permite copiar el contenido de la instantnea en un destino diferente del original.

Haga clic en el botn Copiar.

El archivo se copia correctamente.


Seleccione esta vez la opcin Restaurar en las Propiedades: Data (\\SV1).

Haga clic en Restaurar en la ventana que se muestra.

Se muestra un mensaje informativo, haga clic en Aceptar.

El archivo se encuentra correctamente en el recurso compartido data del servidor SV1.

3. Creacin de un grupo de impresin


Objetivo: creacin y configuracin de un grupo de impresoras.

Mquinas virtuales utilizadas: AD1 y CL8-01.

En AD1, inicie la consola Administrador del servidor.

Haga clic en Agregar roles y caractersticas en la pestaa Panel.

En la ventana Antes de comenzar, haga clic en Siguiente.

Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y luego haga clic
enSiguiente.
Haga clic en Siguiente en la ventana Seleccionar servidor de destino.

En la ventana Seleccionar roles de servidor, marque Servicios de impresin y documentos.

Haga clic en Agregar caractersticas en la ventana que se muestra.


Haga clic en Siguiente en la ventana Seleccionar caractersticas.

En la ventana Seleccionar servicios de rol, deje la opcin predeterminada y luego haga clic
enSiguiente.

Haga clic en Siguiente y luego en Instalar.

Cierre la ventana y espere al final de la instalacin.

En la interfaz Windows, haga clic en Herramientas administrativas y luego abra la


consolaAdministracin de impresin.

Despliegue los nodos Servidores de impresin y AD1 (local).

Haga clic con el botn derecho en el nodo Impresoras y luego, en el men contextual haga clic
en Agregar impresora.

Se inicia el asistente para la instalacin de impresoras de red.

Marque el botn Agregar una impresora TCP/IP o de servicios web escribiendo la direccin IP
o nombre de host y luego haga clic en Siguiente.
En la lista desplegable Tipo de dispositivo, seleccione Dispositivo TCP/IP y luego
introduzca192.168.1.152 en el campo Nombre de host o direccin IP.

La direccin IP es ficticia, ningn dispositivo en la maqueta posee esta direccin IP.

Desmarque la opcin Detectar automticamente qu controlador de impresora se debe usar.


Haga clic en Siguiente para validar las modificaciones.

En la ventana Se requiere informacin adicional acerca de puertos, haga clic en Siguiente.


Deje marcado el botn Instalar un nuevo controlador y haga clic en Siguiente.

En la lista Fabricante, seleccione Genrica y luego Generic Color XPS Class Driver (A) en la
lista Impresoras.

Haga clic en Siguiente para validar la seleccin.

Introduzca Impresora Sala 1 en el campo Nombre de impresora, introduzca IMPSal1 en el


campo Recurso compartido, y por ltimo Sala 1 en el campo Ubicacin.
Haga clic dos veces en Siguiente y luego en Finalizar.

Se muestra la impresora en el nodo Impresoras.

Haga clic con el botn derecho en Impresora Sala 1 y a continuacin, en el men contextual,
seleccione Propiedades.

Seleccione la pestaa Compartir y luego marque la opcin Mostrar lista en el directorio.


Haga clic en Aplicar y luego en Aceptar.

En la consola Administracin de impresin, haga clic con el botn derecho en el nodo Puertos y
luego haga clic en Agregar puerto.

Seleccione Standard TCP/IP Port y luego haga clic en Puerto nuevo.

Se inicia un asistente, haga clic en Siguiente en la pgina del Asistente.

Introduzca 192.168.1.153 en el campo Nombre o direccin IP de impresora y luego haga clic


en Siguiente.

En la ventana Se requiere informacin adicional acerca de puertos, haga clic en Siguiente.

Haga clic en Finalizar para cerrar el asistente.

Acceda al nodo Impresoras y luego a las propiedades de Impresora Sala 1.

Seleccione la pestaa Puertos y luego marque la casilla Habilitar agrupacin de impresoras.

Seleccione el puerto 192.168.1.153 y luego haga clic en Aplicar y Aceptar.


Abra una sesin como jbak en CL8-01.

Acceda al Panel de control y, a continuacin, haga clic en el enlace Ver dispositivos e


impresoras en Hardware y sonido.

En la ventana Dispositivos e impresoras, haga clic en el botn Agregar una impresora.

Se muestra la impresora y la ubicacin es correcta.


Haga clic en Siguiente para proceder a la instalacin.

En la ventana que se muestra, haga clic en Siguiente y luego en Finalizar.

La impresora se presenta correctamente en la consola.


La impresora cuenta con los dos puertos TCP/IP seleccionados.

4. Gestin del servidor de impresin


Objetivo: administrar el servidor de impresin desde la consola Administracin de
impresininstalada en el taller anterior.

Mquina virtual utilizada: AD1.

En AD1, inicie la consola Administracin de impresin y luego haga clic en el nodo Filtros
personalizados.

Los filtros personalizados permiten mostrar informacin acerca de las impresoras. Esto permite
visualizar de forma sencilla el conjunto de impresoras y controladores as como aquellas impresoras
con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto de impresoras que
no tienen estado de preparadas). Puede crear su propio filtro para obtener la informacin deseada.

Haga clic con el botn derecho en el nodo Filtros personalizados y luego seleccione Agregar
nuevo filtro de impresora.
Introduzca Visualizacin de trabajos en curso en el campo Nombre.

Marque la casilla Mostrar el nmero total de elementos junto al nombre del filtro y luego haga
clic en Siguiente.

En la ventana Definir un filtro, seleccione Trabajos en cola en la lista desplegable Campo y


luego no es exactamente en la lista desplegable Condicin.

Introduzca 0 en el campo Valor.


Haga clic en Siguiente y luego en Finalizar.

Aparece el nuevo filtro en la consola.

Seleccione el nodo Impresoras y luego haga clic con el botn derecho en la impresora Impresora
Sala 1.

En el men contextual, seleccione Implementar con directiva de grupo.

En la ventana Implementar con directiva de grupo, haga clic en el botn Examinar.


La ventana presenta el conjunto de directivas de grupo ya creadas a nivel de OU (unidad
organizativa), dominios y sitios de Active Directory.

En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creacin de una nueva GPO.

Llame a la nueva directiva Implementar impresoras y luego haga clic en Aceptar.

Marque la opcin Los equipos a los que se aplica esta GPO.

Haga clic en el botn Agregar y luego en Aplicar.


Valide el mensaje de informacin haciendo clic en Aceptar y luego haga clic en Aceptar en la
ventana Implementar con directiva de grupo.

Haga clic en el nodo Impresoras implementadas.

La configuracin efectuada se muestra correctamente.

La directiva de grupo ha sido configurada de la siguiente forma.


Tras la prxima aplicacin de las GPO, la impresora se instalar en todos los equipos y servidores.
Para limitar esta instalacin, tendremos que filtrar empleando un grupo de seguridad o posicionando
la directiva de grupo en un contenedor diferente.

5. Implantacin de la solucin Work Folders


Objetivo: implantar la caracterstica Work Folders para permitir a un usuario del dominio acceder
desde su equipo personal a los recursos de la empresa.

Mquinas virtuales utilizadas: AD1, SV1, CL8-02.

En SV1, inicie la consola PowerShell y luego introduzca el comando Add-WindowsFeature FS-


SyncShareService.

Este comando tiene como objetivo instalar la caracterstica Work Folders.

A continuacin, debemos crear la carpeta que contendr los datos de los usuarios. En la particin C,
vamos a crear mediante la lnea de comandos la carpeta Doc-Tcnica, la cual ser compartida con el
nombre Documentacin. Los miembros del grupo Formadores tendrn acceso a la carpeta.
En la consola PowerShell, introduzca el comando New-SyncShare Documentacin -path
C:\Doc-Tcnica -User Formacion\Formadores -RequireEncryption $true -
RequirePasswordAutoLock $true.

Es posible descargar el script en la pgina Informacin.

Podemos ver en la consola Administrador del servidor que la caracterstica se ha instalado


correctamente y se ha configurado el recurso compartido.

Accediendo a las propiedades del recurso compartido (haciendo clic con el botn derecho en el
recurso - Propiedades), es posible verificar la configuracin de la categora General.

La categora Acceso a sincronizacin permite definir las personas o grupos de personas autorizados
para realizar la sincronizacin.
Por ltimo, la categora Directivas de dispositivos permite configurar la directiva aplicada.
Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos, as como un
bloqueo automtico de la pantalla y la introduccin de una contrasea.

A continuacin, debemos configurar el equipo cliente.

Verifique que CL8-02 se encuentra en Workgroup (grupo de trabajo) y no es miembro del


dominio. En caso contrario, retire el equipo del dominio. De esta forma, tanto la gestin del
equipo como la seguridad son locales al equipo y no se gestionan desde un servidor (controlador
de dominio).

Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestin de certificados
digitales necesarios para el uso del protocolo HTTPS.

Para configurar el uso del protocolo HTTP, introduzca el comando Reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v
AllowUnsecureConnection /t REG_DWORD /d 1

Es posible descargar el script desde la pgina Informacin.


Acceda al Panel de control y luego, en Sistema y seguridad, haga clic en Carpetas de trabajo.

Haga clic en Configurar carpetas de trabajo.


En la ventana Escriba su direccin de correo electrnico de trabajo, haga clic en el
vnculoIndicar una URL de Carpetas de trabajo.

En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En
produccin, ser necesario emplear el protocolo HTTPS as como un nombre pblico.
Valide los datos mediante el botn Siguiente y, a continuacin, autentquese como nbonnet.

En la ventana Introduciendo las carpetas de trabajo, haga clic en Siguiente.

Es posible modificar la ruta de destino si lo desea.


Marque la opcin Acepto estas directivas es mi equipo y, a continuacin, haga clic en el
botnConfigurar carpetas de trabajo.

Haga clic en Cerrar para finalizar el asistente.

Se aade una nueva biblioteca. Agregue, a la misma, el archivo Windows.txt.


El cifrado est correctamente activado, estando el nombre del archivo en color verde. Del lado del
servidor la carpeta del usuario se encuentra presente.

El usuario accede correctamente a los datos de la empresa utilizando un equipo que no forma parte
del dominio.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cul es la diferencia entre un permiso NTFS estndar y un permiso NTFS avanzado?

2 Explique la nocin de permiso NTFS heredado.

3 Cul es la diferencia entre un permiso NTFS heredado y uno explcito?

4 La particin D contiene la carpeta Contabilidad que est compartida con el nombre


Contabilidad. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e IVA
2013.

El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raz de la carpeta
Contabilidad.

Cules son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?

5 Es posible ver la autorizacin efectiva del usuario?

6 Cul es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso


compartido donde el usuario carece de permisos de acceso?

7 Qu consola empleamos para configurar la funcionalidad de la pregunta anterior?

8 Cundo se ejecuta la creacin de una instantnea de forma predeterminada?

9 Qu ocurre cuando se alcanza el tamao mximo configurado para las instantneas?

10 Quin puede restaurar una instantnea?

11 Cules son las ventajas de los controladores de tipo v4?

12 En qu consisten los grupos de impresin?

13 Qu permite hacer la caracterstica Work Folders?

14 Cmo podemos dotar de seguridad a los datos presentes en la carpeta de sincronizacin


configurada con la caracterstica Work Folders?

15 Mencione algunos requisitos previos a respetar para poder activar la caracterstica Work
Folders.

16 Enumere los pasos necesarios para administrar un servidor que no est unido al dominio.

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 12 puntos para
aprobar el captulo.

3. Respuestas
1 Cul es la diferencia entre un permiso NTFS estndar y un permiso NTFS avanzado?

No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS avanzados
permiten ser ms preciso con los permisos asignados a un objeto Active Directory.

2 Explique la nocin de permiso NTFS heredado.

Cuando se asigna un permiso en la ACL de un recurso (carpeta...), los objetos presentes en ese
recurso (subcarpeta, archivo...) reciben igualmente este permiso. Hablamos de padre (el recurso) y
de hijo (todo objeto presente en el interior de este recurso).

3 Cul es la diferencia entre un permiso NTFS heredado y uno explcito?

Un permiso explcito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. A
diferencia de los permisos explcitos, los permisos heredados se asignan automticamente al
objeto hijo transmitidos por el padre.

4 La particin D contiene la carpeta Contabilidad que est compartida con el nombre


Contabilidad. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e IVA
2013.

El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raz de la carpeta
Contabilidad.

Cules son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?

Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que permitir al
usuario acceder directamente a la carpeta deseada.

La segunda solucin requiere un poco ms de administracin. Consiste en agregar en la ACL de la


carpeta Contabilidad al usuario nbonnet. ste recibir el permiso Mostrar el contenido de la carpeta.
En la carpeta IVA 2013 es preciso bloquear la herencia y el permiso Modificar asignado a nbonnet.
El usuario podr as recorrer las diferentes carpetas sin tener el permiso de lectura de los archivos
contenidos.

5 Es posible ver la autorizacin efectiva del usuario?

Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorizacin
efectiva diferente de la deseada por el administrador. Para garantizar que atribuimos al usuario los
permisos correctos, podemos utilizar la pestaa Acceso efectivo en la configuracin de seguridad
avanzada.

6 Cul es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso


compartido donde el usuario carece de permisos de acceso?

Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al
usuario solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario
tiene acceso.

7 Qu consola empleamos para configurar la funcionalidad de la pregunta anterior?

La funcionalidad ABE se configura empleando la consola Administrador del servidor.

8 Cundo se ejecuta la creacin de una instantnea de forma predeterminada?

Una instantnea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible modificar
esta programacin.

9 Qu ocurre cuando se alcanza el tamao mximo configurado para las instantneas?

Se realiza una rotacin. De esta forma, cuando se alcanza el tamao mximo, las instantneas con
fecha ms antigua se eliminan en beneficio de las ms recientes.

10 Quin puede restaurar una instantnea?

Los usuarios pueden restaurar una instantnea por medio de la opcin Versiones anteriores en las
propiedades del recurso compartido. El administrador tiene la opcin de hacerlo desde el servidor.

11 Cules son las ventajas de los controladores de tipo v4?

Estos nuevos controladores evitan efectuar la configuracin de los controladores en funcin de la


arquitectura del cliente. Adicionalmente, el tamao del archivo es ms reducido, lo que implica una
instalacin ms rpida.

12 En qu consisten los grupos de impresin?


Los grupos de impresin consisten en hacer funcionar varias impresoras sobre una impresora
lgica. Esto permite continuar imprimiendo en caso de que una impresora no est disponible.

13 Qu permite hacer la caracterstica Work Folders?

La caracterstica Work Folders permite configurar una carpeta que ms adelante podr sincronizar
un usuario. El usuario podr sincronizar dicha carpeta utilizando su conexin a la red empresarial o
desde el exterior. A su vez, cuenta con la posibilidad de utilizar su equipo o tableta personal.

14 Cmo podemos dotar de seguridad a los datos presentes en la carpeta de sincronizacin


configurada con la caracterstica Work Folders?

Es posible dotar de seguridad a estos datos de diferentes formas. La funcionalidad permite cifrar los
datos. Adicionalmente, es posible autorizar o no el acceso a la carpeta de sincronizacin. Por ltimo,
el equipo conectado puede ser sometido a la poltica de bloqueo (con peticin de contrasea),
incluso si se utiliza un equipo personal.

15 Mencione algunos requisitos previos a respetar para poder activar la caracterstica Work
Folders.

Es necesario respetar varios requisitos previos:

Servidor de archivos ejecutando Windows Server 2012 R2 y el equipo en Windows 8.1.

Uso de certificados de servidor en cada servidor.

Particin formateada en NTFS.

Es preciso crear los registros en el DNS.

16 Enumere los pasos necesarios para administrar un servidor que no est unido al dominio.

Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8.1 debemos
instalar las herramientas RSAT y verificar el funcionamiento de la resolucin de nombres. A
continuacin, debe ejecutarse un comando PowerShell. La ltima etapa consiste en aadir el
servidor a la consola Administrador del Servidor y proporcionar las credenciales.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos sobre el funcionamiento de una directiva de grupo.

2. Objetivos
Analizar los componentes de una directiva de grupo.

Implementar preferencias y GPO de inicio.

Uso de delegaciones a nivel de directivas de grupo.

Tratamiento y filtrado a nivel de GPO.

Implementar un almacn central.


Introduccin
Una directiva de grupo permite implemantar parmetros de configuracin para un conjunto de equipos
o de usuarios. La gestin se realiza de forma centralizada en el controlador de dominio.
Informacin general de las directivas de grupo
Para controlar el entorno de los puestos de trabajo, el administrador puede implementar directivas de
grupo.

1. Los componentes de una directiva de grupo


Una GPO (Group Policy Object - Directiva de grupo) contiene uno o ms parmetros para los
usuarios y equipos. Estas directivas se almacenan en SYSVOL y se gestionan mediante la
consolaAdministracin de directivas de grupo (GPMC). La consola Editor de administracin de
directivas de grupo permite modificar los diferentes parmetros. Las GPO estn vinculadas a un
contenedor de Active Directory (unidad organizativa, UO), para que cada objeto contenido en la OU
reciba la directiva de grupo. Es posible configurar varios miles de parmetros, aunque cada nueva
versin aporta un lote de parmetros. Observe, sin embargo, que muchos de ellos no son
compatibles con las versiones ms antiguas. En este caso, el equipo que recibe la directiva de grupo
ignora el parmetro. Si un administrador vincula a un equipo con sistema operativo Windows XP una
directiva de grupo que contiene dichas preferencias, stas no se aplican si las CSE (Client Side
Extensions - Extensiones del lado cliente) no estn instaladas. Estos componentes se encuentran en
el sistema operativo Microsoft y tienen la responsabilidad de aplicar los parmetros recibidos por
una directiva de grupo. Existen tantas extensiones del lado cliente como tipos de parmetros.

Una directiva de grupo contiene dos tipos de configuracin:

Configuracin de usuario: modificacin de la clave HKEY_Current_User.

Configuracin del equipo: modificacin de la clave HKEY_Local_Machine.

En estos dos tipos de configuracin, se puede emplear tres categoras de parmetros:

Configuracin de software: contiene la informacin acerca del software que se puede


implementar.

Configuracin de Windows: podemos configurar los parmetros de seguridad y scripts para


los usuarios y equipos.

Plantillas administrativas: se incluyen miles de parmetros. Estos permiten configurar el


registro para personalizar el entorno del usuario (bloquear algunos mens, etc.). Pueden
crearse y utilizarse plantillas personalizadas, adicionalmente es posible descargar desde
Internet paquetes de plantillas (por ejemplo, de Office).

El nodo Preferencias de la consola proporciona los parmetros suplementarios para la configuracin


del entorno. Este punto se aborda con detalle ms adelante.
2. Directiva de grupo local mltiple
Con los sistemas operativos anteriores a Windows Vista, solo es posible configurar una directiva de
grupo local. sta se aplica al conjunto de usuarios que se conectan al equipo en local. Esta
caracterstica se ha mejorado con Windows Vista y permite en adelante la creacin de varias
directivas de grupo locales. Es ms fcil aplicar configuraciones diferentes a varios usuarios.

Es posible crear tres tipos de directivas:

Equipo local: contiene los parmetros de usuarios y equipos.

Administradores o No administradores: contiene los parmetros de usuario exclusivamente,


este tipo de directiva pueden crearla los administradores (se aplica al conjunto de miembros
del grupo de administradores locales) o los no-administradores (se aplica al conjunto de
usuarios locales).

Usuario especfico: la directiva se aplica solamente al usuario seleccionado.

El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.

3. Almacenamiento de los diferentes componentes de una GPO


Las directivas de grupo se almacenan en dos contenedores:

El GPT (Group Policy Template) contiene los parmetros de seguridad, los scripts y los parmetros
vinculados al registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta
Sysvol.

El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este ltimo identifica de forma unvoca al objeto en AD
DS. El GPC define atributos tales como el vnculo o el nmero de versin. Podemos encontrar el
mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.

Durante la actualizacin de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del
lado cliente (CSE) recuperan los parmetros y los aplican si ha habido una modificacin. El nmero
de versin permite identificar esta modificacin. En efecto, el nmero almacenado en el
archivogtp.ini (SYSVOL\GUIDGPO\gpt.ini) se incrementa con cada cambio o parmetro agregado.
4. Las preferencias en las directivas de grupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir ms de 20 extensiones de
directiva de grupo. Esta funcionalidad permite la reduccin de los scripts empleados por el inicio de
sesin (conexin de unidad de red...).

Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.

Las preferencias se aplican a un usuario o equipo, adems dichos parmetros no son obligatorios,
un usuario puede modificar el parmetro configurado por las preferencias (desactivar el uso del
proxy, etc.).

Al igual que para las directivas, la aplicacin de las preferencias se efecta al arrancar, al apagar el
equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parmetros configurados en las
preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. La
eliminacin puede operarse indicndolo explcitamente.

La asignacin de las preferencias a los puestos cliente (que permite implantar los criterios a
respetar para aplicar los parmetros, por ejemplo ser miembro de un grupo o ejecutar un sistema
operativo en particular) se efecta de una forma ms fina que usando una directiva de grupo. En
efecto, podemos atribuir las preferencias a los equipos en funcin del sistema operativo... Esta
funcionalidad es configurable solamente en las directivas de dominio.

Entre los parmetros configurables en las preferencias, podemos encontrar:

Asignacin de una unidad de red o de una impresora

Creacin de un acceso directo

Configuracin de opciones de alimentacin

Configuracin de opciones de Internet Explorer

5. Nociones de las GPO de inicio


Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva GPO,
sta puede crearse a partir de un objeto GPO de inicio. De esta forma la nueva directiva recupera
el conjunto de parmetros configurados. Esta caracterstica permite la misma configuracin bsica
para el conjunto de las directivas de grupo.

Los nicos parmetros que pueden estar contenidos en este tipo de objeto son los contenidos en
las plantillas administrativas de usuario y equipo.

Estas GPO de inicio pueden exportarse a un archivo con la extensin cab (archivo Cabinet). De esta
forma se facilita la distribucin y carga de estos archivos en otro sitio. Esta operacin de distribucin
es posible porque estos archivos son independientes del bosque o dominio en el que se crean.

Esta caracterstica puede emplearse en varios casos:

Los parmetros de Internet Explorer deben ser comunes en todas las reas de la empresa.

Uno o varios parmetros deben aplicarse a todos los porttiles de x sitios de la empresa.

Aunque la base es comn a todas las directivas o todas las reas de la empresa, es posible aadir
parmetros adicionales en la directiva. Esto permite responder por ejemplo a una problemtica
especfica de una de las reas.

La creacin se efecta desde la consola Administracin de directivas de grupo (GPMC). Es posible


crear la carpeta de objetos GPO de inicio, que contiene un conjunto de directivas predefinidas.
Podemos modificar estas directivas o crear nuevas.

Despus de crear la carpeta, las nuevas directivas se encuentran en la carpeta SYSVOL.


Al igual que para con las dems directivas, una parte se almacena en el GPC, y la otra en el GPT.

6. Implementacin de una delegacin a nivel de GPO


Todos los administradores tienen la posibilidad de implementar delegaciones. Esta accin provee a
los usuarios la posibilidad de administrar las directivas de grupo. La gestin y creacin de directivas,
la creacin de filtros WMI... son tambin acciones que puede realizar un usuario al que se ha
delegado la administracin.

Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las
diferentes directivas de grupo:

Administradores de dominio

Administradores de empresas
CREATOR OWNER

Sistema local

Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicacin de la directiva de grupo.

Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio,
empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un
usuario, debemos agregarlo en la pestaa Delegacin del contenedor Objetos de directiva de
grupo.

Para vincular una GPO a un contenedor, el usuario o el grupo debe poseer los permisos adecuados
en el contenedor deseado.
Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorizacin de conectarse a un
controlador de dominio. La administracin debe hacerse desde su equipo.
Tratamiento de directivas de grupo
Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicacin se realiza en
un orden estricto.

1. Los vnculos de una directiva de grupo


Despus de la etapa de creacin y de prueba (en un entorno de prueba), debemos efectuar la
puesta en produccin y unir la directiva a su contenedor definitivo. Esta unin consiste en establecer
un vnculo entre la GPO y uno o ms contenedores. Tres tipos de contenedores pueden recibir
directivas de grupo:

Sitios

Dominios

Unidades organizativas

La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores.


Podemos limitar la aplicacin de la configuracin a un nmero restringido de usuario o de equipos,
reemplazando el grupo Usuarios autentificados por un grupo de seguridad creado previamente.

Es posible, a continuacin, deshabilitar el vnculo. Esta operacin implica eliminar las modificaciones
aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede
impactar en la productividad.

Es imposible aplicar un vnculo directamente a un usuario, grupo o equipo. La unidad organizativa es


el ltimo objeto al que se puede efectuar un vnculo.

2. La aplicacin de una directiva de grupo


Los parmetros contenidos en la Configuracin del equipo se aplican al iniciar el equipo y luego
siguiendo un intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se ejecutan
solamente al arrancar el equipo. Los controladores de dominio ejecutan una actualizacin de su
configuracin cada 5 minutos.

A diferencia de los parmetros del equipo, los parmetros de la parte usuario se aplican durante el
inicio de sesin del usuario. El intervalo de tiempo es, sin embargo, idntico. Los scripts se ejecutan
durante el inicio de sesin.

En ciertos casos (redireccin de carpeta...), la aplicacin del parmetro solo se ejecuta durante el
primer inicio de sesin. El usuario est obligado a cerrar y reiniciar la sesin. Esto se debe a que se
utilizan los identificadores puestos en cach para abrir la sesin ms rpidamente. Los parmetros
se vuelven a aplicar mientras el usuario cuente con una sesin abierta. Es posible modificar el
intervalo de configuracin, para ello debemos modificar el parmetro presente en el
nodoConfiguracin del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de
grupo.

Encontramos los mismos parmetros en la parte de usuario. Sin embargo existe una excepcin
relativa a los parmetros de seguridad. Estos ltimos se aplican cada 16 horas sea cual sea el
intervalo configurado.

Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate.

A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la
consola GPMC. Haciendo clic con el botn derecho en una unidad organizativa, un administrador
tiene acceso a la opcin Actualizacin de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.

Se abre una ventana que muestra al administrador el resultado de la operacin.


Al realizar esta operacin, la mayora de los equipos estaban desconectados, esto explica el gran
nmero de errores.

3. Orden de aplicacin de una directiva de grupo


Las directivas de grupo se aplican al equipo en funcin de un orden estricto. La primera directiva que
se aplica al puesto es la directiva local (si existe una directiva presente). A continuacin, se
recuperan y aplican las GPO de dominio, siendo la primera la GPO del sitio AD. Se recuperan
entonces Default Domain Policy y cualquier otra directiva ubicada en la raz del dominio, por ltimo se
aplican las ubicadas en una OU o sub OU.
El vnculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario), se debe
vincular a un contenedor (OU, dominio...). En caso de conflicto entre un parmetro de dos directivas
diferentes, tiene precedencia la ltima aplicada. Para modificar este orden de prioridad, es posible
bloquear la herencia o aplicar (forzar) una directiva. Esta ltima opcin no est libre de
consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta opcin y puede anular el
bloqueo de la herencia. La aplicacin se activa haciendo clic con el botn derecho en la directiva de
grupo especfica y luego seleccionando la opcin Aplicar.

4. Las directivas predeterminadas


Durante la creacin de un dominio Active Directory, se crean automticamente dos directivas:
laDefault Domain Policy y la Default Domain Controllers Policy.

La Default Domain Policy esta vinculada a la raz del dominio, lo que permite aplicarla al conjunto
de usuario y equipos del dominio por herencia. Ella contiene la poltica de seguridad predeterminada
(parmetros de contrasea, bloqueo...). Si se deben aplicar otros parmetros al conjunto de objetos
del dominio, es preferible crear una nueva directiva y luego vincularla a la raz del dominio.

La Default Domain Controllers Policy est vinculada a la unidad organizativa Domain Controllers,
de modo que solamente la reciben los controladores de dominio. sta permite configurar el sistema
de auditora y asignar permisos suplementarios (abrir una sesin en un controlador de dominio...).

5. Los filtros de seguridad


Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor y sub
contenedores. Ciertas directivas (instalacin de software...) necesitan, sin embargo, que se
implemente un filtro un poco ms estricto. Para ello, es preciso modificar el filtro de seguridad para
contener solamente el grupo autorizado. Dicho grupo contendr solamente los usuarios o equipos
afectados.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el conjunto
de usuarios y equipos autentificados por un controlador de dominio pueden leer y aplicar la GPO.

Se pueden configurar permisos ms granulares configurando la ACL (Access Control List). Esto hace
que sea mucho ms fcil filtrar a las personas que pueden recibir y aplicar la configuracin. Para
acceder a esta lista de control de acceso, haga clic en el botn Opciones avanzadas en la
pestaaDelegacin.

Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho ms


granulares.

Tenga cuidado de no abusar del permiso Denegar, que es prioritario.


Despliegue de un almacn central
Las plantillas administrativas contenidas en la consola Editor de administracin de directivas de
grupo estn contenidas en la carpeta PolicyDefinitions de cada servidor.

Para utilizar una carpeta nica para todos los servidores, debemos desplegar un almacn central.

1. Presentacin del almacn central


El almacn central permite a los diferentes controladores de dominio basarse
en archivosADMX/ADML contenidos en un punto central, llamado almacn central. Esta
funcionalidad consiste en desplazar el conjunto de los archivos utilizados por las plantillas
administrativas a la carpetaSYSVOL.

El almacn central se detecta, automticamente, al abrir la consola Editor de administracin de


directivas de grupo. De esta forma, sea cual sea la versin del sistema operativo, los archivos
utilizados son siempre idnticos. Adicionalmente esta funcionalidad hace que el uso de las plantillas
administrativas sea ms fcil, pues ya no es necesario copiar los
archivos ADMX y ADMLpersonalizados. La copia en la carpeta SYSVOL permite una replicacin a
todos los controladores de dominio.

Para crear el almacn central, bastar con desplazar la carpeta PolicyDefinitions a la


carpetaC:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.
Los archivos ADML deben copiarse, tambin, a la carpeta, la pantalla previa muestra los
archivosADMX as como los archivos de idioma almacenados en la carpeta es-ES.

2. Las plantillas administrativas


Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave a
modificar y el valor a configurar para los estados Habilitado o Deshabilitado. Este tipo de archivo es
neutro a nivel de idioma, puede utilizarse en sistemas operativos en ingls, espaol

El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarn. A
diferencia del formato ADM, la creacin de un archivo personalizado es muy simple, sin embargo es
necesario estar familiarizado con el lenguaje XML.

Los diferentes parmetros se escriben en la base del registro a nivel de las


clavesHKEY_LOCAL_MACHINE para la configuracin del equipo y HKEY_CURRENT_USER para la
configuracin del usuario.

Ejemplo de un archivo ADMX


Se asocia un archivo ADML a este archivo ADMX.

Ejemplo de un archivo ADML

Las plantillas administrativas permiten responder a la mayora de las necesidades de


personalizacin del entorno de usuario. Cada parmetro contenido en el archivo ADMX est
vinculado a un parmetro en el registro.

3. Parmetros administrados y no administrados


Existen dos tipos de parmetros en una directiva de grupo: los parmetros administrados y los no
administrados. La mayora de los parmetros tienen estado administrado. As, cuando la cuenta de
usuario o equipo no siga formando parte del mbito de la directiva de grupo (desplazamiento a otra
OU, por ejemplo), los parmetros contenidos en la misma sern eliminados. El valor predeterminado
configurado por el sistema operativo tomar el lugar del parmetro configurado en la GPO. De forma
inversa, los parmetros no administrados modifican el registro y no se eliminan aunque la cuenta
deje de formar parte del mbito de la directiva de grupo.

Para invertir la configuracin, hay que modificar la directiva para indicar lo opuesto a lo que est
configurado. Ciertos parmetros contenidos en las preferencias son parmetros no administrados.

Con los parmetros administrados, el usuario no tiene la posibilidad de modificar los parmetros.
Los cambios se realizan en zonas especficas del registro, donde solo los administradores tienen
acceso:

HKLM\Software\Policies

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies

HKCU\Software\Policies

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

4. Utilizacin de los filtros en las plantillas administrativas


Las plantillas administrativas contienen multitud de parmetros configurables. Para facilitar la
bsqueda, Microsoft ha implementado a partir de Windows Server 2008 una funcionalidad de
filtrado.

Es posible buscar los parmetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de administracin de
directivas de grupo. El men contextual de las plantillas administrativas (accesible haciendo clic con
el botn derecho) permite acceder a la opcin Opciones de filtro.
La ventana contiene varias zonas. La primera de ellas est compuesta por tres listas desplegables:

Administrado: permite determinar si el parmetro filtrado es un parmetro administrado o no


administrado.

Configurado: permite mostrar solo los parmetros que estn configurados en la directiva de
grupo.

Comentado: este parmetro es idntico al anterior, filtra sin embargo por los comentarios
dejados en la directiva.

La segunda zona permite filtrar por palabras clave mientras que la tercera y ltima filtra por
aplicacin o plataforma (Windows Server 2003, Internet Explorer 10).

Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se
muestran los parmetros que contengan la palabra Ejecutar.
La bsqueda de los parmetros es as ms simple y rpida.
Talleres
Los talleres permiten poner en prctica las diferentes funcionalidades estudiadas (GPO de inicio,
preferencias...).

1. Implementar un almacn central


Objetivo: puesta en marcha de la funcionalidad almacn central para el dominio Formacion.local.

Mquina virtual utilizada: AD1.

Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:).

Haga doble clic en Windows y luego copie la carpeta PolicyDefinitions.

Haga doble clic en la carpeta SYSVOL ubicada en la carpeta Windows.

Abra las carpetas domain y Policies y luego pegue la carpeta PolicyDefinitions.


Inicie la consola Administracin de directivas de grupo.

Despliegue los nodos Bosque, Dominios y luego Formacion.local.

Haga clic con el botn derecho en Defaut Domain Policy y seleccione Editar.

Haga doble clic en Directivas.

Las plantillas administrativas se han recuperado correctamente del almacn central.

Los archivos ADMX y ADML se replicarn, ahora, en el conjunto de controladores de dominio.

2. Creacin de una directiva de grupo


Objetivo: implementar una directiva de grupo para configurar un equipo cliente que ejecuta Windows
8.

Mquinas virtuales utilizadas: AD1, CL8-01.

Arranque el equipo AD1 y abra una sesin como administrador.

Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo y luego, en el men contextual,
haga clic en Nuevo.

En el campo Nombre, introduzca Parmetros de puesto cliente y luego haga clic en Aceptar.

Aparece la nueva directiva, pero no est vinculada.


Haga clic con el botn derecho en Editar.

En la consola Editor de administracin de directivas de grupo, despliegue los


nodosConfiguracin de usuario, Directivas y luego Plantillas administrativas.

Despliegue el nodo Componentes de Windows y luego haga clic en Internet Explorer.


Haga clic en el parmetro Deshabilitar la configuracin de la pgina Opciones avanzadas.

Marque el botn Habilitada y luego haga clic en Aceptar.

Esta vez haga doble clic en el parmetro Impedir administracin del filtro SmartScreen.

Marque la opcin Habilitada y, a continuacin, en la lista desplegable Seleccionar modo de filtro


SmartScreen seleccione Activado.
Haga clic en Aceptar y luego cierre la ventana Editor de administracin de directivas de grupo.

Haga clic con el botn derecho en la unidad organizativa Form y luego, en el men contextual,
seleccione Vincular una GPO existente.

Seleccione Parmetros de Puesto cliente y luego haga clic en Aceptar.


La directiva de grupo est ahora vinculada a la OU.

Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form.

Inicie el equipo CL8-01 y abra una sesin como Alumno 1.

Si el equipo ya est arrancado, ejecute el comando gpupdate /force.

Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el men.

Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opcin Desactivar el
filtro SmartScreen est deshabilitada.

En el men Herramientas, haga clic en Opciones Internet y luego en la pestaa Opciones


avanzadas.

Todos los parmetros deben estar deshabilitados.


La directiva de grupo se ha aplicado correctamente.

3. Creacin de una GPO de inicio


Objetivo: crear una GPO de inicio que podr utilizarse como base para todas las dems directivas.

Mquina virtual utilizada: AD1.

Arranque el equipo AD1 y abra una sesin como administrador.

Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.

En la carpeta GPO de inicio, haga clic en el botn Crear la carpeta de GPO de inicio para
proceder a la creacin de la carpeta (panel derecho), a continuacin haga clic con el botn
derecho en el nodo GPO Inicio y, en el men contextual, haga clic en Nuevo.

En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic en Editar.

Solo estn presentes las plantillas administrativas.

Despliegue los nodos Configuracin del equipo, Plantillas administrativas, Componentes de


Windows y luego Agregar caractersticas a Windows 8.1.

Haga doble clic en el parmetro Impedir que el asistente se ejecute.

Marque la opcin Habilitada y luego haga clic en Aceptar.


Efecte la misma operacin para el parmetro Configuracin de usuario - Plantillas
administrativas - Active Desktop - habilitar Active Desktop.

Cierre el Editor de objetos de directiva de grupo y luego, en la consola Administracin de


directivas de grupo, haga clic en Objetos de directiva de grupo.

Haga clic con el botn derecho en el contenedor y, a continuacin, haga clic en Nuevo.

Introduzca Prueba GPO inicio en el campo Nombre y luego, en la lista desplegable GPO de
inicio de origen, seleccione la directiva que acabamos de crear.
Haga clic en Aceptar y seleccione la directiva Prueba GPO inicio.

Empleando la pestaa mbito, podemos ver que el campo Ubicacin est vaco. La directiva no est
de momento vinculada a ningn contenedor.

Haga clic en la pestaa Configuracin.


Se encuentran todos los parmetros configurados para el objeto GPO de inicio.

4. Implementacin de preferencias
Objetivo: creacin de una GPO que contenga las preferencias y su aplicacin en el equipo.

Mquinas virtuales utilizadas: AD1 y CL8-01.

Arranque el equipo AD1 y abra una sesin como administrador.

Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.

Haga clic con el botn derecho en Objetos de directiva de grupo, a continuacin, en el men
contextual, haga clic en Nuevo.

En el campo Nombre, introduzca Configuracin preferencias y luego haga clic en Aceptar.

Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic en Editar.

Despliegue el nodo Configuracin de usuario, Preferencias y luego haga clic en Configuracin


de Windows.

Haga doble clic en Carpetas y a continuacin, en el panel central, haga clic con el botn derecho y
seleccione Nuevo y luego Carpeta.

En la lista desplegable Accin, seleccione Crear y luego introduzca C:\Conta2013 en Ruta de


acceso.
Seleccione la pestaa Comunes y luego marque Destinatarios de nivel de elemento.

Haga clic en el botn Destinatarios.


En la lista Nuevo elemento, seleccione Sistema operativo.

En la lista desplegable Producto, seleccione Windows 8.1.


Se despliega un filtro, la directiva se aplica solamente a los equipos que ejecutan Windows 8.1.

Haga clic dos veces en Aceptar para validar las modificaciones.

Haga clic en Configuracin del Panel de control y luego haga clic con el botn derecho
enConfiguracin de Internet.

En el men contextual, seleccione Nuevo y luego Internet Explorer 10.

En Pgina principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la modificacin.

La lnea en el campo se torna verde. Sin la validacin de la tecla [F6], el parmetro no estar
actualizado.

Marque la opcin Eliminar el historial de exploracin al salir.


Haga clic en la pestaa Conexiones y luego en el botn Configuracin de LAN.

Marque la casilla Usar servidor proxy para la LAN y luego introduzca la


direccin192.168.1.200 y el puerto 8080 en los campos adecuados.

Recuerde validar con la tecla [F6].


Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administracin de directivas
de grupo.

Haga clic con el botn derecho en la unidad organizativa Form y luego, en el men contextual,
seleccione Vincular un GPO existente.

Seleccione Parmetros de Puesto cliente y luego haga clic en Aceptar.

En el equipo CL8-01, abra una sesin como Alumno1 y luego inicie un smbolo del sistema e
introduzca el comando gpupdate /force.

Inicie el Explorador de Windows y luego acceda a la particin C:. La carpeta se ha creado


correctamente.

Inicie Internet Explorer y luego acceda a las Opciones de Internet.

La pgina principal se ha configurado correctamente, as como la opcin Eliminar el historial de


exploracin al salir.
Seleccione la pestaa Conexiones y luego haga clic en el botn Configuracin de LAN.
La configuracin se ha efectuado correctamente.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cuntas directivas de grupo locales podemos implantar en un puesto Windows 8?

2 Cmo se llaman las dos consolas utilizadas para administrar las directivas de grupo?

3 Qu claves del registro se modifican al utilizar la Configuracin de usuario y la Configuracin


del equipo?

4 Dnde se almacenan los diferentes componentes de la GPO y cmo se replican?

5 Qu es una extensin de lado del cliente?

6 Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?

7 Cul es el objetivo de una GPO de inicio?

8 Cul es el orden de aplicacin de una GPO?

9 En qu momento se aplica una directiva de grupo?

10 Es posible forzar una actualizacin desde la consola GPMC?

11 Cules son las directivas de grupo predeterminadas?

12 En qu consiste el filtrado de seguridad?

13 Cmo creamos un almacn central?

14 Cmo est compuesta una plantilla administrativa?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 11 puntos para
aprobar el captulo.

3. Respuestas
1 Cuntas directivas de grupo locales podemos implantar en un puesto Windows 8?

A diferencia de los sistemas operativos anteriores a Windows Vista que permitan la creacin de
una nica directiva de grupo local, ahora es posible crear varias directivas de grupo: para el equipo
local, para el grupo Administradores, para el grupo No Administradores o para un usuario especfico.

2 Cmo se llaman las dos consolas utilizadas para administrar las directivas de grupo?

Para administrar las diferentes directivas de grupo, debemos utilizar la consola Administracin de
directivas de grupo (GPMC) y el Editor de administracin de directivas de grupo (GPME).

3 Qu claves del registro se modifican al utilizar la Configuracin de usuario y la Configuracin


del equipo?

Los parmetros contenidos en la parte Configurcin del usuario modifican la clave


HKEY_Current_User, mientras que se emplea la clave HKEY_Local_Machine para la Configuracin el
equipo.

4 Dnde se almacenan los diferentes componentes de la GPO y cmo se replican?

La directiva de grupo est compuesta de dos partes, la GPC (Group Policy Container) y la GPT
(Group Policy Template). La GPC, que contiene el ID y el nmero de versin, se replica con Active
Directory mientras que la GPT, que contiene los diferentes parmetros, se replica con el sistema de
replicacin de la carpeta SYSVOL. La GPT se almacena en SYSVOL.
5 Qu es una extensin de lado del cliente?

Una CSE o extensin del lado cliente se encuentra en el sistema operativo. Tiene como objetivo
recuperar la configuracin y aplicarla. Existen tantas extensiones del lado cliente como tipos de
parmetros.

6 Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?

Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar, instalar
las extensiones adecuadas en el lado cliente.

7 Cul es el objetivo de una GPO de inicio?

Una GPO de inicio permite crear plantillas de configuracin en las plantillas administrativas.
Durante su creacin, los administradores tienen la posibilidad de crear la directiva basndose en la
plantilla (los parmetros se agregarn, tambin, a las nuevas directivas).

8 Cul es el orden de aplicacin de una GPO?

Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva local, se
aplica la directiva de sitio AD. A continuacin, se aplica la directiva de dominio y, por ltimo, se
recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas.

9 En qu momento se aplica una directiva de grupo?

Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operacin se efecta
al arrancar el equipo o tras iniciar sesin. La recuperacin de la directiva solo se efecta si ha
habido una modificacin. La directiva que se atribuye a un controlador de dominio se recupera cada
5 minutos. Por ltimo, los parmetros de seguridad se aplican cada 16 horas incluso si no ha
ocurrido ninguna modificacin.

10 Es posible forzar una actualizacin desde la consola GPMC?

Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualizacin de las
diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener que
ejecutar el comando gpupdate /force en el equipo local.

11 Cules son las directivas de grupo predeterminadas?

Al promover un servidor, se crean dos directivas de grupo. Ubicada en la raz del dominio, la
directiva Default Domain Plocy contiene los parmetros de seguridad. Se aplica al conjunto de
objetos del dominio. La directiva Default Domain Controllers Policy se vincula a la unidad
organizativa Domain Controllers. Permite por su parte configurar los registros de auditora en los
controladores de dominio o proporcionar derechos suplementarios a los usuarios (abrir una sesin
en un controlador de dominio, etc.).

12 En qu consiste el filtrado de seguridad?

Este tipo de filtrado permite limitar la recuperacin de una directiva a los miembros del grupo que
est configurado en el Filtrado de seguridad.

13 Cmo creamos un almacn central?

Se puede crear un almacn central simplemente copiando la carpeta PolicyDefinitions en


C:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.

14 Cmo est compuesta una plantilla administrativa?

Una plantilla administrativa est compuesta por un archivo ADMX, que contiene las claves a
modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo ADML viene a
completar al archivo anterior. Por su parte contiene los textos de ayuda.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos acerca del funcionamiento de la UAC.

Poseer nociones sobre los parmetros de seguridad (plantilla de seguridad, etc.).

Tener nociones acerca del Firewall de Windows.

2. Objetivos
Creacin de la plantilla de seguridad e implantacin de los derechos de usuario.

Configuracin de la UAC e implantacin de una poltica de auditora.

Uso de los grupos restringidos.

Implantacin de una poltica de restriccin de software.

Configuracin del Firewall.


Introduccin
La proteccin de la infraestructura de sistema y de red debe ser una prioridad para todos los
administradores. Se deben desplegar soluciones de seguridad para evitar la prdida de datos.
Configuracin de los parmetros de seguridad
Para simplificar el despliegue de una solucin de seguridad, podemos emplear directivas de grupo.
Esto permite aplicar la solucin a un mximo de usuarios y equipos.

1. Creacin de una plantilla de seguridad


Una plantilla de seguridad se presenta en forma de archivo. ste permite la gestin y la
configuracin de los parmetros de seguridad. Podemos configurar los parmetros en las siguientes
secciones:

Poltica de contrasea, bloqueo y Kerberos.

Auditora y derechos de usuario.

Registros de eventos de aplicacin, sistema y seguridad.

Miembro de grupos restringidos.

Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o ms
equipos. Se pueden utilizar varias herramientas para efectuar esta operacin.

Secedit.exe: esta herramienta por lnea de comandos permite configurar y analizar la


seguridad. Se efecta una comparacin entre la plantilla de seguridad y los parmetros en
curso.

El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes
parmetros de seguridad.

Configuracin y anlisis de la seguridad tiene como objetivo analizar la configuracin del


servidor y compararla con una plantilla. En caso de detectar diferencias, es posible volver a
aplicar la plantilla.

2. Configuracin de los derechos de usuario


Los derechos de usuario permiten asignar a un usuario permisos suplementarios. stos permiten
realizar acciones especficas normalmente prohibidas a una cuenta que no posee permisos de
administrador.

Podemos dividir los permisos en dos tipos:

Los privilegios que permiten el acceso a un equipo o un recurso del dominio que
proporcionan al usuario permisos para realizar una accin (por ejemplo: permiso para
guardar archivos y carpetas).

Los derechos de inicio de sesin que atribuyen los permisos de inicio de sesin (por
ejemplo: conexin local para el usuario a un controlador de dominio).

No existen permisos configurados de forma predeterminada para las directivas de grupo. La


configuracin se puede efectuar accediendo al nodo Asignacin de derechos de usuario.

Este nodo est accesible desplegando los nodos Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Directivas locales.
Estos parmetros pueden emplearse para efectuar varias operaciones:

Aadir un equipo al dominio.

Autorizar la conexin en local.

Autorizar sesiones Terminal Server.

Hacer copia de seguridad de archivos y carpetas.

Cambiar la hora.

3. Configuracin de la UAC (User Account Control)


Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos que
ofrecen al usuario que inicie sesin con ellas (modificar el Registro, cambiar la configuracin de
Windows...). Es preferible proteger estas cuentas para garantizar un buen funcionamiento del
sistema operativo y la integridad de los datos.

La UAC (User Account Control) hizo su aparicin con Windows Vista y Windows Server 2008. Esta
funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una
confirmacin cuando un proceso necesita permisos de administracin. Si la persona conectada no es
un administrador, se solicitan los identificadores de una cuenta de administrador.

De esta forma, los usuarios estndar y los administradores se encuentran por defecto con los
mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar
permisos ms elevados, la UAC efecta una elevacin de privilegios. De esta forma, solo el proceso
que solicita la elevacin funciona con permisos de administrador. Son posibles dos acciones:

El usuario es administrador: la UAC solicita a la persona conectada la autorizacin para


continuar la ejecucin del proceso que necesita permisos de administracin.

El usuario es un usuario estndar: es necesario informar credenciales de una cuenta con


permisos de administracin.
El componente de la UAC puede configurarse para ajustar la frecuencia de la notificacin.

Esta funcionalidad puede configurarse accediendo al nodo Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Directivas locales - Opciones de
seguridad.

Mediante esta lista de parmetros, podemos encontrar:

Control de cuentas de usuario: comportamiento de la peticin de elevacin para los


administradores en Modo de aprobacin de administrador: permite controlar el
comportamiento de la peticin de elevacin. Este parmetro se aplica solamente a la cuenta
Administrador. Existen varias opciones:

Elevar sin preguntar: las operaciones que necesiten la elevacin de privilegios se realizan
sin solicitar al usuario la autorizacin de elevar el privilegio.

Pedir credenciales en el escritorio seguro: se solicitan las credenciales de elevacin de


privilegios en el escritorio seguro.

Pedir consentimiento en el escritorio seguro: cuando se ejecuta un proceso que requiere


permisos de administracin, se pide al usuario que autorice o deniegue esta elevacin de
privilegios. En caso de aceptacin, se asignan los mximos permisos del usuario para
ejecutar el proceso.
Control de cuentas de usuario: comportamiento de la peticin de elevacin para los
usuarios estndar: permite gestionar el comportamiento de la peticin de elevacin para las
cuentas que no cuentan con permisos de administracin. Existen varias opciones disponibles:

Pedir credenciales: se pide al usuario que introduzca un nombre de usuario y una


contrasea cuando debe realizarse la elevacin de privilegios.

Rechazar solicitudes de elevacin automticamente: el usuario no tiene la posibilidad de


hacer una elevacin de privilegios. Si el proceso tiene necesidad de privilegios superiores
se muestra un mensaje de acceso denegado.

Pedir credenciales en el escritorio seguro: al intentar elevar los privilegios, la


introduccin de las credenciales se efecta en el escritorio seguro.
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmacin
de elevacin: permite autorizar la solicitud de elevacin al instalar una aplicacin. Existen dos
opciones disponibles:

Habilitada: se muestra la ventana de elevacin de privilegios durante la instalacin de una


aplicacin.

Deshabilitada: no se pide elevacin de privilegios. Seleccione esta opcin con la instalacin


automtica de una aplicacin (GPSI, SCCM...).
Por defecto, la UAC no est habilitada en un servidor instalado en modo Core.

4. Implantacin de una directiva de auditora


La directiva de auditora es un punto muy importante. Permite seguir la actividad de los usuarios
(inicio de sesin, acceso a un recurso...). Esta funcionalidad no est concebida para espiar a los
usuarios sino para detectar un intento de acceso no autorizado a un recurso. Estas auditoras se
implementan en varios servidores y pueden incluir accesos correctos o errneos. Todos estos
eventos se registran en el registro de eventos de seguridad.

Se pueden auditar varios eventos en una directiva de seguridad:

Las modificaciones hechas por el grupo Administradores.

Los accesos a una carpeta compartida efectuados por un usuario o grupo.

Los intentos de conexin a un servidor o equipo concreto.

Todos esto parmetros se pueden configurar accediendo al nodo Directiva de auditora ubicado
enConfiguracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad -Directivas locales - Directiva de auditora.
Es posible activar varios tipos de parmetros:

Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto
de Active Directory. Es preciso configurar la SACL (System Access Control List).

Auditar el acceso a objetos: audita objetos no Active Directory. La SACL debe estar tambin
configurada con un grupo o cuenta de equipo, al igual que el acceso solicitado (escritura,
lectura).

Auditar eventos de inicio de sesin: permite al sistema operativo auditar los intentos de
conexin y desconexin del equipo.

Auditar eventos de inicio de sesin de cuenta: indica al sistema operativo que debe auditar
cada validacin de credenciales de cuenta.

Podemos acceder a los parmetros avanzados del sistema de auditora desde Configuracin del
equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Configuracin de
directiva de auditora avanzada - Directivas de auditora.
La activacin de la auditora sobre las acciones correctas puede generar un gran nmero de eventos
en el registro Seguridad.

5. Utilizacin de los grupos restringidos


Los grupos restringidos permiten gestionar los miembros de algunos grupos. Para agregar una lista
de usuarios al grupo de Administradores locales de cada equipo, debemos utilizar los grupos
restringidos para automatizar esta operacin. Sin embargo, esta operacin puede en algunos casos
borrar completamente la lista de los miembros del grupo. La lista se reemplaza por aquella
configurada en el grupo restringido. Estos parmetros pueden utilizarse para configurar las cuentas
locales como hemos visto anteriormente, o simplemente los grupos del dominio.

Los grupos restringidos pueden configurarse empleando el nodo Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Grupos restringidos.
Implantacin de una restriccin de software
Esta funcionalidad no permite evitar la instalacin de un software pero si su ejecucin. Esto permite
prohibir la ejecucin de una aplicacin no autorizada por el departamento de TI.

1. La directiva de restriccin de software


Esta funcionalidad aparece con Windows XP y 2003 Server. Proporciona a los administradores las
herramientas necesarias para identificar y autorizar o prohibir la ejecucin de la aplicacin. Los
parmetros se despliegan empleando una directiva de grupo. An presente por razones de
compatibilidad, la restriccin de software est compuesta por reglas y niveles de seguridad.

Las reglas

Permiten indicar si la ejecucin de una aplicacin est autorizada. Las reglas estn basadas en uno
o varios criterios que se aplican a un archivo ejecutable:

Hash: firma del archivo.

Certificado: certificado digital emitido por el fabricante del ejecutable.

Ruta de acceso: ruta local o UNC que contiene los ejecutables a bloquear.

Zona: zona Internet.

Niveles de seguridad

Cada regla obtendr un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecucin del software definido en la regla. Existen tres niveles de seguridad:

No permitido: la aplicacin identificada en la regla no funciona, incluso para las cuentas de


administradores.

Usuario bsico: la aplicacin se ejecuta con permisos de usuario exclusivamente.

Ilimitado: los permisos de acceso del usuario permiten determinar la ejecucin o no de la


aplicacin.

Las restricciones de software pueden configurarse empleando el nodo Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas de restriccin
de software.
La funcionalidad AppLocker apareci con Windows Server 2008 y permite, a su vez, implementar
restricciones de software.

2. Utilizacin de AppLocker
AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Al
igual que para la restriccin de software, es posible controlar la ejecucin de una aplicacin. Esta
funcionalidad permite a los administradores implementar reglas de manera sencilla y se basa a su
vez en el despliegue de directivas de grupo. La regla se aplica a un usuario o grupo de seguridad de
Active Directory.

Podemos aplicar una regla para gestionar su ejecucin o utilizar la auditora para poder probar las
reglas antes de su implantacin. Los administradores pueden prohibir, por ejemplo, aplicaciones
cuyas licencias no hayan sido compradas. Solo el software validado por el departamento de
informtica estar autorizado a ejecutarse.

Se gestionan tres tipos de archivo:

Ejecutables

Scripts

Windows Installer (msi)

Las reglas de AppLocker permiten impedir el uso de una aplicacin y pueden utilizarse en varios
casos:

Aplicacin prohibida en la empresa (MSN, etc.).

Software reemplazado por una nueva versin u otro ms utilizado.

Aplicacin reservada a un departamento especfico.

Esta funcionalidad puede configurarse en el nodo Configuracin del equipo - Directivas -


Configuracin de Windows - Configuracin de seguridad - Directivas de control de aplicaciones.

Se utiliza el servicio Identidad de aplicacin para el funcionamiento de AppLocker. Si el servicio est


detenido, no se aplican las reglas.

Las reglas emplean varios criterios para identificar la aplicacin:

Editor: se basa en la firma digital del editor.

Ruta de acceso: autoriza o bloquea todos los ejecutables contenidos en la ruta de acceso
proporcionada.

Hash de archivo: se utiliza el hash para identificar la aplicacin y gestionar su ejecucin.

Aplicaciones empaquetadas: gestiona la ejecucin de una aplicacin incluida en el nuevo


men Inicio (SkyDrive, etc).

Tambin es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del
sistema operativo. stas contienen una accin (Permitir o Denegar) que rige el funcionamiento de la
aplicacin:

Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en
cualquier entorno.

Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios
Program Files y Windows.

Utilizando el editor de reglas podemos filtrar segn el nmero de versin, el nombre de producto...
Este tipo de regla ofrece la posibilidad de crear un filtro muy personalizado.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el trfico entrante y
saliente.

La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall
(creacin de reglas, activacin/desactivacin del Firewall...). Para acceder a la consola, en el
menInicio, introduzca Firewall. En el men de la derecha, haga clic en Firewall de Windows con
seguridad avanzada.

Las reglas de entrada se utilizan cuando los equipos efectan un intercambio de tramas con destino
al servidor. Todo el trfico entrante est bloqueado de manera predeterminada, con la excepcin del
que est explcitamente autorizado por el administrador. Las reglas de salida las inicia la mquina
host y estn destinadas a los otros equipos de la red o al exterior. El trfico saliente est autorizado
por defecto. Sin embargo es posible bloquearlo creando una regla.

Se puede configurar IPsec empleando reglas de seguridad de conexin. La operacin se efecta


mediante la consola Firewall de Windows con seguridad avanzada. Este tipo de reglas permiten
securizar una comunicacin entre dos equipos.

Tambin es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o exportar las
reglas creadas. La configuracin puede realizarse de forma manual en cada equipo o de forma
automtica utilizando la directiva de grupo (Configuracin del equipo - Directivas - Configuracin de
Windows - Configuracin de seguridad - Firewall de Windows con seguridad avanzada).

El firewall emplea los perfiles de red en las diferentes reglas que contiene. Tambin es posible indicar
si el firewall est activo o inactivo por perfil.

Resulta, ahora, mucho ms sencillo dar un juego de configuracin para cada red (privada, dominio o
pblica). Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del
Firewall.
Talleres
Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo.

1. Creacin de una plantilla de seguridad


Objetivo: efectuar la creacin de una plantilla de seguridad y luego importarla en la directiva de
grupo. A continuacin, se modificar la configuracin y se llevar a cabo una auditora mediante el
componente Configuracin y anlisis de la seguridad.

Mquina virtual utilizada: AD1.

En AD1, abra la consola MMC.

Haga clic en Archivo - Agregar o quitar complementos y luego haga clic en Plantillas de
seguridad.

Haga clic en Agregar y luego en Aceptar.

Despliegue el nodo Plantillas de seguridad y luego haga clic con el botn derecho en la carpeta.

En el men contextual, haga clic en Nueva plantilla.

En el campo Nombre de plantilla, introduzca Plantilla Admins. y luego haga clic en Aceptar.
Despliegue el nodo Plantilla Admins.

La consola presenta los diferentes parmetros.

Despliegue Directivas de cuenta y luego Directiva de contraseas.

Configure los parmetros como se indica a continuacin:

Exigir historial de contraseas: 16 contraseas

Vigencia mnima de la contrasea: 0 das

Vigencia mxima de la contrasea: 90 das

Almacenar contraseas con cifrado reversible: Deshabilitada

La contrasea debe cumplir los requisitos de complejidad: Habilitada

Longitud mnima de la contrasea: 12

Haga clic con el botn derecho en Plantilla Admins. y luego, en el men contextual, haga clic
enGuardar.

Inicie la consola Administracin de directivas de grupo, despliegue los


nodos Bosque yDominios.
Haga clic con el botn derecho en Defaut Domain Policy y luego haga clic en Editar.

Despliegue los nodos Configuracin del equipo, Directivas y Configuracin de Windows.

Haga clic con el botn derecho en Configuracin de seguridad y luego haga clic en Importar
directiva.

Haga doble clic en el archivo Plantilla Admins.

Los parmetros se importan en la directiva Default Domain Policy.


Modifique la directiva de grupo Default Domain Policy como se indica a continuacin:

Exigir historial de contraseas: 1 contrasea

Vigencia mnima de la contrasea: 0 das

Vigencia mxima de la contrasea: 200 das

Almacenar contraseas con cifrado reversible: Deshabilitada

La contrasea debe cumplir los requisitos de complejidad: Deshabilitada

Longitud mnima de la contrasea: 12

En la consola MMC, seleccione Raiz de consola.

Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuracin y
anlisis de seguridad.

Haga clic en el botn Agregar y luego en Aceptar.


Haga clic con el botn derecho en Configuracin y anlisis de seguridad y luego seleccione Abrir
base de datos en el men contextual.

Introduzca BDD Admins en el campo Nombre y luego haga clic en Abrir.

En la ventana importar plantilla, haga clic en Plantilla Admins y luego en Abrir.

Haga clic con el botn derecho en Configuracin y anlisis de seguridad y luego


seleccioneAnalizar el equipo ahora en el men contextual.
En la ventana Realizar anlisis, deje la ruta predeterminada y luego haga clic en Aceptar.

Despliegue los nodos Directivas de cuenta y luego Directiva de contraseas.

La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo: conflicto
entre la plantilla de seguridad y la GPO).

Debemos volver a aplicar la plantilla de seguridad.

Haga clic con el botn derecho en Configuracin y anlisis de seguridad y luego en el men
contextual seleccione Configurar el equipo ahora.

En la ventana Configurar el sistema, deje la ruta predeterminada y luego haga clic en Aceptar.

Los parmetros de la directiva de grupo Default Domain Policy han sido modificados por los
parmetros de la plantilla. sta permite actualizar el conjunto de parmetros de forma muy sencilla.

2. Utilizacin de grupos restringidos


Objetivo: crear una directiva vinculada a la OU Servidor que permita configurar los grupos
restringidos.

Mquinas virtuales utilizadas: AD1, CL8-02.

En AD1, inicie la consola Usuarios y equipos de Active Directory.

Haga clic con el botn derecho en Formacion.local y luego, en el men contextual,


seleccioneNuevo y Unidad organizativa.

En el campo Nombre, introduzca Cliente y luego haga clic en Aceptar.

Mueva la cuenta de equipo de CL8-02 a la OU recin creada.


Inicie la consola Administracin de directivas de grupo, despliegue los
nodos Bosque, Dominiosy Formacion.local.

Haga clic con el botn derecho en Objetos de directiva de grupo y luego haga clic en Nuevo.

Introduzca Grupo restringido en el campo Nombre y luego haga clic en Aceptar.

La directiva aparece en la consola, haga clic con el botn derecho en ella y luego, en el men
contextual, haga clic en Editar.

En la consola Editor de administracin de directivas de grupo, despliegue los


nodosConfiguracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Grupos restringidos.
Haga clic con el botn derecho en Grupos restringidos y luego, en el men contextual, haga clic
en Agregar grupo.

Introduzca Administradores en el campo Grupo.

No utilice el botn Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.

En el campo Miembros de este grupo, agregue al usuario Nicolas BONNET.

La lista de los miembros se vaca y reemplaza por la configuracin siguiente.


Haga clic en Aceptar y cierre el Editor de administracin de directivas de grupo.

En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la unidad
organizativa Cliente.

En el men contextual, haga clic en Vincular un GPO existente.

Seleccione Grupo restringido y luego haga clic en Aceptar.

La directiva est ahora vinculada a la unidad organizativa.

Abra una sesin como administrador en CL8-02.

CL8-02 debe ser miembro del dominio.

Inicie un smbolo de sistema DOS e introduzca el comando gpupdate /force.

La cuenta Admins. del dominio ha sido eliminada.


Debemos agregar el grupo Admins. del dominio en el grupo restringido.

Actualizando la directiva de grupo, se actualiza el grupo de administradores locales.

3. Auditora de un sistema de archivos


Objetivo: implementar una auditora para recopilar eventos sobre los intentos fallidos.
Mquinas virtuales utilizadas: AD1 y CL8-01

En AD1, cree una carpeta llamada Informtica en la particin C.

Acceda a las Propiedades de la carpeta y luego haga clic en la pestaa Compartir.

Haga clic en el botn Uso compartido avanzado.

En la ventana Uso compartido avanzado, marque la opcin Compartir esta carpeta.

Haga clic en el botn Permisos, y luego elimine la entrada Todos.

Agregue la cuenta Admins. del dominio y luego asgnele el permiso Control total.

Haga clic en Aplicar y luego en Aceptar y Cerrar.

En la ventana de propiedades de la carpeta Informtica, haga clic en la pestaa Seguridad.

Haga clic en el botn Opciones avanzadas y luego en Deshabilitar herencia.


Haga clic en Quitar todos los permisos heredados de este objeto.

Haga clic en Agregar y luego en el vnculo Seleccionar una entidad de seguridad.


En la ventana de seleccin, introduzca Admins. del dominio y luego haga clic en Comprobar
nombres.

Haga clic en Aceptar y luego proporcione al usuario el permiso Control total.

Haga clic en Aceptar y luego en Aplicar.

En la pestaa Auditora, haga clic en Agregar.

Haga clic en el vnculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la
ventana que se muestra.
Haga clic en Comprobar nombres y luego en Aceptar.

En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.

Haga clic tres veces en Aceptar.

En AD1, inicie la consola Administracin de directivas de grupo y luego haga clic con el botn
derecho en Objetos de directiva de grupo.

En el men contextual, seleccione la opcin Nuevo.

Introduzca Auditora carpeta Informtica en el campo Nombre y luego haga clic en Aceptar.

Haga clic con el botn derecho en la directiva y seleccione la opcin Editar.

Se abre la consola Editor de administracin de directivas de grupo.

Despliegue los nodos Configuracin del equipo - Directivas - Configuracin de Windows -


Configuracin de seguridad - Directivas locales y Directiva de auditora.

Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuracin de directivay
seleccione la casilla Error.

Haga clic en Aplicar y luego en Aceptar.

Cierre la consola Administracin de directivas de grupo.

Vincule la directiva Auditora carpeta Informtica a la unidad organizativa Domain Controllers.

Abra un smbolo del sistema DOS y ejecute el comando gpupdate /force en AD1.

Abra una sesin como Alumno1 (contrasea Pa$$w0rd) en CL8-01.

Intente acceder a la carpeta compartida Informtica en el equipo SV1.

Un mensaje de aviso indica un acceso denegado.

En AD1, inicie la consola Administracin de equipos y despliegue los nodos Visor eventos y
luego Registros de Windows.

Visualice el registro de eventos Seguridad.


Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 4656).

Para cada intento de Alumno1, se crea un evento en este registro.

4. Auditora de modificaciones en el directorio


Objetivo: implementar una auditora para recopilar eventos sobre los intentos fallidos.

Mquinas virtuales utilizadas: AD1 y CL8-01

En AD1, inicie la consola Usuarios y equipos de Active Directory.

Despliegue el dominio Formacion.local y haga clic en el contenedor Users.

Haga clic con el botn derecho en el grupo Admins. del dominio, y luego haga clic
enPropiedades.

Abra la pestaa Seguridad y luego haga clic en el botn Opciones avanzadas.

Si no ve la pestaa Seguridad, cierre el cuadro de dilogo. Haga clic en el men Ver de la


consola MMC y verifique que la opcin Opciones avanzadas est seleccionada.
Abra la pestaa Auditora y luego seleccione la primera entrada de auditora para la que la
columna Acceso sea Especial, luego haga clic en Editar.

Esto va a permitir auditar los intentos de modificacin denegados en las propiedades del grupo, tales
como la modificacin del propietario
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.

Inicie la consola Administracin de directivas de grupo.

Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en
la unidad organizativa Domain Controllers.

Haga clic con el botn derecho en Defaut Domain Controllers Policy y seleccione Editar.

En la consola Editor de administracin de directivas de grupo, despliegue los


nodosConfiguracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Configuracin de directiva de auditora avanzada.
En Directivas de auditora, haga clic en Acceso DS.

Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventos de auditora y Correcto.
Haga clic en Aplicar y luego en Aceptar.

En AD1, inicie un smbolo del sistema DOS y luego introduzca el comando gpupdate /force.

La actualizacin del parmetro de auditora toma algunos segundos.

Agregue la cuenta nbonnet en el grupo Admins. del dominio.

Inicie la consola Administracin de equipos del controlador de dominio.

Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el
registroSeguridad.

Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operacin, el
objeto que ha sido modificado al igual que la cuenta que ha sido agregada, eliminada

5. Creacin de reglas con AppLocker


Objetivo: crear las reglas de AppLocker que permitan bloquear la ejecucin de un programa.

Mquinas virtuales utilizadas: AD1 y CL8-02

En AD1, inicie la consola Administracin de directivas de grupo, despliegue los


nodosBosque:Formacion.local, Dominios y luego Formacion.local.

Haga clic con el botn derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en
el men contextual.

En el campo Nombre, introduzca AppLocker y luego haga clic en Aceptar.

En la consola GPMC, haga clic con el botn derecho en AppLocker y luego, en el men
contextual, haga clic en Editar.

Se inicia la consola Editor de administracin de directivas de grupo.


Despliegue los nodos Configuracin del equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Directivas de control de aplicaciones - AppLocker.

Haga clic con el botn derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.

Aparecen tres reglas:

Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.

Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Windows.

Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en
cualquier carpeta.

Haga de nuevo clic con el botn derecho en Reglas ejecutables y seleccione esta vez la
opcinCrear nueva regla.

En la ventana Antes de comenzar, haga clic en Siguiente.

Marque el botn Denegar y luego haga clic en Siguiente.


En la ventana Condiciones, deje marcada la opcin Editor y luego haga clic en Siguiente.

Ahora debemos seleccionar la aplicacin cuya ejecucin ser denegada.

Haga clic en el botn Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program
Files\Windows Mail.
Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea bloquear.
Situndolo encima de Nombre de producto, se bloquean todas las versiones de WAB. Haciendo clic
enUsar valores personalizados, podemos modificar todos los campos y seleccionar el valor deseado
de la lista desplegable.

El valor Y superior permite bloquear la versin 6.2.0.0 y posteriores. Es posible configurar los
valores Y superior, E inferior o Exactamente.

Haga clic en Siguiente para validar su eleccin.

En la ventana de creacin de excepciones, haga clic en Siguiente.

Creando una excepcin podemos autorizar una de las versiones bloqueadas, versin 6.3.0.0 (u
otra).

En el campo Nombre, introduzca Regla Bloquear Wab y luego haga clic en el botn Crear.
Se ha creado la regla correctamente.

Haga de nuevo clic con el botn derecho en Reglas ejecutables y seleccione esta vez la
opcinCrear nueva regla.

En la ventana Antes de comenzar, haga clic en Siguiente.

Marque la opcin Denegar y luego haga clic en Siguiente.

En la ventana Condiciones, seleccione Ruta de acceso y luego haga clic en Siguiente.


Podemos bloquear un ejecutable en particular o todos los ejecutables presentes en una carpeta.

Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
enProgram Files(x86)\Internet Explorer. A continuacin, haga clic en Siguiente.

No debe crearse ninguna excepcin, haga clic en Siguiente.

En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botn Crear.

Las dos reglas estn ahora creadas.

Haga clic con el botn derecho en AppLocker y luego haga clic en Propiedades.

En Reglas de ejecutables, marque la casilla Configurado y luego en la lista desplegable


seleccione Solo auditora.
Haga clic en Aplicar y luego en Aceptar.

En la consola Administracin de directivas de grupo, vincule la directiva de grupo AppLocker a


la OU Cliente.

Verifique la presencia de la cuenta de equipo CL8-02 en la OU Cliente.

Abra una sesin como administrador en el equipo CL8-02.

En la consola Servicios, haga doble clic en Identidad de aplicacin.

En la lista desplegable Tipo de inicio, seleccione Automtico y luego inicie el servicio.


Haga clic en Aplicar y luego en Aceptar.

Inicie un smbolo de sistema DOS y luego introduzca el comando gpupdate /force.

Reinicie el equipo para poder garantizar la aplicacin de la directiva de grupo.

AppLocker puede tardar varios minutos despus del inicio para funcionar.

Ejecute Internet Explorer ubicado en la zona de inicio rpido.

Se crea un evento en el registro AppLocker (registro ubicado en Registro de aplicaciones -


Microsoft - Windows).
Haga clic con el botn derecho en el men Inicio y seleccione Ejecutar.

Introduzca wab y, a continuacin, haga clic en Aceptar.

Se muestra la ventana Contactos. Se muestra un nuevo evento en la consola.


Si la consola Administracin de equipos ya est iniciada, considere actualizar la consola para ver el
nuevo elemento.

En AD1, edite la directiva de grupo AppLocker.

Despliegue los nodos Configuracin del equipo - Directivas - Configuracin de Windows -


Configuracin de seguridad - Directivas de control de aplicaciones - AppLocker.

Haga clic con el botn derecho en AppLocker y luego, en el men contextual,


seleccionePropiedades.

En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditora por Aplicar
reglas.
Valide la modificacin haciendo clic en el botn Aceptar.

En CL8-02, inicie un smbolo del sistema DOS y luego introduzca el comando gpupdte /force.

Ejecute Internet Explorer, se muestra un mensaje informando que el programa est bloqueado.

El programa WAB est tambin bloqueado.

6. Configuracin del Firewall de Windows


Objetivo: desplegar las reglas del Firewall. Se emplean los perfiles de red para aplicar o no una regla.

Mquinas virtuales utilizadas: AD1 y CL8-02.


En el equipo CL8-02, abra una sesin como Administrador de dominio.

En la interfaz del men Inicio, escriba Firewall y seleccione Configuracin.

Haga clic en Firewall de Windows para iniciar la consola.

En el men, haga clic en Configuracin avanzada para iniciar la consola Firewall de Windows y,
a continuacin, haga clic en Configuracin avanzada.
Haga clic en Reglas de salida y luego en Nueva regla en el panel Acciones.

En la ventana Tipo de regla, seleccione la opcin Personalizada y luego haga clic en Siguiente.
La regla se debe aplicar a todos los programas, deje la opcin por defecto en la
ventanaPrograma y haga clic en Siguiente.
El objetivo es bloquear las respuestas del equipo a la ejecucin de un Ping.

En la lista desplegable Tipo de protocolo, seleccione el protocolo ICMPv4 y luego haga clic
enSiguiente.
En la ventana mbito, haga clic en Siguiente.

Seleccione la accin deseada, Bloquear la conexin, y valide su opcin haciendo clic enSiguiente.
La regla se aplica de momento a los tres perfiles, deje la opcin por defecto y haga clic
enSiguiente.
Introduzca Bloquear Ping en el campo Nombre y luego haga clic en Finalizar.
En CL8-02, inicie un smbolo de sistema DOS e introduzca el comando ping -4 ad1.

La opcin -4 permite efectuar el ping utilizando el protocolo IPv4.

El firewall bloquea las tramas y causa un error general.

En la consola Firewall de Windows con seguridad avanzada, haga doble clic en la


reglaBloquear Ping que acabamos de crear.

Seleccione la pestaa Opciones avanzadas y luego desmarque el perfil Dominio.


Vuelva a ejecutar el comando ping -4 ad1.

El equipo es miembro del dominio, por lo que est configurado en el perfil Dominio. La regla Bloquear
Ping no est activa en el perfil, el firewall permite que las tramas salgan.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Qu es una plantilla de seguridad y en qu forma se presenta?

2 Cul es la utilidad del nodo Asignacin de derechos de usuario?

3 Describa brevemente el funcionamiento de la UAC.

4 Describa brevemente las etapas de la implantacin de un sistema de auditora.

5 A quin sirve la auditora?

6 Qu permiten auditar los eventos de inicio de sesin?

7 Cundo debe utilizar los grupos restringidos?

8 Qu tipo de archivos puede gestionar AppLocker?

9 Cmo se llama el servicio que se debe arrancar para utilizar AppLocker?

10 Cules son los dos modos de funcionamiento de AppLocker?

11 Qu consola permite crear reglas de Firewall?

12 Durante la recepcin de una trama, el firewall verifica las reglas entrantes y salientes. Qu
ocurre si no existe una regla para esta trama?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 10 puntos para
aprobar el captulo.

3. Respuestas
1 Qu es una plantilla de seguridad y en qu forma se presenta?

Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los
parmetros de contrasea, bloqueo al igual que otros parmetros de seguridad. Esta plantilla puede
importarse, a continuacin, en una directiva de grupo.

2 Cul es la utilidad del nodo Asignacin de derechos de usuario?

Este parmetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos
permisos pueden conceder la posibilidad de abrir una sesin en un controlador de dominio o el
cambio de la zona horaria

3 Describa brevemente el funcionamiento de la UAC.

La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando
que los procesos de usuario (Word, Internet Explorer) se ejecutan con permisos de usuario. Si
este ltimo es un administrador, el token de acceso se divide en dos (un token de usuario para el
uso cotidiano y un token de administrador para contar con permisos de administracin). Cuando un
proceso requiere permisos de administrador, solicita una elevacin de privilegios. Despus de la
aceptacin del usuario, el proceso que realiza la solicitud obtendr permiso para utilizar el token de
administrador. Sin embargo, si el usuario es una cuenta estndar sin permisos de administracin,
se requiere que se indique la informacin de inicio de sesin de un administrador para efectuar la
elevacin.

4 Describa brevemente las etapas de la implantacin de un sistema de auditora.

Para implantar un sistema de auditora, debemos crear una directiva de auditora y luego vincular la
unidad organizativa o la raz del dominio. De acuerdo con los objetos, debemos configurar la SACL.
5 A quin sirve la auditora?

La auditora permite tener un registro de los eventos que ocurren en un objeto (grupo AD,
carpeta...). Las auditoras pueden referirse a modificaciones, accesos, etc. Esta operacin se
configura para recuperar todos los eventos correctos o fallidos.

6 Qu permiten auditar los eventos de inicio de sesin?

Los eventos de inicio de sesin permiten al sistema operativo auditar los intentos de conexin y
desconexin del equipo.

7 Cundo debe utilizar los grupos restringidos?

El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o
un grupo local. En el ltimo caso, esto evita que el administrador tenga que configurar el conjunto
de equipos.

8 Qu tipo de archivos puede gestionar AppLocker?

AppLocker es capaz de bloquear scripts al igual que archivos ejecutables y MSI.

9 Cmo se llama el servicio que se debe arrancar para utilizar AppLocker?

El servicio Identidad de aplicacin debe estar iniciado en cada equipo. Esto permite aplicar las reglas
configuradas.

10 Cules son los dos modos de funcionamiento de AppLocker?

Se puede configurar AppLocker en modo auditora, en caso que debamos probar las reglas. Durante
la ejecucin de la aplicacin gestionada por AppLocker, un mensaje de aviso informa al
administrador del resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible
bloqueo de los diferentes programas.

11 Qu consola permite crear reglas de Firewall?

La consola Firewall de Windows con seguridad avanzada permite la creacin de las reglas
entrantes, salientes o las reglas de conexin.

12 Durante la recepcin de una trama, el firewall verifica las reglas entrantes y salientes. Qu
ocurre si no existe una regla para esta trama?

En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la
regla predeterminada. Esta ltima autoriza el trfico saliente y prohbe todo el trfico entrante,
salvo que exista una regla creada especficamente.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos de micro informtica.

Poseer nociones sobre las herramientas de mantenimiento presentes en Windows.

2. Objetivos
Utilizacin del Administrador de tareas y el Monitor de recursos.

Verificacin del rendimiento empleando el Monitor de rendimiento.

Utilizacin del registro de eventos.

Creacin de una vista personalizada.

Implementacin de una suscripcin.


El Administrador de tareas
A partir de Windows Server 2012 existe una nueva consola Administrador de tareas. sta ofrece
varias funcionalidades (operar en un servicio, cerrar una aplicacin...). Se ha optimizado para
responder mejor a las necesidades de los administradores. Se pueden realizar varias operaciones:

Detener un proceso de forma rpida y eficaz: se ha modificado toda la interfaz de la consola.


Los diferentes procesos de usuario (procesos activos) se muestran ahora de una forma ms
clara. Adicionalmente, se ha simplificado la operacin que permite detener una aplicacin.
Haciendo clic en el botn Finalizar tarea es posible detener un proceso.
Puede activarse una vista ms detallada empleando el botn Ms detalles.

Diagnosticar un problema de rendimiento: la vista Ms detalles permite acceder a las


novedades del Administrador de tareas. El usuario avanzado o el administrador tienen una
mayor facilidad para diagnosticar un problema de rendimiento. Se ha facilitado el acceso a los
porcentajes de uso de los diferentes recursos del equipo (memoria, procesador).
Adicionalmente, se presenta un total del uso de los diferentes recursos. Es interesante mirar
en detalle cada proceso.
Las pequeas flechas presentes al lado de cada proceso permiten visualizar las aplicaciones que de l
dependen. Si abrimos Explorador de Windows se muestra la carpeta CE14 que est actualmente
abierta.
Haciendo clic con el botn derecho en CE14 se accede a un men contextual. ste presenta varias
opciones tales como minimizar o maximizar la consola, traer al frente o simplemente finalizar la tarea.

Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opcin Buscar en lnea puede ser muy til. Permite obtener informacin acerca del proceso en
cuestin. La opcin Valores del recurso permite cambiar las unidades de la columna Memoria para
mostrar los porcentajes en lugar de valores y viceversa.

El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder
a la carpeta que contiene el ejecutable de un proceso sin tener que realizar una bsqueda, seleccione
la opcin Abrir ubicacin del archivo. A continuacin, se muestra la carpeta que contiene el archivo.

En ciertos casos es necesario tener ms informacin sobre un proceso. Para ello haga clic en Ir a
detalles. Se muestra la pestaa Detalles y el proceso en cuestin aparece seleccionado.
Esta vista proporciona acceso al nombre del archivo ejecutable, as como al ID del proceso (PID). Se
muestran tambin el estado, nombre de la cuenta que ha iniciado el proceso y el uso de procesador y
memoria.

La pestaa Rendimiento permite visualizar de forma grfica tres elementos esenciales:

La CPU: acompaados por la curva de porcentaje de utilizacin, diferentes campos dan


informacin como el porcentaje de utilizacin, el nmero de procesos.
La memoria: al igual que para el procesador, se muestran y actualizan automticamente los
datos vinculados a la memoria. Resulta, de este modo, muy sencillo ver la cantidad de memoria
utilizada y la que est libre.
La red: adems del grfico que muestra la actividad, los datos Envo y Recepcin permiten
conocer rpidamente la velocidad de envo y recepcin.
Haciendo clic con el botn derecho en la consola accedemos a un men contextual con tres opciones:

Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres
grficos. Desmarque la opcin para volver al formato inicial.

Mostrar grficos reemplaza los botones de colores por los grficos en curso.
SeleccioneOcultar grficos en el men contextual para ocultar los grficos.
Copiar copia los datos presentes en los grficos en el portapapeles.

La pestaa Usuarios facilita la gestin de los usuarios conectados. Siempre es posible desconectar la
sesin de usuario, pero ahora es incluso ms sencillo. En efecto, desplegando la lnea fila del usuario
correspondiente es posible ver, fcilmente, qu procesos le pertenecen. Adicionalmente, es posible
conocer el uso de procesador y memoria de cada uno.
Por ltimo, la ltima pestaa Servicios proporciona acceso a la gestin de servicios. Es posible
conocer su estado as como distintos parmetros (PID...). Podemos acceder a la consola Services.msc
haciendo clic con el botn derecho y seleccionando Abrir servicios en el men contextual.
El Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite efectuar la supervisin del procesador y los procesos, la memoria RAM as como
la actividad de los discos y la red.

La consola se compone de varias pestaas. La pestaa Informacin general permite tener una vista
de conjunto de los componentes. Esto permite evitar cuellos de botella. Adems de los
componentesMemoria, Red, CPU y Disco, se muestran grficos actualizados en tiempo real.

La pestaa CPU presenta diferentes datos de cada procesador. Seleccionando un proceso, se


muestran los diferentes servicios y los descriptores asociados. Podemos, del mismo modo, ver un
grfico que representa la actividad de cada procesador o cada ncleo de un procesador.
Es posible visualizar el reparto del uso de memoria del servidor empleando la pestaa Memoria. Se
muestran tres grficos con la memoria fsica utilizada, la carga de asignacin y los errores de pgina.
La pestaa Disco presenta los procesos que realizan una operacin en el disco, una vez ms es
posible filtrar un proceso para aislarlo. Los grficos muestran una curva que representa la actividad
en el disco.

Por ltimo, la pestaa Red presenta los diferentes procesos con actividad de red, la herramienta
tambin resulta til para ver las conexiones TCP y los puertos en que escuchan. La herramienta
permite analizar los diferentes componentes y proporcionar una explicacin para una degradacin de
rendimiento en un equipo.
Los diferentes grficos permiten obtener informacin acerca de los diferentes componentes del
servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operacin
puede llevarse a cabo mediante un grfico e informes. El anlisis se puede hacer en tiempo real, lo
que obliga al administrador a estar presente. Adicionalmente la lectura de datos no es ptima. La
segunda forma consiste en ejecutar un recopilador de datos, que permite registrar los datos
recuperados por los diferentes contadores.

Es posible agregar varios contadores para obtener un anlisis muy granular y un resultado ptimo.

Procesador

El objeto de rendimiento Procesador permite obtener informacin sobre la actividad del procesador.
Esta es una de las piezas centrales de un servidor. Si existen varios procesadores, es posible analizar
todos o uno en particular.
Disco duro

Los discos duros almacenan los archivos de los usuarios as como los archivos necesarios para los
programas. En caso de fallo, los tiempos de lectura y escritura pueden verse afectados.

Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella.

Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona un dato
especfico.
Memoria RAM

Los contadores de rendimiento de Memoria permiten obtener informacin sobre la memoria fsica y
virtual del ordenador. La memoria fsica se refiere a la memoria RAM del equipo, mientras que la
memoria virtual concierne al espacio de memoria fsica y en disco.
Red

La parte de red incluye un gran nmero de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, tambin, sus contadores.
Es posible realizar el anlisis de forma manual o automtica. El mtodo manual es en tiempo real.
Esto implica la presencia fsica frente al ordenador para poder analizar los datos antes de su borrado.

Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena un
archivo con todos los valores en la carpeta PerfLogs ubicada en la particin del sistema.

Sin embargo, el tamao del archivo crecer rpidamente, lo que puede impactar el servidor y los roles
instalados en l.
Los registros de eventos
El Visor de eventos contiene varios registros tiles para diagnosticar un fallo o incoherencia en el
sistema. Est compuesto por varios registros, como Aplicacin, Sistema y Seguridad. El
registroAplicacin ofrece la posibilidad a los desarrolladores de escribir los eventos devueltos por sus
aplicaciones. El registro Sistema permite obtener los datos enviados por el sistema (problema
DHCP). El registro Seguridad permite visualizar el resultado de las auditoras configuradas.

Los diferentes registros, que poseen una extensin evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.

Podemos consultar los diferentes registros en la consola Administracin de equipos.


Podemos encontrar en un registro varios niveles de advertencia:

Informacin

Advertencia

Error

Crtico

Adicionalmente, un evento contiene varios datos importantes tales como Evento (nmero de ID del
evento), origen y el mensaje.
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del
registro...) as como configurar su tamao actual y mximo. El registro puede vaciarse empleando el
botn Vaciar registro. Se puede acceder a esta ventana haciendo clic con el botn derecho en el
registro deseado y luego seleccionando Propiedades en el men contextual.
Al alcanzar el tamao mximo del registro podemos tomar tres acciones:

Sobrescribir eventos si es necesario: se suprimen los eventos ms antiguos.

Archivar el registro cuando est lleno; no sobrescribir eventos: se efecta un archivado


automtico.

No sobrescribir eventos: debe hacerse una limpieza manual.

1. Creacin de una vista personalizada


El registro puede rpidamente contener un importante nmero de eventos, lo que complica la
bsqueda de un evento concreto. A partir de Windows Server 2008, es posible crear una vista para
configurar un filtro en uno o varios registros.

La creacin y uso de un filtro se efectan empleando el nodo Vistas personalizadas. Se encuentra


una carpeta llamada Roles de servidor que contiene los filtros creados durante la instalacin de un
rol.

Podemos crear un nuevo filtro haciendo clic con el botn derecho en Vistas personalizadas y
seleccionando Crear vista personalizada. El filtro se compone de varios criterios:

La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para
tener en cuenta en el filtro.

El Nivel del evento permite seleccionar el nivel de los eventos deseados.

La lista desplegable Registros de eventos permite seleccionar los registros a los que se
aplica el filtro.

Se puede igualmente filtrar por origen marcando la opcin Por origen y seleccionando en la lista
desplegable uno o ms orgenes. Tambin es posible filtrar en funcin de un nombre de equipo, de
usuario, de palabras clave o de nmero de ID.
El filtro devuelve solamente los eventos que corresponden a las categoras seleccionadas.

2. Suscripcin
Para facilitar la supervisin de los servidores de una red informtica, podemos desplegar una
suscripcin. sta permite recuperar los eventos de los servidores de destino. Los eventos
recuperados deben responder a criterios definidos por el administrador empleando una vista
personalizada. Para esta funcionalidad se emplean dos servicios:

WinRM (Windows Remote Management)

Wecsvc (Windows Event Collector Service)

Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo
recolectado para Wecsvc.
Talleres
Los diferentes talleres presentados permiten el uso de las herramientas encargadas del anlisis y
mantenimiento del servidor.

1. Utilizacin del Monitor de rendimiento


Objetivo: utilizar el Monitor de rendimiento y los recopiladores de datos.

Mquina virtual utilizada: AD1.

Inicie la consola Administrador del servidor en AD1.

Haga clic en Herramientas y luego, en el men contextual, seleccione Administracin de


equipos.

Despliegue los nodos Rendimiento y luego Herramientas de supervisin.

Haga clic en Monitor de rendimiento y, a continuacin, en la cruz verde para aadir los
contadores.

Despliegue Proceso y luego haga clic en <Todas las instancias>.

Haga clic en Agregar y luego en Aceptar.


Aparecen las curvas que presentan los diferentes parmetros recuperados.

En la barra de herramientas, haga clic en el icono que representa un bolgrafo. Al seleccionar un


contador, se resalta la curva asociada.

En la barra de herramientas, haga clic en el botn Cambiar tipo de grfico (tercer botn) y luego
seleccione en el men contextual Barra de histograma.

El grfico se ver en forma de histograma.


El tipo de grfico puede, a su vez, presentarse en forma de informe.

En la consola Administracin de equipos, despliegue el nodo Conjuntos de recopiladores de


datos.

Los recopiladores se crean en funcin de los roles presentes en el equipo analizado. Este ejemplo
est hecho sobre un controlador de dominio, el contador para el diagnstico de Active Directory se
encuentra en el sistema. El contenedor definido por el usuario permite crear de nuevos recopiladores
de datos.

Haga clic con el botn derecho en Definido por el usuario y luego en el men contextual
seleccione Nuevo y Conjunto de recopiladores de datos.

Introduzca Recopilador Procesos en el campo Nombre, marque el botn Crear manualmente


(avanzado). A continuacin, haga clic en Siguiente.
En la ventana para seleccionar el tipo de datos, marque Contador de rendimiento y luego haga
clic en Siguiente.

En la ventana de seleccin de contadores, haga clic en Agregar.

Despliegue Proceso y luego haga clic en <Todas las instancias>.

Haga clic en el botn Agregar y luego en Aceptar.


Configure el Intervalo de muestra en 2 segundos.

Haga clic dos veces en Siguiente y luego en Finalizar.

El recopilador aparece, ahora, en la consola.


Haga clic con el botn derecho en Recopilador Procesos y luego seleccione Iniciar.

Deje el recopilador en el estado iniciado durante unos segundos para recoger un mnimo de
informacin.

Haga clic con el botn derecho en Recopilador Procesos y luego seleccione Detener.

Al iniciar el recopilador, se crea un informe para presentar los datos recolectados.

Despliegue los nodos Informes y luego Definido por el usuario.

Aparece un contenedor con el mismo nombre que el recopilador de datos.

Despliegue Recopilador Procesos y luego haga clic en el informe.

Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o
cambiar el tipo de grfico.

2. Creacin de una vista personalizada


Objetivo: crear una vista personalizada para recuperar solamente los eventos deseados.

Mquina virtual utilizada: AD1.


En la consola Administracin de equipos, despliegue Visor de eventos y luego el nodo Vistas
personalizadas.

Haga clic con el botn derecho en Vistas personalizadas y seleccione Crear vista personalizada.

Deje el valor En cualquier momento en la lista desplegable Registrado.

Marque Error, Advertencia y Crtico para limitar los registros filtrados a estos niveles.

En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicacin.

Haga clic en Aceptar y luego en el campo Nombre, introduzca Bsqueda registro App.Sys.
Confirme haciendo clic en Aceptar.

El filtro se aplica al conjunto de registros seleccionados.

Ahora es ms fcil encontrar informacin en un registro.

3. Asociar una tarea a un evento


Objetivo: ejecutar un script cuando un evento aparece en el registro.

Mquina virtual utilizada: AD1.

En AD1, abra la interfaz Men Inicio, haga clic en Herramientas administrativas y luego abra
la consola DHCP.

Despliegue el nodo ad1.formacion.local y luego haga clic con el botn derecho en l.

En el men contextual seleccione Todas las tareas y luego Detener.

Cree y ejecute el archivo Script-Evento.cmd.


Se puede descargar el script en la pgina Informacin

En el registro Sistema, seleccione el aviso que se ha creado.

Haga clic con el botn derecho en el aviso y luego seleccione Adjuntar tarea a este evento. Esta
opcin se encuentra tambin disponible en el panel Acciones.

Haga clic en Siguiente en la ventana del Asistente para crear tareas bsicas y deje los
parmetros por defecto.
Los campos Registro, Origen e Id del evento aparecen en gris. Haga clic en Siguiente para
validar la ventana Al registrar un evento.

Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje
que no ver, necesariamente, el administrador.

Marque el botn Iniciar un programa y luego haga clic en Siguiente.

Cree el script Reset-Servicios.cmd.


Es posible descargar el archivo en la pgina Informacin.

Haga clic en Examinar y luego seleccione el script, finalmente valide empleando el


botnSiguiente.

Haga clic en Finalizar y luego en Aceptar en el mensaje de informacin.

Se crea una nueva entrada en el Programador de tareas.


Vuelva a ejecutar el archivo Script-Evento.cmd.

Se crea una nueva entrada en el registro Sistema y se ejecuta el script Reset-Servicios.

El servicio DHCP arranca correctamente.

De esta forma algunas acciones pueden ser fcilmente automatizadas.

4. Implantacin y uso de una suscripcin


Objetivo: recuperar el registro de eventos de AD1 desde SV1.

Mquinas virtuales utilizadas: AD1 y SV1.

Inicie un smbolo del sistema DOS en el equipo AD1.

Introduzca el comando winrm quickconfig y luego pulse la tecla [Intro].


Para efectuar las modificaciones, introduzca la letra y y luego pulse la tecla [Intro].

Inicie la consola Usuarios y equipos de Active Directory.

Despliegue el nodo Formacion.local y luego haga clic en Builtin.

Haga doble clic en el grupo Lectores del registro de eventos.

Haga clic en la pestaa Miembros y luego en el botn Agregar.

Debemos incluir las cuentas de equipo en el tipo de objeto de bsqueda.

Haga clic en Tipos de objeto y luego marque Equipos.

Haga clic en Aceptar y luego introduzca SV1 en el campo.

Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
Esta operacin autoriza al equipo SV1 a leer los registros de eventos.

En el equipo SV1, inicie un smbolo del sistema e introduzca wecutil qc.

Pulse la letra s y luego pulse la tecla [Intro].

En SV1, abra la consola Administracin de equipos y, a continuacin, despliegue el nodo Visor


de eventos.

Haga clic con el botn derecho en la carpeta Suscripciones y luego haga clic en Crear
suscripcin.

En el campo Nombre de suscripcin, introduzca Recopilador AD1.


El registro de destino predeterminado es Eventos reenviados, es posible modificarlo usando la lista
desplegable Registro de destino. La transferencia puede ser iniciada por el equipo destinatario
(opcin iniciada por el recopilador) o por el equipo origen.

Haga clic en Seleccionar equipos y luego Agregar equipos de dominio.

Introduzca AD1 en el campo y luego haga clic en Comprobar nombres y Aceptar.


Valide empleando el botn Aceptar.

No es necesario recoger todos los eventos. Debemos aplicar un filtro.

Haga clic en Seleccionar eventos.

Los eventos que deben ser transferidos son los de nivel Informacin, Advertencia, Error y Crtico. El
filtro no es muy restrictivo, porque las mquinas se han instalado recientemente y no contienen una
gran cantidad de eventos de tipo advertencia o error.

Marque los siguientes niveles en la ventana Filtro de consulta.

Seleccione los registros Sistema y Aplicacin.

Haga clic dos veces en Aceptar. Se adjunta una nueva lnea a la consola.
Haga clic con el botn derecho en Recopilador AD1, luego seleccione Estado en tiempo de
ejecucin.

Verifique que el sistema no enva ningn error. Si no se devuelve ningn error, espere,
porque la transferencia est en progreso.

Tras un tiempo ms o menos largo, los eventos aparecen en el registro Eventos reenviados.
Si no se transfiere ningn evento y la suscripcin no presenta ningn error, verifique el filtro y reinicie
el origen y el recopilador. Antes de reiniciar, espere algunos segundos para verificar que la suscripcin
no presenta ningn error.
Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.

1 Cul es la utilidad del Administrador de tareas?

2 Cul es la utilidad de la consola Monitor de recursos?

3 Qu tipo de grficos es posible utilizar en el Monitor de rendimiento?

4 Cul es la utilidad del conjunto de recopiladores de datos?

5 Dnde se almacenan los archivos creados por el conjunto de recopiladores de datos?

6 Cul es el formato de los archivos del Visor de eventos? Dnde se almacenan los registros?

7 Cules son los niveles de advertencia que puede tener un evento?

8 Qu permite crear una vista personalizada?

9 Cules son los dos servicios utilizados por una suscripcin?

2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mnimo de 7 puntos para
aprobar el captulo.

3. Respuestas
1 Cul es la utilidad del Administrador de tareas?

El administrador de tareas permite gestionar los procesos y los distintos servicios. La consola
permite a su vez diagnosticar los problemas de rendimiento.

2 Cul es la utilidad de la consola Monitor de recursos?

Los principales componentes de un equipo (procesador, memoria, adaptador de red...) se


encuentran en la consola Monitor de recursos. sta permite seguir su utilizacin y detectar un
posible problema en alguno de sus recursos.

3 Qu tipo de grficos es posible utilizar en el Monitor de rendimiento?

Se pueden utilizar tres tipos de grficos en el Monitor de rendimiento: curvas, histograma de barras
e informes.

4 Cul es la utilidad del conjunto de recopiladores de datos?

A diferencia del Monitor de rendimiento que efecta un anlisis en tiempo real, un conjunto de
recopiladores de datos permite realizar un anlisis de los datos recuperados en cualquier momento.

5 Dnde se almacenan los archivos creados por el conjunto de recopiladores de datos?

Los grficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta est
ubicada en la particin del sistema.

6 Cul es el formato de los archivos del Visor de eventos? Dnde se almacenan los registros?

Los diferentes registros, que poseen una extensin evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.

7 Cules son los niveles de advertencia que puede tener un evento?

Los cuatro niveles de advertencia son informacin, advertencia, error y crtico.

8 Qu permite crear una vista personalizada?


Los registros de eventos pueden contener varios cientos de eventos. Para no perderse entre todos
los eventos debemos aplicar un filtro al registro. Esta caracterstica se ofrece mediante las vistas
personalizadas.

9 Cules son los dos servicios utilizados por una suscripcin?

La suscripcin utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc
(Windows Event Collector Service) en el destino.
Objetivos

Objetivos del examen 70-


Captulos Talleres
410

Instalacin y configuracin de servidores

Instalacin de servidores Instalacin de Hyper- Instalacin de Hyper-V -


V Creacin de las mquinas
Despliegue y virtuales - Mquina virtual AD1
administracin de
Windows Server
2012 R2

Configuracin de servidores Despliegue y Despliegue y administracin de


administracin de Windows Server 2012 R2 -
Windows Server Talleres: Configuracin de un
2012 R2 servidor en modo de instalacin
Core, Administracin de
servidores, Utilizacin de
PowerShell para administrar los
servidores

Configuracin del Gestin del espacio Gestin del espacio de


almacenamiento local de almacenamiento almacenamiento local - Talleres:
local Implementar un sistema GPT,
Reduccin de una particin,
Despliegue de diferentes
volmenes, Implementar un
espacio de almacenamiento
redundante

Configuracin de los roles y las caractersticas del servidor

Configuracin de acceso Administracin de los Administracin de los servidores


compartido y de archivos servidores de de archivos - Talleres: Creacin
archivos de un recurso compartido y uso
de ABE, Implementar
instantneas

Configuracin de los Administracin de los Administracin de los servidores


servicios de documentos e servidores de de archivos - Talleres: Creacin
impresin archivos de un grupo de impresin,
Gestin del servidor de
impresin

Configuracin de servidores Despliegue y


para la administracin administracin de
remota Windows Server
2012 R2

Configuracin de Hyper-V

Creacin y configuracin de Instalacin de Hyper- Instalacin de Hyper-V -


mquina virtual V Creacin de las mquinas
virtuales - Mquina virtual AD1

Creacin y configuracin de Instalacin de Hyper- Instalacin de Hyper-V -


almacenamiento de V Creacin de las mquinas
mquina virtual virtuales - Mquina virtual AD1

Creacin y configuracin de Instalacin de Hyper- Instalacin de Hyper-V -


redes virtuales V Talleres: Configuracin de la red
virtual
Implementacin y configuracin de los servicios principales de red

Configuracin de las Implementacin del Instalacin de Hyper-V -


direcciones IPv4 e IPv6 protocolo IP Creacin de las mquinas
virtuales - Mquina virtual AD1
Implementacin del protocolo IP
- Talleres: Implementacin del
protocolo IPv6

Implementacin y Implementacin de Implementacin de un servidor


configuracin del servicio de un servidor DHCP DHCP - Talleres: Agregar el rol
Protocolo de configuracin DHCP, Configurar un nuevo
dinmica de host (DHCP) mbito y agregar opciones,
Copia de seguridad y
restauracin de la base de datos

Implementacin y Implementacin de Implementacin de un servidor


configuracin del servicio un servidor DNS DNS - Talleres: Configuracin de
DNS un redirector condicional,
Creacin de una zona
GlobalNames
Despliegue y administracin de
Windows Server 2012 R2 -
Talleres: Creacin del bosque
Formacion.local

Instalacin y administracin de Active Directory

Instalacin de Despliegue y Despliegue y administracin de


controladores de dominio administracin de Windows Server 2012 R2 -
Windows Server Talleres: Creacin del bosque
2012 R2 Formacion.local
Introduccin a los Introduccin a los servicios
servicios Active Active Directory - Talleres:
Directory Promover un servidor utilizando
IFM

Crear y administrar Administracin de Administracin de objetos AD -


usuarios y equipos de objetos AD Talleres: Administracin de
Active Directory cuentas de usuario

Creacin y administracin Administracin de Administracin de objetos AD -


de grupos y unidades objetos AD Talleres: Implementar la
organizativas (OU) de delegacin
Active Directory

Creacin y administracin de la directiva de grupo

Creacin de objetos de Implementacin de Implementacin de directivas de


directiva de grupo (GPO) directivas de grupo grupo - Talleres: Creacin de
una directiva de grupo,
Implementacin de preferencias

Configuracin de las Securizacin del Securizacin del servidor con


directivas de seguridad servidor con GPO GPO - Talleres: Creacin de una
plantilla de seguridad

Configuracin de directivas Securizacin del Securizacin del servidor con


de restriccin de servidor con GPO GPO - Talleres: Creacin de
aplicaciones reglas con AppLocker

Configuracin de Windows Securizacin del Securizacin del servidor con


Firewall servidor con GPO GPO - Talleres: Configuracin del
Firewall de Windows