Está en la página 1de 615

Windows Server 2012 R2 - Configuracin de servicios

avanzados
Preparacin para la certificacin MCSA - Examen 70-412

Prlogo Acerca de este libro

A. Prlogo 16

1. Acerca del libro 16

B. Condiciones requeridas 17

1. Nivel/conocimientos 17
2. Certificaciones anteriores 17
3. Equipo necesario para los trabajos prcticos 17

C. El plan de estudios de la certificacin de Microsoft 18


1. Detalles del plan de estudios MCSA 19
2. Detalles del plan de estudios MCSE 19

Captulo 1 Presentacin de Windows Server 2012 R2

A. Windows Server 2012 R2 22

B. Nueva interfaz grfica 23

1. Men Inicio 24
2. Panel de control 25
3. Los programas 26
4. Los mtodos abreviados de teclado 27

C. Despliegue de Windows Server 2012 R2 28


1. Instalacin completa 28
2. Instalacin mnima (Servidor Core) 29

D. El direccionamiento IP 31

1. Direccionamiento IP dinmico 31
2. Direccionamiento IP esttico 31

www.ediciones-eni.com Ediciones ENI 1/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

E. Los protocolos de red 31


1. Modelo TCP/IP 31
2. Protocolo IP 32
a. Direccionamiento IPv4 32
b. Direccionamiento IPv6 32

F. La administracin de Windows Server 2012 R2 33


1. La consola Administracin de equipos 33
2. La consola Administrador del servidor 35
3. Las herramientas administrativas 35

G. Trabajos prcticos 36

H. Resumen del captulo 62

I. Validacin de conocimientos: preguntas/respuestas 63

Captulo 2 Los servicios de dominio Active Directory

A. Presentacin de Active Directory 68

1. Servicio de directorio 68
2. Gestin del servicio de directorio 69
a. Administrar Active Directory 70
b. Particiones Active Directory 74
3. Gestin de identidades y de acceso 75
4. Administracin de unidades organizativas 76
a. Agregar una UO empleando la interfaz grfica 77
b. Agregar una UO empleando comandos DOS 81
c. Agregar una UO con PowerShell 81
5. Directivas de grupo 82
a. Administracin de las directivas de grupo 82
b. Solucin de problemas de directivas de grupo 84

www.ediciones-eni.com Ediciones ENI 2/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

c. Novedad de las directivas de grupo 86

B. Bosques y dominios Active Directory 89


1. Bosques 89
2. Dominios 90
3. rboles de dominio 90

C. Niveles funcionales 91
1. Niveles funcionales de bosque 91
2. Niveles funcionales de dominio 92
3. Elevar el nivel funcional 93

D. Controladores de dominio 94

1. Roles FSMO 95
2. Catlogo global 98

E. Administracin de cuentas de usuario 101

1. Administracin de cuentas de usuario 102


2. Creacin de cuentas de usuario 102
a. Por lnea de comandos DOS 102
b. Por lnea de comandos PowerShell 103

F. Administracin de grupos de seguridad 104


1. Grupos globales 105
2. Grupos de dominio local 106
3. Grupos universales 106

G. Trabajos prcticos 107

H. Resumen del captulo 119

I. Validacin de conocimientos: preguntas/respuestas 120

www.ediciones-eni.com Ediciones ENI 3/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

Captulo 3 Los servicios avanzados de red

A. Servicio DNS 124

1. Presentacin del servicio DNS 125


2. Funcionamiento del servicio DNS 126
a. Herramientas por lnea de comandos DOS 127
b. Principio de resolucin de nombres DNS 128
3. Administracin del servicio DNS 129
a. Implementacin de los registros detallados 131
b. Registros DNS 133
c. Limpieza de registros DNS 137
d. Reenviadores del servicio DNS 140
e. Copia de seguridad de la configuracin DNS 142
4. Zonas DNS 143
a. Zona principal 144
b. Zona secundaria 144
c. Zona de bsqueda inversa 144
d. Zona de rutas internas 145
e. Zona GlobalNames 145
5. DNS y Active Directory 152
6. Seguridad del servicio DNS 153
a. Securizar la cach DNS 153
b. Configurar el grupo de sockets DNS 154
c. Implementar DNSSEC 156
7. Administracin del servicio DNS mediante Windows PowerShell 158

B. Servicio DHCP 159

1. Presentacin del servicio DHCP 159


2. Administracin del servidor DHCP 160
3. Funcionamiento del servicio DHCP 161
a. Principio de asignacin de una direccin IP IPv4 162
b. Principio de asignacin de una direccin IP en IPv6 163
4. Opciones de configuracin del servicio DHCP 164
5. Administracin del servicio DHCP mediante Windows PowerShell 168
6. Alta disponibilidad del servicio DHCP 169

www.ediciones-eni.com Ediciones ENI 4/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

7. Copia de seguridad y restauracin del servicio DHCP 170


a. Copia de seguridad automtica 170
b. Copia de seguridad manual 171
c. Restauracin 171

C. IPAM 172
1. Presentacin del servidor IPAM 172
2. Administracin del servidor IPAM 173
3. Instalar y configurar la gestin de direcciones IPAM 175
4. Administracin del espacio de direcciones IP 182
a. Intervalos de direcciones IP 182
b. Direcciones IP 184
c. Bloques de direcciones IP 185
5. Supervisar y administrar IPAM 186
a. Servidores DNS y DHCP 186
b. mbitos DHCP 187
c. Supervisin de zonas DNS 187
d. Grupos de servidores 188
6. Catlogo de eventos 188

D. Trabajos prcticos 189

E. Resumen del captulo 247

F. Validacin de conocimientos: preguntas/respuestas 247

Captulo 4 Los servicios de archivos avanzados

A. Presentacin de los servicios de archivos 252

1. Funcionamiento de los servicios de archivos 252


2. Administracin de los servidores de archivos 253
a. Administrar los servicios de archivos 254
b. Roles y servicios de almacenamiento 259

www.ediciones-eni.com Ediciones ENI 5/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

B. Almacenamiento en red 260


1. Almacenamiento SAN iSCSI 260
a. Funcionamiento del almacenamiento iSCSI 261
b. Gestin del almacenamiento iSCSI 263
2. Almacenamiento SAN FCoE 264
3. Almacenamiento NFS 265
4. Almacenamiento DAS 265
5. Almacenamiento NAS 265

C. Optimizar el uso del almacenamiento 265


1. Administrador del recursos 265
a. Funcionamiento FSRM 265
b. Administracin FSRM 267
2. Administracin de cuotas 267
a. Creacin de una cuota 268
b. Creacin de una plantilla de cuota 273
3. Administracin del filtrado de archivos 275
a. Creacin de un filtro de archivos 276
b. Creacin de una plantilla de filtro 278
4. Administracin de la clasificacin 281
a. Creacin de una propiedad de clasificacin 282
b. Creacin de una regla de clasificacin 283
5. Administracin de informes de almacenamiento 286
6. Desduplicacin de datos 287
a. Instalar la desduplicacin de datos 288
b. Activar la desduplicacin de datos 289
c. Verificar la desduplicacin 291

D. BranchCache 291

1. Presentacin de BranchCache 291


a. Funcionamiento de BranchCache 292
b. Administracin de BranchCache 293
2. Modo de cach 295
a. Modo de cach hospedada 295

www.ediciones-eni.com Ediciones ENI 6/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

b. Modo de cach distribuida 296


3. Implementar BranchCache 297

E. Trabajos prcticos 298

F. Resumen del captulo 324

G. Validacin de conocimientos: preguntas/respuestas 325

Captulo 5 Control de acceso dinmico

A. Control de acceso dinmico 330


1. Presentacin de DAC 330
2. Funcionamiento de DAC 330
a. Notificaciones 332
b. Directiva de acceso central 332
c. Regla de acceso central 333
3. Gestin del DAC 333
4. Implementacin del DAC 335

B. Trabajos prcticos 335

C. Resumen del captulo 360

D. Validacin de conocimientos: preguntas/respuestas 360

Captulo 6 Despliegue distribuido AD DS

A. Presentacin del despliegue distribuido AD DS 362


1. Administracin de bosques Active Directory 362
a. Gestin administrativa 362

www.ediciones-eni.com Ediciones ENI 7/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

b. Particiones 363
2. Administracin de dominios Active Directory 363
a. Gestin administrativa 363
b. Particiones 363
3. Despliegue distribuido AD DS 363
a. Dominios o bosques mltiples 364
b. Actualizacin a Windows Server 2012 R2 365
c. Migracin a Windows Server 2012 R2 366
d. Relaciones de confianza 367
e. Enrutamiento de sufijo de nombre 371

B. Trabajos prcticos 374

C. Resumen del captulo 383

D. Validacin de conocimientos: preguntas/respuestas 384

Captulo 7 Sitios y servicios Active Directory

A. Presentacin de los sitios Active Directory 388

1. Objetivo de los sitios 388


a. Administracin de los sitios 389
b. Ubicacin de los servicios 390
2. Los sitios 390
3. Las subredes 391
4. Los servidores de catlogo global 391
5. Las particiones Active Directory 392
6. Los vnculos de sitios 393
a. Funcionamiento de los vnculos de sitios 393
b. Administracin de los vnculos de sitios 394
7. Los puentes de sitio 396

B. Trabajos prcticos 396

www.ediciones-eni.com Ediciones ENI 8/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

C. Resumen del captulo 405

D. Validacin de conocimientos: preguntas/respuestas 405

Captulo 8 Replicacin de Active Directory

A. Presentacin de la replicacin de Active Directory 408


1. Replicacin de Active Directory 408
a. Programacin de la replicacin 409
b. Topologa de replicacin 410
c. Objetos de conexin 412
d. Replicacin a los RODC 416
e. Replicacin de contraseas (RODC) 417
f. Los conflictos de replicacin 419
2. Replicacin SYSVOL 420
a. Presentacin de la carpeta SYSVOL 420
b. Replicacin de la carpeta SYSVOL 422
3. Supervisar y resolver problemas 423

B. Trabajos prcticos 424

C. Resumen del captulo 439

D. Validacin de conocimientos: preguntas/respuestas 440

Captulo 9 Servicios de certificados AD CS

A. Infraestructura de claves pblicas 444

1. Presentacin de PKI 444


2. Componentes de una PKI 445
3. Cifrado 447

www.ediciones-eni.com Ediciones ENI 9/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

B. Presentacin de AD CS 447
1. Servicios de certificados AD CS 447
a. CA independiente 448
b. CA empresarial 448
c. Administracin de AD CS 448
2. Jerarqua de CA 450
a. Infraestructura de dos capas 450
b. Infraestructura de tres capas 451
c. CA raz 453
d. CA intermedia 454
e. CA emisora 454
3. Servicios de roles AD CS 454
a. Entidad de certificacin 454
b. Solicitud de certificados a travs de la Web 455
c. Respondedor en lnea 455
d. Inscripcin de dispositivos de red 455
e. Inscripcin de certificados 455
f. Directiva de certificados 456
4. Certificados 456
a. Plantillas de certificado 457
b. Solicitud de certificado 459

C. Trabajos prcticos 459

D. Resumen del captulo 490

E. Validacin de conocimientos: preguntas/respuestas 491

Captulo 10 Servicios de gestin de derechos

A. Servicios de gestin de derechos 496

1. Presentacin de AD RMS 496

www.ediciones-eni.com Ediciones ENI 10/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

a. Funcionamiento de AD RMS 497


b. Administracin de AD RMS 498
c. Componentes de AD RMS 504
2. Instalar y configurar AD RMS 504
a. Realizar el esquema de la infraestructura 504
b. Requisitos previos de instalacin 505
3. Proteger el contenido de los archivos 505

B. Trabajos prcticos 507

C. Resumen del captulo 535

D. Validacin de conocimientos: preguntas/respuestas 535

Captulo 11 Servicios de federacin AD FS

A. Servicios de federacin 538


1. Presentacin de AD FS 539
a. Funcionamiento de AD FS 539
b. Administracin de AD FS 540
2. Notificaciones 541
3. Infraestructura AD FS 542
a. Infraestructura 542
b. Componentes 543
4. Instalar y configurar AD FS

B. Trabajos prcticos 545

C. Resumen del captulo 555

D. Validacin de conocimientos: preguntas/respuestas 555

www.ediciones-eni.com Ediciones ENI 11/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

Captulo 12 El reparto de carga

A. El reparto de carga 558

1. Presentacin del reparto de carga 558


a. Tecnologas existentes 559
b. Ventajas e inconvenientes 559

B. El reparto de carga de red 561

1. Network Load Balancing 561


2. Diferentes modos de equilibrio de carga 562
a. Prioritario 562
b. Modo igual 563
c. Modo manual 563
3. Modos de transmisin 564
a. Unicast - Monodifusin 564
b. Multicast - Multidifusin 565
c. Multidifusin IGMP 565
4. Afinidad del equilibrio de carga 565
5. Convergencia y alta disponibilidad 566

C. Trabajos prcticos 567

D. Resumen del captulo 588

E. Validacin de conocimientos: preguntas/respuestas 588

Captulo 13 Clsters y alta disponibilidad

A. Alta disponibilidad 592

1. Presentacin de la alta disponibilidad 592


2. Soluciones de alta disponibilidad 593

www.ediciones-eni.com Ediciones ENI 12/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

B. Clster de conmutacin por error 593


1. Presentacin de los clsters 593
2. Funcionamiento de un clster 593
a. Redes 594
b. Conmutacin 595
c. Volmenes compartidos 596
d. Consola de administracin del clster 598
e. Administracin de un clster de conmutacin por error 599
f. Qurum 603
g. Instalar y configurar un clster 604
h. Los roles 606
i. Optimizacin de los CSV 607

C. Trabajos prcticos 607

D. Resumen del captulo 618

E. Validacin de conocimientos: preguntas/respuestas 618

Captulo 14 Clster de conmutacin por error Hyper-V

A. Virtualizacin con Hyper-V 622

1. Presentacin de Hyper-V 622


a. Instalacin del rol Hyper-V 624
b. Administracin de Hyper-V 625
c. Administracin de Hyper-V a travs de SCVMM 626

B. Alta disponibilidad con Hyper-V 626


1. Replicacin 626
2. Clster de conmutacin por error 626
3. Migracin de las mquinas virtuales 627

www.ediciones-eni.com Ediciones ENI 13/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

C. Trabajos prcticos 628

D. Resumen del captulo 643

E. Validacin de conocimientos: preguntas/respuestas 643

Captulo 15 Copia de seguridad y restauracin

A. Presentacin de la recuperacin de desastres 646

1. Recuperacin de desastres 646


2. Presentacin de la copia de seguridad 648
3. Copias de seguridad de Windows Server 649
a. Gestin de la copia de seguridad de Windows Server 651
b. Programar la copia de seguridad de Windows 652
c. Configurar la copia de seguridad de Windows 653
d. Configurar la restauracin de datos 655

B. Recuperacin de datos 656

1. Instantneas 656
2. Papelera de reciclaje de Active Directory 660

C. Trabajos prcticos 661

D. Resumen del captulo 686

E. Validacin de conocimientos: preguntas/respuestas 686

www.ediciones-eni.com Ediciones ENI 14/15


Windows Server 2012 R2 - Configuracin de servicios
avanzados
Preparacin para la certificacin MCSA - Examen 70-412

Tabla de objetivos 689

ndice 691

www.ediciones-eni.com Ediciones ENI 15/15


Windows Server 2012 R2
MCSA 70-412 - Configuracin de servicios avanzados

El examen 70-412 "Configuracin de servicios avanzados de Windows Server 2012 R2" es el


ltimo de los tres exmenes obligatorios para la obtencin de la certificacin MCSA Windows
Server 2012 R2.

Para ayudarle en una preparacin eficaz del examen, este libro cubre todos los objetivos
oficiales, tanto desde un punto de vista terico como prctico. Ha sido redactado por un
consultor , certificado por Microsoft. De esta forma, su saber hacer pedaggico y tcnico
conducen a un enfoque claro y visual, de un alto nivel tcnico.

Captulo tras captulo podr validar sus conocimientos tericos, empleando un gran nmero
de preguntas-respuestas (150 en total) haciendo hincapi tanto en los elementos
fundamentales como las caractersticas especficas de los conceptos cubiertos.

Cada captulo termina por unos trabajos prcticos (75 en total) que proporcionarn los medios
para medir su autonoma. Estas operaciones en concreto, le permitirn forjar una primera
experiencia significativa y adquirir verdaderas competencias tcnicas acerca de un conjunto de
situaciones reales, ms all de los objetivos fijados para el examen.

A este dominio del producto y sus conceptos, se aade la preparacin especfica para la
certificacin: podr acceder de forma gratuita a 1 examen en lnea, destinado a entrenarle en
condiciones cercanas a las de la prueba. En este sitio, cada pregunta est planteada dentro del
espritu de la certificacin y, para cada una, se encuentran respuestas suficientemente
comentadas para cubrir o identificar sus lagunas.

Los captulos del libro:


Descripcin - Acerca de este libro - Presentacin de Windows Server 2012 R2 - Los servicios de
dominio Active Directory - Los servicios avanzados de red - Los servicios de archivos avanzados -
Control de acceso dinmico - Despliegue distribuido AD DS - Sitios y servicios Active Directory -
Replicacin de Active Directory - Servicios de certificados AD CS - Servicios de gestin de derechos
- Servicios de federacin AD FS - El reparto de carga - Clsters y alta disponibilidad - Clster de
conmutacin por error Hyper-V - Copia de seguridad y restauracin - Tabla de objetivos

Armelin ASIMANE
Armelin ASIMANE es Ingeniero de sistemas, especializado en las tecnologas Microsoft y Citrix
desde hace aos. Despus de haber obtenido varias certificaciones en estos dos dominios, cre
en 2012 un blog informtico (infonovice.fr) para compartir su conocimiento, experiencia y su
pasin por el universo de las nuevas tecnologas.
Introduccin
El examen 70-412 "Configuracin de servicios avanzados de Windows Server 2012 R2" es el
ltimo de los tres exmenes obligatorios para la obtencin de la certificacin MCSA Windows Server
2012 R2.

Para asistirle en una preparacin eficaz del examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista terico como prctico. Ha sido redactado por un consultor certificado
tcnicamente por Microsoft. De esta forma, su experiencia pedaggica y tcnica se traduce en un
enfoque claro y visual, de un alto nivel tcnico. Captulo tras captulo podr validar sus conocimientos
tericos, gracias a una gran cantidad de preguntas-respuestas (150 en total) que hacen hincapi
tanto en los elementos fundamentales como en las caractersticas especficas de los conceptos
abordados. Cada captulo finaliza con un trabajo prctico (75 en total) que le proporcionar los
medios necesarios para evaluar su autonoma. Estas operaciones concretas, que sobrepasan los
objetivos fijados por el examen, le permitirn desarrollar una experiencia significativa y adquirir
verdaderas competencias tcnicas en situaciones reales.

A este dominio del producto y sus conceptos, se aade la preparacin especfica para la certificacin:
podr acceder de forma gratuita a 1 examen en lnea, destinado a entrenarle en condiciones
similares a las de la prueba. En este sitio, cada pregunta est planteada dentro del espritu de la
certificacin y, para cada una, se proveen respuestas suficientemente comentadas para cubrir o
identificar sus lagunas.
Prlogo
Este libro pertenece a la coleccin Certificaciones de Ediciones ENI y tiene como objetivo la
preparacin para la certificacin Microsoft 70-412: Configuracin y administracin avanzada de los
servicios Windows Server 2012 y Windows Server 2012 R2.

1. Acerca del libro


Este libro est compuesto por 15 captulos que cubren el conjunto de los objetivos oficiales
siguientes:

Implementacin de los servicios avanzados de red bajo Microsoft Windows Server 2012 R2

Implementacin de los servicios de archivos avanzados

Implementacin del acceso dinmico

Implementacin del equilibrio de carga (NLB)

Implementacin del clster

Implementacin del clster con Hyper-V

Implementacin de la recuperacin ante desastres

Implementacin del despliegue distribuido de AD DS

Implementacin de los sitios AD y su replicacin

Implementacin de los servicios de certificados (AD CS)

Implementacin de la gestin de derechos (AD RMS)

Implementacin de los servicios de federacin (AD FS)

Los captulos Presentacin de Windows Server 2012 R2 y Los servicios de dominio Active Directory
sirven de recordatorio bsico de la administracin de los servidores de Microsoft.

Captulo Presentacin de Windows Server 2012 R2

Informacin del sistema operativo

Presentacin de la interfaz grfica y los mtodos abreviados de teclado

Presentacin de la instalacin del sistema operativo

Configuracin y administracin del sistema operativo

Captulo Los servicios de dominio Active Directory

Presentacin general de los servicios de directorio Active Directory

Gestin estndar de los objetos usuarios, grupos y equipos

Cada captulo est compuesto por una parte terica y una parte prctica con trabajos prcticos en
condiciones de casos reales que puedan surgir en una empresa.

Se puede consultar la tabla detallada con los objetivos oficiales de la certificacin al final del
libro.
Condiciones requeridas
Antes de leer este libro, es importante saber a qu pblico est dirigido, as como el nivel requerido
para el aprendizaje y poder aprobar la certificacin Microsoft 70-412: Configuracin y administracin
avanzada de los servicios Windows Server 2012 R2.

1. Nivel/conocimientos
Este libro se dirige a toda persona que cuente con una experiencia significativa en entornos
Windows. Sin embargo, se recordarn algunos conceptos bsicos para refrescar la memoria de
todos. Un administrador Windows podr seguir fcilmente el contenido de este libro mientras que un
tcnico de sistemas y redes podr posiblemente tener algunas lagunas sobre la parte de
administracin avanzada de Microsoft Windows Server 2012 R2.

Se recomienda sin embargo partir de un conocimiento previo acerca de la gestin de servidores y


equipos cliente en entornos Active Directory. Por esta razn este libro est redactado de manera
que cualquier tipo de lector, dentro del mundo informtico, pueda comprenderlo, aprender y seguirlo
a su propio ritmo.

2. Certificaciones anteriores
No es necesario haber obtenido las certificaciones particulares de versiones anteriores de Windows
para seguir el plan de certificacin MCSA o MCSE Windows Server 2012 R2. Para aquellos que ya
cuenten con las certificaciones del entorno Windows Server 2008, es posible realizar una
actualizacin aprobando un nico examen (70-417).

3. Equipo necesario para los trabajos prcticos


Este manual de ayuda a la preparacin de la certificacin 70-412 posee varios trabajos prcticos
que permiten poner en prctica la parte terica. Cada lector deber procurarse previamente un
entorno de pruebas de acuerdo a los requisitos mnimos que necesita el sistema operativo Windows
Server 2012 R2. En caso de no contar con suficientes mquinas fsicas para llevar a cabo los
diferentes trabajos prcticos, es posible construir los laboratorios de ensayo en un entorno Hyper-V
V3, VMware ESX 5.0, VMware Workstation 9.0, XenServer 6.1 u otras soluciones de virtualizacin
que soporten Windows Server 2012 R2 y Windows 8.1. La mquina empleada para mi laboratorio
cuenta con un procesador de 64 bits Intel Core i7 3630QM 2,4 GHz, 16 GB de RAM y 1 TB de disco
duro. Sin embargo la instalacin de Microsoft Windows Server 2012 R2 necesita las caractersticas
mnimas siguientes:

Un procesador de 1,4 GHz y una arquitectura de 64 bits.

512 MB de RAM (Microsoft recomienda un mnimo de 1024 MB de RAM).

Un disco duro de 32 GB (en el marco de un entorno de prueba, 20 GB de disco duro por


mquina son suficientes).

Es preferible aislar la red de su entorno de laboratorio para no alterar otros componentes de red
fsicos de su empresa o su red domstica. El laboratorio que servir para trabajar en los diferentes
trabajos prcticos estar compuesto por las mquinas siguientes:

Mquina IP

DC-01 192.168.0.100

DC-02 192.168.0.101

DC-CORE 192.168.0.102
IPAM-01 192.168.0.103

CLIENT1 192.168.0.104

OXYDC-01 192.168.0.105

ISCSI-01 192.168.0.106

CACHE-01 192.168.0.107

CLIENT2 192.168.0.108

FILES-01 192.168.0.109

DC-03 192.168.0.110

DC-04 192.168.0.111

CS-01 192.168.0.112

CS-02 192.168.0.113

NLB-01 192.168.0.114

NLB-02 192.168.0.115
El plan de estudios de la certificacin de Microsoft
Una certificacin de Microsoft es un activo importante en el mundo empresarial, especialmente en los
clientes de gran cuenta. Afrontar la certificacin le permite poner a prueba sus conocimientos y
competencias tcnicas acerca de un producto de la gama de software del fabricante. Microsoft ha
actualizado su plan de estudios de certificacin para el producto Windows Server 2012 R2. Aprobar el
conjunto de las certificaciones proporciona acceso a dos ttulos especficos: MCSA y MCSE.

1. Detalles del plan de estudios MCSA


El plan MCSA (Microsoft Certified Solutions Associate) constituye la primera etapa de la certificacin
del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios est compuesto por
tres certificaciones que permiten validar los conocimientos de instalacin, configuracin y gestin de
la administracin avanzada de Windows Server 2012 R2. Estos tres niveles de certificacin estn
diseados para los administradores de sistemas:

A partir de enero de 2014, Microsoft ha actualizado el plan de certificacin MCSA, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.

2. Detalles del plan de estudios MCSE


El plan MCSE (Microsoft Certified Solutions Expert) corresponde a la segunda etapa del plan de
certificacin del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios se
divide en dos partes en funcin de su orientacin a la infraestructura de servidor (MCSE Server
Infrastructure) o la infraestructura vinculada a los puestos de trabajo (MCSE Desktop
Infrastructure). Cada una comprende dos pasos de certificacin.

MCSE Desktop Infrastructure

El plan MCSE Desktop Infrastructure est compuesto de las certificaciones 70-415 (Diseo e
implementacin de una infraestructura cliente Microsoft) y 70-416 (Implementacin de entornos de
puestos de trabajo Microsoft). Este conjunto de competencias permiten validar la capacidad de
implementar un entorno de trabajo seguro para todo tipo de dispositivos (fijos o mviles).
MCSE Server Infrastructure

El plan MCSE Server Infrastructure est compuesto por las certificaciones 70-413 (Diseo e
implementacin de una infraestructura de servidores Microsoft) y 70-414 (Implementacin de una
infraestructura de servidores Microsoft avanzada). Este conjunto de competencias permiten validar
la capacidad de implementar una infraestructura compleja basada en Windows Server 2012 R2.

El conjunto de los exmenes del plan se presenta en forma de preguntas de seleccin mltiple. Para
aprobar el examen, es necesario inscribirse en un centro concertado con Microsoft.

A partir de abril de 2014, Microsoft ha actualizado el plan de certificacin MCSE, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
Requisitos previos y objetivos

1. Requisitos previos
Contar con un buen conocimiento de los entornos Windows.

Saber instalar un sistema operativo Windows.

Contar con una base general de entornos de sistema y red.

2. Objetivos
Conocer las novedades del sistema operativo Windows Server 2012 R2.

Instalar Windows Server 2012 R2 en instalacin completa o mnima.

Aprender a navegar a travs de la nueva interfaz grfica.

Configurar la direccin IP de un servidor.

Conocer los requisitos previos de instalacin de Windows Server 2012 R2.


Windows Server 2012 R2
Windows Server 2012 R2 es un sistema operativo (orientado al Cloud) de la gama de servidores de
Microsoft. Aparece en el mercado para remplazar a Windows Server 2008 R2 y Windows Server 2012
con el fin de aportar novedades tales como:

Novedades en servicios de certificados Active Directory (AD CS)

Novedades en Active Directory Domain Services (AD DS)

Novedades en Active Directory Rights Management Services (AD RMS)

Novedades en Dynamic Host Configuration Protocol (DHCP)

Novedades en los servicios de nombres (Domain Name System - DNS)

Novedades en la gestin de direcciones IP (IP Address Management - IPAM)

Novedades en BranchCache

Novedades en PowerShell v4

Novedades en la interfaz grfica

Novedades en Hyper-V

Novedades en el Clster de conmutacin por error

Para obtener ms informacin sobre las novedades de Windows Server 2012 R2, puede consultar el
sitio oficial de Microsoft en la siguiente direccin: http://technet.microsoft.com/es-es/library/dn250019

Existen cuatro ediciones de Microsoft Windows Server 2012 R2:

Windows Server 2012 R2 Foundation: esta edicin con funcionalidad limitada del sistema
operativo servir para las pequeas organizaciones que deseen dotarse de una solucin todo-
en-uno, ya que esta edicin slo est disponible en versin OEM (preinstalado en equipos
nuevos). En esta edicin, no es posible realizar virtualizacin con Hyper-V.

Windows Server 2012 R2 Essentials: esta edicin con funcionalidades limitadas del sistema
operativo est ms adaptada a las PYMES. En esta edicin, tampoco es posible realizar
virtualizacin con Hyper-V.

Windows Server 2012 R2 Standard: esta edicin ms completa del sistema operativo
corresponder a estructuras ms importantes. Se encuentran disponibles todas las
funcionalidades a excepcin de la virtualizacin con Hyper-V, que est limitada a solo dos
mquinas virtuales.

Windows Server 2012 R2 Datacenter: esta edicin del nuevo sistema operativo para
servidores de Microsoft es la ms completa. Ofrece todas las funcionalidades existentes sin
ninguna limitacin a nivel de creacin de mquinas virtuales. Esta edicin corresponder
perfectamente a entornos complejos como, por ejemplo, estructuras Cloud.

En el marco de los trabajos prcticos de este manual, utilizaremos las versiones Datacenter de
Windows Server 2012 R2.

La configuracin de hardware mnima para instalar Windows Server 2012 R2 es la siguiente:

Procesador: arquitectura de 64 bits exclusivamente, velocidad de 1,4 GHz como mnimo (es
recomendable contar con un procesador multincleo).

Memoria RAM: 512 MB mnimo (recomendado contar con al menos 1024 MB).

Disco duro: 32 GB mnimo (la instalacin real requiere en torno a 10 GB, es necesario que el
sistema cuente con espacio para gestionar la memoria en el disco).

Un monitor: una resolucin mnima de 800 x 600 (es recomendable contar con una resolucin
mnima de 1024 x 768).
Si desea emplear el sistema operativo para la funcionalidad de virtualizacin de servidor (Hyper-
V), es preciso asegurar que el procesador cuenta con el juego de instrucciones dedicadas a la
virtualizacin (AMD-V para los procesadores AMD e INTEL-VT para los procesadores INTEL).
Nueva interfaz grfica
Microsoft, que nos haba habituado a la interfaz grfica presente en las anteriores versiones de
Windows, cambia de rumbo presentando, con la llegada de Windows 8, una nueva interfaz grfica.
Esta nueva interfaz, que supone cambiar bastantes hbitos, comienza de forma notable eliminando el
tradicional men Inicio. Microsoft justifica la opcin grfica de Windows 8 refirindose al hecho de que
el men Inicio est anticuado, se utiliza poco y no se adapta bien a la evolucin de las pantallas
tctiles. Los usuarios y empresas han respondido negativamente a esta revolucin, lo que podra
frenar significativamente el despliegue masivo de este nuevo sistema operativo. Frente a esta
protesta, Microsoft ha decidido escuchar las necesidades de sus usuarios, reintegrando
el menInicio en Windows 8.1 y Windows Server 2012 R2. Para acceder a las aplicaciones instaladas
en el equipo debemos, en lo sucesivo, pasar por el men Inicio. Este men se estructura empleando
grandes cuadros que representan las aplicaciones y es completamente personalizable (cambiar el
tamao de los cuadros, desplazar los iconos, etc.).

Ejemplo de la interfaz grfica de Windows 8.1:

1. Men Inicio
El tradicional botn Inicio vuelve a aparecer en Windows Server 2012 R2 y Windows 8.1. Haciendo
clic con el botn izquierdo del ratn en l podemos acceder a la pantalla de inicio de la nueva
interfaz grfica, mientras que un clic con el botn derecho har aparecer el men Inicio.
2. Panel de control
El acceso al panel de control tambin ha sido rediseado. Existen varias formas de acceder:
mediante el men Inicio, la pantalla de inicio o a travs de accesos directos en la pantalla. Por
ejemplo, es posible acceder pasando el cursor de su ratn por la esquina superior derecha y luego
desplazando el cursor hacia abajo. Esta accin hace aparecer un men en el que vemos un
engranaje titulado Configuracin. Despus de hacer clic sobre l, podemos acceder al men Panel
de control.
El acceso al Panel de control puede, tambin, realizarse a travs de la lista de aplicaciones
presente en la pantalla de inicio o realizando una bsqueda en la nueva barra de herramientas
escribiendo panel.

3. Los programas
El acceso a las aplicaciones se realiza mediante la pantalla de inicio o el men Inicio.

Por defecto, varias aplicaciones estn ocultas. Para mostrar todas las aplicaciones instaladas, haga
clic en el botn .

El escritorio de Windows se visualiza como una aplicacin del sistema operativo.

4. Los mtodos abreviados de teclado


Para ganar un tiempo precioso durante la administracin de un entorno Windows Server 2012 R2 o
Windows 8.1, es importante conocer el conjunto de mtodos abreviados funcionales en el nuevo SO.
Durante la administracin de un servidor remoto, el manejo de la interfaz a veces puede ser difcil
porque no siempre es fcil sealar con el cursor del ratn sobre los bordes de las pantallas para
mostrar los distintos mens y opciones. Por ello resultar muy til aprender algunos mtodos
abreviados.

Tecla + D: muestra el escritorio de Windows (Desktop).

Tecla + E: muestra el explorador de Windows (Explorer).

Tecla + R: muestra el cuadro de dilogo "Ejecutar" (Run).

Tecla + F: permite realizar una bsqueda de archivos (Find).


Tecla + Q: permite efectuar una bsqueda de tipo completo (bsqueda completa en el

servidor).

Tecla + W: permite realizar una bsqueda de configuracin.

Tecla + X: muestra el men Inicio.

Tecla + C: muestra el panel de men Windows de la derecha.

Tecla + P: permite configurar una segunda pantalla.

Tecla + M: reduce la ventana activa (Miniatura).


Despliegue de Windows Server 2012 R2
El procedimiento de instalacin del sistema operativo Windows Server 2012 R2 ofrece la posibilidad de
desplegar un servidor de dos formas diferentes:

1. Instalacin completa
La instalacin completa de Windows Server 2012 R2 corresponde a la instalacin del sistema
operativo integrando la interfaz grfica de usuario. La administracin de un servidor instalado en
este modo podr llevarse a cabo mediante las herramientas de administracin estndar y la
navegacin en el SO se realizar empleando las tradicionales ventanas de Windows adems de la
nueva interfaz grfica. En adelante es posible desinstalar la parte grfica desde la lnea de
comandos PowerShell o empleando la interfaz grfica:

PowerShell: abra un smbolo de sistema PowerShell y escriba el siguiente comando (con


permisos de Administrador): Uninstall-WindowsFeature User-Interfaces-
Infra, Server-Gui-Mgmt-Infray, a continuacin, reinicie el servidor.
Interfaz grfica: desde el Administrador del servidor, haga clic en Administrar y, a
continuacin, en Quitar roles y funciones. En la etapa Quitar caractersticas, desmarque la
opcin Infraestructura e Interfaces de usuario.

2. Instalacin mnima (Servidor Core)


La instalacin mnima de Windows Server 2012 R2, tambin llamada Instalacin Server Core,
corresponde a la instalacin del sistema operativo desprovisto de su interfaz grfica de usuario. La
administracin de un servidor instalado en modo Server Core se realizar por lnea de comandos
una vez conectado en local al equipo. Sin embargo, ser posible administrar un Server Core
empleando las herramientas de administracin grfica desde otro equipo de la red que tenga
previamente instalados los componentes RSAT (Remote Server Administration Tools). Cuando se
instala un servidor en modo Server Core, solo se pueden implementar los roles y caractersticas de
servidor siguientes:

Servicio Active Directory (AD DS)

Servicio Active Directory Lightweight Directory Services (AD LDS)

Servicio Active Directory Certificate Services (AD CS)

Servicio DHCP

Servicio DNS

Servidor de archivos y almacenamiento

Servicio de transferencia inteligente en segundo plano (BITS)

BranchCache

Hyper-V

Internet Information Services (IIS)

Servicios de impresin

Streaming Media Services

iSCSI

Equilibrio de carga de red (Load Balancing)

MPIO (Multipath I/O)

Experiencia de calidad de audio y vdeo de Windows (qWave)

Servidor Telnet

Migracin Unix

Por defecto, los roles y caractersticas de servidor no se instalan en el disco duro durante la
instalacin del sistema operativo en modo de instalacin mnima. Para instalar un componente, se
deber contar con acceso a una conexin a Internet en la mquina para que el sistema pueda
descargar automticamente los componentes restantes. Si no existe un acceso a Internet
disponible, es posible cargar las fuentes de instalacin de Windows a partir de un DVD-ROM de
instalacin escribiendo el comando PowerShell siguiente:

Get-windowsimage -imagepath <Unidad:>\sources\install.wim


Es preciso memorizar el nmero de ndice correspondiente a la versin de instalacin del sistema
operativo y, a continuacin, escribir el siguiente comando para instalar un rol o caracterstica de
servidor:

Install-WindowsFeature <Nombre de rol/caracterstica> -Source


wim:<Unidad:\sources\install.wim>:<index>

Para conocer el nombre de un rol o caracterstica de servidor, bastar con escribir el comando
PowerShell siguiente: Get-WindowsFeature
El direccionamiento IP
Para poder comunicarse en una red, un servidor provisto de un sistema operativo Microsoft debe
tener una direccin IP configurada y conforme a la subred en la que se encuentre. La direccin IP de
un equipo se configura en los parmetros de la tarjeta de red.

1. Direccionamiento IP dinmico
Por defecto, un sistema operativo no posee una direccin IP despus de su instalacin. La direcin
IP se configura automticamente mediante un servideor DHCP (Dynamic Host Configuration Protocol)
que se encarga de atribuir todos los parmetros de la configuracin de red.

2. Direccionamiento IP esttico
Si deseamos configurar el equipo con parmetros especficos, es posible desactivar la opcin de
configuracin automtica para introducir manualmente los parmetros de configuracin de una
tarjeta de red. Hablamos, en este caso, de una direccin IP esttica.
Los protocolos de red
Los protocolos de red permiten definir la manera en que se efectuarn las comunicaciones y otras
transferencias de datos. Estos protocolos estn estructurados en varias capas donde cada una tiene
un alcance y un rol determinado. Es posible encontrar el detalle de las capas en forma de modelos
centrndonos especficamente en el modelo OSI (Open Systems Interconnection, que presenta siete
capas de comunicacin) y en el modelo TCP/IP (Transfer Configuration Protocol/Internet Protocol, que
cuenta con cuatro capas de comunicacin). Existen varios protocolos de transferencia de datos, pero
el seleccionado para la red Internet es el protocolo TCP/IP, que cuenta con las versiones IPv4 e IPv6.

1. Modelo TCP/IP
El modelo TCP/IP constituye un conjunto de protocolos organizados en cuatro capas de
comunicacin distintas. Encontramos, en particular, las capas siguientes:

La capa de Red: correspondiente a la capa fsica, o el adaptador de red para la comunicacin


mediante el envo y la recepcin de paquetes de datos.

La capa Internet: es la encargada de proporcionar el paquete de datos (datagrama).

La capa de Transporte: correspondiente a los protocolos de comunicacin encargados de


transportar los datos en la red. Encontramos, en particular, dos protocolos de transporte:

TCP: garantiza el transporte de los datos en modo conectado (con acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte TCP son
fiables. Mediante el sistema de acuses de recibo, dos equipos que se comunican
conjuntamente pueden garantizar que el conjunto de datos se ha recibido correctamente.

UDP: garantiza el transporte de los datos en modo sin conexin (sin acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte UDP no son
fiables. Sin control de errores, la comunicacin es ms rpida.

La capa de Aplicacin: agrupa las aplicaciones estndar de red tales como TELNET, FTP,
SMTP.

2. Protocolo IP
Para comunicarse en la red, un equipo debe estar provisto fsicamente de una tarjeta de red y
lgicamente de una direccin IP. La direccin IP permite identificar a un host en la red para
comunicarse con l. Existen dos tipos de direcciones IPv4. Las direcciones que emplean el protocolo
IPV4 y las direcciones que emplean el protocolo IPv6.

a. Direccionamiento IPv4

Una direccin IPv4 est codificada en 32 bits, con 4 bytes separados por un punto. Cada byte
representa un nmero decimal con un valor entre 0 y 255.

Una direccin IPv4 posee una mscara de subred que define por una parte la direccin de red (los
primeros bytes) y, por otra parte, la direccin de la mquina en la red (los ltimos bytes).

Existen dos tipos de direcciones IPv4:

Las direcciones IPv4 privadas: permiten comunicarse en una red de rea local.

Las direcciones IPv4 pblicas: permiten comunicarse en Internet.

Las direcciones IPv4 privadas tienen cinco tipos de clase no direccionables en Internet para definir
direcciones IP de red de rea local:
Inicio Fin Notacin Mscara de
CIDR subred

Clase A 0.0.0.0 127.255.255.255 /8 255.0.0.0

Clase B 128.0.0.0 191.255.255.255 /16 255.255.0.0

Clase C 192.0.0.0 223.255.255.255 /24 255.255.255.0

Clase D: utilizada 224.0.0.0 239.255.255.255 /4 Indefinida


para la
multidifusin
(Multicast)

Clase E: reservada 240.0.0.0 255.255.255.255 Indefinida

b. Direccionamiento IPv6

Una direccin IPv6 est codificada en 128 bits, equivalentes a 16 bytes en grupos de dos
separados por dos puntos (:) y representados en hexadecimal. Una direccin IPv6 no posee
mscara de subred, sino prefijos que definen el ID de red de la misma forma que una direccin
IPv4.

La direccin IPv6 posee ciertas similitudes con la direccin IPv4. Por ejemplo:

Una direccin no especificada:

0.0.0.0 (IPv4)

:: (IPv6)

Una direccin de bucle local (Loopback):

127.0.0.1 (IPv4)

::1 (IPv6)

Una direccin APIPA:

169.254.0.0/16 (IPv4)

::64 (IPv6)

Una direccin de difusin (Broadcast):

::255.255.255.255 (IPv6)

Sin broadcast. Se utilizan direcciones de multidifusin (IPv6)

Una direccin de multidifusin (Multicast):

224.0.0.0/4 (IPv4)

FF00::/8 (IPv6)

Existen varios tipos de direcciones cuando se utiliza el protocolo IPv6. Cada tarjeta de red posee
varias direcciones IPv6. Encontramos, en particular, las direcciones IPv6 de tipo:
monodifusin

multidifusin
La administracin de Windows Server 2012 R2
El sistema operativo Windows Server 2012 R2 puede administrarse de diferentes maneras. Para facilitar la
administracin, es importante conocer y saber manipular las principales herramientas grficas dedicadas a la gestin
del servidor.

1. La consola Administracin de equipos


La consola Administracin de equipos es un complemento que permite gestionar los componentes principales de un
servidor. Se encuentra accesible desde una MMC (Microsoft Management Console) aadiendo el
componente Administracin de equipos, empleando las herramientas de administracin en la carpeta de
aplicaciones instalada en el servidor o mediante el comando DOScompmgmt.msc. Desde esta consola ser posible
tambin administrar Windows Server 2012 R2 empleando diferentes herramientas agrupadas en tres categoras.

Las herramientas del sistema


Esta categora agrupa:

El Programador de tareas: permite planificar la ejecucin de scripts y otras tareas de


administracin.

El Visor de eventos: permite consultar los registros de eventos de Windows.

Las Carpetas compartidas: permite consultar los diferentes recursos compartidos activos
en el servidor o crear nuevos recursos compartidos de red.

Los Usuarios y grupos locales: permite gestionar las cuentas y grupos de usuarios
locales, definirlos o restablecer las contraseas.

La herramienta Rendimiento: permite consultar mediante una herramienta grfica el


rendimiento de un servidor en funcin de ciertos criterios.

El Administrador de dispositivos: permite administrar el conjunto de componentes del


servidor y gestionar los controladores de los diferentes dispositivos.

El almacenamiento
Esta categora agrupa:

La herramienta Copias de seguridad de Windows Server: permite configurar la copia de


seguridad del servidor en una ubicacin local, un disco duro o dispositivos externo o incluso
una ubicacin en lnea empleando la herramienta Windows Azure Online Backup.

La herramienta Administracin de discos: permite configurar los diferentes dispositivos de


almacenamiento para gestionar el formato o el particionado de los discos, la asignacin de
las letras de unidad o la configuracin de los puntos de montaje NFS (Network File System).

Los servicios y Aplicaciones

La herramienta Enrutamiento y acceso remoto: permite, si el servidor se convierte en un


router, configurar la conversin de puertos (NAT) o configurar posibles accesos VPN.

Los Servicios: permiten verificar el estado de cada servicio de Windows en ejecucin en el


sistema, configurarlos o incluso, arrancarlos o detenerlos.

La herramienta Control WMI: permite configurar la infraestructura de gestin de Windows.

2. La consola Administrador del servidor


Desde la aparicin de Windows Server 2008, Microsoft ha centralizado la administracin de los principales
componentes del servidor en una consola denominada Administrador del servidor. Esta consola permite a su vez
agrupar, en una interfaz intuitiva, los principales accesos a los elementos de configuracin y gestin del servidor.
Desde esta interfaz es posible agregar roles y caractersticas al servidor. Es posible acceder esta consola mediante
el icono Administrador del servidor ubicado en la barra de tareas, o a travs de las herramientas administrativas.

3. Las herramientas administrativas


Las herramientas administrativas son esencialmente componentes disponibles, tambin, en la consola MMC. Estas
herramientas estn disponibles desde la ventana de inicio de Windows Server 2012 R2 haciendo clic
en Herramientas administrativas:
Trabajos prcticos
La empresa INFONOVICE desea instalar nuevos servidores. Para ello, solicitar sus servicios con el
objetivo de instalar y configurar el sistema operativo Windows Server 2012 R2.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

DC-CORE: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.102

Mscara de subred: 255.255.255.0

Para realizar los siguientes trabajos prcticos, bastar una mquina virtual con las caractersticas
mnimas para ejecutar Windows Server 2012 (una vCPU a 1,4 GHz en arquitectura de 64 bits, un disco
duro de 20 GB como mnimo (suficiente para nuestro entorno de prueba) y 1024 GB de RAM). Habr
que asegurarse que la BIOS de la mquina virtual est configurada para arrancar desde la unidad de
CD-ROM:

La mquina virtual deber, a su vez, contar con una tarjeta de red que podremos configurar
posteriormente.

1. Instalar Windows Server 2012 R2 en modo grfico


Paso 1: despus de arrancar desde un CD de instalacin de Windows Server 2012 R2, seleccione
el idioma Espaol y, a continuacin, haga clic en Siguiente:
Paso 2: haga clic en Instalar ahora:

Paso 3: introduzca el nmero de serie del producto Windows Server 2012 R2 y haga clic
enSiguiente:
Paso 4: seleccione la edicin que especifica servidor con una GUI y haga clic en Siguiente:

Paso 5: marque la opcin Acepto los trminos de licencia y haga clic en Siguiente:
Paso 6: haga clic en Personalizada: instalar solo Windows (avanzado):

Paso 7: seleccione el disco duro de 20 GB (tamao vlido para un entorno de prueba/maqueta) y


haga clic en Siguiente para iniciar la instalacin de Windows Server 2012 R2:
Paso 8: escriba una contrasea para la cuenta Administrador (ejemplo: P@ssw0rd) y haga clic
en Finalizar:

Paso 9: presione [Ctrl][Alt][Supr]:


Paso 10: escriba la contrasea de la cuenta Administrador para iniciar una sesin:

Paso 11: al iniciar la sesin, la consola Administrador del servidor se abre automticamente.
Haga clic en Configurar este servidor local:

Paso 12: a continuacin, haga clic en el nombre del servidor:

Paso 13: haga clic en Cambiar:


Paso 14: substituya el nombre de equipo por defecto por DC-01 y haga clic en Aceptar:

Paso 15: haga clic en Aceptar para reiniciar el equipo:


Paso 16: haga clic en Cerrar:

Paso 17: haga clic en Reiniciar ahora:


En este punto, el sistema operativo Microsoft Windows Server 2012 R2 se encuentra instalado con la
interfaz grfica y el nombre del servidor configurado.

2. Instalar Windows Server 2012 R2 en modo Server Core


Paso 1: despus de arrancar desde un CD de instalacin de Windows Server 2012 R2, repita las
mismas operaciones que para la instalacin con interfaz grfica, salvo en la etapa 4, donde
deber seleccionar la edicin que especifica Instalacin Server Core:

Paso 2: una vez terminada la instalacin del sistema operativo, se abrir una simple ventana
DOS:
Para administrar Windows Server 2012 R2 en modo Server Core, es posible utilizar comandos
DOS o PowerShell.

Para modificar el nombre del equipo empleando comandos DOS

Para conocer el nombre actual del equipo, escriba el comando DOS hostname:

Para modificar el nombre del servidor y llamarlo DC-CORE, escriba el comando DOS
siguiente:netdom renamecomputer <hostname> /NewName:DC-CORE

a continuacin, escriba spara confirmar la operacin:

Escriba el comando shutdown /r /f para reiniciar el servidor:

Haga clic en Cerrar:


Para modificar el nombre del equipo empleando comandos PowerShell

Escriba powershellen el smbolo del sistema DOS para cambiar a PowerShell:

Escriba el comando Rename-Computer, indicando el nombre que desea atribuir al servidor


como parmetro, por ejemplo DC-CORE:

Escriba el comando shutdown /r /f para reiniciar el servidor:

Haga clic en Cerrar:

Utilizando el mtodo 1 o 2 puede modificar el nombre de un servidor, la modificacin ser tenida


en cuenta nicamente tras el reinicio. Es posible verificar la modificacin del nombre del equipo
escribiendo de nuevo el comando hostnameen el smbolo del sistema DOS.

3. Configurar la interfaz de red


En este taller, se configurar la interfaz de red en modo grfico o Server Core.

Configuracin en modo grfico

Paso 1: en la consola Administrador del servidor, haga clic en Configurar este servidor local:
Paso 2: a continuacin, haga clic en Direccin IPv4 asignada por DHCP, IPv6 habilitado:

Paso 3: haga doble clic en la tarjeta de red a configurar:

Paso 4: haga clic en Propiedades de la tarjeta de red seleccionada:


Paso 5: seleccione el protocolo de red TCP/IPv4 y haga clic en Propiedades:
Paso 6: marque la opcin Usar la siguiente direccin IP y configure la direccin IP de su tarjeta
de red. Para este taller, utilizaremos una direccin IP de clase C con un servidor DNS externo. A
continuacin, haga clic en Aceptar para validar la nueva configuracin:

Para respetar las buenas prcticas, si el servidor a configurar est destinado a convertirse en un
controlador de dominio (rol Active Directory Domain Services), habr que contar con la
configuracin de la seccin Servidor DNS introduciendo la direccin IP de bucle invertido (127.0.0.1)
como direccin IP del servidor DNS alternativo, o no preferido.

Paso 7: haga clic en Aceptar y por ltimo en Cerrar.

Configuracin en modo Servidor Core

Configuracin de la direccin IP por lnea de comandos DOS

Introduzca el comando netsh interface ipv4 show interfaces para identificar la


interfaz de red a configurar. Apunte el nmero de la columna nd:

Escriba el siguiente comando DOS para configurar la direccin IP de la interfaz de red


previamente identificada:

netsh interface ipv4 set address name="<nd>" source=static address=


<Direccin IP fija a configurar> mask=<Mscara de subred> gateway=
<Pasarela por defecto>

Para configurar la direccin IP del servidor DNS preferido, escriba el comando siguiente:

netsh interface ipv4 add dnsserver name="<nd>" address=<Direccin IP del


servidor DNS preferido> index=1

Para configurar la direccin IP del servidor DNS auxiliar, escriba el comando siguiente:

netsh interface ipv4 add dnsserver name="<nd>" address=<Direccin IP


del servidor DNS auxiliar> index=2

Para verificar su configuracin IP, escriba ipconfig /all.

Configuracin de la direccin IP por lnea de comandos PowerShell

Escriba PowerShellen el smbolo del sistema DOS para cambiar a PowerShell:

Introduzca el comando Get-NetIPInterfacepara identificar la interfaz de red a configurar.


Apunte el nmero de la columna ifIndex:

Escriba el comando PowerShell para configurar la direccin IP de la interfaz de red previamente


identificada:

New-NetIPAddress -InterfaceIndex <ifIndex> -IPAddress <Direccin IP fija a


configurar> -PrefixLength 24 -DefaultGateway <Pasarela por defecto>

Escriba el comando PowerShell siguiente para configurar la direccin IP de la interfaz del servidor
DNS:

Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses


"192.168.0.254","127.0.0.1"

Para verificar su configuracin IP, escriba el comando PowerShell siguiente: Get-


NetIPConfiguration

4. Cambiar nombre de un servidor con sconfig


Paso 1: abra una sesin en el servidor Core.

Paso 2: escriba el comando siguiente: sconfig


Paso 3: para modificar el nombre de equipo, escriba 2y pulse la tecla [Intro]:

Paso 4: escriba DC-CORE1 como el nuevo nombre a asignar al servidor DC-CORE, y valide
pulsando la tecla [Intro]:
Paso 5: escriba INFONOVICE\Administrador, que es una cuenta con permisos de
administracin en el servidor para poder efectuar la operacin de cambio de nombre del equipo.
Valide, a continuacin, pulsando la tecla [Intro]:

Paso 6: escriba la contrasea de la cuenta Administrador del dominio INFONOVICE y, a


continuacin, valide pulsando la tecla [Intro]:
Paso 7: haga clic en S para reiniciar el servidor y aplicar la modificacin:

Paso 8: al reiniciar el servidor, abra de nuevo una sesin en el servidor Core y, a continuacin,
escriba el comando hostname para validar que el nombre del servidor se ha cambiado
correctamente:

5. Configurar la direccin IP con sconfig


Paso 1: abra una sesin en el servidor Core.

Paso 2: escriba el comando siguiente: sconfig

Paso 3: para configurar la direccin IP de un servidor, pulse 8y presione la tecla [Intro]:


Paso 4: escriba el nmero de ndice de la tarjeta de red a configurar y pulse la tecla [Intro]:

Paso 5: teclee 1para definir los parmetros de la tarjeta de red:


Paso 6: teclee la letra epara definir una direccin IP esttica y valide pulsando la tecla [Intro]:

Paso 7: escriba la direccin IP que desea asignar a la tarjeta de red (por


ejemplo:192.168.0.200) y, a continuacin, valide pulsando la tecla [Intro]:
Paso 8: escriba la direccin de la mscara de subred asociada a la tarjeta de red a configurar
(por ejemplo: 255.255.255.0). Pulse a continuacin la tecla [Intro] para validar:

Paso 9: escriba la direccin de la pasarela por defecto asociada a la tarjeta de red a configurar
(por ejemplo: 192.168.0.254) y, a continuacin, pulse la tecla [Intro] para validar:
Paso 10: teclee el nmero 2para indicar la direccin de los servidores DNS asociados a la tarjeta
a configurar:

Paso 11: escriba la direccin IP del servidor DNS preferido (por ejemplo: 192.168.0.100) y, a
continuacin, pulse la tecla [Intro] para validar:
Paso 12: haga clic en Aceptar:

Paso 13: escriba la direccin IP del servidor DNS alternativo (por ejemplo: 192.168.0.101), y,
a continuacin, pulse la tecla [Intro] para validar:
Paso 14: haga clic en Aceptar:

Paso 15: la direccin IP de la tarjeta de red seleccionada est configurada en adelante de forma
esttica. Teclee 4para volver al men principal:
La direccin IP est configurada y el servidor est listo para comunicarse en la red.
Resumen del captulo
Tras la lectura de este captulo, hemos visto los conceptos bsicos de la navegacin en Windows
Server 2012 R2 y la configuracin mnima para empezar a utilizar el sistema operativo en una red.
Podra resumirse de la manera siguiente:

Al igual que Windows 8.1, Windows Server 2012 R2 cuenta con la nueva pantalla de inicio.

Windows Server 2012 R2 cuenta con cuatro ediciones:

Windows Server 2012 R2 Foundation

Windows Server 2012 R2 Essentials

Windows Server 2012 R2 Standard

Windows Server 2012 R2 Datacenter

La instalacin de Windows Server 2012 R2 puede hacerse de dos maneras:

Instalacin completa

Instalacin mnima

La consola Administrador del servidor permite administrar las caractersticas esenciales de


Windows Server 2012 R2.

Es posible configurar la direccin IP de un servidor de forma dinmica o esttica utilizando IPv4


o IPv6.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Cules son las cuatro ediciones de Windows Server 2012 R2?

2 Qu combinacin de teclas permite efectuar una bsqueda de aplicaciones?

3 Qu combinacin de teclas permite mostrar el panel del men derecho de Windows?

4 A qu corresponde la instalacin mnima de Windows Server 2012 R2?

5 A qu corresponde la instalacin completa de Windows Server 2012 R2?

6 Qu significa RSAT? Para qu sirve RSAT?

7 Es compatible el componente DNS con una instalacin mnima de Windows Server 2012 R2?

8 Qu es una direccin IP esttica?

9 Qu es una direccin IP dinmica?

10 Qu comando permite mostrar el nombre de host de un equipo?

11 Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits?

12 Qu comando PowerShell permite cambiar el nombre de un equipo?

13 Qu comando permite configurar un Server Core mediante una interfaz bsica?

14 Cules son las caractersticas mnimas para instalar Windows Server 2012 R2?

15 Qu comando PowerShell permite mostrar la configuracin IP de un servidor?

16 De cuntos bytes se compone una direccin IPv6?

17 De cuntos bytes se compone una direccin IPv4?

18 En el modelo TCP/IP, para qu sirve la capa de red?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, sume un
punto.

Nmero de puntos: /18

Para este captulo, la puntuacin mnima es de 14/18.

3. Respuestas
1 Cules son las cuatro ediciones de Windows Server 2012 R2?

Las cuatro ediciones de Windows Server 2012 son las siguientes:

Windows Server 2012 R2 Foundation (versin OEM, limitada a 15 usuarios y sin Hyper-V)

Windows Server 2012 R2 Essentials (limitada a 25 usuarios y sin Hyper-V)

Windows Server 2012 R2 Standard (2 mquinas virtuales en Hyper-V)

Windows Server 2012 R2 Datacenter (mquinas virtuales ilimitadas en Hyper-V)

2 Qu combinacin de teclas permite efectuar una bsqueda de aplicaciones?


Para buscar una aplicacin, basta con pulsar simultneamente las teclas + Q.

3 Qu combinacin de teclas permite mostrar el panel del men derecho de Windows?

Para mostrar el panel del men derecho de Windows, basta con pulsar simultneamente las teclas

+ C.

4 A qu corresponde la instalacin mnima de Windows Server 2012 R2?

La instalacin mnima de Windows Server 2012 R2 corresponde a la instalacin del sistema


operativo sin la interfaz grfica de usuario. Otros mdulos, como Internet Explorer, no vienen
instalados en este tipo de instalacin y tampoco se encuentran disponibles todos los roles y
caractersticas del servidor.

5 A qu corresponde la instalacin completa de Windows Server 2012 R2?

La instalacin completa de Windows Server 2012 corresponde a una instalacin del sistema
operativo provista de una interfaz grfica y del conjunto de componentes disponibles.

6 Qu significa RSAT? Para qu sirve RSAT?

RSAT significa Remote Server Administration Tools. Si un administrador desea administrar


servidores desde un servidor miembro del dominio o un puesto cliente como Windows 7 u 8.1, es
posible aadir las herramientas de administracin manualmente. La instalacin de la herramienta
RSAT en un puesto cliente permite aadir el conjunto de componentes necesarios para la
administracin de los servidores Windows.

7 Es compatible el componente DNS con una instalacin mnima de Windows Server 2012 R2?

El componente DNS est disponible en la instalacin mnima de Windows Server 2012 R2.

8 Qu es una direccin IP esttica?

Una direccin IP esttica representa una direccin IP fija asignada manualmente.

9 Qu es una direccin IP dinmica?

Una direccin IP dinmica representa una direccin IP asignada mediante un servidor DHCP. La
direccin IP asignada posee una concesin durante la cual ningn otro equipo podr recibir la
direccin configurada.

10 Qu comando permite mostrar el nombre de host de un equipo?

El comando hostnamepermite mostrar el nombre de equipo.


11 Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits?

Uno de los requisitos para la instalacin de Windows Server 2012 R2 consiste en instalar el
sistema operativo en un procesador de arquitectura de 64 bits com o m nim o.

12 Qu comando PowerShell permite cambiar el nombre de un equipo?

El comando PowerShell Rename-Computerpermite cambiar el nombre de un equipo.


13 Qu comando permite configurar un Server Core mediante una interfaz bsica?

El comando sconfigpermite llamar a una interfaz de fcil manejo para configurar los elementos
bsicos de un Servidor Core.

14 Cules son las caractersticas mnimas para instalar Windows Server 2012 R2?

Las caractersticas mnimas de instalacin de Windows Server 2012 R2 son las siguientes:

Un procesador de 64 bits a 1,4 GHz como mnimo.

512 MB de memoria RAM.


32 GB de disco duro.

15 Qu comando PowerShell permite mostrar la configuracin IP de un servidor?

Se trata del comando Get-NetIPConfiguration.


16 De cuntos bytes se compone una direccin IPv6?

Una direccin IPv6 est compuesta de 16 bytes o 128 bits.

17 De cuntos bytes se compone una direccin IPv4?

Una direccin IPv4 est compuesta de 4 bytes o 32 bits.

18 En el modelo TCP/IP, para qu sirve la capa de red?

La capa de red corresponde a la capa fsica del equipo (la tarjeta de red, por ejemplo).
Requisitos previos y objetivos

1. Requisitos previos
Saber instalar el sistema operativo Windows Server 2012 R2.

Conocer las bases de la autenticacin de un usuario Microsoft.

Conocer las bases de la gestin de grupos de seguridad.

Conocer las bases de un directorio corporativo.

2. Objetivos
Comprender el rol de un directorio Active Directory en una empresa.

Comprender las nociones de dominios y controladores de dominio.

Comprender la gestin de cuentas de usuario.

Comprender la gestin de grupos de seguridad.

Saber instalar un controlador de dominio Active Directory.


Requisitos previos y objetivos

1. Requisitos previos
Conocer los fundamentos IPv4.

Instalar y configurar la direccin IP de un equipo cliente.

Instalar y configurar un controlador de dominio Active Directory.

Conocer las bases de la gestin de un servidor DNS.

Conocer las bases de la gestin de un servidor DHCP.

2. Objetivos
Comprender el rol de un servidor DNS.

Conocer las diferentes zonas DNS.

Instalar el rol DNS.

Configurar las opciones avanzadas de un servidor DNS.

Optimizar un servidor DNS.

Configurar DNSSEC.

Comprender el rol de un DHCP.

Instalar el rol DHCP.

Configurar las opciones avanzadas de un servidor DHCP.

Configurar la conmutacin por error en caso de fallo de un servidor DHCP.

Comprender el rol de gestin de direcciones IPAM.

Instalar y configurar la gestin de direcciones IPAM.


Servicio DNS
Todo equipo en una red posee una direccin IP (IPv4 o IPv6) para comunicarse. Las mquinas se
adaptan perfectamente a la conservacin de informacin en forma de bytes, mientras que un ser
humano tiene grandes dificultades para retener un conjunto de direcciones IP para acceder a un
servicio o un sitio web. Por este motivo, se cre el archivo de resolucin de nombres llamado Hosts.
Este archivo local (%SYSTEMROOT%\system32\drivers\etc\hosts) permite resolver los nombres
de dominio en direcciones IP. Este archivo de sistema se limita a un uso local para cada equipo de la
red. El servicio DNS se ha creado para ofrecer un sistema de resolucin de nombres a escala de una
red informtica. Hoy en da, toda red informtica emplea un servicio de resolucin de nombres llamado
DNS (Domain Name System).

1. Presentacin del servicio DNS


Un servidor DNS ofrece la posibilidad de traducir un nombre sencillo (ms fcil de recordar) en una
direccin IP. Varios componentes de una red informtica no funcionaran sin DNS. Por ejemplo, un
controlador de dominio (AD DS) no puede funcionar sin el componente de resolucin de nombres ya
que Active Directory funciona de manera conjunta con un servidor DNS. En Microsoft Windows Server
2012 R2, el servicio DNS se implementa como un rol de servidor integrado en el sistema operativo.

Este rol de servidor (disponible en la instalacin completa de Windows o en un servidor Core) puede
implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de
un dominio, o en un controlador de dominio. Sin embargo, un servidor DNS puede o no estar
integrado en un dominio Active Directory. La implementacin de DNS dentro de Active Directory
aporta funcionalidades adicionales como, por ejemplo, una seguridad reforzada.

Los servidores DNS en Internet estn organizados de forma jerrquica. En la cima de esta jerarqua
se encuentran los llamados servidores DNS raz. Actualmente existen 13 servidores raz a escala
mundial. Los servidores raz que representamos esquemticamente por un punto redirigen las
peticiones DNS a los servidores del nivel jerrquico inferior que cuenten con autoridad sobre los
recursos solicitados.

Los servidores DNS situados bajo los servidores raz se conocen como servidores de primer nivel o,
ms exactamente, servidores TLD (Top Level Domains). Los servidores TLD gestionan los registros de
ms alto nivel del tipo *.com, *.net, *.org, etc. Cada pas posee a su vez un registro de ms alto
nivel del tipo *.es (Espaa), *.de (Alemania), *.it (Italia), *.nz (Nueva Zelanda), *.fr (United-Kingdom:
Reino Unido), *.be (Blgica), etc.

Los servidores DNS situados en los servidores TLD se conocen como servidores de segundo nivel. Es
en este nivel donde un proveedor de nombres de dominio podr asignar un nombre de dominio
nico para empresas o particulares de tipo infonovice.es, infonovice.com. Para cada nombre de
dominio, es posible crear un subdominio del tipo mail.infonovice.es, calendario.infonovice.es, etc.

Esquema de la jerarqua de servidores DNS en Internet:


En el esquema anterior, podemos ver la estructura jerrquica de los servidores DNS de Internet. Si
deseamos acceder a la resolucin de nombres de subdominio mail.infonovice.es, ser necesario
realizar una bsqueda DNS recursiva de tres niveles.

2. Funcionamiento del servicio DNS


El servicio DNS funciona en modo cliente/servidor. Todo equipo Windows posee un cliente DNS
encargado de realizar las peticiones DNS destinadas a un servidor DNS configurado en los
parmetros de la tarjeta de red.

El cliente DNS efecta las peticiones DNS con destino al puerto UDP 53 de un servidor DNS (local o
remoto).

Cuando se realiza una solicitud de resolucin de nombres por parte de un cliente a un servidor DNS,
la respuesta se registra en la cach DNS. Esta operacin se efecta a travs del servicio de nombres
de Windows llamado Cliente DNS, que se encarga de actualizar la cache DNS y registrar el nombre
de host del equipo en el servidor DNS local.
Si se detiene el Cliente DNS, el equipo no podr registrarse a s mismo en un servidor DNS ni podr
actualizar la cach con los resultados de solicitudes DNS.

a. Herramientas por lnea de comandos DOS

Para consultar el contenido de la cach DNS de un equipo cliente, basta con escribir el comando
siguiente: ipconfig /displaydns

Para vaciar el contenido de la cach DNS de un equipo cliente, escriba el comando


siguiente:ipconfig /flushdns

Para registrar el nombre de host de un equipo en el servidor DNS local, escriba el comando
siguiente: ipconfig /registerdns

b. Principio de resolucin de nombres DNS

Cuando un puesto cliente desea acceder a un servicio, tal como un sitio web, cuenta con un
mecanismo de peticiones DNS que lo gestiona de forma completamente transparente para el
usuario:
1. Un usuario quiere acceder al sitio web infonovice.es empleando su navegador
web. Una vez que se ha introducido la URL, el puesto cliente realiza una
peticin DNS al servidor DNS de su proveedor de acceso Internet (ISP) para
saber si ste conoce la direccin IP del nombre de dominio infonovice.es.

2. Si el servidor DNS del ISP desconoce la direccin IP del nombre de dominio


solicitado, arranca un proceso de bsqueda recursiva. El servidor DNS del ISP
solicita, a continuacin, a los servidores raz la direccin IP de los servidores
DNS de la zona es.

3. Uno de los 13 servidores raz contactados responde al servidor DNS del ISP
indicndole los servidores DNS con autoridad para la zona es.

4. El servidor DNS del ISP contacta, a continuacin, con uno de los servidores DNS
de la zona es solicitndole la direccin IP de los servidores DNS que tengan el
nombre de dominio infonovice.es.

5. Uno de los servidor DNS de la zona es responde al servidor DNS del ISP
indicndole el nombre y la direccin IP del servidor DNS que tiene autoridad en
el dominio infonovice.es.

6. El servidor DNS del ISP contacta, a continuacin, con los servidores DNS con
autoridad sobre el dominio infonovice.es solicitndole la direccin IP del nombre
del dominio.

7. Uno de los servidores DNS contactados con autoridad para el nombre de


dominio infonovice.es, responde al servidor DNS del ISP indicndole la direccin
IP del nombre de dominio.

8. El servidor DNS del ISP responde al puesto cliente indicndole la direccin IP del
nombre de dominio infonovice.es.

9. El puesto cliente accede entonces al sitio web http://infonovice.es a partir de su


direccin IP.
10. El sitio web infonovice.es responde al puesto cliente proporcionndole la pgina
web del sitio.

3. Administracin del servicio DNS


Durante la instalacin del rol Servidor DNS se crea un servicio Windows llamado Servidor DNS con
arranque automtico. Este mismo servicio se encargar de responder a las peticiones DNS de los
clientes de la red.

La instalacin del rol DNS se realiza en la siguiente carpeta de sistema:


%SYSTEMROOT%\System32\dns\

Esta carpeta de instalacin contendr los elementos siguientes:

La cach DNS ubicada en la siguiente


ubicacin:%SYSTEMROOT%\System32\dns\cache.dns.

Los registros del servidor DNS contenidos en el archivo dns.log.

La carpeta samples, que contiene ejemplos de archivos de configuracin de DNS.

La carpeta de copia de seguridad de los archivos de la configuracin de DNS llamada Backup:

El proceso de instalacin del rol de servidor copia a su vez el complemento llamado DNS, disponible
en las herramientas administrativas o una nueva MMC. Tambin es posible instalar estas consolas
en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1,
instalando las herramientas de administracin RSAT (Remote Server Administration Tools).

Para abrir esta consola podemos tambin escribir el comando dnsmgmt.msc.


O hacer clic en DNS en la pantalla de inicio de Windows Server 2012 R2:

Es posible administrar un servidor DNS usando la consola grfica (MMC) o por lnea de comandos
Dnscmd o PowerShell.

Para acceder a la gestin de configuracin de un servidor DNS de un dominio Active Directory,


la cuenta de administrador debe pertenecer al grupo Admins. del dominio. Para administrar el
conjunto de los servidores DNS de cualquier dominio del bosque Active Directory, la cuenta de
administrador empleada debe pertenecer al grupo Administradores de empresas.

a. Implementacin de los registros detallados

De manera predeterminada un servidor DNS genera registros, que pueden consultarse mediante el
complemento Visor de eventos, en la seccin Registros de aplicaciones y servicios, del
registroDNS Server (o directamente en la consola DNS, en la seccin Registros globales del
registroEventos DNS):
Estos registros realizados por el servidor DNS pueden servir para realizar diagnsticos en la
resolucin de problemas o simplemente para verificar el correcto funcionamiento del servicio. Los
registros almacenados pueden ser de varios niveles:

Informacin

Advertencia

Error

Comentario

Crtico

Si se desea un diagnstico ms exacto, existe la posibilidad de activar registros ms detallados.


Esta accin tendr como objetivo generar un registro suplementario que utilizar recursos
complementarios del servidor. Estos registros son muy extensos, no es recomendable mantener
esta opcin activada mucho tiempo. Los registros de depuracin se encuentran disponibles en las
propiedades del servidor DNS:
La activacin del registro de depuracin requiere las siguientes acciones:

Marque la opcin Paquetes de registro para depuracin.

Marque las opciones deseadas.

Indique la ruta completa del archivo de registro dedicado a la depuracin.

Indique el tamao mximo del archivo de depuracin.

b. Registros DNS

Un servidor DNS puede gestionar varios tipos de registros llamados registros de recursos. Estos
registros permiten identificar un equipo, un servidor, un servicio, un alias o un controlador de
dominio. Estos recursos puede crearlos dinmicamente el sistema de instalacin del rol de servidor
DNS o un equipo cliente que se registre en el servidor DNS. Tambin es posible que un
administrador cree manualmente estos registros. No es posible crear un registro de recursos en
una zona DNS.

A continuacin se enumeran los principales tipos de registros de recursos:

Host A o AAAA: este tipo de registro de recursos permite identificar un equipo en la red
empleando su direccin IP y su nombre de dominio FQDN. Un host A corresponde a un
equipo identificado empleando su direccin IPv4, mientras que un host AAAA corresponde a
un equipo identificado mediante su direccin IPv6.
Alias (CNAME): este tipo de registro se denomina tambin, nombre cannico. Permite
identificar un equipo en la red mediante un nombre diferente al FQDN.

Intercambio de correo (MX): este tipo de registro de recursos identifica un servidor de


correo electrnico en una red (MX = Mail eXchanger). Cuando un cliente emplea el protocolo
SMTP (Simple Mail Transfer Protocol) para enviar e-mails, contacta con un servidor DNS para
recuperar la lista de servidores de correo definidos en los registros de tipo MX. Si existen
varios servidores de mensajera, se contactar en primer lugar con el servidor que tenga
definida la mxima prioridad para enviar un e-mail. A menor valor numrico del
campoPrioridad del servidor de correo, mayor ser la prioridad del servidor de correo
electrnico.
Registro de servicio (SRV): este tipo de registro de recursos permite identificar un servicio
especfico en la red (por ejemplo: un servidor Kerberos, un servidor de catlogo global, un
servidor LDAP). Un equipo cliente puede preguntar a un servidor DNS para recuperar la lista
de registros SRV que le permitir conectarse a los recursos adecuados en funcin de su
ubicacin geogrfica.

Inicio de autoridad (SOA): este tipo de registro se crea en primer lugar y permite indicar
los parmetros de una zona (SOA = Start Of Authority). Encontraremos, en particular, los
siguientes parmetros:

Numero de serie: este nmero se incrementa con cada actualizacin del archivo.

Servidor principal: servidor sobre el que se crea el registro SOA.

Persona responsable: direccin de e-mail del responsable de la zona.

Intervalo de actualizacin: indica la frecuencia de las solicitudes de actualizacin de una


zona DNS de un servidor DNS secundario en un servidor DNS principal.

Intervalo de reintento: indica el perodo durante el cual un servidor DNS secundario que
no poda ponerse en contacto con el servidor DNS primario debe esperar antes de volver
a solicitar la actualizacin de la zona para recuperar un registro SOA.

Expira despus de: indica el tiempo tras el que el servidor DNS secundario que no ha
podido recuperar el registro SOA del servidor DNS principal deja de responder a las
solicitudes de clientes para el nombre de la zona DNS.

TTL mnimo: duracin mnima de un registro DNS.


Servidor de nombres (NS): este tipo de registro permite identificar los servidores DNS del
dominio (NS = Name Server).
Puntero (PTR): este tipo de registro permite realizar una correspondencia entre una
direccin IP y un nombre de dominio FQDN empleando un registro de recursos presente en
una zona de bsqueda inversa (PTR = Pointer Record).

c. Limpieza de registros DNS

Un servidor DNS almacena diferentes tipos de registros en su base de datos (por ejemplo:
registros de tipo A - Hostname). Cuando los registros dinmicos ya no sirven, se eliminan
automticamente.

Por defecto, la opcin de borrado de registros obsoletos se encuentra deshabilitada. Es posible (y


especialmente recomendable) activarla en las propiedades del servidor DNS o en las propiedades
de una zona. Para activar la limpieza de registros DNS hay que editar las propiedades del servidor
DNS haciendo clic en Establecer caducidad/borrado para todas las zonas:
Intervalo sin actualizacin: despus de crear un registro DNS, este parmetro indica
durante cunto tiempo no es posible actualizar el registro. La marca de tiempo del registro
permite calcular el tiempo durante el cual el cliente no ha renovado su registro.

Intervalo de actualizacin: despus de crear un registro DNS, ste no puede actualizarse


durante el periodo sin actualizacin. Cuando finaliza este periodo de tiempo, este
parmetro indica el tiempo durante el que el registro permanecer almacenado en el
servidor DNS. Durante el intervalo de actualizacin, los equipos cliente podrn actualizar los
registros DNS y reiniciar su marca de tiempo. Si este no fuera el caso, los registros DNS se
eliminarn al expirar el intervalo de actualizacin.

Por defecto, un equipo cliente intentar renovar su registro DNS (refrescar su marca de
tiempo) tras cada arranque, con cada expiracin de la concesin de direccin IP asignada o
cada 24 horas.

Para activar los parmetros de caducidad/borrado a nivel de zona, hay que editar las propiedades
de la zona DNS haciendo clic en Caducidad en la pestaa General:
No basta con habilitar el parmetro de borrado del servidor DNS o de las zonas para que el
proceso arranque. Para ello, es preciso iniciarlo manualmente haciendo clic en Borrar registro de
recursos obsoletos desde el men contextual (haciendo clic con el botn derecho) en el servidor
DNS seleccionado.

Para activar la limpieza automtica de los registros obsoletos habr que editar las propiedades del
servidor DNS, pestaa Opciones avanzadas, y marcar la opcin correspondiente:
Los registros DNS dinmicos se crean con una marca de tiempo. Los parmetros de
caducidad/borrado se basan en esta marca de tiempo para establecer si el registro debe borrarse
o no:

Los registros DNS estticos no se crean con una marca de tiempo. En consecuencia, la opcin de
caducidad/borrado no podr eliminar estos registros:
d. Reenviadores del servicio DNS

Un servidor DNS se encarga de responder a los clientes DNS envindoles la correspondencia IP /


Nombre de equipo en el espacio de nombres donde tiene autoridad o en los resultados de otras
bsquedas almacenadas en cach. Cuando un servidor DNS no puede encontrar correspondencias,
llama a un sistema de redireccin de peticiones, para que otro servidor DNS pueda ayudar a
resolver la informacin desconocida. Este mecanismo puede utilizar dos tipos de redireccin:

Los reenviadores

Cuando no es posible resolver una peticin DNS buscando informacin en el espacio de nombres
configurado, el servidor DNS puede llamar a un reenviador. Un reenviador es un conjunto de
servidores DNS que permiten al servidor DNS local transmitir todas sus peticiones DNS no
resueltas. Si no es posible encontrar un servidor DNS disponible como reenviador, el servidor DNS
local reenva las consultas no resueltas a uno de los 13 servidores DNS raz.
Generalmente, el administrador encargado del servidor DNS de un dominio configura los
reenviadores indicando los servidores DNS del ISP (proveedor de acceso a Internet). Para acceder
a este parmetro, hay que mostrar las propiedades del servidor DNS del dominio y, a continuacin,
seleccionar la pestaa Reenviadores.

Existen tambin servidores DNS pblicos (tambin llamados OpenDNS) como los famosos
servidores DNS de Google cuyas direcciones IP son las siguientes:

IP del DNS Google IPv4:

8.8.8.8

8.8.4.4

IP del DNS Google IPv6:

2001:4860:4860::8888

2001:4860:4860::8844

De esta forma, cuando una peticin no puede resolverse, el servidor DNS del dominio transfiere la
peticin al servidor DNS del ISP o al que est configurado en la pestaa Reenviadores.

Los reenviadores condicionales

Los reenviadores condicionales tienen tambin como funcin transferir peticiones DNS a otros
servidores DNS siempre que stas tengan como destino un dominio en particular. De esta forma,
toda peticin DNS que posea el nombre de dominio configurado ser siempre transferida a los
servidores DNS con autoridad sobre los registros de recursos.

Para crear un redirector condicional, basta con indicar la direccin o direcciones IP de los servidores
DNS del dominio de destino.

Un redirector condicional funciona de la misma forma que una zona de rutas internas a diferencia
de que la configuracin de los servidores DNS del dominio objetivo es esttica, mientras que una
zona de rutas internas actualizar de forma dinmica la lista de servidores DNS del dominio de
destino.

Es posible alojar un redirector condicional en una particin de directorio Active Directory (a nivel del
bosque o del dominio).

e. Copia de seguridad de la configuracin DNS

La copia de seguridad de las zonas DNS es un aspecto importante para el administrador del
sistema. En caso de siniestro, ser muy importante disponer de una copia de seguridad de la
configuracin del servidor DNS para poder restablecer el servicio rpidamente. Tambin se
recomienda implementar una estrategia de copia de seguridad adecuada para evitar cualquier
accidente. Una copia de seguridad completa del servidor basta para guardar la configuracin DNS,
pero tambin es posible guardar las zonas DNS integradas o no en Active Directory de forma
individual.

Las zonas DNS primarias no integradas en Active Directory se almacenan en forma de


archivos en la carpeta %SYSTEMROOT%\System32\dns.
Por ejemplo, la zona primaria (no integrada en Active Directory) llamada infonovice.local se
copiar en el archivo infonovice.local.dns:

Realizar una copia de seguridad de las zonas primarias consistir entonces en agregar a la
directiva de copia de seguridad los archivos con extensin *.dns.

Las zonas DNS integradas en Active Directory se almacenan en una particin del directorio.
En otras palabras, la copia de seguridad completa de un controlador de dominio guarda a
su vez las zonas DNS integradas en Active Directory. Es posible, sin embargo, almacenar
una zona integrada en Active Directory por lnea de comandos mediante PowerShell o
Dnscmd.

Copia de seguridad de una zona DNS integrada en Active Directory empleando


PowerShell:
Export-DnsServerZone -Name <Nombre de la zona> -Filename <Nombre backup>

Copia de seguridad de una zona DNS integrada en Active Directory empleando Dnscmd:

Dnscmd /ZoneExport <Nombre de la zona> <Nombre del archivo de backup>

Los backups de las zonas de DNS se realizan en el directorio raz de DNS


(%SYSTEMROOT%\Sytem32\dns).

4. Zonas DNS
Un servidor DNS tiene como funcin gestionar los registros de recursos. Un recurso representa la
asociacin de una direccin IP y un nombre de dominio llamado FQDN (Fully Qualified Domain Name).
Para albergar y gestionar mejor estos recursos, un servidor DNS almacena los registros en
contenedores llamados zonas DNS. Una zona agrupa un conjunto de registros vinculados a un
dominio o un espacio de nombres. Microsoft Windows Server 2012 R2 puede gestionar de forma
nativa tres tipos de zona (las zonas principales, las zonas secundarias y las zonas de rutas
internas), adems de una zona especial llamada GlobalNames que no est disponible de manera
predeterminada.
a. Zona principal

Una zona principal contiene todos los registros DNS sobre los que el servidor tiene autoridad. Esta
zona puede o no estar integrada en Active Directory. Una zona principal funciona en lectura o
escritura, salvo si esta ltima est almacenada en un controlador de dominio de solo lectura
(RODC: Read Only Domain Controller). Si la zona no est integrada en Active Directory, se
almacenar en el servidor dentro de un archivo con la extensin *.dns en la
carpeta%SYSTEMROOT%\System32\dns. Almacenar la zona principal en Active Directory
asegura la actualizacin de los registros DNS as como la replicacin nativa para todos los
contralores de dominio del bosque.

b. Zona secundaria

Una zona secundaria contiene una rplica de una zona principal. Una zona secundaria funciona en
solo lectura. No es posible que un cliente la actualice. Para actualizarla, la zona secundaria
interrogar a la zona principal para recuperar la informacin a actualizar. Esta zona se almacena
en la carpeta %SYSTEMROOT%\System32\dns en un archivo con extensin *.dns. El
inconveniente de una zona secundaria es que no puede almacenarse en una particin del
directorio Active Directory. Por ello, el administrador de los servidores DNS de una empresa deber
crear en cada servidor una zona DNS secundaria que contenga un espacio de nombres de otro
bosque.

c. Zona de bsqueda inversa

Una zona de bsqueda inversa permite recuperar un nombre de host cuando solo se conoce su
direccin IP. Por defecto, la zona de bsqueda inversa no se crea automticamente durante la
instalacin del servidor DNS. Habr que crearla y configurarla manualmente indicando la subred en
la que debe crearse la zona.

d. Zona de rutas internas

Una zona de rutas internas es, al igual que un reenviador condicional, un puntero que apunta a los
servidores DNS de otro dominio o espacio de nombres. A diferencia de un reenviador condicional, la
zona de rutas internas actualiza dinmicamente la lista de servidores DNS que tienen autoridad
sobre el espacio de nombres remoto. Asimismo, se almacena una zona de rutas internas en la
carpeta %SYSTEMROOT%\System32\dns en un archivo de extensin *.dns, aunque tambin
puede estar integrada en Active Directory.

Por ejemplo: el administrador del dominio infonovice.priv desea que los puestos cliente puedan
resolver las peticiones destinadas al dominio oxylive.local ubicado en otro bosque. Podr decidir
crear una zona de rutas internas que tenga como objetivo reenviar todas las peticiones DNS
destinadas a los servidores DNS con autoridad en el espacio de nombres oxylive.local.

e. Zona GlobalNames

Una zona GlobalNames es un tipo de zona especial incorporada en Windows Server 2008. Su rol es
realizar las mismas funciones que el tradicional servidor WINS (Windows Internet Name Service). Es
decir, su objetivo es registrar las direcciones IP correspondientes a los nombres de equipos en
formato NetBIOS y no FQDN. No es posible actualizar una zona GlobalNames dinmicamente. Solo
puede almacenar registros estticos. Por ello, la utilizacin de estas zonas debe limitarse a un
nmero de equipos restringido. En cierto modo, un registro GlobalNames vuelve a crear un alias
para un equipo existente declarado en una zona DNS principal.

Por defecto, una zona GlobalNames no aparece en las opciones de configuracin de un servidor
DNS. Para emplear esta nueva funcionalidad, es preciso activarla manualmente siguiendo estas
operaciones:

Paso 1: abra un smbolo del sistema PowerShell haciendo clic en el icono asociado:
Paso 2: escriba el comando PowerShell siguiente para activar las zonas GlobalNames:

Set-DnsServerGlobalNameZone -Enable $True -PassThru

La opcin PowerShell -PassThru permite ejecutar el comando Get-


DnsServerGlobalNameZoneal final del comando para verificar que la configuracin de la
zona GlobalNames se ha activado correctamente. Tambin es posible activar una
zonaGlobalNames ejecutando el comando DNSCMD siguiente: dnscmd /config
/EnableGlobalNamesSupport 1

Paso 3: abra el administrador del servidor DNS:

Paso 4: haga clic con el botn derecho en el servidor y, a continuacin, haga clic en Zona
nueva:

Paso 5: haga clic en Siguiente:


Paso 6: seleccione Zona principal y marque la opcin Almacenar la zona en Active Directory.
Haga clic en Siguiente:

Paso 7: marque la opcin Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: infonovice.priv y haga clic en Siguiente:
Paso 8: marque la opcin Zona de bsqueda directa y haga clic en Siguiente:

Paso 9: escriba GlobalNames en el nombre de la zona y haga clic en Siguiente:


Paso 10: marque la opcin No admitir actualizaciones dinmicas y haga clic en Siguiente:

Paso 11: haga clic en Finalizar:


Para ganar tiempo en la creacin de la zona de bsqueda directa GlobalNames, podemos no
utilizar la interfaz grfica y ejecutar el siguiente comando PowerShell: Add-
DnsServerPrimaryZone -Name GlobalNames -ReplicationScope Forest

Llegados a este punto, la zona GlobalNames creada est operativa en lo sucesivo. Para probarla y
verificar su funcionamiento, tendremos que realizar las operaciones siguientes:

Paso 1: abra el administrador del servidor DNS:

Paso 2: despliegue el rbol del servidor para seleccionar la zona GlobalNames en la


carpetaZonas de bsqueda directa:
Paso 3: haga clic con el botn derecho en GlobalNames y, a continuacin, haga clic en Alias
nuevo (CNAME):

Paso 4: haga clic en Examinar... para seleccionar un equipo cliente declarado en una de las
zonas de bsqueda directa, escriba el nombre del alias (ejemplo: TestGlobalNames) que
desea utilizar y haga clic en Aceptar:

Paso 5: abra un smbolo del sistema DOS y escriba el comando siguiente Ping <Nombre
del alias GlobalNames previamente definido>:

Por ejemplo Ping TestGlobalNames:


Es posible confirmar que el alias definido en la zona GlobalNames lo resuelve correctamente
cualquier host del bosque.

5. DNS y Active Directory


El servicio de directorio de Microsoft funciona dentro de una red basndose en el espacio de
nombres. Active Directory no puede funcionar sin el servicio DNS. Al instalar una infraestructura
Active Directory, es recomendable instalar el servicio DNS integrado de Microsoft. Esto no es una
regla absoluta. Es perfectamente posible utilizar un servidor DNS externo con Active Directory pero
esto complica ms la administracin.

Cuando el servicio DNS se encuentra integrado con Active Directory, el asistente de configuracin va
a crear automticamente dos zonas de bsqueda directa:

La zona _msdcs.<Nombre de dominio Active Directory>: esta zona contiene los diferentes
registros a escala del bosque que permiten a los equipos cliente descubrir los controladores
de dominio de la red, los controladores de dominio que implementan el catlogo global, los
servidores Kerberos para la autenticacin o el emulador PDC. Esta zona aporta a su vez
informacin de geolocalizacin. Asimismo, un usuario asignado a un sitio Active Directory
remoto no tendr ningn problema para ubicar los recursos cercanos a su sitio.

La zona que lleva el nombre del dominio Active Directory: esta zona contendr los registros
de los distintos servicios de red, como la zona _msdcs, as como los registros de los clientes
DNS.
6. Seguridad del servicio DNS
Como puede ver, el servidor DNS es un componente muy importante de una red. Su objetivo es
resolver las solicitudes para proporcionar a los clientes la correspondencia entre nombre de dominio
FQDN y direccin IP. Cada solicitud resuelta se almacena, a continuacin, en la cach del servidor
DNS. Por este motivo es importante tener en cuenta la seguridad de su mecanismo para evitar que
un individuo malintencionado contamine el DNS (DNS Cache Poisoning) o intercepte los datos
enviados por un servidor DNS. Para proteger y asegurar un servidor DNS, Microsoft pone a
disposicin de los administradores de sistemas las herramientas para securizar la cach y firmar,
mediante criptografa, los registros DNS.

a. Securizar la cach DNS

La cach DNS permite acelerar el tratamiento de peticiones DNS dentro de una red. La securizacin
por bloqueo de cach DNS es una funcionalidad aparecida con Windows Server 2012. La funcin de
bloqueo de cach permite prohibir la actualizacin de un registro ya existente. De esta forma, una
persona malintencionada no podr modificar un registro de cach para dirigir a los clientes DNS a
un sitio web fraudulento. Para funcionar, esta opcin se basa en la duracin de un registro
tambin llamada TTL (Time To Live).

La funcin de bloqueo de cach permite de esta forma que un registro no sea eliminado antes de
que expire su duracin. Es, no obstante, posible ajustar esta opcin indicando en qu momento es
posible sobrescribir un registro DNS en cach mediante una actualizacin. La opcin de bloqueo de
cach est configurada de forma predeterminada con un parmetro fijo del 100%. Esto quiere
decir que un registro DNS en cach no puede ser sobrescrito mientras su duracin no haya
expirado.

Para conocer los parmetros de bloqueo de cach de un servidor DNS, basta con escribir el
comando PowerShell siguiente: Get-DnsServerCache

El parmetro EnablePollutionProtection: Trueindica que el bloqueo de cache


est activo en el servidor DNS.
El parmetro LockingPercent: 100 indica en qu porcentaje, de la duracin del
registro, debe funcionar la caracterstica de bloqueo de cach.

Para configurar el bloqueo de cach DNS, hay que utilizar los comandos PowerShell o DnsCmd
siguientes:

Modificacin del porcentaje de bloqueo de cach empleando PowerShell:

Set-DnsServerCache -LockingPercent <Porcentaje> -PassThru

En el ejemplo anterior, se protege contra escritura, los registros de cach hasta que su
duracin haya llegado al 60%.

Modificacin del porcentaje de bloqueo de cach empleando DnsCmd:

Dnscmd /Config /CacheLockingPercent <Porcentaje>

En el ejemplo anterior, se protege contra escritura, los registros de cach hasta que su
duracin haya llegado al 50%.

b. Configurar el grupo de sockets DNS

Para reforzar la seguridad de la cach de un servidor DNS Microsoft ha introducido la funcin del
grupo de sockets DNS. Esta tecnologa permite configurar un servidor DNS para que pueda utilizar
un nico puerto aleatorio disponible dentro de un intervalo de puertos y de esta forma realizar
peticiones DNS.

Un socket corresponde a la asociacin de una direccin IP y un puerto de comunicaciones. Los


equipos, para comunicarse dentro de la misma red, utilizan sockets que sirven como conectores de
red. El uso de un grupo de sockets permite al servidor DNS obtener un puerto de comunicacin
aleatorio dentro de un intervalo de puertos dedicados.

Por defecto, el grupo de sockets est disponible dese la instalacin del rol de servidor DNS en
Windows Server 2012 R2. Su tamao inicial tiene un valor fijo en 2500, pero es posible ajustar
este tamao modificando el parmetro asociado de 0 a 10000. La configuracin del grupo de
sockets DNS contiene tambin una lista de exclusin que comprende un intervalo de puertos
fuente que no se utilizarn.
Los parmetros vinculados al grupo de sockets DNS son los siguientes:

SocketPoolSize

Valor predeterminado: 2500

Valores posibles: 0 a 10000

SocketPoolExcludedPortRanges

Valor predeterminado: Ninguno

Valores posibles: 1 a 65535

Es posible configurar el grupo de sockets DNS empleando herramientas tales como:

DnsCmd

El registro de Windows

Para configurar el grupo de sockets DNS empleando DnsCmd:

Escriba el comando siguiente para verificar los parmetros del grupo de sockets:

dnscmd /Info /SocketPoolSize

Escriba el comando siguiente para configurar el tamao del grupo de sockets:

dnscmd /Config/SocketPoolSize <Valor>

Escriba el comando siguiente para configurar la lista de exclusin del grupo de sockets:

dnscmd /Config/SocketPoolExcludedPortRange <Valor>

Para configurar el grupo de sockets DNS empleando el registro de Windows:

Ubicacin de la configuracin asociada al grupo de sockets:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Cree la clave REG_DWORD: SocketPoolSize

Tipo de clave: Valor DWORD 32 bits

Base: Decimal

Ejemplo de valor: 5600

Cree la clave REG_MULTI_SZ: SocketPoolExcludedPortRanges

Tipo de clave: Valor de cadena mltiple

Ejemplo de valor: 4500-5500

c. Implementar DNSSEC

La seguridad del servicio DNS no se limita solo a su cach. El conjunto de solicitudes enviadas por
un servidor DNS a sus clientes es tambin vulnerable. Para proteger este flujo de datos, es posible
implementar DNSSEC (Domain Name System Security Extension), un protocolo estandarizado por la
IETF que ha llegado con Windows Server 2012 (esta funcionalidad exista previamente en Microsoft
Windows Server 2008 R2 pero se ha visto mejorada con Windows Server 2012). Esta funcionalidad
aporta un nivel de seguridad adicional permitiendo la firma digital de una zona. Para firmar una
zona DNS, bastar con mostrar el men contextual de una zona y hacer clic en DNSSEC / Firmar
la zona:

Cuando una zona ha sido firmada por DNSSEC, las peticiones DNS enviadas como respuesta a los
clientes dispondrn de una clave cifrada que certifica que la informacin proporcionada es correcta
y no se ha visto alterada por una persona malintencionada.

1. Un usuario desea acceder al sitio web http://infonovice.es. El equipo cliente


emite entonces una solicitud destinada a un servidor DNS para recuperar la
direccin IP del sitio Web.

2. El registro para el dominio infonovice.es figura en el servidor DNS en una zona


firmada por DNSSEC. El servidor DNS reenva entonces la direccin IP solicitada
con la firma digital que garantiza que la direccin IP asociada al nombre de
dominio infonovice.es es correcta.

3. El equipo cliente emplea la clave pblica contenida en la firma digital y la


presenta al servidor para descifrar y autenticar la informacin recibida despus
de comparar la clave privada. El usuario puede en adelante acceder al sitio web
http://infonovice.es estando seguro de que accede al sitio web correcto.

Cuando un servidor DNS no cuenta con la autoridad para el registro solicitado esto le lleva a hacer
una bsqueda recursiva para consultar otros servidores DNS, la implementacin de DNSSEC
permite garantizar la integridad de los datos recibidos por otros servidores DNS.

Cuando una zona DNS est firmada digitalmente, todos los registros DNS de la zona se firman
automticamente. Cada registro de recursos del servidor DNS firmado por DNSSEC se ver
completado por un nuevo registro llamado RRSIG (Resource Record SIGnature). Este registro
contendr la firma asociada al registro DNS original. Si es necesario actualizar un registro ya
firmado por DNSSEC, es imperativo firmar el nuevo registro despus de la modificacin.

La firma de una zona crea una clave privada en el servidor y luego almacena una clave pblica en
cada registro de recurso (como para una infraestructura PKI con una asociacin de claves
pblicas/privadas). Este proceso permite a su vez, a los clientes, verificar una respuesta recibida
comparando la clave pblica con la clave privada del servidor DNS.

Para que un equipo cliente verifique las respuestas aportadas por un servidor DNS hay que
configurar su tabla de resolucin de nombres (NRPT, Name Resolution Policy Table). Una tabla NRPT
contiene el conjunto de reglas de gestin que definen la manera en que un equipo cliente debe
validar las respuestas a peticiones DNS. La configuracin de este parmetro en el conjunto de los
equipos cliente de un dominio se puede hacer empleando una GPO (Group Policy Object, u objeto
de directiva de grupo).

Por defecto, al firmar una zona, el servidor DNS sobre el que se realiza la operacin se convierte
en el maestro de claves. Esto quiere decir que el servidor DNS realizar la gestin de las claves de
cifrado de la zona.

Los equipos cliente que deseen resolver una respuesta de peticin DNS firmada deben poseer la
clave pblica de la firma digital. Para recuperar esta clave pblica, los equipos cliente podrn hacer
una llamada al nuevo registro DNS llamado DNSKEY. Este registro permite publicar la clave pblica
necesaria para descifrar un registro firmado.

La clave privada KSK (Key Signing Key) es una clave de autenticacin que permite, como su nombre
indica, firmar otras claves encargadas de firmar una zona.

La clave privada ZSK (Zone Signing Key) es una clave de autenticacin que permite, como su
nombre indica, firmar los registros de una zona.

Los registros NSEC (Next Secure): cuando un cliente DNS hace una peticin para resolver un
nombre de recurso no existente en el dominio, el servidor DNS no puede firmar la respuesta para
un registro inexistente. Por ello, se emplean los registros NSEC, que permiten firmar las
respuestas realizadas para los registros de recursos que no existen. La firma de estas respuestas
sin seguimiento permite certificar a un cliente que el registro de recursos buscado no existe. El
aspecto negativo de este registro, es que permite la enumeracin de los dominios padres. Si un
cliente hace una peticin a un nombre de dominio no existente, el registro NSEC creado de esta
forma, empleando un registro RRSIG, deja aparecer sistemticamente el nombre del dominio padre
y as sucesivamente. Esto puede causar un fallo de seguridad cuando no deseamos que un cliente
pueda enumerar la totalidad de los dominios de una infraestructura. Por este motivo se han
creado los registros NSEC3, con el fin de corregir este fallo de seguridad.

Los registros NSEC3 (Next Secure 3) permiten, al igual que los registros NSEC, firmar las
respuestas de registro no existentes en la zona DNS. La diferencia estriba en el hecho de que este
registro no permite numerar los dominios padre mediante un sistema de cifrado que permite
presentar al cliente solo una parte de la informacin solicitada.

Para que una infraestructura DNSSEC est operativa, es necesario que un servidor establezca
relaciones de confianza con el conjunto de servidores DNS que la componen. Para ello, empleamos
un procedimiento llamado Anclaje de veracidad (Trust Anchor). Un anclaje de veracidad define los
servidores o entidades aprobados empleando un registro DNS del tipo DNSKEY o DS que indica
dnde se encuentra la clave pblica. Los anclajes de veracidad se guardan en las zonas
especiales, almacenadas en el archivo de configuracin TrustAnchors.dns. Los anclajes de
veracidad pueden crearse en la carpeta Puntos de confianza del rbol de la consola DNS.

7. Administracin del servicio DNS mediante Windows PowerShell


La consola grfica permite administrar la mayora de las funciones de DNS. Esta gestin manual
puede resultar muy engorrosa en grandes infraestructuras. Para facilitar ciertas tareas de
administracin, es posible utilizar PowerShell v4 para gestionar las funcionalidades del servicio DNS
(siempre es posible administrar un servidor DNS empleando comandos DnsCmd).

Mostrar los parmetros de configuracin del servidor DNS:

Get-DnsServer

Crear una zona de bsqueda directa integrada en Active Directory:

Replicada en el conjunto de controladores de dominio del bosque:

Add-DnsServerPrimaryZone -Name <Nombre de la zona> -ReplicationScope


Forest

Replicada en el conjunto de controladores de dominio del dominio:

Add-DnsServerPrimaryZone -Name <Nombre de la zona> -ReplicationScope


Domain

Crear una zona de bsqueda inversa:

Add-DnsServerPrimaryZone 0.168.192.in-addr.arpa -ZoneFile


0.168.192.in-addr.arpa.dns
Servicio DHCP
DHCP (Dynamic Host Configuration Protocol) es un protocolo de red encargado de distribuir las
direcciones IP a los clientes que lo solicitan. Se presenta como un rol de servidor que proporciona un
servicio importante en el ncleo de una infraestructura informtica basado en el protocolo Ipv4
(DHCPv4) o (DHCPv6).

1. Presentacin del servicio DHCP


Cuando se instala un equipo en una red, ste no posee una direccin IP por defecto para
comunicarse. La tarjeta de red se configura en modo dinmico para recibir automticamente una
configuracin de red mediante un servidor dedicado a la distribucin de direcciones IP (servidor
DHCP). El rol de un servidor DHCP es el de distribuir la direccin de red adecuada para que los
clientes que lo soliciten puedan comunicarse. Generalmente, un servidor DHCP proporciona los
elementos de configuracin de red tales como la direccin IP, la puerta de enlace predeterminada, la
mscara de subred, el sufijo DNS del dominio, la direccin IP de los servidores WINS y DNS.

Si un puesto cliente no est configurado de forma dinmica, habr que configurar manualmente la
direccin IP as como las distintas opciones de configuracin de red que le permiten comunicarse.
Esta operacin manual permite configurar una direccin IP en modo esttico. Si opta por emplear
direcciones IP estticas para el conjunto de sus equipos, las acciones repetitivas y manuales de la
configuracin de las tarjetas de red son susceptibles de generar errores humanos. La
implementacin de un servidor DHCP dentro de una red permite centralizar la configuracin IP y, de
esta manera, limitar los riesgos debidos a errores de configuracin. Mediante esta herramienta de
administracin ser posible difundir automticamente los cambios de configuracin de red al
implementar actualizaciones al conjunto de los equipos cliente.

Los clientes DHCP pueden ser de diferentes tipos. Todo perifrico susceptible de comunicarse a
travs de una red es un cliente potencial de DHCP. Los principales dispositivos DHCP que lo emplean
con mayor frecuencia son: un smartphone (Wi-Fi), una impresora (Ethernet o Wi-Fi), una televisin
conectada (Ethernet o Wi-Fi), un ordenador (Ethernet o Wi-Fi), una consola de videojuegos
(Ethernet o Wi-Fi), un servidor, etc. Los sistemas operativos integran un cliente DHCP, versin 4 o 6
(el cliente DHCPv6 est incluido a partir de Windows Vista), para poder contactar con un servidor
DHCP.

El rol de servidor DHCP (disponible en una instalacin completa de Windows o en un servidor Core)
puede implementarse en un servidor independiente del dominio (Standalone), en un servidor
miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DHCP instalado
dentro de un dominio, Active Directory o no, debe estar autorizado antes de poder distribuir
direcciones IP en un dominio. Si un administrador olvida autorizar un servidor DHCP, no podr
distribuir las direcciones IP dentro de un dominio Active Directory.

2. Administracin del servidor DHCP


Durante la instalacin del rol Servidor DHCP, se crea un servicio Windows llamado Servidor
DHCPcon arranque automtico. Este servicio se encargar de distribuir a los clientes su
configuracin de red.

La instalacin del rol DHCP se realiza en la siguiente carpeta de


sistema:%SYSTEMROOT%\System32\dhcp\
Esta carpeta de instalacin contendr los elementos siguientes:

La base de datos del servidor DHCP situada en la siguiente


ubicacin:%SYSTEMROOT%\System32\dhcp\dhcp.mdb

Los registros del servidor DHCP tienen la extensin *.log.

El archivo j50.log es un archivo que contiene el registro de transacciones.

El archivo j50.chk es un archivo de control que funciona con el registro de


transaccionesj50.log.

El archivo tmp.edb es un archivo que almacena los datos temporales.

La carpeta de copia de seguridad de los archivos de la configuracin de DHCP se


llamaBackup.

El proceso de instalacin del rol de servidor copiar a su vez el complemento llamado DHCP,
disponible en las herramientas administrativas o una nueva MMC. Tambin es posible instalar estas
consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como
Windows 8.1 instalando las herramientas de administracin RSAT (Remote Server Administration
Tools). Para llamar a esta consola, tambin podemos escribir el comando dhcpmgmt.msc.

Es posible, tambin, hacer clic en el botn DHCP de la pantalla de inicio de Windows Server 2012
R2:
Es posible administrar un servidor DHCP mediante la consola grfica (MMC) o por lnea de comandos
Netsh o PowerShell.

3. Funcionamiento del servicio DHCP


Las direcciones IP proporcionadas por un servidor DHCP se asignan durante una duracin limitada
llamada concesin (Lease Time). Al igual que un contrato de alquiler de un apartamento, una
concesin corresponde a la duracin que permite a un cliente conservar la direccin IP asignada. De
manera predeterminada, una concesin est configurada para una duracin de 8 das. Si un equipo
itinerante obtiene una direccin IP y no vuelve a conectarse a la red hasta la expiracin de la
concesin, la direccin IP asignada podr redistribuirse a otro equipo.

Cuando una concesin alcance el 50% de su duracin, el cliente DHCP har una solicitud de
renovacin automtica. La concesin se renueva, adems, al reiniciar el sistema operativo de
manera predeterminada. Por consiguiente, un cliente DHCP que se mantiene conectado a la red est
seguro de conservar la misma direccin IP.

Un servidor DHCP est configurado para escuchar las peticiones de cliente en el puerto 67.

a. Principio de asignacin de una direccin IP IPv4

Para obtener una direccin IP, un equipo cliente que utilice el protocolo de red IPv4 efectuar las
siguientes acciones:
1. El equipo cliente enva una solicitud de difusin (Broadcast) con destino a un
servidor DHCP disponible en la red (en el puerto 67 del servidor DHCP). El
mensaje enviado contiene la direccin MAC del equipo solicitante. Esta peticin
se llama DHCP-DISCOVER (descubrimiento) y, como su nombre indica, tiene
como objetivo descubrir los servidores DHCP en una red.

2. Los servidores DHCP (cuyo rango de direcciones IP les permite distribuir


direcciones en la red) que hayan recibido el mensaje responden del mismo modo
empleando una peticin de difusin (en el puerto 68 del equipo cliente). La
respuesta enviada contiene la direccin MAC del equipo cliente solicitante, la
direccin IP del servidor DHCP, as como una direccin IP y una mscara de
subred propuestas al cliente. Solo el equipo cuya direccin MAC se encuentra en
esta peticin responder. Esta respuesta se llama DHCP-OFFER (oferta) y, como
su nombre indica, tiene como objetivo ofrecer una configuracin IP al equipo
cliente solicitante.

3. El equipo cliente recibe todas las peticiones entrantes y, a continuacin,


responde enviando una nueva peticin de difusin. Esta peticin contiene la
direccin IP del servidor DHCP que haya respondido primero, as como la
configuracin IP propuesta. Esta peticin se llama DHCP-REQUEST (solicitud), y
tiene como objetivo configurar la informacin de configuracin propuesta y
aceptar la concesin. Los otros servidores DHCP que intercepten esta peticin
comprendern que no est dirigida a ellos si su direccin IP no se encuentra en
el contenido del mensaje.

4. El servidor DHCP seleccionado responde al equipo cliente con un datagrama de


acuse de recibo. Contiene la informacin de configuracin de red adems de la
concesin asignada. En este punto, el servidor DHCP escribe la informacin de la
concesin en su base de datos para no volver a proporcionar la direccin IP
distribuida. Este datagrama se llama DHCP-ACK (ACKnowledgement of Receipt,
acuse de recibo). El equipo cliente podr en adelante comunicarse en la red.

Un cliente DHCP Windows registrar por defecto su nombre de host en el servidor DNS asociado a
su configuracin IP y el servidor DHCP registrar el PTR (Pointer Records, registro de puntero) del
equipo cliente en el servidor DNS. Cada cliente Windows tendr en las propiedades de la conexin
de red, un parmetro que indica que el cliente es responsable de registrarse en el servidor DNS.

Cuando la concesin asignada expira, el servidor DNS no borra automticamente el registro DNS
asociado al equipo cliente. Se puede configurar un servidor DHCP para que gestione el registro de
los nombres de host y los PTR as como la eliminacin de los registros DNS cuando las concesiones
han caducado. Bastar con aadir la opcin 081 en la configuracin del servidor DHCP para que
este ltimo pueda registrar los nombres de host A y los registros PTR.

b. Principio de asignacin de una direccin IP en IPv6

Todas las tarjetas de red cliente emplean de forma predeterminada el protocolo de red IPv6,
configurando una direccin local llamada Link local. Esta direccin, equivalente a las direcciones
APIPA en el protocolo IPv4, permite comunicar con otros equipos ubicados en la misma red local.
Esta direccin de enlace local no es direccionable desde el exterior de la red.
Con la aparicin del protocolo IPv6, las peticiones de difusin ya no se utilizan, dando paso a otros
mecanismos de descubrimiento en la red. A diferencia del protocolo IPv4 que emplea las peticiones
de descubrimiento para localizar un servidor DHCP, el protocolo IPv6 puede llamar a otro protocolo
de red como NDP (Neighbor Discovery Protocol, protocolo de descubrimiento de vecinos). Este
protocolo ser el encargado de localizar los diferentes hosts de la red local, en particular los
routers.

Un servidor DHCP ya no es un componente indispensable para que un cliente que emplee el


protocolo IPv6 pueda comunicarse. Se trata ahora de un proceso de autoconfiguracin.

Un servidor DHCPv6 tiene en cuenta dos tipos de proceso de autoconfiguracin en Windows


Server 2012.

La autoconfiguracin con estado (Stateful Configuration):


En este modo, el servidor DHCPv6 se encargar de proporcionar a los clientes que realicen
una solicitud toda la informacin de configuracin de las interfaces de red (direccin IPv6,
mscara de subred, servidores DNS, puerta de enlace, etc.).

La autoconfiguracin sin estado (Stateless Configuration):


En este modo, el servidor DHCPv6 se encargar solamente de distribuir las opciones de
configuracin suplementarias a los clientes DHCPv6, y no las direcciones IP y la informacin
de direccionamiento. Los clientes DHCPv6 contactarn con un router compatible IPv6 para
recuperar el ID de red, la mscara de subred y la puerta de enlace. Estos elementos
distribuidos por el router permitirn al equipo cliente DHCPv6 construir los 64 primeros bits
de la direccin IPv6. Para configurar y generar automticamente los 64 bits restantes de la
direccin IPv6 el cliente utilizar un algoritmo basado en la direccin MAC.

Por defecto, un equipo cliente que utilice el protocolo IPv6 empezar configurando su interfaz de
red sin estado (Stateless mode) y tratar de contactar con un router. Si no hay ningn router que
proporcione informacin de comunicacin de red IPv6, la interfaz de red proceder entonces a
realizar una autoconfiguracin con estado (Stateful mode) conectando con un servidor DHCPv6.

Un servidor DHCPv6 puede, tambin, proporcionar direcciones IP globales. Estas direcciones


globales estn consideradas como direcciones IP pblicas en IPv4.

Para distribuir este tipo de direccin IP hay que comprar un bloque de direcciones IPv6 a travs de
un organismo regional o de registro Internet.

4. Opciones de configuracin del servicio DHCP


Durante la instalacin del servicio DHCP en un servidor, ste ofrece la configuracin de un mbito
para los protocolos IPv4 y IPv6:
Para cada protocolo es posible configurar las siguientes opciones:

Los mbitos DHCP: esta opcin de configuracin permite crear un rango de direcciones IP
asociado a una subred. Cada equipo que realice una peticin de direccin IP dinmica recibir
una direccin perteneciente al mbito configurado. Un mbito se define mediante un nombre,
una descripcin, un rango de direcciones IP a distribuir y una subred. Un mbito puede,
tambin, definir un rango de direcciones IP excluidas del rango a distribuir a los clientes, una
duracin de concesin, al igual que las opciones DHCP. Un nico servidor DHCP puede poseer
varios mbitos, pero el servidor DHCP debe estar conectado a cada subred y disponer de un
agente de retransmisin DHCP instalado para poder acceder a las dems subredes. Un
mbito DHCP permite centralizar los parmetros de configuracin de red de un equipo cliente.
Para crear un nuevo mbito hay que hacer clic con el botn derecho en el protocolo a
configurar y, a continuacin, en el men contextual hacer clic en mbito nuevo...:

Un mbito DHCP posee las siguientes opciones de configuracin:

Conjunto de direcciones: el conjunto de direcciones indica el rango de direcciones disponibles


para el mbito DHCP seleccionado. Este grupo se caracteriza por una Direccin IP inicial y
una Direccin IP final. Cada equipo cliente que solicita una direccin IP dinmica podr
obtener una IP incluida en este rango de direcciones:

Concesiones de direcciones: las concesiones indican la lista de equipos cliente que han
obtenido una direccin IP. En esta vista, ser tambin posible ver el detalle de cada
concesin concedida, como la direccin IP asignada, el nombre del equipo cliente y la fecha de
expiracin.

Reservas: la reserva permite asignar siempre a un cliente la misma direccin IP. Para ver un
ejemplo concreto de este uso especfico, permite a un cliente albergar un servicio como un
sitio web, accesible permanentemente en la misma IP. Por lo tanto, si el servicio es accesible
desde el exterior, no habr ningn problema para hacer una traduccin de puertos (NAT) en
el firewall. Para realizar una reserva de direccin IP debemos indicar la direccin IP a reservar
as como la direccin MAC del equipo cliente al que se le asignar.

Opciones de mbito: las opciones de mbito permiten indicar la informacin de configuracin


de red que un equipo cliente podr obtener. Por defecto, los clientes DHCP obtienen las
siguientes opciones de mbito: Enrutador, Servidores DNS y Nombre de Dominio DNS:

Para agregar nuevas opciones al mbito, bastar con hacer clic con el botn derecho
enOpciones de mbito y, a continuacin, hacer clic en Configurar opciones....

Directivas: las directivas permiten asignar una direccin IP a un equipo cliente en funcin de
ciertos criterios tales como su direccin MAC, su clase de proveedor o usuario, su identificador
o informacin de agente de retransmisin:

Si la directiva cumple el conjunto de condiciones, el equipo cliente podr obtener una


direccin IP.

Existen sin embargo otros dos tipos de mbito:

Los supermbitos: permiten agrupar dos o ms mbitos existentes en servidor DHCP dentro
del mismo nombre. Un supermbito agrupa, en este caso, una coleccin de mbitos del
servidor DHCP.

Los mbitos de multidifusin: este mbito comprende un rango de direcciones IP de


multidifusin (Multicast), es decir de clase D del tipo 224.0.0.0 a 239.255.255.255
(224.0.0.0/4). Las aplicaciones que necesitan una direccin IP de este mbito deben ser
compatibles con multicast mediante la API MADCAP (por ejemplo: WDS (Windows Deployment
Services) es compatible con Multicast).

Por defecto, la concesin asignada a un puesto cliente multidifusin es de 30 das.

Las Opciones del servidor: adems de asignar una direccin IP a un cliente, el servidor DHCP
permite distribuir varios parmetros de configuracin de red tales como la puerta de enlace
predeterminada, la IP del servidor DNS, el sufijo DNS del dominio, los servidores WINS, etc. Es
posible asignar los parmetros a todos los mbitos o nicamente a los mbitos especificados
mediante filtros. Tambin es posible utilizar filtros para aplicar parmetros a los clientes que
tengan reservas de direcciones IP especficas.

Los Filtros: permiten autorizar o denegar la atribucin de una direccin IP a un equipo cliente
en funcin de su direccin MAC. Si los filtros por direccin MAC estn activos dentro del
servidor DHCP, solo los equipos cuyas direcciones MAC figuren en la lista de los clientes
autorizados podrn utilizar los servicios ofrecidos por el servidor DHCP.

El servicio DHCP en Microsoft Windows Server 2012 R2 ofrece las siguientes funcionalidades
aparecidas con Windows Server 2012:

La Proteccin de nombres: permite proteger los registros DNS de los clientes DHCP. En la
prctica, un equipo cliente no Windows puede registrar su nombre de host en un servidor
DNS no seguro. Si el nombre ya existe, se sobrescribe con la nueva informacin. Para evitarlo,
la funcin de proteccin de nombres puede funcionar de forma tal que sea el servidor DHCP
quien realice los registros A y PTR de los clientes DHCP. Si el nombre de host ya existe en el
servidor DNS seguro, la actualizacin no tendr lugar.
Para hacer funcionar la opcin Proteccin de nombres, el servidor DHCP utiliza un registro
llamado DHCID (Dynamic Host Configuration IDentifier). Este registro adicional contiene la
informacin de un host que haya hecho una solicitud de direccin IP antes de que el servidor
DHCP se haya registrado en el servidor DNS. Cuando se hace una nueva solicitud de direccin
IP, el servidor DHCP interroga al servidor DNS para saber si el registro DHCID se corresponde
con un nombre ya registrado. Si el nombre de host existe, el servidor DHCP puede
rpidamente identificar si se trata de la mquina original que cre el DHCID o no. Si no fuera
el caso, el registro DNS no se sobrescribir. La proteccin de nombres DHCP es vlida para
los protocolos IPv4 e IPv6. Este ltimo puede activarse a nivel del nodo del protocolo
correspondiente en la consola DHCP o a nivel de un mbito.

Para que la funcin de Proteccin de nombres funcione, hace falta que la actualizacin
dinmica est habilitada en el servidor DNS.

Los mbitos divididos (Split-mode): permiten dividir un mbito DHCP para que sea
gestionado por dos servidores DHCP diferentes. Para hacer esto, el servidor DHCP sobre el
que ejecutamos la operacin conservar el mbito a gestionar y, a continuacin, crear un
mbito de exclusin con las direcciones IP que gestionar el segundo servidor DHCP. En el
segundo servidor DHCP, el mbito principal se configurar como mbito de exclusin y el
mbito previamente excluido se configurar como un mbito gestionado por el segundo
servidor DHCP. Esta funcin tiene como objetivo aumentar la tolerancia a fallos.

5. Administracin del servicio DHCP mediante Windows PowerShell


En las anteriores versiones de Windows Server, los administradores empleaban las lneas de
comandos netsh para administrar un servidor DHCP. A partir de Windows Server 2012 es posible
gestionar un servidor DHCP empleando las 105 lneas de comandos Windows PowerShell. Con la
llegada de Windows Server 2012 R2, Microsoft ha agregado o mejorado cerca de una veintena de
comandos adicionales.

Para obtener ms informacin visite el sitio: http://technet.microsoft.com/en-


us/library/jj590751.aspx

6. Alta disponibilidad del servicio DHCP


Si el servidor DHCP de una infraestructura de red no responde, ningn equipo cliente DHCP nuevo
podr recibir una direccin IP para comunicarse. Los equipos cliente que ya cuenten con una
concesin no la podrn renovar. Por ello resulta til implementar una solucin de alta disponibilidad
en un servidor DHCP. La opcin de conmutacin por error del servicio DHCP en caso de error es una
nueva caracterstica de Windows Server 2012.

En Windows Server 2012 R2, la alta disponibilidad del servidor DHCP funciona con dos servidores
DHCP que sincronizarn sus concesiones de direcciones IP. Esta funcionalidad de conmutacin
automtica solo funciona con el protocolo IPv4.

La funcionalidad de conmutacin automtica por error del servicio DHCP es sensible a la


sincronizacin horaria. Para que el proceso de sincronizacin funcione, los dos servidores DHCP
no deben tener ms de un minuto de desfase en su configuracin horaria.

La funcin de conmutacin automtica por error puede funcionar en dos modos de configuracin
diferentes: Espera activa y Equilibrio de carga.

El modo Espera activa: en este modo, es el primer servidor DHCP quien distribuye las
direcciones IP a los clientes mientras que el segundo servidor solo interviene si el primer
servidor deja de responder. El primer servidor DHCP tiene en cuenta la distribucin del 95%
de las direcciones IP presentes en el mbito y el segundo toma el 5% restante.
Cuando el primer servidor no responde, el servidor secundario se hace cargo para entregar
las direcciones IP en el grupo de direcciones IP 5% a su cargo. Cuando se termina el 5% de
las direcciones del grupo de direcciones IP, el segundo servidor gestiona entonces el 100%
del grupo de direcciones. Por defecto, si el servidor DHCP principal est fuera de lnea ms de
una hora, el segundo servidor DHCP toma el control del rango completo de direcciones IP. Es
posible modificar este valor predeterminado modificando la opcin Plazo mximo para
clientes o MCLT (Maximum Client Lead Time).

El modo Equilibrio de carga: en este modo, los servidores DHCP configurados garantizan
cada uno el 50% de la distribucin de las direcciones del mbito. Cuando uno de los
servidores falla, el servidor DHCP restante proporciona el 100% de la distribucin de las
direcciones IP del mbito. Se puede ajustar el porcentaje de gestin de las IP en los dos
servidores (por ejemplo un 80% para el primer servidor DHCP y un 20% para el segundo).

En una infraestructura DHCP con alta disponibilidad, el servicio emplear el puerto TCP 647 para
escuchar el trfico proveniente del segundo servidor. Al activar esta funcionalidad, el servicio DHCP
crear automticamente dos reglas de entrada/salida en el firewall para autorizar la escucha en los
puertos TCP.

Para implementar esta funcionalidad, bastar con hacer clic con el botn derecho en el mbito a
cubrir y, a continuacin, hacer clic en Configurar conmutacin por error. Por ltimo, ser necesario
asignar un servidor asociado para la sincronizacin de las concesiones de direcciones IP:

7. Copia de seguridad y restauracin del servicio DHCP


El rol DHCP posee dos tipos de copia de seguridad: manual o automtica.
El conjunto de la configuracin del servidor DHCP se copiar durante el tiempo de ejecucin del
mecanismo de copia de seguridad (las concesiones, los mbitos, etc.).

Las copias de seguridad de la configuracin DHCP se almacenan de forma predeterminada en la


carpeta %SYSTEMROOT%\System32\dhcp\backup.

Es importante no olvidar, en una estrategia de copia de seguridad de un servidor, seleccionar la


carpeta de instalacin de DHCP para poder efectuar una restauracin en caso de fallo.

a. Copia de seguridad automtica

Esta ltima est planificada cada 60 minutos. En funcin de las necesidades de una
infraestructura, es tambin posible modificar la planificacin por defecto modificando la clave del
registro siguiente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\
Parameters\BackupInterval

Cada nueva copia de seguridad automtica sobrescribe sistemticamente la anterior.

b. Copia de seguridad manual

La copia de seguridad manual se realiza empleando la consola de administracin MMC (Microsoft


Management Console) de DHCP seleccionando el servidor a copiar y, a continuacin, haciendo clic en
el men Accin y en Copia de seguridad.
Deber tener precaucin y no guardar nunca la configuracin de DHCP mediante una copia de
seguridad manual en la carpeta de backup por defecto, con el riesgo de ver su copia sobrescrita
por la planificacin automtica.

c. Restauracin

La restauracin de la configuracin de un servidor DHCP se realiza empleando el archivo de base


de datos dhcp.mdb previamente guardado. En la consola de administracin MMC, bastar con
hacer clic en el men Accin y, a continuacin, en Restaurar.

Una vez restaurada la base de datos el administrador recuperar la configuracin de sus mbitos y
otras opciones de su servidor DHCP tal y como se haba guardado antes del accidente.
IPAM
Un administrador de sistemas y redes debe manejar y conocer sus equipos como la palma de su mano. Para hacer esto,
emplear diferentes herramientas que le permitirn inventariar y gestionar su red, su parque de hardware y su software.

La gestin de direcciones IP empleando IPAM (IP Address Management) es una nueva caracterstica de servidor integrada a
partir de Microsoft Windows Server 2012.

1. Presentacin del servidor IPAM


IPAM es una caracterstica que permite inventariar y gestionar las direcciones IP utilizadas en su infraestructura de red
(compatible con IPv4 e IPv6). IPAM permite a su vez gestionar los roles de servidores DNS y DHCP desde una nica consola
de administracin. Gracias a este componente, ser ms fcil gestionar grandes arquitecturas de red, ya que IPAM aporta
soluciones para las siguientes necesidades:

Realizar un inventario automtico de los servicios de red.

Recopilar informacin sobre los controladores de dominio.

Centralizar la gestin de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active
Directory.

Supervisar el uso y la asignacin de direcciones IP.

Generar informes personalizados sobre la utilizacin de los recursos.

Realizar auditoras sobre los cambios en la configuracin.

Un servidor de gestin de direcciones IPAM puede implementarse de tres formas diferentes:

Distribuido: un servidor IPAM en cada sitio del bosque Active Directory.

Centralizado: un servidor IPAM para la totalidad del bosque Active Directory.

Hbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.

Un servidor IPAM posee las siguientes caractersticas:

Gestin de un nico bosque Active Directory.

Gestin de 150 servidores DHCP con 6000 mbitos configurados.

Gestin de 500 servidores DNS con 150 zonas configuradas.

Gestin de direcciones IPv4 e IPv6.

La base de datos IPAM debe purgarse manualmente porque no existen parmetros para
configurar una limpieza automtica.

2. Administracin del servidor IPAM


Despus de la instalacin de la funcionalidad de servidor de administracin de direcciones IP (IPAM), aparece una nueva
pestaa IPAM en el panel de la consola Administrador del servidor:

IPAM puede gestionarse mediante la interfaz grfica del Administrador del servidor o por lnea de comandos Windows
PowerShell. Con Windows Server 2012 R2, Microsoft ha agregado 55 nuevos comandos PowerShell para mejorar la gestin y
administracin de un servidor IPAM.
Para obtener ms informacin puede consultar el vnculo siguiente:http://technet.microsoft.com/library/jj553807.aspx

La instalacin de la funcionalidad de servidor (IPAM) se hace en la carpeta de sistema


siguiente:%SYSTEMROOT%\System32\ipam\

Esta carpeta de instalacin contendr los elementos siguientes:

La carpeta de almacenamiento de los registros de auditora est situada en la siguiente


ubicacin: %SYSTEMROOT%\System32\ipam\Auditlogs

La carpeta de almacenamiento de la base de datos est situada en la siguiente


ubicacin:%SYSTEMROOT%\System32\ipam\Database

La base de datos IPAM est almacenada bajo el nombre ipam.mdf, acompaada del archivo de
registro de transacciones llamado ipam_log.ldf.

El proceso de instalacin de IPAM crear automticamente las reglas de firewall para autorizar al servidor IPAM a
comunicarse con los clientes empleando el puerto de comunicaciones 48885. Para ello, se crearn en el firewall las dos reglas
siguientes:

Regla de firewall para trfico entrante: Servidor IPAM (TCP de entrada)

Regla de firewall para trfico saliente: Servidor IPAM (TCP de salida)

El proceso de instalacin de IPAM crear tambin los elementos siguientes:

Las GPO para configurar los servicios DNS, DHCP y NPS:


Los grupos de seguridad para la gestin de IPAM (creados localmente en el servidor IPAM):

3. Instalar y configurar la gestin de direcciones IPAM


La instalacin de un servidor de administracin de direcciones IP necesita sin embargo los siguientes requisitos previos:

IPAM necesita un servidor dedicado que no debe ser controlador de dominio.

El servidor seleccionado debe ser miembro del dominio infonovice.priv.

Necesita al menos un procesador de doble ncleo a 2 GHz.

Se necesitan al menos 4 GB de RAM (Random Access Memory).

Necesita al menos 80 GB de espacio en disco.

El servidor IPAM debe ser miembro de un dominio (pero no controlador de dominio).

Se debe utilizar solamente una cuenta de administracin del dominio (y no una cuenta local).

Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se cumplan los siguientes
requisitos previos:

Instalacin del Service Pack 2.

Instalacin del componente .NET Framework 3.0 Beta y 4.0 Full.

Instalacin del paquete Windows Management Framework Core.

WinRM (Windows Remote Management) debe estar activado.

Instalar la funcionalidad de servidor IPAM

Paso 1: abra una sesin en el servidor IPAM-01 y abra la consola Administrador del servidor.

Paso 2: haga clic en Agregar roles y caractersticas y agregue la caracterstica de


servidorServidor de administracin de direcciones IP (IPAM), a continuacin haga clic
en Siguiente:
Paso 3: haga clic en Instalar.

Paso 4: haga clic en Cerrar al terminar la instalacin de IPAM.

Paso 5: en la consola Administrador del servidor, en el panel derecho, haga clic en la


seccinIPAM.

Paso 6: haga clic en Aprovisionar el servidor IPAM:

Paso 7: en la ventana Aprovisionar IPAM, haga clic en Siguiente.

Paso 8: seleccione el mtodo de aprovisionamiento Basado en la directiva de grupo, escriba el


prefijo GPO-IPAM y haga clic en Siguiente:
Paso 9: verifique los parmetros de configuracin y, a continuacin, haga clic en Aplicar:

Paso 10: haga clic en Cerrar cuando el aprovisionamiento se haya efectuado correctamente.

Paso 11: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Configurar deteccin de servidores:
Paso 12: haga clic en el botn Agregar para agregar el dominio infonovice.priv en la lista de
dominios a descubrir.

Paso 13: verifique que los servicios Controlador de dominio, Servidor DHCP y Servidor
DNSestn correctamente marcados y, a continuacin, haga clic en Aceptar.

Paso 14: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar deteccin de servidores:

Paso 15: una banda amarilla aparece durante la ejecucin del descubrimiento de servidores.
Haga clic en Ms para ver el detalle de la tarea, a continuacin cierre la ventana de detalle
cuando la etapa indique que el descubrimiento de servidores se ha Completado.

Paso 16: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM.

Paso 17: los servidores descubiertos anteriormente aparecen en la seccin INVENTARIO DE


SERVIDOR con un Estado de acceso IPAM Bloqueado y un Estado de manejabilidad Sin
especificar.

Paso 18: abra un smbolo del sistema PowerShell en el servidor IPAM como administrador y, a
continuacin, escriba el siguiente comando:

Invoke-IpamGpoProvisioning -Domain infonovice.priv -GpoPrefixName GPO-IPAM -IpamServerFqdn IPAM-01.infonovice.priv

A continuacin, valide escribiendo: s


Esta accin tendr como resultado crear las GPO del grupo en el dominio infonovice.priv.

Paso 19: abra una sesin en el controlador de dominio DC-01, abra la consola de
Administracin de directivas de grupo. En el rbol de consola, deber ver aparecer las tres GPO
siguientes en la raz del dominio:

GPO-IPAM_DC_NPS

GPO-IPAM_DHCP

GPO-IPAM_DNS

Paso 20: abra una sesin en el servidor IPAM-01 para navegar en la consola Administrador del
servidor IPAM y, a continuacin, INVENTARIO DE SERVIDOR. Haga clic con el botn derecho
en el servidor DC-01 y, a continuacin, haga clic en Editar servidor....

Paso 21: en la seccin Estado de capacidad de administracin, seleccione Administrado y


haga clic en Aceptar.
Repita las operaciones 20-21 en el servidor DC-02.

Paso 22: cambie al servidor DC-01, abra un smbolo del sistema DOS como administrador y
escriba gpupdate /force.

Paso 23: cambie al servidor DC-02, abra un smbolo del sistema DOS como administrador y
escriba gpupdate /force.

Las etapas 22 y 23 tienen como objetivo aplicar las directivas de grupo creadas previamente.

Paso 24: seleccione un servidor, haga clic con el botn derecho y haga clic en Actualizar el
estado de acceso del servidor. Repita la operacin en el segundo servidor y pulse a
continuacin la tecla [F5] para actualizar la vista. Deber ver aparecer los dos servidores con un
estado Desbloqueado:

Paso 25: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar deteccin de servidores:
Su servidor IPAM est en adelante instalado y listo para ser utilizado para la gestin de direcciones IP de los diferentes
servicios de red DHCP y DNS de su empresa.

4. Administracin del espacio de direcciones IP


El espacio de direcciones IP permite realizar un inventario y gestionar las direcciones IP de una red empresarial. Es, de este
modo, posible tener un control global de una infraestructura de red compleja.

La seccin Bloques de direcciones IP permite identificar los mbitos creados en los servidores DHCP gestionados por IPAM.
Esta vista permite visualizar directamente el nmero de direcciones IP disponibles en cada mbito, su tasa de utilizacin as
como el rango de direcciones IP cubierto. Un bloque de direcciones IP comprende un mbito DHCP que contiene sus
direcciones IP. Cuando seleccionamos un bloque de direcciones IP es posible personalizar su visualizacin segn varias
vistas.

a. Intervalos de direcciones IP

Esta vista permite visualizar los intervalos de direcciones IP que representan los mbitos configurados en los servidores
DHCP:

Aqu recuperamos el detalle del intervalo de direcciones IP disponible con la direccin IP inicial y la direccin IP final, el
servidor DHCP a cargo de la gestin del mbito, as como las estadsticas de uso y asignacin de las direcciones IP
disponibles en los intervalos de direcciones IP. La asignacin de direcciones IP est representada bajo la forma de un
porcentaje de uso del intervalo de direcciones disponible.

A partir de esta vista, podemos crear mbitos DHCP haciendo clic en TAREAS y, a continuacin, enAgregar intervalo de
direcciones IP:

Habr que introducir los diferentes atributos que constituyen un mbito:


Detalle de los campos principales:

Identidad de red (Id de red): corresponde a la direccin de red.

Longitud del prefijo: corresponde a la clase de IP.

Mscara de subred: calculada automticamente en funcin de la longitud de prefijo.

Direccin IP inicial: corresponde a la primera direccin IP disponible en el intervalo del


mbito.

Direccin IP final: corresponde a la ltima direccin IP disponible en el intervalo del mbito.

Administrado por servicio: define el tipo de servicio encargado de gestionar el mbito.


Puede tratarse del mismo servidor IPAM o un servidor DHCP.

Instancia de servicio: representa el servidor que gestiona el servicio.

Tipo de asignacin: define si la asignacin de las direcciones ser esttica, dinmica o


reservada a un host.

Clculo de uso: define si las estadsticas de uso del mbito se calcularn automticamente
o manualmente por el administrador.

b. Direcciones IP

Esta vista permite visualizar las direcciones IP creadas manualmente o importadas desde un archivo Excel, de cara a
confeccionar un inventario de las direcciones IP utilizadas en la red empresarial.
Es posible crear una direccin IP para inventariar haciendo clic en TAREAS y, a continuacin,Agregar direccin IP:

c. Bloques de direcciones IP

Esta vista permite visualizar los diferentes bloques de direcciones IP creados que corresponden a los mbitos gestionados
en un dominio pblico o privado.

Es posible crear un bloque de direcciones IP haciendo clic en TAREAS y, a continuacin, enAgregar bloque de direcciones
IP:
5. Supervisar y administrar IPAM
Esta seccin de IPAM permite supervisar y configurar los servicios de red como DHCP o DNS. Existen varias vistas que
permiten tener acceso rpidamente a los diferentes elementos de configuracin.

a. Servidores DNS y DHCP

En esta vista podemos verificar el estado de los servicios DNS y DHCP y acceder a los principales parmetros de
configuracin haciendo clic con el botn derecho en cada servidor.

Tambin ser posible crear un mbito DHCP, modificar las opciones de un servidor DHCP o finalmente sus diferentes
propiedades.

Si desplegamos el men contextual de un servidor DNS ser incluso posible arrancar la consola MMC de administracin de
un servidor DNS:
b. mbitos DHCP

En esta vista podemos visualizar los mbitos creados en el servidor DHCP. Tambin es posible configurarlos o duplicarlos
para crear un nuevo mbito, que podremos modificar:

c. Supervisin de zonas DNS

Esta vista permite visualizar el estado de las zonas de bsqueda directa:

d. Grupos de servidores

Igual que con la vista Servidores DHCP y DNS, esta vista permite ver el conjunto de servidores asociados al servicio de red
gestionado por IPAM. Con la diferencia de que es posible, esta vez, crear grupos lgicos que permiten identificar los
servicios por zona geogrfica, roles, entidades, o segn los criterios definidos por un administrador:

6. Catlogo de eventos
Esta seccin agrupa simplemente el registro de eventos de los diferentes cambios de configuracin de los servicios de red
empleando IPAM. Esto permite registrar los responsables de las posibles modificaciones de la infraestructura para identificar
rpidamente qu se ha modificado en la configuracin y, especialmente quin lo ha modificado:
Tambin es posible realizar un seguimiento de las direcciones IP gracias a los eventos de BAIL. De este modo, ser posible
recuperar fcilmente informacin del tipo: qu usuario ha recibido qu direccin IP y en qu puesto?
Trabajos prcticos
La empresa INFONOVICE desea crear un departamento informtico dedicado con un dominio
Active Directory. Para ello, solicita sus servicios para instalar los controladores de dominio y
configurar los principales componentes de red tales como DNS, DNSSEC, DHCP e IPAM.

OXYLIVE es una nueva filial. Los equipos cliente de la empresa INFONOVICE debern poder
resolver los nombres de equipo que albergan los recursos en el dominio de esta filial.

El servicio DHCP deber configurarse para cambiar a un servidor DHCP de seguridad en caso de
error.

Para terminar, la empresa INFONOVICE desea implantar un servidor de gestin de direcciones


IP.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

DC-02: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.101

Mscara de subred: 255.255.255.0

IPAM-01: servidor IPAM para el dominio infonovice.priv

Direccin IP: 192.168.0.103

Mscara de subred: 255.255.255.0

CLIENT1: cliente DNS y DHCP

Direccin IP: 192.168.0.150

Mscara de subred: 255.255.255.0

OXYDC-01: controlador de dominio oxylive.local, servidor DNS

Direccin IP: 192.168.0.105

Mscara de subred:255.255.255.0

1. Instalar y configurar el servicio DNS


Este taller permite instalar y configurar las principales opciones del rol de servidor DNS. En este punto,
el dominio infonovice.priv todava no se ha creado.

Instalar el rol de servidor DNS

Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
caractersticas.
Paso 2: haga clic en Siguiente:

Paso 3: haga clic en Siguiente:


Paso 4: haga clic en Siguiente:

Paso 5: marque la opcin correspondiente al rol de Servidor DNS:


Paso 6: haga clic en Agregar caractersticas:

Paso 7: haga clic tres veces en Siguiente:


Paso 8: haga clic en Instalar:

Paso 9: haga clic en Cerrar cuando la instalacin termine:


Crear zonas de bsqueda DNS

Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en DNS:

Paso 2: despliegue el rbol de la consola y seleccione Zonas de bsqueda directa:

Paso 3: despliegue el men contextual y haga clic en Zona nueva:

Paso 4: haga clic en Siguiente:


Paso 5: seleccione Zona principal y haga clic en Siguiente:

Paso 6: escriba como nombre de zona infonovice.priv y haga clic en Siguiente:


Paso 7: deje las opciones por defecto y haga clic en Siguiente:

Paso 8: marque la opcin Permitir todas las actualizaciones dinmicas (seguras y no


seguras)y haga clic en Siguiente:
Paso 9: haga clic en Finalizar:

Paso 10: despliegue el rbol de la consola y seleccione Zonas de bsqueda inversa:


Paso 11: despliegue el men contextual y haga clic en Zona nueva:

Paso 12: haga clic en Siguiente:


Paso 13: haga clic en Siguiente:

Paso 14: seleccione Zona de bsqueda inversa para IPv4 y haga clic en Siguiente:
Paso 15: introduzca el ID de red 192.168.0 y haga clic en Siguiente:

Paso 16: haga clic en Siguiente:


Paso 17: marque la opcin Permitir todas las actualizaciones dinmicas (seguras y no
seguras) y haga clic en Siguiente:

Paso 18: haga clic en Finalizar:


Llegados a este punto, las zonas de bsqueda directas e inversas para el dominio
infonovice.priv estn creadas (en forma de archivo *.dns porque estas zonas no estn
integradas en Active Directory). Antes de avanzar al siguiente taller, puede instalar el rol de
servidor AD DS.

Paso 19: agregar el rol de servidor AD DS para crear un nuevo bosque cuyo dominio raz
serinfonovice.priv:
Paso 20: marque la opcin Crear delegacin DNS e indique la informacin de conexin de la
cuenta Administrador local del servidor:
Complete las siguientes ventanas para poder instalar Active Directory.

Integrar una zona en Active Directory

Paso 1: una vez instalado el dominio Active Directory, vaya a la pantalla de inicio y haga clic
enDNS:

Paso 2: despliegue el rbol para seleccionar la zona de bsqueda directa infonovice.priv:

Paso 3: abra el men contextual y haga clic en Propiedades:

Paso 4: haga clic en Cambiar:


Paso 5: marque la opcin Almacenar la zona en Active Directory y haga clic en Aceptar:

Paso 6: haga clic en S:

Paso 7: en las propiedades de la zona, haga clic de nuevo en Cambiar:


Paso 8: marque la opcin Para todos los servidores DNS que se ejecutan en controladores de
dominio en este bosque: infonovice.priv y haga clic en Aceptar:

Paso 9: en las propiedades de la zona, seleccione las actualizaciones dinmicas Solo con
seguridad:

Paso 10: haga clic en Aceptar:


Paso 11: repita las etapas del 1 al 9 seleccionando la zona de bsqueda inversa 0.168.192.in-
addr.arpa:

Configurar la limpieza automtica de zonas

Paso 1: vaya a la pantalla de inicio y haga clic en DNS:


Paso 2: despliegue el rbol de la consola y seleccione el servidor DNS DC-01:

Paso 3: despliegue el men contextual y haga clic en Establecer caducidad/borrado para todas
las zonas:

Paso 4: marque la opcin Borrar registros de los recursos obsoletos y haga clic en Aceptar:
Paso 5: marque la opcin Aplicar esta configuracin a las zonas integradas en Active
Directory existentes y haga clic en Aceptar:

Paso 6: despliegue de nuevo el men contextual del servidor DNS y, a continuacin, haga clic
enPropiedades:

Paso 7: seleccione la pestaa Opciones avanzadas, marque la opcin Habilitar la limpieza


automtica de los registros obsoletos y haga clic en Aceptar:
En adelante est activa la limpieza automtica de los registros DNS para todas las zonas. Este
parmetro ser efectivo para todas las nuevas zonas DNS que se creen en adelante.

Configurar un reenviador condicional

Paso 1: vaya a la pantalla de inicio y haga clic en DNS:

Paso 2: despliegue el rbol de la consola y seleccione la carpeta Reenviadores condicionales:


Paso 3: despliegue el men contextual y haga clic en Nuevo reenviador condicional:

Paso 4: informe el nombre DNS del dominio Active Directory de la empresa OXYLIVE, es
deciroxylive.local, en el campo Dominio DNS. A continuacin, escriba la direccin IP de un servidor
DNS del dominio oxylive.local, es decir 192.168.0.105 y haga clic en Aceptar:
Paso 5: en el servidor DNS del dominio oxylive.local OXYDC- 01, cree un registro DNS de tipo
CNAME llamado archivos con direccin IP 192.168.0.105:

Paso 6: conctese al equipo CLIENT1 y escriba el comando DOS siguiente: ping


archivos.oxylive.local

El puesto cliente consigue resolver el alias archivos.oxylive.local porque el reenviador condicional


redirige todas las peticiones DNS al destino del servidor DNS del dominio oxylive.local. Los equipos
cliente del dominio infonovice.priv podrn, de este modo, resolver los nombres FQDN asociados a los
diferentes servicios albergados en otro bosque.

2. Configurar el servicio DNS con DNSSEC

Firmar una zona con DNSSEC

Paso 1: vaya a la pantalla de inicio y haga clic en DNS:


Paso 2: despliegue el rbol de la consola y seleccione la zona infonovice.priv:

Paso 3: despliegue el men contextual, haga clic en DNSSEC y, a continuacin, en Firmar la


zona:

Paso 4: haga clic en Siguiente:


Paso 5: marque la opcin Personalizar los parmetros de firma de zona y haga clic
enSiguiente:

Paso 6: marque la opcin El servidor DNS DC-01 es el maestro de claves y haga clic
enSiguiente:
Paso 7: haga clic en Siguiente:

Paso 8: haga clic en Agregar:


Paso 9: verifique los parmetros de la clave de autenticacin (KSK) y, a continuacin, haga clic
enAceptar:
Paso 10: haga clic en Siguiente:

Paso 11: haga clic en Siguiente:


Paso 12: haga clic en Agregar:

Paso 13: verifique los parmetros de la clave de autenticacin (ZSK) y, a continuacin, haga clic
en Aceptar:
Paso 14: haga clic en Siguiente:

Paso 15: marque la opcin Usar NSEC3 y, a continuacin, haga clic en Siguiente:
Los parmetros de iteraciones y salt permiten limitar los ataques por diccionario o por fuerza
bruta para descifrar la encriptacin.

Paso 16: marque la opcin Habilitar la actualizacin automtica de anclajes de veracidad en


la sustitucin de claves (RFC 5011) y haga clic en Siguiente:

Paso 17: haga clic en Siguiente:


Paso 18: haga clic en Finalizar:

Paso 19: verifique que la zona seleccionada incluye un pequeo logotipo en forma de candado
que indica que la zona est firmada y, a continuacin, que los
registros RRSIG, DNSKEY yNSEC3 se han creado correctamente:
Paso 20: podemos constatar que despus de la firma de la zona se han creado dos archivos en
la carpeta %SYSTEMROOT%\System32\dns: dsset-infonovice.priv y keyset-infonovice.priv.

Configurar la tabla NRPT de los clientes DNS

Paso 1: en la pantalla de inicio de Microsoft Windows Server 2012 R2, haga clic en el
iconoAdministracin de directivas de grupo:
Paso 2: despliegue el rbol y seleccione el objeto de directiva de grupo (GPO) llamado Default
Domain Policy:

Paso 3: abra el men contextual y haga clic en Editar:

Paso 4: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo\Directivas\Configuracin de Windows\Directiva de resolucin de nombres:
Paso 5: complete la regla de la directiva de resolucin de nombres para alimentar la tabla NRPT y
haga clic en Crear:

En el campo A qu parte del espacio de nombres se aplica esta regla?,


seleccione FQDNde la lista desplegable, a continuacin, escriba infonovice.priv.

En la pestaa DNSSEC, marque las opciones Habilitar DNSSEC en esta regla y Requerir a
los clientes DNS que comprueben que el servidor DNS haya validado el nombre y la
direccin.

Paso 6: verifique que la regla creada previamente figura en la tabla de directiva de resolucin de
nombres (NRPT) y haga clic en Aplicar:
Paso 7: cierre el editor de administracin de directivas de grupo y ejecute el comando
DOSgpupdate /force.

Paso 8: conctese al equipo CLIENT1, abra una ventana DOS y ejecute el comando gpupdate
/force. Esta operacin tiene como objetivo actualizar las directivas de seguridad del dominio.
Paso 9: siempre en el equipo CLIENT1, abra una ventana PowerShell y escriba el
comando Resolve-dnsname -name CLIENT1.infonovice.priv -type dnskey -
server DC-01 -dnssecok. De esta forma interrogamos los registros DNSSEC de la
zonainfonovice.priv.

3. Instalar y configurar el servicio DHCP


Este taller permite instalar y configurar las principales opciones del rol de servidor DHCP. En este
punto, el dominio infonovice.priv debe estar creado.
Instalar el rol de servidor DHCP

Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
caractersticas:

Paso 2: haga clic en Siguiente en la ventana Antes de comenzar.

Paso 3: haga clic en Siguiente en la etapa Seleccionar tipo de instalacin.

Paso 4: haga clic en Siguiente en la etapa Seleccionar servidor de destino.

Paso 5: en la ventana Seleccionar roles de servidor, marque la opcin correspondiente al


rolServidor DHCP.

Paso 6: haga clic en Agregar caractersticas:

Paso 7: haga clic en Siguiente:


Paso 8: haga clic en Siguiente en la etapa Seleccionar caractersticas.

Paso 9: haga clic en Siguiente:

Paso 10: haga clic en Instalar:


Paso 11: haga clic en Cerrar:

Paso 12: en el panel de la consola Administrador del servidor, haga clic en el panel de
informacin amarillo con un signo de exclamacin y haga clic en Completar configuracin de
DHCP:
Paso 13: haga clic en Siguiente:

Paso 14: haga clic en Confirmar para autorizar el servidor DHCP en Active Directory:
Paso 15: haga clic en Cerrar:

El servicio DHCP est en adelante instalado y autorizado en Active Directory para la distribucin
de direcciones IP en la red.

Paso 16: repita los pasos 1 al 15 para instalar el rol de servidor DHCP en el servidor DC-02.

Crear un nuevo mbito DHCP - IPv4

Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP:

Paso 2: despliegue el rbol de la consola y seleccione el protocolo IPv4:

Paso 3: despliegue el men contextual y haga clic en mbito nuevo:

Paso 4: en la ventana Asistente para mbito nuevo, haga clic en Siguiente.

Paso 5: en el campo Nombre escriba mbito DHCP INFONOVICE y, a continuacin, en el


campoDescripcin escriba Servidor: DC-01:
Paso 6: en el campo Direccin IP inicial escriba 192.168.0.150, a continuacin en el
campoDireccin IP final escriba 192.168.0.250 y haga clic en Siguiente:

Paso 7: en la seccin Agregar exclusiones y retraso, haga clic en Siguiente.

Paso 8: deje la duracin de concesin DHCP por defecto y haga clic en Siguiente:
Paso 9: marque la opcin Configurar estas opciones ahora y haga clic en Siguiente:

Paso 10: en el campo Direccin IP escriba la direccin de la puerta de enlace predeterminada


que se configurar en todos los clientes DHCP, a continuacin haga clic en Agregar y haga clic
enSiguiente:
Paso 11: haga clic en Siguiente:

Paso 12: haga clic en Siguiente:


Paso 13: marque la opcin Activar este mbito ahora y haga clic en Siguiente:

Paso 14: haga clic en Finalizar:


Paso 15: verifique en la consola que el mbito creado previamente aparece con estado Activo:

Crear una reserva DHCP

Paso 1: despliegue el rbol de la consola y seleccione la carpeta Reservas:


Paso 2: despliegue el men contextual y haga clic en Reserva nueva:

Paso 3: escriba el nombre de la reserva Equipo CLIENT1, la direccin IP 192.168.0.155, la


direccin MAC 00-0C-29-4D-2A-5F y la descripcin IP CLIENT1 y, a continuacin, haga clic
enAgregar y en Cerrar:
Paso 4: verifique que la reserva de la direccin IP para el equipo CLIENT1 aparece:

Paso 5: conctese al equipo CLIENT1 y verifique que la tarjeta de red est configurada para
recibir una direccin IP de forma automtica. A continuacin, escriba el comando ipconfig
/renew.
Paso 6: escriba el comando ipconfigy verifique que la direccin IP es 192.168.0.155.

4. Instalar y configurar la alta disponibilidad del servicio DHCP


Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP.

Paso 2: despliegue el rbol de la consola y seleccione el protocolo IPv4:


Paso 3: despliegue el men contextual y haga clic en Configurar conmutacin por error.

Paso 4: haga clic en Siguiente:


Paso 5: haga clic en Agregar servidor:

Paso 6: marque la opcin Este servidor DHCP autorizado, seleccione el servidor DHCP dc-
02.infonovice.priv y haga clic en Aceptar:

Paso 7: verifique que est seleccionado algn servidor asociado y haga clic en Siguiente:

Paso 8: marque la opcin Habilitar autenticacin de mensajes y escriba una contrasea en el


campo Secreto compartido. Haga clic en Siguiente.
Paso 9: verifique los datos del resumen y haga clic en Finalizar.

Paso 10: asegrese que cada etapa de verificacin de la conmutacin por error se lleva a cabo
correctamente y, a continuacin, haga clic en Cerrar:

Paso 11: en el rbol de consola, seleccione DHCP y haga clic en Agregar servidor...:
Paso 12: marque la opcin Este servidor DHCP autorizado, seleccione el servidor dc-
02.infonovice.priv y haga clic en Aceptar:

Paso 13: despliegue el rbol del servidor dc-02.infonovice.priv hasta el protocolo IPv4 para
verificar que el mbito creado en el servidor DC-01 se ha replicado correctamente:
Paso 14: abra una sesin en el equipo CLIENT1 y, a continuacin, despliegue los detalles de
conexin de la tarjeta de red. Identifique y recuerde la direccin IP del servidor DHCP IPv4:

Paso 15: cambie al servidor DC-01 y, a continuacin, en la consola DHCP, detenga el servicio en
el servidor dc-01.infonovice.priv:
Paso 16: cambie de nuevo al equipo CLIENT1 y ejecute los siguientes comandos DOS:ipconfig
/releasee ipconfig /renew.

Paso 17: abra las propiedades de la tarjeta de red para confirmar que el servidor DHCP IPv4 ha
cambiado correctamente al servidor de espera activa ubicado en dc-02.infonovice.priv
(192.168.0.101):
Resumen del captulo
A lo largo de este captulo hemos podido ver todos los aspectos de los servicios de red avanzados de
Microsoft Windows Server 2012 R2. Se podra resumir de la manera siguiente:

Los servidores DNS permiten realizar la correspondencia entre un nombre de dominio y una
direccin IP.

Los servidores DNS de Internet estn estructurados segn una jerarqua donde la raz est
representada por un punto.

El borrado de los registros DNS no est activado de forma predeterminada. Hay que hacerlo
manualmente.

La implementacin de los registros detallados debe realizarse manualmente en previsin de


una depuracin. Los registros detallados consumen recursos, no hay que dejar esta opcin
activa mucho tiempo en un entorno de produccin.

Un servidor DNS posee varias zonas. Las zonas de bsqueda principales, secundarias, de
bsqueda inversa, de rutas internas o GlobalNames.

Para mejorar la seguridad de un servidor DNS es posible implementar la securizacin de la


cach DNS.

DNSSEC es una tecnologa que permite firmar las peticiones DNS.

Un servidor DHCP asigna las direcciones IP a los clientes que realizan una peticin.

Una novedad del servidor DHCP es la implementacin de la alta disponibilidad.

IPAM permite gestionar el direccionamiento IP de un parque informtico y espacios de


direcciones de servidores DHCP.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Para qu sirve un servidor DNS?

2 Cuntos servidores DNS raz existen?

3 Especifique tres mtodos de securizacin de un servidor DNS.

4 Cul es la duracin predeterminada de una concesin DHCP?

5 Cules son los dos modos de funcionamiento de la conmutacin por error automtica en caso
de fallo de un servidor DHCP?

6 Se realiza copia de seguridad de un servidor DHCP de forma automtica por defecto o es


necesario configurar una directiva de copia de seguridad manualmente?

7 Cules son los tres mtodos de implementacin de un servidor IPAM?

8 Enumere al menos tres funciones de un servidor IPAM.

9 Cules son las caractersticas mnimas para la instalacin de un servidor IPAM?

10 Qu comando permite borrar la cach DNS de un equipo cliente?

11 Cul es el procedimiento para activar los registros de depuracin de un servidor DNS?

12 Qu tipo de registro DNS permite identificar un servidor de correo electrnico?

13 Su red cuenta con dos servidores de correo electrnico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. Qu servidor de correo
electrnico contactarn los usuarios para enviar e-mails?

14 Para qu sirve un registro DNS de tipo NS?

15 Para qu sirven los reenviadores de un servidor DNS?

16 Para qu sirven los reenviadores condicionales?

17 Qu comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?

18 Qu comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /18

Para este captulo, la puntuacin mnima es de 14/18.

3. Respuestas
1 Para qu sirve un servidor DNS?

Un servidor DNS permite realizar la correspondencia entre nombres de dominio y direcciones IP.

2 Cuntos servidores DNS raz existen?

Existen 13 servidores DNS raz, repartidos a travs del mundo.


3 Especifique tres mtodos de securizacin de un servidor DNS.

Para securizar un servidor DNS, podemos implementar la securizacin de cach DNS, la


configuracin del grupo de sockets DNS y la implementacin de DNSSEC firmando digitalmente las
zonas DNS.

4 Cul es la duracin predeterminada de una concesin DHCP?

Cuando un cliente solicita una direccin IP a un servidor DHCP obtiene una concesin con una
validez de 8 das.

5 Cules son los dos modos de funcionamiento de la conmutacin por error automtica en caso
de fallo de un servidor DHCP?

La funcin de conmutacin automtica por error puede funcionar en dos modos de configuracin
diferentes: Espera activa y Equilibrio de carga.

6 Se realiza copia de seguridad de un servidor DHCP de forma automtica por defecto o es


necesario configurar una directiva de copia de seguridad manualmente?

Por defecto, la configuracin de un servidor DHCP se copia automticamente cada 60 minutos. Es


posible modificar este valor ajustando los parmetros del registro de Windows.

7 Cules son los tres mtodos de implementacin de un servidor IPAM?

Los tres mtodos de implementacin de un servidor IPAM son los siguientes:

Distribuido: un servido IPAM en cada sitio del bosque Active Directory.

Centralizado: un servidor IPAM para el conjunto del bosque Active Directory.

Hbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.

8 Enumere al menos tres funciones de un servidor IPAM.

Un servidor IPAM permite efectuar las tareas de administracin y gestin siguientes:

Realizar un inventario automtico de los servicios de red.

Recopilar informacin sobre los controladores de dominio.

Centralizar la gestin de los servicios de red DNS, DHCP, NPS (Network Policy Server) y
Active Directory.

Supervisar el uso y la asignacin de direcciones IP.

Generar informes personalizados sobre la utilizacin de los recursos.

Realizar auditoras de las modificaciones de la configuracin.

9 Cules son las caractersticas mnimas para la instalacin de un servidor IPAM?

La instalacin de un servidor IPAM debe respetar los siguientes requisitos previos:

IPAM necesita un servidor dedicado que no debe ser controlador de dominio.

El servidor seleccionado debe ser miembro del dominio infonovice.priv.

Necesita al menos un procesador Dual Core de 2 GHz.

Se requiere al menos 4 GB de RAM (Random Access Memory).

Se requiere al menos 80 GB de espacio en disco libre.

El servidor IPAM debe ser m iem bro de un dom inio (y no controlador de dominio).

Se debe utilizar solamente una cuenta de administracin del dominio (y no una cuenta
local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se
respeten los siguientes requisitos previos:

Instalacin del Service Pack 2

Instalacin del componente .NET Framework 3.0 Beta y 4.0 Full

Instalacin del paquete Windows Management Framework Core

WinRM (Windows Remote Management) debe estar activado

10 Qu comando permite borrar la cach DNS de un equipo cliente?

Para eliminar el contenido de la cach DNS de un equipo cliente basta con escribir el comando
siguiente: ipconfig /flushdns

11 Cul es el procedimiento para activar los registros de depuracin de un servidor DNS?

Para activar los registros de depuracin de un servidor DNS debemos:

Acceder a las propiedades del servidor DNS en la consola Administrador DNS.

Hacer clic en la pestaa Registro de depuracin.

Marcar la opcin Paquetes de registro para depuracin.

Indicar la ruta del archivo de registro.

12 Qu tipo de registro DNS permite identificar un servidor de correo electrnico?

Los registros DNS de tipo MX permiten indicar los servidor de correo electrnico de la red.

13 Su red cuenta con dos servidores de correo electrnico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. Qu servidor de correo
electrnico contactarn los usuarios para enviar e-mails?

Para enviar e-mails, se contactar primero con el servidor A porque, cuanto mayor es el nmero
que indica la prioridad de un servidor de correo electrnico, menor es su importancia.

14 Para qu sirve un registro DNS de tipo NS?

Un registro DNS de tipo NS permite indicar los servidores de nombres de la red.

15 Para qu sirven los reenviadores de un servidor DNS?

Los reenviadores de un servidor DNS permiten indicar a qu servidores DNS reenviar las peticiones
que no se han podido resolver.

16 Para qu sirven los reenviadores condicionales?

Los reenviadores condicionales permiten redirigir las peticiones DNS de un dominio en particular a
los servidores que cuenten con autoridad para la zona.

17 Qu comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?

Para hacer una copia de seguridad de una zona DNS integrada en Active Directory basta con
ejecutar el comando dnscmd siguiente: dnscmd /ZoneExport infonovice.priv
Infonovice.BackupZone
18 Qu comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?

Para hacer una copia de seguridad de una zona DNS integrada en Active Directory, basta con
ejecutar el comando Windows PowerShell siguiente: Export-DnsServerZone -Name
infonovice.priv -Filename Infonovice.BackupZone
Requisitos previos y objetivos

1. Requisitos previos
Conocer las bases de un sistema de archivos NTFS.

Conocer las bases de una red LAN y WAN.

Conocer las bases de los recursos compartidos en Windows.

Conocer las bases de la gestin de un servidor de archivos.

2. Objetivos
Conocer los diferentes sistemas de archivo gestionados por Windows.

Aprender a optimizar el almacenamiento de datos.

Saber utilizar la consola Administrador de recursos.

Comprender las nociones de clasificacin de datos.

Saber configurar la clasificacin de archivos.

Comprender la nocin de almacenamiento iSCSI.

Saber configurar un almacenamiento iSCSI.

Comprender la nocin de almacenamiento NFS.

Saber configurar un almacenamiento NFS.

Comprender la utilidad de la funcionalidad BranchCache.

Saber configurar la funcionalidad BranchCache.


Presentacin de los servicios de archivos
Los servicios de archivo en Microsoft Windows Server 2012 R2 permiten implementar y gestionar
fcilmente una unidad de almacenamiento local o en red. Microsoft soporta varias tecnologas para
adaptarse a las diferentes topologas y necesidades de una red informtica. El conocimiento de las
diferentes tecnologas permite a un administrador optimizar la gestin del almacenamiento de datos
para que el acceso sea ms sencillo y rpido para los usuarios.

1. Funcionamiento de los servicios de archivos


Durante la instalacin del sistema operativo Windows Server 2012 R2, el rol de servidor Servicios
de archivos y de almacenamiento se instala de forma predeterminada, igual que los roles y
servicios siguientes:

Servicios de almacenamiento

Los siguientes servicios se instalan cuando compartimos archivos o cuando se promueve un servidor
a controlador de dominio:

Servicios de iSCSI y archivos (Small Computer System Interface)

Servidor de archivos

Estos roles y caractersticas permiten, tambin, tener un servidor de archivos de forma nativa listo
para almacenar y compartir datos con los usuarios y equipos de la red.

Cada volumen o particin montado en el sistema operativo puede estar formateado en uno de los
sistemas de archivo siguientes:

NTFS (New Technology File System)

ReFS (Resilient File System)

FAT32 (File Allocation Table 32 bits - solamente para discos extraibles)

Sin agregar componentes adicionales, Windows Server 2012 R2 permite:

Compartir datos

Implementar cuotas

Implementar instantneas

Gestionar discos, volmenes y particiones

Gestionar permisos de acceso empleando la seguridad NTFS

Auditar el acceso y uso de los recursos compartidos

2. Administracin de los servidores de archivos


El rol de servidor dedicado al almacenamiento de datos aporta un conjunto de servicios Windows
dedicado a la gestin de archivos de un servidor Windows Server 2012 R2.

Los servicios Windows siguientes, dedicados a las funcionalidades de servicios de archivos, se


instalan de manera predeterminada:

Instantneas de volumen (gestin de las instantneas).

Cliente de seguimiento de vnculos distribuidos (gestin de los vnculos entre archivos


NTFS).

Disco virtual (gestin de discos, volmenes, sistemas de archivos y grupos de


almacenamiento).

Espacio de nombres DFS (gestin de los espacios de nombres para las carpetas
compartidas).

Proveedor de instantneas de software de Microsoft (gestin de las instantneas creadas


por el servicio de instantnea).

Optimizacin de unidades (gestin de la optimizacin de los archivos en almacenamientos


remotos).

Publicacin de recurso de deteccin de funcin (gestin de la publicacin de los recursos


locales en la red).

Replicacin de archivos (gestin de la sincronizacin de los archivos con el servicio de


replicacin FRS - File Replication Service).

Replicacin DFS (gestin de la sincronizacin de los archivos con el servicio de replicacin


DFS-R - Distributed File Service Replication).

Servidor (gestin de la comparticin de archivos e impresoras en la red).

a. Administrar los servicios de archivos

La administracin de los servicios de archivos se realiza a travs de las diferentes consolas de


administracin siguientes que se implementan por defecto con el sistema operativo Windows
Server 2012 R2:

Administrador del servidor

En la consola Administrador del servidor es posible ver, de un solo vistazo, el estado del
rolServicios de archivos y de almacenamiento partiendo del panel:

Estado: muestra informacin complementaria sobre el estado de los servidores


gestionados.

Eventos: provee un acceso directo al Visor de eventos para observar posibles registros de
error, crticos o advertencias, vinculados al rol Servicios de archivos y almacenamiento.

Servicios: muestra los detalles sobre el estado de los servicios Windows vinculados al rol
del servidor.

Rendimiento: muestra una vista del visor de rendimiento para consultar el uso de los
recursos procesador y memoria vinculados al rol del servidor.

Resultados de BPA: muestra una vista con el resultado de la ejecucin de la herramienta


Best Practice Analyzer.

Esta vista se encuentra disponible para el conjunto de servidores administrados empleando la


consola Administrador del servidor.
El panel de la consola Administrador del servidor incluye un acceso para administrar los servicios
de archivos y almacenamiento:

La seccin Servicios de archivos y de almacenamiento permite gestionar los componentes


siguientes en el conjunto de servidores gestionados:

Volmenes: permite gestionar los volmenes existentes para efectuar tareas de


administracin frecuentes tales como:

Crear una carpeta compartida

Crear un disco virtual iSCSI

Verificar y corregir los errores de los sistemas de archivos

Modificar la letra de unidad

Formatear

Extender o eliminar un volumen

Configurar la desduplicacin de datos


Discos: permite gestionar los discos existentes para efectuar tareas de administracin
frecuentes tales como:

Crear un nuevo volumen

Poner en lnea o desconectar un disco

Inicializar un disco

Grupos de almacenamiento: permite gestionar los grupos de almacenamiento para


efectuar tareas de administracin frecuentes tales como:
Crear un grupo de almacenamiento

Crear un disco virtual

Agregar o eliminar discos fsicos a un grupo de almacenamiento existente

Un grupo de almacenamiento es una agrupacin de varios discos fsicos que permite crear
discos virtuales. Estos discos se ven como discos lgicos por el sistema operativo y podemos
crear en ellos particiones.

Recursos compartidos: permite gestionar los recursos compartidos de archivos en la red:

Recurso compartido SMB (Server Message Block): crea un recurso compartido utilizando el
protocolo SMB.

Recurso compartido NFS (Network File System): crea un recurso compartido utilizando el
protocolo NFS.
iSCSI: permite gestionar los discos virtuales iSCSI, con la condicin de agregar el rol de
servicio Servidor de destino iSCSI.

Administracin del equipo

En la consola Administrador de equipos, disponible en las herramientas administrativas o


abriendo el complemento compmgmt.msc, encontramos componentes de gestin similares a los
que ofrece la consola Administrador del servidor.

La seccin Herramientas del sistema alberga la gestin de las Carpetas


compartidas(comparticin de carpetas, visualizacin de sesiones activas y archivos abiertos
en el servidor):
La seccin Almacenamiento alberga la Administracin de discos (formatear, extender o
reducir un volumen, modificar la letra de unidad):

Iniciador iSCSI

Esta consola permite gestionar las conexiones a los grupos de almacenamiento iSCSI.

b. Roles y servicios de almacenamiento

Es posible visualizar y aadir roles y servicios de rol dedicados al almacenamiento desde la consola
Administrador del servidor. Microsoft Windows Server 2012 R2 gestiona los roles y los siguientes
servicios dedicados al rol Servicios de iSCSI y archivos:

Servidor de archivos

BranchCache para archivos de red

Desduplicacin de datos

Carpetas de trabajo

Espacios de nombres DFS

Proveedor de almacenamiento de destino iSCSI

Administrador de recursos del servidor de archivos

Replicacin DFS

Servidor del destino iSCSI

Servidor para NFS

Servidor del agente VSS del servidor de archivos


Tambin es posible visualizar los roles y servicios de rol instalados empleando los comandos
PowerShell siguientes:

Para verificar la presencia del rol Servidor del servicio de archivos y almacenamiento:

Get-WindowsFeature | Where-Object { $_.Name -like "File*" }

Para verificar la presencia de los servicios del rol Servicio de archivos y almacenamiento:

Get-WindowsFeature | Where-Object { $_.Name -like "FS-*" }


Almacenamiento en red
El almacenamiento en red consiste en emplear un servidor o un dispositivo de almacenamiento
dedicado para almacenar los archivos que sern accesibles a travs de la red. El sistema operativo
Microsoft Windows Server 2012 R2 gestiona varias tecnologas y protocolos de almacenamiento de
red como iSCSI, NFS, DAS, SAN o NAS.

1. Almacenamiento SAN iSCSI


La tecnologa SAN iSCSI (Storage Area Network internet Small Computer System Interface) permite a
los servidores acceder a dispositivos de almacenamiento en red iSCSI (LAN o WAN) utilizando el
protocolo de transporte TCP/IP. Se trata de una solucin prctica para centralizar los datos en un
servidor de archivos o una cabina de almacenamiento con un coste inferior, ya que es posible utilizar
el entorno existente para implementar una infraestructura iSCSI. La implementacin de este tipo de
almacenamiento ofrece funcionalidades de redundancia con mltiples rutas de acceso para acceder
a los datos. iSCSI es una tecnologa SAN, ms econmica que Fibre Channel. iSCSI funciona
empleando un almacenamiento por bloque, tambin llamado LUN (Logical Unit Number). El primer
disco virtual creado en un servidor de destino lleva el nmero de LUN 0. El segundo disco virtual se
llama LUN 1.

El rendimiento de una infraestructura iSCSI en una red Ethernet es menor en comparacin con la
tecnologa SAN en una red de fibra ptica. Por este motivo, no es recomendable emplear una
infraestructura iSCSI en un entorno de produccin, sino mejor en el marco de una maqueta o un
laboratorio de pruebas. Las mejores prcticas de Microsoft recomiendan el uso de una red Gigabit
para el despliegue de una infraestructura iSCSI.

a. Funcionamiento del almacenamiento iSCSI

Este protocolo de almacenamiento de red funciona en modo cliente/servidor. Los clientes se llaman
iniciadores y se benefician de la consola de administracin Iniciador iSCSI, disponible en las
herramientas administrativas:

La consola Iniciador iSCSI funciona de manera conjunta con un servicio Windows llamado Servicio
del Iniciador iSCSI de Microsoft:

Este servicio se instala por defecto al instalar el sistema operativo, pero debe arrancarse con la
primera ejecucin de la consola:
Si el servicio Iniciador iSCSI de Microsoft no est arrancado, no es posible configurar la conexin a
un servidor de destino iSCSI. Una vez configurado, el cliente enva los comandos iSCSI a los
servidores de destino empleando la red IP utilizando el puerto de comunicaciones
predeterminado3260. Este servicio utiliza el archivo C:\Windows\System32\iscsiexe.dll para
gestionar el descubrimiento y las conexiones a los servidores de destino.

Los servidores o dispositivos de almacenamiento iSCSI se denominan Servidores de


destino oTargets. Para transformar un servido en dispositivo de almacenamiento iSCSI, el rol de
servidorServidor de destino iSCSI debe estar instalado previamente. El iniciador iSCSI permite
entonces configurar un servidor cliente para hacer de puntero a un dispositivo de almacenamiento
iSCSI llamado Target.

Durante la conexin de un cliente iniciador mediante una tarjeta de red Ethernet, el sistema
operativo utiliza un controlador de sistema encargado de transportar los datos de la pila de
almacenamiento a la pila de red. Este controlador se almacena en la siguiente
ubicacin:C:\Windows\System32\Drivers\msiscsi.sys.
Infraestructura iSCSI:
Para implementar la alta disponibilidad en una infraestructura iSCSI, los clientes iniciadores pueden
configurarse con varias rutas de acceso a los servidores de destino. Al no poder contar con
conmutadores para redes de fibra ptica, una red Gigabit ser muy apreciada para conservar las
mnimas ganancias de rendimiento.

Para que un cliente que utiliza la consola Iniciador iSCSI pueda comunicarse con un dispositivo de
almacenamiento que emplee el servicio de rol Servidor de destino iSCSI, el administrador debe
configurar en los servidores de destino identificadores nicos llamados IQN (iSCSI Qualified Name).
Si la resolucin de nombres de los servidores de destino no est disponible empleando los IQN,
tambin es posible configurar la consola Iniciador iSCSI indicando la direccin IP o el nombre FQDN
de los servidores de destino.

Una infraestructura iSCSI funciona perfectamente con las aplicaciones que necesitan
almacenamiento por bloque tales como los hipervisores Citrix XenServer, VMware vSphere (ESX) o
Microsoft Hyper-V.

La ventaja de esta infraestructura es que es escalable. Adems de ofrecer alta disponibilidad al


ofrecer redundancia de discos y de rutas de acceso, tambin es posible extender la capacidad de
almacenamiento de un disco virtual en caliente.

b. Gestin del almacenamiento iSCSI

La configuracin de una infraestructura iSCSI se lleva a cabo empleando dos consolas de


administracin:

Clientes: el administrador utiliza la consola Iniciador iSCSI para configurar las conexiones
a los servidores de destino. Esta consola se instala por defecto con el sistema operativo a
partir de Windows Server 2008. Para asegurar la alta disponibilidad de una infraestructura
iSCSI, la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los
servidores de destino empleando la tecnologa Microsoft MPIO (Multipath I/O).
La consola Iniciador iSCSI presenta dos funcionalidades a partir de Windows Server 2012:

La autenticacin CHAP (Challenge Handshake Authentication Protocol): permite autenticar


la conexin de los clientes iniciadores a los discos virtuales del almacenamiento iSCSI.

Solicitud de ID (no funciona con las versiones del sistema operativo anteriores a
Windows 8 para los clientes y Windows Server 2012 para los servidores): permite
identificar de forma ms sencilla un cliente iSCSI agregando automticamente el ID de
iniciador (IQN) a un host seleccionado en el dominio.

Servidores: el administrador utiliza la consola Administrador del servidor para configurar


el servicio de rol y configurar los destinos iSCSI as como los discos virtuales. Esta consola
requiere la instalacin del rol de servicio Servidores del destino iSCSI.
Los datos de un almacenamiento iSCSI se almacenan en un disco virtual en el servidor de
destino. El servicio de rol crea un archivo *.vhd que representa el disco virtual creado en la
siguiente ubicacin: <Unidad del disco>:\iSCSIVirtualDisks\<Nombre del disco>.vhd

2. Almacenamiento SAN FCoE


La tecnologa SAN FCoE (Storage Area Network Fibre Channel over Ethernet) permite a su vez
acceder a dispositivos de almacenamiento en red utilizando un sistema de almacenamiento por
bloques al igual que el almacenamiento iSCSI. El administrador de una cabina SAN debe crear las
LUN, que sern visibles por los servidores como unidades de almacenamiento locales. La diferencia
con el almacenamiento SAN iSCSI es que una infraestructura SAN utiliza un equipamiento hardware
adicional basado en fibra ptica y una cabina de almacenamiento SAN compatible. Los costes de
esta tecnologa son, de hecho, muy elevados ya que es necesario modificar el sistema de
informacin (aadir tarjetas de red de fibra en cada servidor con acceso a la cabina de
almacenamiento, conmutadores para la red de fibra ptica, etc.). El almacenamiento SAN FCoE es
una solucin escalable y segura. Es posible agregar discos para extender la capacidad de
almacenamiento y la infraestructura puede ser redundante duplicando cada elemento conectado a la
red de fibra ptica. Esto ofrece capacidades de alta disponibilidad y de rutas mltiples para acceder
a una cabina de almacenamiento redundante para los servidores autorizados. Si los componentes
estn duplicados en la red de fibra ptica, los servidores conectados debern poseer dos interfaces
de red cada uno para conectarse a los diferentes conmutadores de fibra ptica redundantes.

La identificacin de los elementos en la red no se hace empleando un IQN como en la tecnologa


iSCSI, sino empleando un World Wide Name (WWW) nico para la red.

3. Almacenamiento NFS
Inicialmente la tecnologa NFS (Network File System) consista en instalar un servidor de archivos
para compartir los datos entre servidores UNIX/Linux utilizando el protocolo de transporte TCP/IP
para el transporte de los datos. Hoy en da, NFS existe tambin en los sistemas operativos Windows
o Macintosh, para compartir datos con servidores UNIX/Linux.

En Microsoft Windows Server 2012 R2, la implementacin de un servidor NFS se realiza a travs del
servicio de rol Servidor para NFS. Para un equipo que ejecute el sistema operativo Windows
Server 2012, la conexin a una cabina de almacenamiento NFS se realiza utilizando la caracterstica
de servidor Cliente para NFS.

4. Almacenamiento DAS
La tecnologa de almacenamiento DAS (Direct Attached Storage) corresponde a la conexin de un
dispositivo de almacenamiento directamente a un servidor, sin pasar por la red. Todo disco interno,
externo o extrable (por ejemplo un dispositivo USB como una llave o tarjeta de memoria) es
considerado como un almacenamiento DAS, es decir directamente conectado al servidor.

5. Almacenamiento NAS
La tecnologa NAS (Network Attached Storage) corresponde a un servidor de archivos donde los
volmenes o carpetas se comparten a travs de la red mediante protocolos de comparticin tales
como CIFS (Common Internet File System) o SMB (Server Message Block).
Optimizar el uso del almacenamiento
Hoy en da, todas las empresas poseen en sus infraestructuras informticas un servidor de archivos
que los administradores deben gestionar para optimizar el acceso de los usuarios. Este captulo
detalla lo esencial de las funcionalidades vinculadas a la gestin de un servidor de archivos para
optimizar mejor los datos almacenados en la red.

1. Administrador del recursos


El sistema operativo Windows Server 2012 R2 incluye el servicio de rol Administrador de recursos
del servidor de archivos (en la versin inglesa, este servicio de rol se llama FSRM - File Server
Resource Management), que permite agregar una consola de gestin que simplifica y centraliza las
opciones de administracin de datos almacenados en el servidor.

a. Funcionamiento FSRM

Al agregar el servicio de rol FSRM se agrega la consola Administrador de recursos del servidor de
archivos en las herramientas administrativas:

Esta consola de administracin es un complemento llamado fsrm.msc, accesible desde una MMC.
Este complemento se almacena en la ubicacin siguiente: %Windir%\system32\fsrm.msc

Agregar el servicio de rol nos permite, tambin, agregar el servicio Windows


siguiente:Administrador de recursos del servidor de archivos.
Este servicio Windows, una vez arrancado, permite gestionar cuotas, filtros, informes de
almacenamiento y la clasificacin de los archivos.

b. Administracin FSRM

La herramienta de administracin Administrador de recursos del servidor de archivos permite


gestionar los siguientes componentes:

Administracin de cuotas

Administracin del filtrado de archivos

Administracin de informes de almacenamiento

Administracin de clasificaciones

Tareas de administracin de archivos

2. Administracin de cuotas
La seccin Administracin de cuotas de la consola Administrador de recursos del servidor de
archivos permite implementar la funcionalidad de cuotas en el servidor de archivos. Las cuotas
permiten limitar el uso del espacio en disco de un volumen lgico o de una carpeta:

Al implementar cuotas en un volumen, todas las nuevas carpetas creadas en l tendrn una
limitacin relativa al espacio en disco disponible. Las plantillas de cuota agrupan plantillas
predefinidas de reglas de cuota aplicables directamente en un volumen o archivo.

La limitacin de uso del espacio de almacenamiento de una carpeta o de un volumen utilizando


cuotas puede implementarse mediante dos opciones:

Cuota mxima: esta opcin permite impedir a los usuarios superar el lmite de
almacenamiento fijado por el administrador.

Cuota de advertencia: esta opcin permite a los usuarios superar el lmite de


almacenamiento fijado por el administrador con objeto de analizar el uso del espacio de
almacenamiento.

Cada cuota puede configurarse con un umbral de notificacin que advierte al administrador cuando
el espacio de almacenamiento de un volumen o carpeta se ha alcanzado. Es posible enviar una
alerta por e-mail o empleando el visor de eventos automticamente cuando el espacio en disco
disponible alcanza un umbral definido en funcin del porcentaje de espacio en disco utilizado.

a. Creacin de una cuota

Para crear una cuota en la carpeta C:\Compartir para que los usuarios de la red no puedan
almacenar ms de 3 MB de datos, bastar con realizar el siguiente procedimiento:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin de cuotas - Cuotas.

Haga clic con el botn derecho en Cuotas y, a continuacin, haga clic en Crear cuota.

En la ventana Crear cuota haga clic en Examinar en la seccin Ruta de acceso de cuota.

Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar.

Marque las opciones Crear cuota en la ruta de acceso y, a continuacin, marque la


opcinDefinir propiedades de cuota personalizadas y haga clic en Propiedades
personalizadas:
La opcin Derivar propiedades de esta plantilla de cuota permite aplicar una de las
plantillas de cuota existentes, cuyas propiedades se encuentran predefinidas.

En la ventana Propiedades de cuota de C:\Compartir, escriba un lmite de 3 MB en la


seccinLmite de espacio. Marque a continuacin la opcin Cuota mxima y haga clic en el
botnAgregar en la seccin Umbrales de notificacin:
Escriba 80 en el campo Generar notificaciones cuando el uso alcance (%) y, a continuacin,
marque la opcin Enviar advertencia al registro de eventos en la pestaa Registro de
eventos. Deje las dems opciones por defecto y haga clic en Aceptar:
Haga clic en Aceptar en la ventana Propiedades de cuota de C:\Compartir y, a continuacin,
haga clic en Crear en la ventana Crear cuota.

Marque la opcin Guardar la cuota personalizada sin crear una plantilla y haga clic
enAceptar.

La cuota aparece, a continuacin, en la ventana de la seccin Cuota del Administrador de


recursos del servidor de archivos:

Copie el archivo C:\Windows\explorer.exe en la carpeta C:\Compartir y actualice la ventana


de administracin de cuotas. Vemos inmediatamente que el espacio utilizado en la carpeta
alcanza el 75% de utilizacin:
En este punto, no se enva ninguna notificacin porque el umbral de 80% del espacio en disco
utilizado no se ha alcanzado.

Copie el archivo C:\Windows\System32\netlogon.dll en la carpeta C:\Compartir y actualice


la ventana de administracin de cuotas. El espacio en disco utilizado en la carpeta alcanza,
ahora, el 96%. Se genera una notificacin y se enva al registro de eventos.

Abra la consola Visor de eventos ubicada en las Herramientas administrativas, despliegue el


rbol de la consola para seleccionar el registro Aplicacin de la seccin Registros de
Windows. El ID de evento 12325 aparece con un nivel que muestra una Advertencia.
Seleccione el ID para ver sus propiedades. Se comprueba, as, que el espacio de
almacenamiento disponible en la carpeta C:\Compartir ha superado el umbral de utilizacin
fijado por la cuota en 80%:

Copie el archivo C:\Windows\regedit.exe en la carpeta C:\Compartir. Se abre una ventana


que indica que no es posible copiar el archivo porque se ha superado el espacio en disco
asignado a esa carpeta. Este bloqueo se debe a la gestin de cuotas en la carpeta y a la
aplicacin de una regla de cuota mxima.
b. Creacin de una plantilla de cuota

Para crear una plantilla de cuota que permita a los usuarios de red almacenar 1 GB de datos en
una carpeta determinada dentro del servidor de archivos, basta con realizar el siguiente
procedimiento:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin de cuotas - Plantillas de Cuota.

Haga clic con el botn derecho en Plantillas de Cuota y, a continuacin, haga clic en Crear
plantilla de cuota.

En el campo Nombre de plantilla escriba Lmite de 1 GB, configure el lmite de la cuota a 1 GB


y marque, a continuacin, la opcin Cuota mxima y haga clic en Aceptar:
La plantilla de cuota creada aparece, a continuacin, en la lista de plantillas de cuota disponibles:

Tambin ser posible crear una nueva cuota empleando este modelo predefinido.

3. Administracin del filtrado de archivos


La seccin Administracin del filtrado de archivos de la consola Administrador de recursos del
servidor de archivos permite implementar una funcionalidad til para gestionar grandes conjuntos
de datos almacenados en un servidor de archivos. El filtrado permite limitar el almacenamiento de
ciertas categoras de archivos en el espacio en disco de un volumen lgico o de una carpeta:

Al implementar una regla de filtrado en una carpeta, se excluirn automticamente todos los
archivos nuevos que se correspondan con la regla creada y asignada a la carpeta. Las plantillas de
cuota agrupan plantillas predefinidas de filtrado de archivos que pueden aplicarse directamente en
un volumen o archivo:

Con una regla de filtrado es posible prohibir que se almacenen archivos de los siguientes tipos,
agrupados en la seccin Grupos de archivos:

Archivos de sistema (por ejemplo: *.dll, *.ocx)

Archivos de audio y vdeo (por ejemplo: *.avi, *.mkv)

Archivos comprimidos (por ejemplo: *.zip, *.rar)

Archivos de correo electrnico (por ejemplo: *.eml, *.idx)

Archivos de pgina web (por ejemplo: *.html, *.php)

Archivos de copia de seguridad (por ejemplo: *.bck, *.old)

Archivos ejecutables (por ejemplo: *.exe, *.bat)

Archivos de imagen (por ejemplo: *.jpeg, *.png)

Archivos Office (por ejemplo: *.doc, *.xls)

Archivos temporales (por ejemplo: *.temp, *.tmp)

Archivos de texto (por ejemplo: *.txt, *.text)

Si alguna extensin de archivo concreta no existiese en ninguno de los grupos de archivos


predefinidos, es posible editar un grupo para aadir la extensin que falta, o crear un nuevo
grupo de archivos.

Es posible configurar el filtrado de archivos de una carpeta o de un volumen empleando una regla de
filtrado de dos maneras distintas:

Filtrado activo: esta opcin permite impedir a los usuarios almacenar los archivos no
autorizados detallados en la regla de filtrado.

Filtrado pasivo: esta opcin permite a los usuarios almacenar los archivos no autorizados
por el administrador. La ausencia de bloqueo permite analizar el uso del almacenamiento de
los archivos con la posibilidad de editar los informes. Estos informes permiten detallar
aquellos usuarios que almacenan archivos no deseados en la red.

Las reglas de filtrado determinan as el tipo de archivos que los usuarios pueden almacenar en la
red.

a. Creacin de un filtro de archivos

Para crear un filtro de archivos que permita excluir automticamente los contenidos de tipo audio y
vdeo en el servidor de archivos, basta con realizar el siguiente procedimiento:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin del filtrado de archivos - Filtros de archivos.

Haga clic con el botn derecho en Filtros de archivos y, a continuacin, haga clic en Crear
filtro de archivos.

En la ventana Crear filtro de archivos, haga clic en Examinar de la seccin Ruta de acceso al
filtro de archivos.

Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar.

En la ventana Crear filtro de archivos, marque la opcin Derivar propiedades de esta


plantilla de filtro de archivos y seleccione la plantilla Bloquear archivos de audio y vdeo. A
continuacin, haga clic en el botn Crear.

El filtro aparece, a continuacin, en la ventana de la seccin Administrador de recursos del


servidor de archivos:
Cuando un usuario de red intente grabar archivos de audio o vdeo en la carpeta
compartidaC:\Compartir, aparecer el siguiente mensaje:

b. Creacin de una plantilla de filtro

Para crear una plantilla de filtro de archivos que nos permita prohibir el almacenamiento de
archivos de tipo AutoCAD, bastar con seguir el procedimiento siguiente:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin del filtrado de archivos - Plantillas de filtro de archivos.

Haga clic con el botn derecho en Plantillas de filtro de archivos y, a continuacin, haga clic
en Crear plantilla de filtro de archivos.

En la ventana Crear plantilla de filtro de archivos, escriba el texto Bloquear archivos


AUTOCAD en el campo Nombre de plantilla, marque a continuacin la opcin Filtrado activoy
haga clic en el botn Crear de la seccin Mantener grupos de archivos:
En la ventana Crear propiedades del grupo de archivos, escriba Archivos AUTOCAD en el
campo Nombre del grupo de archivos. Escriba a continuacin *.dwg en el campo Archivos
incluidos y haga clic en el botn Agregar. Repita la operacin para la extensin *.dxf. Haga
clic en Aceptar para crear el grupo de archivos AutoCAD:
En la ventana Crear plantilla de filtro de archivos, marque la opcin Archivos AUTOCAD en
la seccin Grupos de archivos y haga clic en Aceptar para validar la creacin de la plantilla de
filtro:
La plantilla de filtro aparece, a continuacin, en la ventana de la consola Administrador de recursos
del servidor de archivos:

En esta vista es posible ver que la plantilla de filtro llamada Bloquear archivos AUTOCAD
emplea un filtrado de tipo Activo y utiliza el grupo de archivos llamado Archivos AUTOCAD.

Una vez creada la plantilla de filtro, puede crear un filtro de archivos que emplear la plantilla
de filtro Bloquear archivos AUTOCAD. Los usuarios no podrn almacenar ningn archivo de
extensin *.dwg o *.dxf en las carpetas cubiertas por el filtro.

4. Administracin de la clasificacin
La seccin Administracin de clasificaciones de la consola Administrador de recursos del servidor
de archivos permite definir reglas de clasificacin de cara a configurar las propiedades de los
archivos o carpetas almacenados en el servidor a partir de condiciones definidas por el
administrador.

Las propiedades de la clasificacin: permiten definir las propiedades de clasificacin de un


archivo o carpeta en funcin de diferentes criterios como el contenido, el tamao, el tipo de
archivo u otros atributos de almacenamiento.

Las reglas de clasificacin: permiten examinar los datos de un servidor para modificar las
propiedades de clasificacin en funcin del contenido.

El conjunto de archivos o carpetas de un servidor posee en adelante en sus propiedades una


pestaa Clasificacin. Una vez que el archivo o carpeta ha sido examinado por una regla de
clasificacin, se actualizarn las propiedades de clasificacin del objeto pertinente.

De esta forma es posible asignar una propiedad de clasificacin a un objeto almacenado si contiene,
por ejemplo, una palabra determinada. Estas propiedades de clasificacin se pueden utilizar para
otras funciones de Windows Server 2012 R2 como el control de acceso dinmico. La clasificacin de
archivos ya exista en Windows Server 2008 R2. El sistema operativo Windows Server 2012 aporta
sin embargo algunas novedades, como por ejemplo la posibilidad de personalizar el error mostrado
en la pantalla cuando un usuario no puede acceder a un recurso que posee un tipo de clasificacin
que indica que los archivos estn reservados estrictamente a la direccin.

Para poner en prctica el uso de la clasificacin de archivos podemos, por ejemplo, tomar la carpeta
C:\Compartir y crear un conjunto de archivos de texto que contengan diferentes valores. Crearemos
a continuacin un archivo de texto llamado C:\Compartir\Documentos.txt que contenga las palabras
"DIRECCIN INFONOVICE". Vamos tambin a crear una propiedad de clasificacin y una regla de
clasificacin que permita examinar los archivos de texto de la carpeta C:\Compartir. Si el examen
descubre la cadena "DIRECCIN INFONOVICE", la regla de clasificacin asignar el valor
"VERDADERO" a la propiedad de clasificacin creada.

a. Creacin de una propiedad de clasificacin

Para crear una propiedad de clasificacin del tipo VERDADERO/FALSO para saber si el archivo
examinado contiene la frase "DIRECCIN INFONOVICE", basta con realizar el procedimiento
siguiente:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin de clasificaciones - Propiedades de la clasificacin.

Haga clic con el botn derecho en Propiedades de la clasificacin y, a continuacin, haga clic
en Crear propiedad local.

En el campo Nombre de la pestaa General, escriba DIRECCIN INFONOVICE, seleccione el


tipo de propiedad S/No y haga clic en Aceptar:
La propiedad de clasificacin creada aparece, en lo sucesivo, en la consola:

b. Creacin de una regla de clasificacin

Para crear una regla de clasificacin aplicable sobre un conjunto de datos respetando la propiedad
de clasificacin "DIRECCIN INFONOVICE", basta con seguir el procedimiento siguiente:

Abra la consola de administracin Administrador de recursos del servidor de archivos.

Despliegue el rbol de la consola: Administrador de recursos del servidor de archivos -


Administracin de clasificaciones - Reglas de clasificacin.

Haga clic con el botn derecho en Reglas de clasificacin y, a continuacin, haga clic en Crear
regla de clasificacin.

En la pestaa General de la ventana Crear regla de clasificacin escriba REGLA DIRECCIN


INFONOVICE y, a continuacin, marque la opcin Habilitada.

En la pestaa mbito de la ventana Crear regla de clasificacin haga clic en el


botnAgregar para seleccionar la carpeta C:\Compartir y, a continuacin, haga clic
en Aceptar para validar.

En la pestaa Clasificacin de la ventana Crear regla de clasificacin,


seleccioneClasificador de contenido en la seccin Mtodo de clasificacin. Seleccione
despus la propiedad DIRECCIN INFONOVICE y haga clic en el botn Configurar.

En la ventana Parmetros de clasificacin, seleccione un tipo de expresin Cadena en la


seccin Parmetros y escriba la expresin DIRECCIN INFONOVICE. Haga clic en Insertar y, a
continuacin, en Aceptar:

En la pestaa Tipo de evaluacin de la ventana Crear regla de clasificacin, marque la


opcin Volver a evaluar los valores de propiedad existentes y, a continuacin, marque la
opcin Sobrescribir el valor existente. Haga clic en Aceptar para validar la regla de
clasificacin.

La regla de clasificacin creada aparece, a continuacin, en la consola:

En la consola Administrador de recursos del servidor de archivos, seccin Reglas de


clasificacin, haga clic en el men Accin y, a continuacin, Ejecutar clasificacin con todas
las reglas ahora.

En la ventana Ejecutar clasificacin, marque la opcin Esperar a que termine la


clasificaciny haga clic en Aceptar:

Al terminar la ejecucin, se abre un informe en formato HTML indicando el nmero de archivos


encontrados en el directorio C:\Compartir que contienen la cadena de caracteres "DIRECCIN
INFONOVICE":
Navegue hasta la carpeta C:\Compartir y edite las propiedades de cada archivo para verificar
la propiedad de la pestaa Clasificacin.

Constatamos as que solo el archivo de texto C:\Compartir\Documentos.txt posee el


valorVERDADERO en la propiedad de clasificacin DIRECCIN INFONOVICE, porque la cadena de
caracteres existe en este archivo. Los otros archivos poseen un valor fijo Ninguna en la misma
propiedad de clasificacin:

La clasificacin permite, de forma similar a un sistema de gestin electrnica de documentos (GED),


definir propiedades adicionales en los archivos y carpetas. Esto permite clasificar mejor o gestionar
los permisos de acceso empleando el control de acceso dinmico.

5. Administracin de informes de almacenamiento


La seccin Administracin de informes de almacenamiento de la consola Administrador de
recursos del servidor de archivos permite generar informes relativos al uso del almacenamiento y
los archivos almacenados. Los informes permiten destacar una gran cantidad de informacin, como
los archivos de mayor tamao, el uso de cuotas o los archivos duplicados.

6. Desduplicacin de datos
La desduplicacin de datos es un servicio de rol del Servicio de archivos y almacenamiento. La
desduplicacin de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad. Para ahorrar espacio en el almacenamiento asignado, esta funcin elimina los duplicados
conservando una nica copia y sustituyendo los duplicados por enlaces simblicos que hacen
referencia al archivo guardado.

No es posible habilitar la desduplicacin de datos en un volumen que contenga el sistema operativo.


Esta funcionalidad solo puede activarse en un volumen de datos. La activacin de la desduplicacin
de datos puede hacerse en dos niveles:

Durante la creacin de un nuevo volumen de datos:

En la seccin Volmenes del Administrador del servidor:

La activacin de la desduplicacin de datos presenta varias opciones de configuracin:

Indicar la antigedad de los archivos a duplicar


Especificar las extensiones de los archivos a excluir

Especificar las carpetas a excluir

Planificar la desduplicacin de datos

a. Instalar la desduplicacin de datos

Para agregar este componente, basta con abrir el Administrador del servidor, hacer clic
enAgregar roles y caractersticas y, a continuacin, marcar el servicio de rol siguiente: Servicio
de archivos y almacenamiento - Servicios de iSCSI y archivo - Desduplicacin de datos.

Para instalar la desduplicacin de datos empleando PowerShell, basta con escribir el comando
siguiente:

Add-WindowsFeature -name FS-Data-Deduplication

b. Activar la desduplicacin de datos

Para activar la desduplicacin de datos, basta con realizar el procedimiento siguiente:

Abra el Administrador del servidor, haga clic en la seccin Servicio de archivos y


almacenamiento y, a continuacin, seleccione la seccin Volmenes.

Haga clic con el botn derecho en el volumen de datos de su servidor de archivos y, a


continuacin, haga clic en Configurar desduplicacin de datos.
Seleccione en la opcin desplegable, Desduplicacin de datos: Servidor de archivos de uso
general y, a continuacin, escriba el nombre de las extensiones que desea excluir del proceso
de desduplicacin separndolas con una coma (por ejemplo: bat,ps1,vbs). A continuacin,
haga clic en Siguiente:

En esta ventana, tambin es posible seleccionar las carpetas a excluir del proceso de
desduplicacin para que el contenido no sea tenido en cuenta. El botn Establecer programacin
de desduplicacin permite planificar la ejecucin del proceso en un periodo de la semana bien
definido. Tambin es posible seleccionar los das de ejecucin y la hora de inicio del proceso de
desduplicacin.

Para activar la desduplicacin empleando PowerShell, basta con escribir el comando siguiente:

Enable-DedupVolume <Letra de unidad:>

Por ejemplo: Enable-DedupVolume E:

c. Verificar la desduplicacin

Para validar que el proceso de desduplicacin de datos ha funcionado, basta con realizar el
procedimiento siguiente:

Descargue el archivo ALTools.exe del sitio Web de Microsoft en la direccin


siguiente:http://www.microsoft.com/en-us/download/confirmation.aspx?id=18465

Copie el archivo ALTools.exe en la carpeta E:\Compartir, E:\Copia y la raz de la unidad del


volumen de datos.

En el Administrador del servidor, seccin Servicios de archivos y almacenamiento -


Volmenes, configure la desduplicacin para archivos de ms de 0 das (valor seleccionado en
el cuadro de texto).

Escriba, a continuacin, el comando PowerShell siguiente:

Start-DedupJob -Volume E: -Type Optimization

Escriba el comando Get-DedupJobpara garantizar que el estado de la tarea ha cambiado


de Running a Completed:

Verifique el tamao del archivo ALTools.exe en cada carpeta. En las propiedades del archivo, el
tamao en el disco deber ser ms pequeo que al principio.
BranchCache
BranchCache es una tecnologa de Microsoft que permite reducir el trfico de red WAN (Wide Area
Network) entre los sitios, permitiendo alojar en cach aquellos archivos que se utilicen con mayor
frecuencia.

1. Presentacin de BranchCache
La tecnologa BranchCache apareci con el sistema operativo Windows Server 2008 R2 y el cliente
Windows 7. La necesidad se ha acrecentado con el aumento de las estructuras que funcionan con
sitios remotos (sucursales, usuarios desplazados, anexos...) donde los servidores de la
infraestructura no se encuentran dentro de la empresa. Cada usuario que desea acceder a los
recursos alojados en un sitio remoto puede sufrir lentitud y problemas de velocidad a travs de una
conexin de red remota.

Microsoft ha renovado la implementacin de la tecnologa BranchCache en el sistema operativo


Windows Server 2012 R2 como una funcionalidad de servidor. BranchCache permite alojar en cach
de recursos consultados por los usuarios empleando los protocolos siguientes:

SMB (Server Message Block): este protocolo lo utilizan los recursos compartidos en una red
Microsoft. Cualquier recurso consultado por un usuario remoto a travs de un recurso
compartido de red puede almacenarse, potencialmente, en cach si se ha implementado
BranchCache.

BITS (Background Intelligent Transfer Service): este protocolo lo utilizan las aplicaciones (por
ejemplo: Windows Update) para transferir en segundo plano los datos de un servidor a los
clientes utilizando los momentos en los que el ancho de banda demandado es menor. Los
datos transferidos a travs del componente Windows BITS pueden almacenarse en cach en
una infraestructura BranchCache.

HTTP/HTTPS (HyperText Transfer Protocol): estos protocolos se utilizan para acceder a


contenido web seguro o no desde un servidor Web como Microsoft IIS (Internet Information
Services). El contenido recuperado a travs del trfico Web HTTP o HTTPS puede almacenarse
en un servidor de cach de una infraestructura BranchCache, para que los usuarios puedan
acceder ms rpidamente al contenido del sitio Internet.

Cuando un usuario intenta leer el contenido de un recurso empleando uno de estos protocolos,
BranchCache se encarga de poner en cach el archivo en caso de que otro usuario de la red lo
necesite. A da de hoy, solo los clientes Windows 7, 8 u 8.1 pueden utilizar las caractersticas de
BranchCache instaladas en los servidores Windows Server 2008 R2, Windows Server 2012 o
Windows Server 2012 R2. El uso de la funcionalidad BranchCache reduce de esta forma el trfico en
las redes WAN garantizando una buena conexin entre sitios.

a. Funcionamiento de BranchCache

La tecnologa BranchCache requiere agregar el servicio de rol BranchCache para archivos de


reden el servidor de archivos o el servidor Web, accesible por los usuarios. A continuacin, debe
configurarse una GPO para activar BranchCache en el servidor.

Si la infraestructura de red utiliza el modo de cach hospedada, la funcionalidad de servidor


BranchCache debe estar agregada para transformar al servidor ubicado en el sitio remoto en
servidor de cach para los usuarios. Debe crearse, tambin, una GPO para configurar el Firewall
del servidor de cach y, de este modo, autorizarlo para aceptar el trfico http entrante.

Cuando agregamos la funcionalidad BranchCache en un servidor de cach, se crea el servicio


Windows BranchCache con tipo de arranque automtico. Este servicio tiene como objetivo escribir
en cach los recursos consultados por los equipos cliente.
Cuando se configura un sitio remoto para utilizar el modo de cach distribuida, los equipos cliente
emiten peticiones multicast en la red para saber qu equipo de la red cuenta con una copia en
cach del recurso deseado por el usuario. Para no bloquear las peticiones multicast de los equipos
cliente, el administrador del sitio remoto debe configurar una GPO para autorizar el trfico http y
WS-Discovery en el Firewall de los clientes Windows.

Los clientes que ejecuten el sistema operativo Windows 7, Windows 8 o Windows 8.1 poseen un
cliente nativo BranchCache configurado como un servicio Windows. Por defecto, este servicio se
encuentra detenido y el tipo de arranque est configurado como Manual.

Cuando se crea una directiva de grupo para activar BranchCache en los equipos cliente Windows 8
u 8.1 el servicio Windows arranca en un modo de funcionamiento de cach hospedada. Esto quiere
decir que los clientes comienzan buscando un servidor de cach en la red local. Si el servidor de
cach no existe, los clientes cambian al modo de funcionamiento de cach distribuida. Esta
configuracin automtica de los clientes Windows puede configurarse mediante una GPO para
definir previamente el modo de cach distribuida u hospedada.

b. Administracin de BranchCache

Las carpetas compartidas

Agregar el servicio de rol BranchCache en un servidor web no necesita ninguna configuracin


adicional. Sin embargo, para el caso de un servidor de archivos, las carpetas compartidas en la red
deben configurarse previamente para indicar a los usuarios que los archivos pueden estar
alojados en cach. BranchCache permite configurar una carpeta compartida en sus propiedades:
La activacin de BranchCache

Para utilizar BranchCache en los equipos cliente, debemos primero activarlo. La activacin de esta
caracterstica se puede realizar por tres mtodos:

Directivas de grupo (GPO): bastar con editar una GPO vinculada a una UO que contenga
los equipos deseados. Los parmetros de activacin de BranchCache y configuracin del
modo de cach se encuentran en la siguiente ubicacin: Configuracin del equipo -
Directivas - Plantillas administrativas - Red - BranchCache.

Comandos PowerShell: los comandos PowerShell siguientes permiten configurar


BranchCache en un cliente o un servidor Windows.

Verificar el modo de cach utilizado por el cliente:

Get-BCClientConfiguration

Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach hospedada:

Enable-BCHostedClient -ServerNames <Nombre del servidor de cach>

Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach distribuida:

Enable-BCDistributed
Configurar un servidor para convertirse en servidor de cach y registrar el punto de
conexin de servicio (SCP - Service Connection Point) en Active Directory:

Enable-BCHostedServer -RegisterSCP

Para obtener ms informacin, consulte el sitio de Microsoft en la direccin


siguiente:http://technet.microsoft.com/en-us/library/hh848394%28v=wps.620%29.aspx

Comandos Netsh: los comandos Netsh siguientes permiten configurar BranchCache en un


cliente Windows.

Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach hospedada:

netsh branchcache set service mode=hostedclient


location=<Nombre del servidor de cach>

Configurar un equipo cliente Windows 8 para utilizar el modo de cach distribuida:

netsh branchcache set service mode=distributed

No es posible aplicar los comandos netsh si alguna GPO ha configurado previamente el modo
de cach a emplear para el host definido.

Configuracin del Firewall

Cuando los equipos cliente utilizan el modo de cach hospedada, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 80:

Recuperacin de contenido de BranchCache: permite la transferencia de datos en cach


del servidor a los equipos cliente empleando el protocolo de transporte HTTP.

Deteccin del mismo nivel de BranchCache: permite la deteccin de los equipos cliente
que albergan contenido en cach empleando el protocolo WS-Discovery.

Cuando los equipos cliente utilizan el modo de cach distribuida, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 3702.

Publicacin de Hash

Cuando un servidor de archivos posee el rol "BranchCache para archivos de red", es posible crear
una directiva de grupo con el objetivo de generar tablas de dispersin (hash) para los datos
compartidos (las tablas de dispersin (hash) representan informacin del contenido).

2. Modo de cach
Es posible configurar una infraestructura BranchCache segn dos modos de cach. Cach
hospedada o cach distribuida. Es posible utilizar ambos modos al mismo tiempo en una
infraestructura de red compleja, pero solo uno de los dos modos puede estar activo en cada sitio
remoto.

En adelante, los datos puestos en cach se cifran de manera predeterminada.

a. Modo de cach hospedada

El modo de cach hospedada consiste en implementar un servidor de cach en el sitio remoto.


Cada recurso consultado por los usuarios en el servidor de archivos central (funciona tambin si se
trata de un acceso http/https a un servidor Web) puede alojarse en la cach local del servidor de
cach. Esto evita que otros usuarios descarguen de nuevo los archivos previamente consultados
mediante el ancho de banda WAN que conecta ambos sitios, sino accediendo a travs de la red
local del sitio desplazado. Esta configuracin de cach se utiliza con la tecnologa BranchCache
cuando el sitio remoto contiene varios equipos de usuario.

Esquema de una infraestructura BranchCache empleando el modo de cach hospedada:

1. Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un


archivo compartido en el servidor de archivos de la central. El equipo cliente
consulta en primer lugar si existe una copia del archivo en la cach del servidor
de cach.

2. Si el archivo solicitado por el usuario no se encuentra en el servidor de cach, el


equipo cliente se conecta directamente al servidor de archivos de la central para
recuperar el recurso solicitado.

3. El recurso solicitado se copia en el servidor de cach a travs del ancho de banda


WAN. El usuario accede, a continuacin, a su archivo.

4. Otro usuario intenta acceder al mismo archivo solicitado previamente por su


colega. El equipo cliente de este usuario consulta el contenido del servidor de
cach para acceder a la copia en cach del recurso solicitado.

b. Modo de cach distribuida

El modo de cach distribuida consiste en autorizar a los equipos cliente a escribir en la cach local
de su disco una copia de los recursos consultados en el servidor de archivos de la central (funciona
tambin cuando se trata de un acceso http/https a un servidor Web). Este modo de escritura en
cach no requiere un servidor de cach en el sitio remoto. No es aconsejable utilizar este modo de
la tecnologa BranchCache salvo que el sitio remoto cuente con pocos equipos de usuario.

Esquema de una infraestructura BranchCache empleando el modo de cach distribuida:

1. Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un


archivo compartido en el servidor de archivos de la central.

2. El archivo solicitado por el usuario se descarga a la cach local del equipo cliente
y el usuario accede a su archivo.

3. Otro usuario intenta acceder al mismo archivo solicitado previamente por su


colega. El equipo cliente de este usuario realiza una peticin multicast para saber
qu equipo cliente de la red mantiene una copia del recurso en su cach local.
Una vez recuperada la informacin, el equipo cliente consulta el contenido de la
cach de su colega para acceder a la copia del archivo solicitado.

3. Implementar BranchCache
Para implementar BranchCache configurando los equipos cliente de los sitios remotos para utilizar
esta tecnologa hay que configurar las directivas de grupo o ejecutar los comandos PowerShell o
Netsh en cada equipo.
Para configurar BranchCache empleando directivas de grupo, hay que editar la seccin siguiente de
la GPO: Configuracin del equipo - Directivas - Plantillas administrativas - Red - BranchCache.

Esta seccin de la GPO permite:

Activar BranchCache.

Definir el modo de cach (distribuida u hospedada).

Activar la deteccin automtica.

Configurar los servidores de cach hospedada.

Configurar BranchCache para los archivos de red.

Definir el porcentaje de espacio en disco asignado para la cach de un cliente.

Definir la antigedad de los segmentos en la cach de datos.

Definir la actualizacin de la versin de BranchCache.


Trabajos prcticos
La empresa INFONOVICE desea actualizar su parque informtico implementando varias
tecnologas relativas al almacenamiento de datos. Para satisfacer diversas necesidades, se le
pedir configurar una solucin de almacenamiento de red segura y optimizar la gestin y los
tiempos de acceso, tanto para los usuarios de la oficina central como en los sitios remotos.

Para el almacenamiento de los datos, la empresa ha seleccionado centralizar los datos en un


dispositivo de almacenamiento SAN. Al no poder probar esta tecnologa en equipos fsicos, una
infraestructura iSCSI servir de maqueta para validar la solucin.

En relacin a la optimizacin del almacenamiento de datos, debemos prever la implementacin


de funciones de clasificacin, filtrado y desduplicacin de datos.

Los equipos cliente ubicados en un sitio remoto se beneficiarn de un servidor de cach que
permite mejorar los tiempos de acceso a aquellos archivos utilizados con mayor frecuencia.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

ISCSI-01: servidor de almacenamiento iSCSI para el dominio infonovice.priv

Direccin IP: 192.168.0.106

Mscara de subred: 255.255.255.0

Disco de datos: 30 GB

CLIENT1: cliente DNS y DHCP

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

CLIENT2: cliente DNS y DHCP

Direccin IP: 192.168.0.108

Mscara de subred: 255.255.255.0

CACHE-01: servidor de cach de archivos para el dominio infonovice.priv

Direccin IP: 192.168.0.107

Mscara de subred: 255.255.255.0

FILES-01: servidor de archivos

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

1. Crear una infraestructura iSCSI


Este taller permite instalar y configurar las principales opciones del rol de servidor de archivos para
emplear iSCSI para convertir un servidor en un dispositivo de almacenamiento de red.

Configurar el servidor de destino

Paso 1: en el servidor ISCSI-01, abra el Administrador del servidor y haga clic en Agregar roles
y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, seleccione el tipo de
instalacin y el servidor de destino.

Paso 3: en la ventana Seleccionar roles de servidor, despliegue el rbol del rol Servicios de
archivos y almacenamiento, marque a continuacin la opcin correspondiente al servicio de
rolServidor del destino iSCSI. Cuando el pop-up Agregar caractersticas para el Servidor del
destino iSCSI aparezca, haga clic en Agregar caractersticas y haga clic en Siguiente:

Paso 4: en la ventana Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en la pgina Confirmar selecciones de instalacin, haga clic en Instalar y a


continuacin en Cerrar cuando la instalacin haya terminado.

Paso 6: en el panel del Administrador del servidor, haga clic en Servicios de archivos y
almacenamiento. A continuacin, seleccione iSCSI.

Paso 7: en la seccin Disco virtual iSCSI haga clic en Tareas y, a continuacin, en Nuevo disco
virtual iSCSI.

Paso 8: en la ventana Seleccionar ubicacin de disco virtual iSCSI seleccione el disco de


DATOS de 30 GB, y haga clic en Siguiente.
Paso 9: escriba iSCSI1-INFONOVICE en el campo Nombre y, a continuacin, Disco virtual -
1en el campo Descripcin y haga clic en Siguiente:

Paso 10: escriba 10 GB para el tamao del disco virtual y, a continuacin, haga clic en Siguiente:
Paso 11: seleccione Nuevo destino iSCSI y haga clic en Siguiente.

Paso 12: en el campo Nombre escriba DC-01 y, a continuacin, en el


campo Descripcin escribaDisco virtual para el servidor DC-01 y haga clic en Siguiente:
Paso 13: en la seccin Servidores de acceso, haga clic en Agregar para definir los servidores
(Iniciador iSCSI) con autorizacin para conectarse al disco virtual.

Paso 14: en la ventana Agregar id. de iniciador, seleccione la opcin Consultar el id. al equipo
de iniciador en el equipo iniciador y haga clic en Examinar.

Paso 15: en la ventana Seleccionar Equipo, escriba el nombre del servidor DC-01 y, a
continuacin, haga clic en Aceptar dos veces.

Paso 16: se genera el IQN del servidor iniciador, a continuacin haga clic en Siguiente (recuerde
apunta el IQN generado para el resto del taller).

Paso 17: en la ventana Habilitar autenticacin, haga clic en Siguiente y, a continuacin, haga
clic en Crear:
Paso 18: una vez creado el disco virtual, haga clic en Cerrar.

Repita las etapas 6 a 18 para crear el disco virtual ISCSI-02 de 10 GB con iniciador autorizado,
el servidor DC-01.

Configurar el cliente iSCSI

Paso 1: en el servidor DC-01, vaya a las herramientas administrativas y arranque la


consolaIniciador iSCSI, a continuacin haga clic en S para iniciar el servicio Windows asociado.

Paso 2: en la pestaa Destinos, seccin Conexin rpida, escriba el nombre del servidor de
destino (ISCSI-01), en el que los discos virtuales han sido creados, y haga clic en Conexin
rpida.

Paso 3: se abre la ventana Conexin rpida indicando el IQN descubierto en el destino. La


consola se conecta automticamente al servidor de destino. Haga clic en Cerrar.

Paso 4: en la ventana Propiedades: Iniciador iSCSI, verifique que el IQN descubierto en el


servidor de destino tiene un estado que muestra Conectado, en la seccin Destinos detectados.

Paso 5: haga clic en Aceptar para cerrar la ventana Iniciador iSCSI.

Paso 6: abra la consola Administrador del servidor, haga clic en Herramientas y, a


continuacin, en Administracin de equipos.

Paso 7: despliegue el rbol de la consola y, a continuacin, en la


seccin Almacenamientoseleccione Administracin de discos.
Paso 8: en el centro de la ventana de la consola Administracin de equipos podemos ver los
dos discos virtuales creados previamente en el servidor de destino. Estos discos estn
conectados pero aparecen en un estado Sin conexin.

Paso 9: haga clic con el botn derecho (en la parte gris, bajo el nombre de los discos) en cada
disco virtual conectado y, a continuacin, haga clic en En lnea:

Paso 10: el estado de los discos se muestra como Sin inicializar. Haga de nuevo clic con el
botn derecho en un disco virtual y haga clic en Inicializar disco:
Paso 11: verifique que los dos discos virtuales estn seleccionados, marque a continuacin la
opcin GPT (Tabla de particiones GUID) para seleccionar el tipo de particin y haga clic
enAceptar:

Paso 12: los discos muestran ahora un estado en lnea. Haga clic con el botn derecho sobre un
disco y, a continuacin, haga clic en Nuevo volumen simple...:

Paso 13: haga clic cuatro veces en Siguiente y haga clic en Finalizar para dar formato a los
discos virtuales.

Paso 14: el disco formateado estar visible, en lo sucesivo, en el explorador de Windows y listo
para ser utilizado. Repita las etapas 12 y 13 para formatear el segundo disco virtual:
2. Implementar BranchCache
Este taller permite instalar, configurar y desplegar BranchCache utilizando el modo de cach
hospedada en una red que posee un sitio remoto. Para realizar este taller, tendr que crear la UO
INFONOVICE\Equipos para incluir aqu las cuentas de los equipos CLIENT1 y CLIENT2, y crear, a
continuacin, la UO INFONOVICE\Servidores para incluir el servidor de archivos FILES-01.

Configurar el servidor de archivos

Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y haga clic
enAgregar roles y caractersticas.

Paso 2: haga clic tres veces en Siguiente, despliegue el rbol del servicio de rol de
archivosServicios de archivos y almacenamiento - Servicios de iSCSI y archivo y, a
continuacin, marque la opcin BranchCache para archivos de red. En la ventana Asistente
para agregar roles y caractersticas, haga clic en Agregar caractersticas.

Paso 3: haga clic dos veces en Siguiente y, a continuacin, en Instalar.


Paso 4: haga clic en Cerrar una vez concluida la instalacin.

Configurar el servidor de cach

Paso 1: en el servidor CACHE-01 (situado en el sitio remoto), abra el Administrador del servidor
y haga clic en Agregar roles y caractersticas.

Paso 2: haga clic cuatro veces en Siguiente, marque la opcin BranchCache y, a continuacin,
haga clic dos veces en Siguiente e Instalar:

Paso 3: haga clic en Cerrar cuando la instalacin de la caracterstica BranchCache haya


terminado.

Paso 4: abra un smbolo del sistema PowerShell y escriba el siguiente comando:

Enable-BCHostedServer -RegisterSCP

Paso 5: verifique que el estado del servicio BranchCache es arrancado escribiendo el siguiente
comando PowerShell: Get-BCStatus

El parmetro BranchCacheIsEnableddebe devolver el valor: True

El parmetro BranchCacheServiceStatusdebe devolver el valor: Running


Activar BranchCache

Este procedimiento permite activar la funcionalidad BranchCache en los equipos cliente.

Paso 1: en el controlador de dominio DC-01, abra la consola Administracin de directivas de


grupo empleando las herramientas administrativas.

Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en la


UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aqu.

Paso 3: escriba Activacin - BranchCache en el campo Nombre y haga clic en Aceptar:

Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.

Paso 5: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Plantillas administrativas - Red - BranchCache.

Paso 6: haga doble clic en el parmetro Activar BranchCache para editarlo y, a continuacin,
marque la opcin Habilitada y haga clic en Aceptar:
Paso 7: haga doble clic en el parmetro Habilitar deteccin automtica de cach hospedada
mediante un punto de conexin de servicio para editarlo y, a continuacin, marque la
opcinHabilitada y haga clic en Aceptar:
Paso 8: cierre la consola Editor de administracin de directivas de grupo.

Paso 9: abra una ventana de smbolo del sistema en cada equipo cliente para escribir el
siguiente comando: gpupdate /force.

Configurar el modo de cach

Este procedimiento permite configurar el modo de cach utilizado por los clientes cuando se ha
habilitado la funcionalidad BranchCache.

Paso 1: en el controlador de dominio DC-01, abra la consola Administracin de directivas de


grupo empleando las herramientas administrativas.

Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en la


UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aqu.

Paso 3: escriba Modo de cach - BranchCache en el campo Nombre y haga clic en Aceptar:
Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.

Paso 5: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Plantillas administrativas - Red - BranchCache.

Paso 6: haga doble clic en el parmetro Establecer el modo Cach hospedada de


BranchCachepara editarlo y, a continuacin, marque la opcin Habilitada. Escriba CACHE-01 en el
campoEscribir el nombre del servidor de cach hospedada y haga clic en Aceptar:

Paso 7: haga doble clic en el parmetro Configurar BranchCache para archivos de red para
editarlo y, a continuacin, marque la opcin Habilitada. Introduzca el valor 0 en el campo Escribir
la latencia de red de ida y vuelta mxima tras la cual comienza el almacenamiento en
cachpara forzar a BranchCache a actualizar la cache con todos los archivos recuperados de la
red. Haga clic en Cerrar.
Paso 8: cierre la consola Editor de administracin de directivas de grupo.

Paso 9: en la consola Administracin de directiva de grupo, seleccione la UO Equipos, haga clic


con el botn derecho y haga clic en Actualizacin de directiva de grupo. Haga clic a continuacin
en S para aplicar la actualizacin de la directiva de grupo en los equipos cliente.

Configurar las carpetas compartidas

Para autorizar la actualizacin en cach de una carpeta compartida, debemos activar BranchCache en
la carpeta correspondiente.

Paso 1: en el servidor de archivos FILES-01, cree una nueva carpeta llamada Compartidas en la
raz del disco C:\.

Paso 2: haga clic con el botn derecho en la carpeta compartida y haga clic en Propiedades.

Paso 3: seleccione la pestaa Compartir y haga clic en Uso compartido avanzado.

Paso 4: en la ventana Uso compartido avanzado, marque la opcin Compartir esta carpeta y, a
continuacin, en Permisos.

Paso 5: marque la opcin Permitir del permiso Control total para todos y, a continuacin, haga
clic en Aceptar.
Paso 6: en la ventana Uso compartido avanzado, haga clic en Cach.

Paso 7: en la ventana Configuracin sin conexin, marque la opcin Habilitar BranchCache y


haga clic en Aceptar:

Paso 8: haga clic dos veces en Aceptar para cerrar las ventanas de las propiedades de la
carpeta compartida.

Paso 9: repita los pasos 2 al 8 en el conjunto de las carpetas compartidas que desee hacer
compatibles con la tecnologa BranchCache.

Configure el hash

Para autorizar a un servidor de archivos que utiliza la tecnologa BranchCache para generar la
informacin de contenido llamada Hash, es necesario crear previamente la siguiente directiva de
grupo y aplicarla a los servidores de archivos concernientes. Los servidores de archivos deben
moverse y ubicarse en una nueva UO llamada Servidores.

Paso 1: en el controlador de dominio DC-01, abra la consola Administracin de directivas de


grupo empleando las herramientas administrativas.

Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en la UO


INFONOVICE\Servidores y haga clic en Crear un GPO en este dominio y vincularlo aqu.

Paso 3: escriba Hash - BranchCache en el campo Nombre y haga clic en Aceptar:

Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.

Paso 5: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Plantillas administrativas - Red - Servidor Lanman:
Paso 6: haga doble clic en el parmetro Publicacin de hash para BranchCache para editarlo,
marque la opcin Habilitado y, a continuacin, seleccione el valor Permitir la publicacin de
hash para todas las carpetas compartidas. Haga clic en Siguiente.

Paso 7: cierre la consola Editor de administracin de directivas de grupo.

Paso 8: en el servidor FILES-01 abra un smbolo del sistema DOS y, a continuacin, escriba el
siguiente comando gpupdate /forcey reinicie el equipo.

Configurar el firewall de los clientes

Paso 1: en el controlador de dominio DC-01, abra la consola Administracin de directivas de


grupo empleando las herramientas administrativas.

Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en la


UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aqu.

Paso 3: escriba Firewall - BranchCache en el campo Nombre y haga clic en Aceptar:


Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.

Paso 5: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Firewall de
Windows con seguridad avanzada - Firewall de Windows con seguridad avanzada - Reglas de
entrada.

Paso 6: haga clic con el botn derecho en Reglas de entrada y, a continuacin, haga clic
enNueva regla.

Paso 7: marque la opcin Predefinida y, a continuacin, seleccione la regla BranchCache -


recuperacin de contenido (usa HTTP) y haga clic en Siguiente:
Paso 8: en la ventana Reglas predefinidas, verifique la informacin mostrada y haga clic
enSiguiente.

Paso 9: en la ventana Accin, marque la opcin Permitir la conexin y, por ltimo, en Finalizar.

Paso 10: la regla aparece, a continuacin, con una marca de verificacin verde:

Paso 11: cree una nueva regla de entrada como se indica en los pasos 5 y 6. Marque la
opcinPredefinida y, a continuacin, seleccione la regla BranchCache - deteccin del mismo
nivel (usa WSD) y haga clic en Siguiente:
Paso 12: en la ventana Reglas predefinidas, verifique la informacin mostrada y haga clic
enSiguiente.

Paso 13: en la ventana Accin, marque la opcin Permitir la conexin y, a continuacin, haga
clic en Finalizar.

Paso 14: la regla aparece, a continuacin, con una marca de verificacin verde:

Paso 15: cierre la consola Editor de administracin de directivas de grupo.

Paso 16: actualice las directivas de grupo en los equipos cliente ejecutando el
comando gpupdate /forcedesde un smbolo del sistema.

Validar la configuracin

El siguiente procedimiento permite simular una conexin lenta con el sitio remoto. Esta operacin solo
se debe realizar en un entorno de prueba para validar el funcionamiento de BranchCache en una
maqueta.

Paso 1: en el servidor de archivos FILES-01, escriba el comando siguiente para abrir el Editor de
directivas de grupo local: gpedit.msc.

Paso 2: despliegue el rbol de la consola desde el nodo siguiente: Configuracin del equipo -
Configuracin de Windows. Seleccione QoS basada en directiva, haga clic con el botn derecho
y haga clic en Crear nueva directiva:
Paso 3: en el campo Nombre de directiva escriba Prueba conexin lenta. Marque la
opcinEspecificar velocidad de salida del acelerador y escriba el valor 56 Kbits/s para simular
un sitio remoto conectado a la central a travs de un modem de 56K. A continuacin, haga clic
tres veces en Siguiente y por ltimo en Finalizar:

Paso 4: verifique que la directiva de QoS llamada Prueba conexin lenta aparece en la
consolaEditor de directivas de grupo local y, a continuacin, cierre la ventana:
Paso 5: en el servidor de archivos FILES-01, copie el archivo C:\Windows\System32\mmc.exe, en
la carpeta C:\Compartir creada en la etapa 6.2.5.

Paso 6: abra una sesin en el equipo CLIENT1 y navegue hasta la carpeta de red
siguiente:\\FILES-01\Compartir\

Paso 7: copie el archivo mmc.exe en el escritorio del equipo CLIENT1. Preste atencin, el archivo
tardar un momento antes de copiarse en el escritorio debido a la directiva QoS implementada en
copiar la etapa anterior.

Paso 8: inicie una sesin en el equipo CLIENT2, navegue a la carpeta de red \\FILES-
01\Compartiry copie el archivo mmc.exe en el escritorio. Comprobar que el archivo tarda menos
tiempo en copiarse.
Resumen del captulo
En este captulo hemos visto todos los aspectos relacionados con los servicios de archivos avanzados
en Microsoft Windows Server 2012 R2. Podra resumirse de la siguiente manera:

Windows Server 2012 R2 gestiona varios tipos de formato de particin, tales como ReFS o
NTFS.

El complemento Administrador de recursos del servidor de archivos permite administrar todos


los aspectos y tareas administrativas de un servidor de archivos. En particular, es posible
gestionar cuotas, filtros, la clasificacin o la desduplicacin de datos.

BranchCache es una tecnologa que permite poner en cach los archivos ms utilizados por los
usuarios remotos.

BranchCache puede funcionar segn dos modos. El modo de cach hospedada, que necesita
un servidor de cach en el sitio remoto, o el modo de cach distribuida, que consiste en poner
en cach los archivos de manera local en el equipo cliente que haya realizado una peticin de
acceso al recurso.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Qu es un grupo de almacenamiento?

2 Cul es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI?

3 Cuntas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI?

4 Para qu se emplean las cuotas en un servidor de archivos?

5 Para qu sirve la clasificacin de archivos?

6 Para qu sirve la desduplicacin de archivos?

7 Cmo se llama la consola de administracin que permite conectarse con un servidor de


destino iSCSI?

8 Qu es un IQN?

9 Qu es una cuota mxima?

10 Qu es una cuota de advertencia?

11 Qu es un filtrado activo?

12 Qu es un filtrado pasivo?

13 Para qu sirven los informes de almacenamiento?

14 Qu es la tecnologa BranchCache?

15 En la implementacin de BranchCache, qu es el modo de cach hospedada?

16 En la implementacin de BranchCache, qu es el modo de cach distribuida?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /16

Para este captulo, la puntuacin mnima es de 12/16.

3. Respuestas
1 Qu es un grupo de almacenamiento?

Un grupo de almacenamiento es una agrupacin de varios discos fsicos que permite crear discos
virtuales. El sistema operativo ver estos discos como discos lgicos y ser posible crear
particiones en ellos.

2 Cul es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI?

Por defecto, el servicio Iniciador iSCSI enva los comandos iSCSI a un servidor de destino
empleando el puerto 3260.

3 Cuntas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI?

Mediante la tecnologa Microsoft Multipath I/O (MPIO), la consola Iniciador iSCSI es capaz de
gestionar 32 rutas de acceso diferentes a los servidores de destino.

4 Para qu se emplean las cuotas en un servidor de archivos?


Las cuotas permiten limitar el uso del espacio en disco de un volumen lgico o de una carpeta
empleando la consola Administrador de recursos del servidor de archivos.

5 Para qu sirve la clasificacin de archivos?

La clasificacin de archivos permite asignar automticamente propiedades de clasificacin


adicionales a los datos almacenados. Estas propiedades pueden utilizarse en el marco de la gestin
de los archivos o del uso de la funcin de control de acceso dinmico.

6 Para qu sirve la desduplicacin de archivos?

La desduplicacin de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad.

7 Cmo se llama la consola de administracin que permite conectarse con un servidor de


destino iSCSI?

La consola Iniciador iSCSI permite conectar un servidor a varios destinos iSCSI.

8 Qu es un IQN?

Un IQN (iSCSI Qualified Name) es un nombre nico que identifica un servidor de destino o un
iniciador iSCSI. Este ltimo se genera automticamente en funcin del nombre del servidor y el
nombre DNS del dominio.

9 Qu es una cuota mxima?

Una cuota mxima permite impedir que los usuarios superen el lmite de almacenamiento fijado
por el administrador.

10 Qu es una cuota de advertencia?

Una cuota de advertencia permite a los usuarios superar el lmite de almacenamiento fijado por el
administrador con objeto de analizar el uso del espacio de almacenamiento.

11 Qu es un filtrado activo?

Un filtrado activo permite impedir a los usuarios almacenar archivos no autorizados definidos en
una regla de filtrado.

12 Qu es un filtrado pasivo?

Un filtrado pasivo permite a los usuarios almacenar los archivos no autorizados por el
administrador, pero con el objeto de analizar el uso del almacenamiento empleando los informes.
Estos informes permiten incluir aquellos usuarios que almacenan archivos no deseados en la red.

13 Para qu sirven los informes de almacenamiento?

Un informe de almacenamiento permite visualizar las estadsticas de uso del servidor de archivos.
Esto permite identificar rpidamente los archivos de mayor tamao.

14 Qu es la tecnologa BranchCache?

La tecnologa BranchCache permite reducir el uso del ancho de banda poniendo en cach los
archivos que se utilizan con mayor frecuencia.

15 En la implementacin de BranchCache, qu es el modo de cach hospedada?

El modo de cach hospedada funciona con un servidor de cach en el sitio remoto. Cada archivo
consultado por los usuarios del sitio remoto puede alojarse en la cach del servidor de cach para
que los dems usuarios puedan acceder localmente al archivo sin tener que utilizar el ancho de
banda WAN.

16 En la implementacin de BranchCache, qu es el modo de cach distribuida?

El modo cach distribuida permite autorizar a los equipos cliente a almacenar en su cach local los
archivos consultados. Cada equipo cliente realiza una peticin de acceso a un archivo consultado
previamente por los compaeros de la misma red para saber si alguno posee la copia del archivo en
cach.
Requisitos previos y objetivos

1. Requisitos previos
Conocer las bases del control de acceso NTFS.

Conocer las bases de la gestin de archivos y carpetas.

2. Objetivos
Saber configurar los recursos para el control de acceso dinmico.

Saber instalar y configurar el control de acceso dinmico.


Control de acceso dinmico
El control de acceso dinmico (DAC: Dynamic Access Control) es una nueva funcionalidad de Windows
Server 2012 R2 dedicada a la gestin de los permisos de acceso a los recursos (archivos o carpetas).
Esta funcionalidad de servidor permite extender y refinar el control de acceso a los recursos
(tradicionalmente realizado mediante los permisos NTFS) aadiendo controles adicionales tales como
directivas de acceso, prioridades personalizadas, expresiones condicionales y otros tipos de
"notificaciones" (en la versin inglesa, el men Windows utiliza la palabra "Claims", es decir,
notificaciones).

1. Presentacin de DAC
La seguridad NTFS ha supuesto una revolucin en la gestin de los permisos de acceso a los
recursos de un servidor de archivos. Sin embargo, esta tecnologa se ha visto ms bien limitada para
ciertos casos concretos. En algunas grandes infraestructuras donde la seguridad es crucial, la
gestin de permisos NTFS puede considerarse insuficiente siendo demasiado restrictiva o bien
insuficiente. Por esta razn Microsoft ha creado la tecnologa de control de acceso dinmico para
aportar a los administradores herramientas adicionales que complementan a los permisos NTFS. El
DAC permite afinar los permisos de acceso a los recursos mediante un nuevo componente del
servidor.

2. Funcionamiento de DAC
El control de acceso funciona de manera conjunta con la tecnologa de gestin de permisos de
acceso NTFS (ampliamente extendida y utilizada en las anteriores versiones de Windows). En la
mayora de las empresas, los administradores configuran cada recurso modificando una lista de
control de acceso, tambin llamada ACL (Access Control List). Las ACL permiten, por ejemplo, definir
grupos o usuarios con permisos de lectura, escritura o modificacin sobre un recurso.

Esquema global indicando la atribucin de permisos NTFS (ACL):

Para gestionar el acceso a los recursos, hay que planificar y configurar previamente una directiva de
acceso central que se aplicar a los servidores que albergarn los recursos a proteger. Esto no
exime del uso y configuracin de las tradicionales ACL provistas para la seguridad NTFS. El control de
acceso dinmico combina ambas tecnologas. Cuando un usuario solicita un acceso a los recursos de
una infraestructura que utiliza DAC, debe no solamente cumplir con las demandas impuestas por las
ACL (seguridad NTFS clsica) sino adems con las condiciones fijadas por la directiva de acceso
central configurada en el control de acceso dinmico. Si se verifican las condiciones impuestas por
ambas tecnologas, el usuario podr entonces acceder al recurso solicitado.

Adems de basarse en las ACL, el control de acceso dinmico puede tambin utilizar la informacin
de clasificacin de un objeto para autorizar o no el acceso en funcin de la directiva de acceso
central definida para el recurso. Por ejemplo, es posible autorizar el acceso a los recursos donde la
propiedad de clasificacin indique "SECRETO DEFENSA" solamente a los miembros del grupo
DIRECCIN.

Para autorizar a un usuario acceder a un recurso, el DAC se basa tambin en los servicios de
dominio Active Directory (AD DS), mediante una autenticacin Kerberos V5.

Una vez implementado el control de acceso dinmico, podemos realizar las acciones siguientes:

Definir una directiva de acceso a los recursos:

Permite definir las directivas de acceso central.

Permite definir las reglas de acceso para acceder a los recursos.

Definir una directiva de securizacin de los datos:

Permite cifrar los datos empleando la caracterstica AD RMS.

Permite ocultar las carpetas compartidas para que se visualicen solamente aquellas
carpetas sobre las que el usuario tiene permisos de acceso.

Definir una directiva de auditora:

Permite auditar los accesos autorizados sobre un recurso.

Permite auditar los accesos denegados sobre un recurso para saber qu usuario ha
intentado acceder.

Permite auditar el tipo de equipo o componente del equipo que ha intentado acceder o
bien accedido al recurso.

Definir una directiva de comunicacin:

Permite personalizar los mensajes de error enviados al usuario durante un acceso


denegado. El mensaje puede indicar la razn para denegar el acceso al recurso, o un
contacto para solicitar permisos de acceso. Es posible implementar una comunicacin por e-
mail para contactar directamente con el departamento adecuado.

a. Notificaciones

El control de acceso dinmico puede basarse, tambin, en notificaciones de Usuario (User Claims) o
notificaciones de Equipo (Device Claims):

Notificaciones de usuario: corresponde a la informacin disponible como un conjunto de


atributos acerca de una cuenta de usuario en el directorio Active Directory.

Notificaciones de equipo: corresponde a la informacin disponible como un conjunto de


atributos acerca de una cuenta de equipo en el directorio Active Directory.

Por ejemplo, mediante las notificaciones especificadas en una directiva de acceso dinmico
podemos autorizar a un usuario a acceder a un archivo si pertenece al departamento
CONTABILIDAD y si su equipo tienen una particularidad especfica, como el sistema operativo u
otras caractersticas.

b. Directiva de acceso central

Una directiva de acceso central permite definir todas las condiciones de acceso a un recurso. Esta
directiva puede aplicarse sobre uno o varios archivos o carpetas.

Las directivas de acceso se crean mediante la consola de administracin ADAC (Active Directory
Administrative Center), se aplican, a continuacin, mediante GPO (Group Policy Object). Cada
directiva de acceso central contiene una o varias reglas de acceso central y cada regla contiene los
parmetros que determinan las condiciones de acceso a un recurso. Cuando se emite la directiva
de acceso central, es obligatorio configurar las propiedades del recurso a proteger. Para ello,
basta con asignar la directiva adecuada en las opciones avanzadas de la pestaa Seguridad de
las propiedades del recurso.

La creacin de una directiva de acceso central requiere la configuracin de los siguientes campos:

Un nombre: permite identificar de manera ms sencilla la regla de acceso central.

Miembro: permite identificar las reglas de acceso central que componen la directiva de
acceso central.

Extensiones: permite definir los permisos.

c. Regla de acceso central

Una regla de acceso central permite definir el alcance del recurso de destino. La limitacin de los
permisos de acceso est definida mediante condiciones que validan el acceso o no a un recurso.

La creacin de una regla de acceso central requiere la configuracin de los siguientes campos:

Un nombre: permite identificar de manera ms sencilla la regla de acceso central.

Recursos de destino: contiene una lista de criterios que delimitan los recursos.

Permisos: permite indicar a qu grupo de usuarios se aplica la directiva de acceso.

Extensiones: permite definir los permisos.

La seccin Permisos propuestos propone un conjunto de permisos definidos por el sistema. Estas
propuestas aleatorias respetan las mejores prcticas del fabricante y pueden aplicarse
directamente reemplazando los permisos actuales. La accin de aceptar los permisos propuestos
reemplazando los actuales no es irreversible. Es posible revertirlas en todo momento, desde la
seccin Permisos actuales.

3. Gestin del DAC


El control de acceso dinmico se gestiona a travs de la consola Centro de administracin de
Active Directory (disponible en las herramientas administrativas del sistema operativo o desde el
Administrador del servidor).

En esta consola, el nodo Control de acceso dinmico ofrece el acceso a las siguientes opciones:

Central Access Policies: esta opcin contiene las directivas de acceso central. Cada directiva
contiene las reglas de acceso central que determinan los grupos o usuarios con acceso a los
recursos a securizar.
Central Access Rules: esta opcin contiene las reglas de acceso central que definen los
atributos de permisos de acceso a los recursos. El acceso est definido mediante condiciones
que especifican los recursos sobre los que se aplica la regla. Las reglas de acceso central se
utilizan en una directiva de acceso central.

Claim Types: esta opcin contiene los diferentes tipos de notificaciones creadas para los
usuarios o los equipos. Las notificaciones permiten, en particular, especificar los atributos de
los objetos que deseamos emplear para verificar un acceso.

Resource Properties: esta opcin contiene varias propiedades de recursos predefinidas que
se encuentran desactivadas por defecto. La lista permite responder a varios casos prcticos y
tambin es posible crear nuevas propiedades de recursos personalizadas.

Resource Property Lists: esta opcin contiene una lista de propiedades de recursos
llamadaGlobal Resource Property List. Una lista de propiedades de recursos contiene todas las
propiedades de recursos que pueden utilizarse en las reglas de clasificacin o de acceso
central.

El control de acceso dinmico puede utilizar la clasificacin de los recursos para controlar el acceso.
Se utiliza, en este caso, la consola Administracin de recursos del servidor de archivos junto a la
consola Active Directory Administration Center.

Cuando se publica una directiva de acceso central empleando directivas de grupo, es posible
verificar previamente o reparar el acceso a los recursos mediante la pestaa Acceso efectivo. Esta
pestaa es accesible desde la configuracin avanzada de los permisos NTFS de un recurso:

4. Implementacin del DAC


La implementacin del control de acceso dinmico requiere un pequeo estudio para planificar el
mbito a controlar, las directivas de auditora y el acceso a los recursos. El despliegue de esta
tecnologa en servidores de archivos pueden no tener xito si est mal preparada. Para evitar a los
equipos de soporte intervenciones frecuentes vinculadas a problemas de acceso a los archivos,
recuerde preparar el despliegue del control de acceso dinmico.
Para implantar el control de acceso dinmico, hay que realizar previamente los siguientes pasos:

1. Configurar una directiva de grupo para habilitar el soporte del controlador de


dominio Kerberos para las notificaciones, la autenticacin compuesta y la
proteccin Kerberos.

2. Crear una notificacin destinada a los objetos Usuarios o Equipos especificando


los atributos necesarios para efectuar la verificacin por parte del control de
acceso dinmico.

3. Activar o crear las propiedades de los recursos adecuados. Una propiedad de


recurso es un atributo que se configura en las propiedades de un recurso durante
el uso de la clasificacin de archivos. Por ejemplo, tomemos el caso de un
administrador que desea proporcionar acceso a ciertos archivos solo a aquellos
usuarios cuyo equipo pertenece al departamento de RRHH. Para ello, debe crear
una propiedad de recurso que especifica los atributos a configurar en el archivo o
carpeta teniendo cuidado de indicar el valor posible para este atributo de
clasificacin. De este modo, durante la ejecucin de la clasificacin de archivos, el
administrador puede configurar el proceso indicando que solo los archivos que
contienen la palabra HR se pueden etiquetar con el atributo de clasificacin
definido en la propiedad de recurso as como su valor asociado.

4. Crear una o ms reglas de acceso central. Estas reglas definen los recursos
impactados mediante las condiciones de acceso.

5. Crear un objeto de directiva de acceso central y definir la configuracin.

6. Crear y configurar una directiva de grupo (GPO) para desplegar en los servidores
de archivo afectados. Refrescar las directivas de grupo en los servidores de
archivo (gpupdate /force).

7. En el servidor de archivos, aplicar las directivas de acceso a una carpeta


compartida especfica.

Tambin es posible emplear la consola de administracin de las clasificaciones de datos para aplicar
las directivas de acceso central automticamente a travs de varios servidores de archivos y, de
esta manera, generar informes sobre las directivas aplicadas.
Trabajos prcticos
La empresa INFONOVICE posee un servidor de archivos que almacena el conjunto de los archivos y
carpetas de la empresa. Los usuarios acceden a los recursos securizados empleando el tradicional
sistema de seguridad NTFS. El departamento de Recursos Humanos posee archivos y otro tipo de
informacin sensible para el conjunto de colaboradores. Por este motivo, se le necesita para
implementar una solucin que aporte un mayor nivel de seguridad en la integridad y el acceso a los
datos, aunque el directorio dedicado a RRHH se encuentre ya securizado con permisos NTFS. Como
administrador, es responsable de implementar un control de acceso dinmico para que solo los
usuarios del departamento de RRHH puedan tener acceso a la carpeta compartida RH_FILES. Todos
los intentos de acceso a la carpeta dedicada al departamento de RRHH debern ser auditados para
conocer la identidad de las personas a las que se haya denegado el acceso a los datos
confidenciales. Los usuarios con acceso a la carpeta compartida RH_FILES solo pueden acceder desde
aquellos equipos que pertenezcan al grupo de seguridad de dominio local GL_RH_Computers. Los
dems empleados almacenan sus archivos en un directorio compartido llamado COMN. Esta carpeta
deber estar, tambin, securizada. Los usuarios pertenecientes a la direccin de la empresa debern
poder consultar todos los documentos.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: Controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

FILES-01: Servidor de archivos, Administrador de los recursos del servidor de archivos

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

CLIENT1: Equipo cliente nmero 1

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

CLIENT2: Equipo cliente nmero 2

Direccin IP: 192.168.0.108

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada comn al conjunto de los equipos: 192.168.0.254

Requisitos previos del taller:

Instale y configure el controlador de dominio DC-01 en el dominio infonovice.priv.

Instale y configure el servidor de archivos FILES-01 como servidor miembro del dominio
infonovice.priv, en la UO INFONOVICE\Equipos.

Instale y configure los equipos cliente CLIENT1 y CLIENT2 en el dominio infonovice.priv, en la


UOINFONOVICE\Equipos.

Edite las propiedades de las cuentas de equipo informando los campos Descripcin con RRHH para
el equipo CLIENT1 y EMPLEADOS para el equipo CLIENT2.

Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Computers con


el equipo CLIENT1 como miembro.

Cree un grupo de seguridad global en la


UO INFONOVICE\Grupos llamado GG_Users_Computerscon el equipo CLIENT2 como miembro.
Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_DIRECTION_Users.

Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Users.

Cree un grupo de seguridad de dominio local en la UO INFONOVICE\Grupos llamado GL_RH_Users.

El grupo GG_RH_Users debe ser miembro del grupo GL_RH_Users.

Cree una cuenta de usuario en la UO INFONOVICE\RRHH llamado Juan DUPONT (Login: jdupont),
miembro del grupo GG_RH_Users.

Edite las propiedades de la cuenta de usuario Juan DUPONT, vaya a la pestaa Organizacin y
en el campo Departamento indique RRHH.

Cree una cuenta de usuario en la UO INFONOVICE\Usuarios llamada Marcos LABLANCA (Login:


mlablanca), que sea miembro solamente del grupo Usuarios del dominio.

Edite las propiedades de la cuenta de usuario Marcos LABLANCA, vaya a la


pestaa Organizaciny en el campo Departamento indique EMPLEADOS.

Cree una cuenta de usuario en la UO INFONOVICE\Direccin llamada Luis PAREDES (Login:


lparedes), miembro del grupo GG_DIRECTION_Users.

Edite las propiedades de la cuenta de usuario Luis PAREDES, vaya a la pestaa Organizacin y
en el campo Departamento indique DIRECCIN.

Cree la carpeta compartida E:\RH_FILES.

Cree la carpeta compartida E:\COMN.

El usuario Juan DUPONT es miembro del departamento de recursos humanos. Este usuario utiliza el
equipo CLIENT1 y debe tener acceso a la carpeta compartida RH_FILES.

El usuario Marcos LABLANCA es un simple usuario del dominio. Este usuario utiliza el equipo CLIENT2 y
no debe tener acceso a la carpeta compartida RH_FILES. Solo debe tener acceso a la carpeta
compartida COMN.

1. Configurar Kerberos
Este taller tiene como objetivo activar el soporte del controlador de dominio Kerberos para las
notificaciones, la autenticacin compuesta y la proteccin Kerberos para poder utilizar el control de
acceso dinmico.

Paso 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic
enAdministracin de directivas de grupo. En la consola, haga clic con el botn derecho en la UO
INFONOVICE\Direccion y, a continuacin, haga clic en Bloquear herencia.

Paso 2: despliegue el rbol de la consola y edite la directiva de grupo Default Domain


Controllers Policy (ubicada en la UO Domain Controllers) haciendo clic con el botn derecho en
ella y, a continuacin, haciendo clic en Editar.

Paso 3: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Plantillas administrativas - Sistema - KDC.

Paso 4: edite el parmetro KDC admite notificaciones, autenticacin compuesta y proteccin


de Kerberos. Marque la opcin Habilitada y, a continuacin, en la
seccin Opciones seleccioneCompatible y haga clic en Aceptar:
Paso 5: cierre el Editor de administracin de directivas de grupo. Haga clic con el botn derecho
en la UO Domain Controllers y haga clic en Actualizacin de directiva de grupo.

Paso 6: cuando la actualizacin de la directiva de grupo haya concluido con xito en el


controlador de dominio DC-01 podr cerrar la consola Administracin de directivas de grupo.

2. Crear las notificaciones


Este taller tiene como objetivo crear las notificaciones de usuario y equipo. La notificacin Usuario se
basar en el atributo Departamento correspondiente al departamento al que pertenece un usuario. La
notificacin Equipo se basar en el atributo Descripcin correspondiente al departamento al que
pertenece el equipo cliente.

Creacin de una notificacin de usuario

Paso 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic en Centro
de administracin de Active Directory.

Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinmico.


Paso 3: abra la carpeta Claim Types y, a continuacin, en la seccin Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificacin:

Paso 4: en la seccin Atributo de origen, marque el tipo de notificacin Usuario y Equipo y


seleccione el atributo Department. A continuacin, haga clic en Aceptar:

La notificacin Usuario y Equipo aparece, ahora, en la consola Active Directory Administrative Center:

Creacin de una notificacin de equipo

Paso 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic en Centro
de administracin de Active Directory.

Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinmico.

Paso 3: abra la carpeta Claim Types y, a continuacin, en la seccin Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificacin:
Paso 4: en la seccin Atributo de origen, desmarque el tipo de notificacin Usuario, marque a
continuacin, el tipo de notificacin Equipo y seleccione el atributo description. A continuacin,
haga clic en Aceptar:

La notificacin Equipo aparece, ahora, en la consola ADAC:

3. Configurar las propiedades


Este taller tiene como objetivo configurar las propiedades de los recursos.

Etapa 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic en Centro
de administracin de Active Directory.

Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinmico.

Paso 3: abra la carpeta Resource Properties, seleccione las propiedades de recursos


llamadasConfidentiality y Department y, a continuacin, en el panel de la derecha, haga clic
en Habilitar todo:
Una vez activadas, verifique que los iconos de las propiedades de
recursos Confidentiality yDepartment han cambiado:

Paso 4: edite la propiedad del recurso Department haciendo doble clic en ella. En la
seccinValores sugeridos, haga clic en el botn Agregar:

Paso 5: en la ventana Agregar un valor sugerido, escriba RRHH en el campo Valor y Nombre
para mostrar. A continuacin, haga clic en Aceptar:
El valor RRHH debe aparecer, a continuacin, en el filtro de bsqueda de valores sugeridos:

Paso 6: vuelva a cerrar la ventana de propiedad de recurso Department haciendo clic enAceptar.

4. Configurar la clasificacin
Este taller tiene como objetivo activar y configurar la clasificacin de los archivos y carpetas de la
carpeta compartida COMN en la que el departamento de Recursos Humanos almacena, en ocasiones,
archivos confidenciales sin darse cuenta. La implementacin de la clasificacin de datos debe permitir
identificar todos los archivos que contengan la cadena de caracteres "Recursos Humanos" para poder
clasificarlos como datos altamente confidenciales. La implementacin del control de acceso dinmico
debe de esta forma permitir securizar los datos del departamento de RRHH.

Paso 1: abra una sesin de administrador en el servidor de archivos FILES-01. En la raz de la


unidad E:\, dedicada a los datos, cree y comparta la carpeta COMN definiendo control total para
todos los usuarios en los permisos del recurso compartido:

A continuacin, cree los siguientes archivos en la carpeta E:\COMN:

Privado1.txt: este archivo contiene el texto "Recursos Humanos".

Privado2.txt: este archivo contiene el texto "Recursos Humanos".

Pblico1.txt: este archivo contiene el texto "Accesible para todos".

Pblico2.txt: este archivo contiene el texto "Accesible para todos".

Paso 2: arranque el Administrador del servidor y a continuacin, en el men Herramientas,


haga clic en Administrador de recursos del servidor de archivos.

Paso 3: despliegue el rbol de la consola hasta el nodo Administracin de clasificaciones -


Reglas de clasificacin. En el men Acciones del panel de la derecha haga clic en Crear regla de
clasificacin.

Paso 4: en la pestaa General, escriba Recursos Humanos en el campo Nombre de la regla y, a


continuacin, marque la opcin Habilitada.

Paso 5: en la pestaa mbito, haga clic en Agregar para seleccionar la carpeta E:\COMN:
Paso 6: en la pestaa Clasificacin, seleccione Clasificador de contenido en el men
desplegable de la seccin Mtodo de clasificacin. En la seccin Propiedad, seleccione la
propiedad Confidentiality y seleccione el valor High. A continuacin, haga clic en Configurar:
Paso 7: en la pestaa Parmetros, haga clic en la lista desplegable de Tipo de expresin para
seleccionar Cadena y, a continuacin, en el campo Expresin, indique el valor Recursos
Humanos. A continuacin, haga clic en Aceptar:
Paso 8: en la pestaa Tipo de evaluacin marque la opcin Volver a evaluar los valores de
propiedad existentes y, a continuacin, marque la opcin Sobrescribir el valor existente. Haga
clic en Aceptar para validar la regla de clasificacin:
La regla de clasificacin creada aparece, a continuacin, en la consola.

Paso 9: seleccione la regla de clasificacin previamente creada y, en el panel de la derecha, haga


clic en Ejecutar clasificacin con todas las reglas ahora.

Paso 10: cuando aparezca la ventana Ejecutar clasificacin, marque la opcin Ejecutar
clasificacin en segundo plano y haga clic en Aceptar.

Paso 11: edite las propiedades de cada uno de los archivos de la carpeta E:\COMN para
comprobar que la pestaa Clasificacin contiene correctamente asignada la
propiedadConfidentiality con el valor High para los archivos Privado1.txt y Privado2.txt solamente.
Paso 12: edite las propiedades de la carpeta E:\RH_FILES. Vaya a la pestaa Clasificacin,
seleccione la propiedad Department y, a continuacin, asigne el valor RRHH. Haga clic
enAceptar:

5. Configurar una regla de acceso central


5. Configurar una regla de acceso central
Este taller tiene como objetivo crear una regla de acceso central. Esta regla define las condiciones de
acceso a la carpeta compartida dedicada al departamento de Recursos Humanos.

Paso 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic en Centro
de administracin de Active Directory.

Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinmico.

Paso 3: abra la carpeta Central Access Rules y, a continuacin, en la seccin Tareas del panel
derecho, haga clic en Nuevo y seleccione Regla de acceso central:

Paso 4: en la seccin General, escriba Verificacin de departamento en el campo Nombre. A


continuacin, haga clic en el botn Editar de la seccin Recursos de destino:

Paso 5: haga clic en Agregar una condicin.

Paso 6: en la ventana Regla de acceso central, configure la condicin para indicar que la regla
de acceso central se aplica a los usuarios pertenecientes al departamento de RRHH y, a
continuacin, haga clic en Aceptar:
Paso 7: en la seccin Permisos, haga clic en el botn Editar.

Paso 8: seleccione la cuenta de usuario Administrador y el grupo Todos y haga clic


en Eliminarpara que la regla no se aplique a los administradores del dominio INFONOVICE.priv ni
al conjunto de usuarios del dominio. Haga clic en Agregar.

Paso 9: en la ventana Entrada de permiso para Permisos, haga clic en Seleccionar una entidad
de seguridad y agregue el grupo Usuarios autentificados. Haga clic en Agregar una condicin,
configrela como se indica en la siguiente captura de pantalla y haga clic tres veces en Aceptar.

Paso 10: cree una nueva regla de acceso central llamada Acceso a los archivos de RRHH. En la
seccin Recursos de destino, haga clic en Editar y agregue la condicin siguiente:
Haga clic en Aceptar.

Paso 11: en la seccin Permisos, haga clic en Editar, elimine la cuenta Administrador y el
grupoTodos.

Paso 12: a continuacin, agregue el grupo Usuarios autentificados con las condiciones
siguientes:

Esta regla de acceso central, cuando se aplica a un recurso, especifica por sus caractersticas
que los miembros del grupo GG_RH_Direction pueden acceder al recurso especificado siempre
que se conecten desde un equipo perteneciente al grupo GG_RH_Computers (CLIENT1).

Paso 13: haga clic tres veces en Aceptar para validar y crear la regla de acceso central.

6. Crear una directiva de acceso central


Este taller tiene como objetivo crear una directiva de acceso central. Esta directiva debe estar
compuesta por la regla de acceso central previamente creada, publicada a travs de las directivas de
grupo y aplicada a las carpetas que contienen los archivos de Recursos Humanos.

Paso 1: abra una sesin de administrador en el controlador de dominio DC-01. Arranque


elAdministrador del servidor y a continuacin, en el men Herramientas, haga clic en Centro de
administracin de Active Directory.

Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinmico.

Paso 3: abra la carpeta Central Access Rules y a continuacin, en la seccin Tareas del panel
derecho, haga clic en Nuevo y seleccione Directiva de acceso central:
Paso 4: en la seccin General, escriba Pertenencia al departamento de RRHH en el
campo Nombrey a continuacin, en la seccin Reglas de acceso central miembros, haga clic en
el botnAgregar:

Paso 5: en la ventana Agregar reglas de acceso central, seleccione la regla llamadaVerificacin


de departamento para agregarla en esta directiva de acceso central. A continuacin, haga clic
en Aceptar:
Paso 6: para crear la directiva de acceso central llamada Pertenencia al departamento de RRHH,
vuelva a hacer clic en Aceptar.

Paso 7: cree una nueva directiva de acceso central. En la seccin General, escriba Archivos de
Recursos Humanos en el campo Nombre y, a continuacin, en la seccin Reglas de acceso
central miembros, haga clic en el botn Agregar:

Paso 8: en la ventana Agregar reglas de acceso central, seleccione la regla llamada Acceso a
archivos RRHH para agregarla en esta directiva de acceso central. A continuacin, haga clic
enAceptar:

Paso 9: para crear la directiva de acceso central llamada Archivos de RRHH, vuelva a hacer clic
enAceptar.

Las dos directivas de acceso central creadas aparecen en la carpeta Central Access Policies:
7. Publicar una directiva de acceso
Este taller tiene como objetivo publicar una directiva de acceso central mediante las directivas de
grupo Active Directory.

Paso 1: inicie una sesin de administrador en el controlador de dominio DC-01. Abra


elAdministrador del servidor y, a continuacin, en el men Herramientas, haga clic
enAdministracin de directivas de grupo.

Paso 2: despliegue el rbol de la consola hasta la UO INFONOVICE y cree una nueva directiva de
grupo llamada Control de acceso RRHH vinculada a la UO Equipos.

Paso 3: edite la directiva de grupo previamente creada. Despliegue el rbol de consola de la


manera siguiente: Configuracin del equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Sistema de archivos - Directiva de acceso central.

Paso 4: haga clic con el botn derecho en Directiva de acceso central y haga clic en Administrar
directivas de acceso central.

Paso 5: seleccione las dos directivas de acceso central (Pertenencia al departamento de


RRHHy Archivos de RRHH) y haga clic en el botn Agregar. Haga clic en Siguiente.
Paso 6: despliegue de nuevo el rbol de consola de la manera siguiente: Configuracin del
equipo - Directivas - Plantillas administrativas - Sistema - Asistencia de acceso denegado.

Paso 7: edite el parmetro Personalizar mensaje para errores de acceso denegado. Marque la
opcin Habilitada y, a continuacin, escriba el siguiente mensaje de error que se mostrar
cuando se deniegue el acceso: "No dispone de permisos de acceso para los datos del departamento
de RRHH." A continuacin, marque la opcin Permitir que los usuarios soliciten asistencia y haga
clic en Aceptar para validar:

Paso 8: edite el parmetro Permitir la asistencia de acceso denegado en el cliente para todos
los tipos de archivos. Marque la opcin Habilitada y haga clic en Aceptar.

Paso 9: cierre el Editor de gestin de directivas de grupo y la consola Administracin de


directivas de grupo.

Paso 10: inicie una sesin en el servidor FILES-01 y ejecute el comando siguiente para refrescar
las directivas de grupo: gpupdate /force

Paso 11: edite las propiedades de la carpeta compartida E:\RH_FILES. En la pestaa Seguridad,
haga clic en Opciones avanzadas y, a continuacin, en la pestaa Directiva central. Haga clic
enCambiar para seleccionar la directiva de acceso central Pertenencia al departamento de
RRHH y haga clic dos veces en Aceptar.
Paso 12: edite las propiedades de la carpeta E:\COMN. En la pestaa Seguridad, haga clic
enOpciones avanzadas y, a continuacin, en la pestaa Directiva central. Haga clic
en Cambiarpara seleccionar la directiva de acceso central Archivos de RRHH y haga clic dos
veces enAceptar.

8. Comprobar el acceso a los recursos


Este taller tiene como objetivo validar la directiva de acceso a los recursos mediante la
implementacin del control de acceso dinmico.
Paso 1: conctese al equipo CLIENT2 e inicie una sesin de usuario como Juan DUPONT (nombre
de usuario: jdupont), perteneciente al departamento de RRHH.

Paso 2: navegue hasta la carpeta compartida \\FILES-01\COMN y verifique, a continuacin, el


acceso a los archivos Pblico1.txt y Pblico.txt. El usuario debe poder acceder a ambos archivos.

Paso 3: verifique el acceso a los archivos Privado1.txt y Privado2.txt ubicados en la carpeta


compartida \\FILES-01\COMN. El usuario no debe poder acceder a ambos archivos.

Paso 4: una vez denegado el acceso al recurso, haga clic en Solicitar asistencia. En el campo
dedicado a la explicacin, indique que el usuario JDUPONT pertenece al departamento de RRHH y,
a continuacin, haga clic en Enviar mensaje:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos al control de acceso dinmico de
Microsoft Windows Server 2012 R2, que podemos resumir de la manera siguiente:

El control de acceso dinmico permite securizar el acceso a los datos.

El control de acceso dinmico es adicional a los permisos NTFS.

La implementacin requiere la creacin de una directiva de acceso central que contenga las
reglas de acceso central.

La clasificacin de los archivos permite aplicar propiedades predefinidas a los recursos.


Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Qu es una notificacin?

2 Qu es una propiedad de recurso?

3 Qu herramienta permite resolver un problema de acceso a un recurso?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /3

Para este captulo, la puntuacin mnima es de 2/3.

3. Respuestas
1 Qu es una notificacin?

Una notificacin permite definir el conjunto de los atributos de objeto de tipo Usuario o Equipo, que
servirn para verificar las condiciones de acceso de una regla de directiva de acceso.

2 Qu es una propiedad de recurso?

Una propiedad de recurso permite aadir informacin adicional a un recurso para controlar el acceso
dinmico y gestionar el control de acceso. Una propiedad de recurso puede contener diferentes
tipos de valor con algunas selecciones mltiples.

3 Qu herramienta permite resolver un problema de acceso a un recurso?

Los permisos efectivos permiten verificar previamente los permisos de un usuario o de un grupo
en funcin de sus parmetros de pertenencia a un grupo, las notificaciones aplicadas o el puesto de
trabajo desde el que se debe acceder al recurso.
Requisitos previos y objetivos

1. Requisitos previos
Conocimiento bsico del directorio Active Directory.

Conocimiento bsico de la nocin de dominio Active Directory.

2. Objetivos
Conocer los componentes de una infraestructura Active Directory.

Saber desplegar una infraestructura Active Directory.

Saber administrar una infraestructura Active Directory compleja.

Saber configurar las relaciones de confianza entre dominios.


Presentacin del despliegue distribuido AD DS
Como hemos podido ver en el captulo Los servicios de dominio Active Directory, una infraestructura
Active Directory est compuesta por diferentes elementos que tienen cada uno un rol especfico
dentro de un dominio o de un bosque. Recordemos que el uso de Active Directory dentro de una
empresa es una excelente solucin de gestin de identidades y accesos. Todos los objetos se
registran en una particin de datos del directorio para poderse replicar en el conjunto de
controladores del dominio de la infraestructura Active Directory. Esta misma infraestructura est
organizada mediante el uso de dominios y bosques. La gestin de un dominio o de un bosque
presenta lmites administrativos o tcnicos para los administradores. Este captulo presenta todas las
facetas del despliegue de una infraestructura Active Directory compleja.

1. Administracin de bosques Active Directory


Un bosque es una agrupacin de varios dominios Active Directory y posee un nico esquema. El
primer dominio instalado en un bosque se llama dominio raz del bosque. Varios arboles de dominio
cuyo espacio de nombres no es continuo representan un bosque.

a. Gestin administrativa

El conjunto de miembros del grupo de seguridad predefinido llamado Administradores de


empresasposeen control total sobre el conjunto del bosque Active Directory. Ninguna cuenta de
usuario situada fuera del bosque tiene permisos administrativos sobre el conjunto del bosque.

b. Particiones

Particin del esquema: una nica particin del esquema se replica en todos los
controladores de dominio del bosque.

Particin de configuracin: la particin de configuracin contiene toda la informacin de los


dominios Active Directory (planificacin de replicacin, topologa del bosque, informacin de
los controladores de dominio, sitios y subredes). Esta particin contiene a su vez los
elementos modificados por las aplicaciones que se integran en Active Directory para su
correcto funcionamiento, tales como las autorizaciones DHCP, la configuracin del control de
acceso dinmico o la integracin de componentes como un servidor de correo electrnico
Exchange o SCCM (System Center Configuration Manager). Esta particin se replica en el
conjunto de los controladores de dominio del bosque.

Particin DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la particin ForestDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.

2. Administracin de dominios Active Directory


Un dominio es una entidad administrativa de Active Directory dentro de la que se comparten ciertas
funcionalidades y caractersticas. Esta entidad de seguridad alberga usuarios y equipos y
representa un permetro en el que las directivas (GPO) se encuentran definidas.

a. Gestin administrativa

El conjunto de los miembros del grupo de seguridad predefinido llamado Admins. del
dominioposeen control total en el dominio. Los miembros de este grupo no tienen privilegios
administrativos en los dems dominios del bosque o en otros bosques.

b. Particiones
Particin del dominio: todos los objetos de un dominio se almacenan en la particin del
dominio en cada controlador de dominio. Los datos no se replican a otros controladores de
dominio pertenecientes a otros bosques. Mediante los objetos de dominio, es posible
vincular las directivas de grupo a un dominio, una UO o un sitio. No existe herencia de
directivas de grupo de un dominio a otro. Cada dominio posee pues sus propias directivas
de grupo.

Particin DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la particin DomainDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.

3. Despliegue distribuido AD DS
La mayora de las instalaciones pueden operar con el uso de un nico servicio de dominio de Active
Directory. Agregar varios dominios a un bosque complica la implementacin y la administracin de la
infraestructura Active Directory. En varias estructuras, la implementacin de una arquitectura
compleja puede resultar beneficioso y aportar gran cantidad de funcionalidad o seguridad. Antes de
desplegar una infraestructura compleja de dominios AD DS conviene saber y conocer las distintas
topologas as como el impacto de las diferentes configuraciones dentro del bosque.

a. Dominios o bosques mltiples

Por qu utilizar bosques o dominios mltiples en una infraestructura AD DS cuando un solo


bosque y un solo dominio son suficientes en la mayora de casos?

La implementacin de bosques AD DS mltiples puede ser beneficioso en los casos siguientes:

Ciertas aplicaciones necesitan la modificacin del esquema de Active Directory para


funcionar. Al ser nica la particin del esquema dentro del bosque, sta se replica a travs
de los controladores de dominio del bosque. Las modificaciones del esquema pueden ser
ms o menos importantes, por lo que puede resultar til crear un nuevo bosque con objeto
de albergar los recursos que empleen un esquema concreto. Esto evita conflictos
potenciales que pueden entraar una modificacin del esquema del bosque que albergue
las cuentas de los usuarios.

Al comprar una empresa, puede resultar til integrar el parque informtico recin adquirido
como un nuevo bosque a la infraestructura Active Directory existente. Esto permite evaluar
mejor el permetro de cara a preparar una fusin de Active Directory.

La implementacin de bosques Active Directory mltiples en una infraestructura informtica


puede ser beneficioso para poder aislar diferentes autoridades administrativas y, de este
modo, incrementar la seguridad del proceso de gestin de identidades y de acceso. Esta
topologa se utiliza con frecuencia en los grupos donde la seguridad es un aspecto esencial.

Ciertas infraestructuras poseen servidores de aplicaciones en DMZ (zonas desmilitarizadas)


accesibles desde el exterior como, por ejemplo, servidores web IIS, Extranets, interfaces
web Citrix u otros servidores de aplicacin. Si uno de los componentes necesita una
autenticacin de dominio, es posible crear un bosque suplementario en la DMZ dedicado a la
autenticacin de los usuarios.

La implementacin de dominios AD DS mltiples puede ser beneficioso en los casos siguientes:

Facilitar la replicacin Active Directory cuando una empresa posee sitios remotos
interconectados a la sede central mediante una conexin lenta. Agregar un dominio
suplementario para cada uno de los sitios remotos permite mejorar los procesos de
autenticacin de los usuarios que se conectarn de manera local en el dominio vinculado a
su sitio. De esta forma, solo las replicaciones AD entre los dominios padres e hijos tendrn
lugar a travs del vnculo WAN.

El empleo de espacios de nombres dedicados a cada entidad de una empresa puede


justificar el uso de varios dominios Active Directory distintos. Por ejemplo, la empresa
INFONOVICE que utiliza el nombre de dominio INFONOVICE.priv puede, a su vez, crear un
dominio llamado OXYLIVE.local para una de sus filiales con el objetivo de distinguir
claramente las dos diferentes entidades jurdicas. Igual para la gestin de subdominios
Active Directory. Por ejemplo, la empresa INFONOVICE puede a su vez tener que recurrir al
uso de subdominios para distinguir las unidades geogrficas de la empresa que poseen
cada una su propia gestin informtica.
Por ejemplo: EUROPA.INFONOVICE.PRIV, AFRICA.INFONOVICE.PRIV, ASIA.INFONOVICE.PRIV,
AMERICA.INFONOVICE.PRIV.

El uso de un dominio especfico para recursos tales como servidores de aplicacin o


aplicaciones completamente integradas en Active Directory. Esto permite implementar un
dominio que contenga las cuentas de usuario y un dominio que contenga los recursos y
cuentas de servicio. Mediante este tipo de implementacin, las operaciones de
administracin en el dominio de aplicaciones pueden tener lugar sin impactar en las cuentas
de usuario.

b. Actualizacin a Windows Server 2012 R2

No se recomienda actualizar un controlador de dominio a Windows Server 2012 R2. Para respetar
las buenas prcticas, la operacin consiste en integrar los nuevos controladores de dominio con el
sistema operativo Windows Server 2012 R2 en la infraestructura existente. Una vez que los
controladores de dominio estn operativos, podemos eliminar los servidores con sistemas
operativos obsoletos sin problema alguno (con la condicin de transferir previamente los roles
FSMO a los controladores de dominio que ejecuten Windows Server 2012 R2). Si ningn
controlador de dominio de la infraestructura Active Directory ejecuta el sistema operativo Windows
Server 2012 R2, habr que actualizar el esquema del bosque antes de promover el controlador de
dominio. La herramienta adprep.exe (disponible en el DVD de instalacin de Windows Server 2012
R2 en la carpeta \Support\adprep) permite actualizar el esquema de Active Directory manualmente.
Antes de implementar los controladores de dominio Windows Server 2012 R2 en un entorno
existente, hay que verificar que el nivel funcional del dominio sea al menos Windows Server 2008
porque los niveles funcionales anteriores no estn soportados.

Requisitos previos para una actualizacin a Windows Server 2012 R2

Antes de realizar una actualizacin de los controladores de dominio conviene verificar los
siguientes elementos:

Disponer de permisos de administracin en el dominio a actualizar y disponer de una cuenta


de usuario miembro del grupo Administradores de esquema o Administradores de
empresas.

Verificar que el esquema del directorio Active Directory no ha sufrido muchas modificaciones
manuales diferentes de las aportadas por los productos Microsoft para evitar problemas con
identificadores de objeto (Object ID) cuando extendamos el esquema con la herramienta
Adprep.exe. Si ste fuera el caso, habr que probar la extensin del esquema previamente
en un entorno de pruebas para validar el procedimiento.

Verificar que el nivel funcional del dominio sea al menos Windows Server 2008.

Verificar que las herramientas de su parque informtico que empleen agentes en el


conjunto de sus servidores y controladores de dominio sean compatibles con Windows
Server 2012 R2. Habr que verificar previamente el conjunto de matrices de compatibilidad
de software de sus herramientas de supervisin, inventario, antivirus, copia de seguridad,
etc.

Contar con servidores miembro del dominio corriendo bajo el sistema operativo Windows
Server 2012 R2.

Contar con el DVD-ROM de instalacin de Windows Server 2012 R2.

Una vez verificados los requisitos previos, es importante realizar una prueba en un entorno de
verificacin. Si el entorno de la maqueta no se corresponde completamente a la realidad de su
parque informtico, no podr jamas validar el buen funcionamiento de la extensin del esquema
del directorio Active Directory, y no estar libre de posibles problemas.

Proceso de actualizacin a Windows Server 2012 R2

Verifique los requisitos previos mencionados previamente.

Instale los servidores miembro bajo Windows Server 2012 R2.

Identifique los servidores que alberguen los roles FSMO empleando el comando: netdom
query fsmo
Utilice el DVD-ROM de instalacin para efectuar la extensin del esquema de Active Directory
empleando los comandos siguientes en este orden:

adprep /forestprep (debe ejecutarse en el servidor que albergue el rol FSMO


controlador del esquema)

adprep /domainprep (debe ejecutarse en el servidor que albergue el rol FSMO


maestro de infraestructura)

adprep /gpprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro
de infraestructura)

adprep /rodcprep (si fuera necesario instalar controladores de dominio de solo


lectura RODC)

Promueva los servidores miembro bajo Windows Server 2012 R2 a controladores de dominio.

Transfiera los roles FSMO a los controladores de dominio Windows Server 2012 R2.

Cuando se hayan completado todas las acciones, los controladores de dominio con sistemas
operativos anteriores a Windows Server 2012 R2 pueden ser degradados.

Una vez que el conjunto de los controladores de dominio ejecuten el sistema operativo Windows
Server 2012 R2, podr aumentar el nivel funcional del dominio a Windows Server 2012 R2.

c. Migracin a Windows Server 2012 R2

La migracin Active Directory consiste en desplazar los objetos de un dominio A (dominio fuente) a
un dominio B (dominio de destino). Los objetos migrados corresponden a las cuentas de equipo,
cuentas de usuario, cuentas de servicio o los grupos de seguridad. La necesidad de migrar los
datos puede intervenir en diferentes situaciones tales como una reestructuracin de la
infraestructura Active Directory existente (consolidacin) o la compra de una nueva empresa
(fusin).

Para facilitar la migracin de los recursos de un dominio a otro, Microsoft pone a disposicin de los
administradores una herramienta gratuita llamada ADMT (Active Directory Migration Tool). Esta
herramienta garantiza la migracin de los recursos entre los dominios Active Directory del mismo
bosque (migracin intra-bosque) o bosques independientes (migracin inter-bosque). Es posible
utilizar ADMT empleando una interfaz grfica o por lnea de comandos, lo que permite automatizar
las tareas de migracin.

Requisitos previos de una migracin ADMT

Antes de realizar una migracin empleando la herramienta ADMT es importante respetar los
siguientes requisitos previos:

Tener permisos de administracin en los dominios fuente y de destino.

Configurar los servidores DNS para que los dominios fuente y de destino puedan resolver
los nombres de dominio asociados (posibilidad de crear reenviadores condicionales en los
servidores DNS).
Configurar las relaciones de confianza bidireccional entre los dominios fuente y de destino.

Descargar e instalar la versin de la herramienta ADMT adecuada con los sistemas


operativos soportados. Prever la instalacin de la herramienta de migracin en el dominio
de destino.

Activar la migracin de contraseas.

Realizar una copia de seguridad de los servidores y verificar el buen funcionamiento de la


restauracin.

Preparar un entorno de maqueta para realizar las pruebas de migracin y de esta forma
validar los procedimientos de migracin y vuelta atrs.

Configurar los Firewall de los dominios fuente y de destino para autorizar la comparticin de
archivos e impresoras en la red.

Preparar el rbol del dominio destino para conocer previamente en qu UO se almacenarn


los objetos del dominio fuente.

Preparar una planificacin de migracin.

Configurar los dominios fuente y de destino para activar el soporte del atributo SID-History
de los objetos migrados. Este atributo permite a los usuarios migrados conservar sus
accesos a recursos del dominio fuente. Una vez migrados al dominio de destino, los objetos
obtendrn un nuevo SID que no podr ser gestionado en el dominio fuente.

Una vez cumplidos estos requisitos previos es importante migrar los recursos por lotes, con el fin
de reducir el impacto ocasionado por un posible error. Los grupos de seguridad globales deben ser
migrados antes que las cuentas de usuario y dems recursos (servidores o cuentas de equipo).

Proceso de migracin ADMT

Verifique los requisitos previos ADMT y configure los permisos de administracin en los dos
dominios.

Instale ADMT en el dominio de destino.

Cree las relaciones de confianza bidireccional entre los dominios fuente y de destino.

Active el soporte del SID-History en el dominio de destino.

Migre los grupos globales.

Migre las cuentas de usuario.

Migre los servidores y equipos de trabajo.

Migre los grupos de dominio local.

Migre los controladores de dominio.

Una vez migrados todos los recursos, es posible degradar los controladores de dominio del
dominio fuente.

d. Relaciones de confianza

Las relaciones de confianza de Active Directory permiten autorizar a los usuarios de otro dominio o
bosque para acceder a los recursos internos de la empresa. Por defecto, durante la creacin de un
subdominio o de dominios pertenecientes a un mismo bosque, se crean automticamente
relaciones de confianza transitivas para autorizar a los usuarios a autenticarse en los dominios del
mismo bosque. Cuando un administrador desea conceder un acceso a los recursos del dominio
para los usuarios de otro bosque, se debe crear manualmente una relacin de confianza no
transitiva. Para limitar el trfico y las peticiones entre dominios de un mismo bosque, se pueden
crear manualmente relaciones de confianza directa llamadas abreviadas para conceder el acceso a
los recursos. Al agregar un nuevo rbol de dominio al bosque se crea automticamente una
relacin de confianza transitiva.

Antes de crear relaciones de confianza, conviene saber que existen diferentes tipos de relaciones
de confianza con distintos tipos de transitividad y distintas direcciones que indican el sentido de la
confianza.

El tipo de confianza

El tipo de confianza permite definir la relacin de aprobacin que puede existir entre dos bosques.
Existen dos tipos de confianzas:

Confianza externa: este tipo de confianza no es transitiva, lo que significa que los usuarios
del dominio raz de cada bosque no pueden acceder a los recursos del dominio raz del otro
bosque. Al no ser transitiva la relacin de confianza, los dominios secundarios del bosque
no pueden aprobar a los dominios de un bosque externo.
Confianza de bosques: este tipo de confianza es transitiva, lo que significa que los usuarios
del dominio raz de cada bosque pueden acceder a los recursos del dominio raz del otro
bosque:

Confianza Principales/Secundarios: este tipo de confianza creada automticamente es


transitiva. Esto quiere decir que los usuarios del dominio secundario pueden acceder a los
recursos del dominio primario y viceversa:

La direccin de la confianza
La direccin de la confianza indica el sentido en el que deben aprobarse los dominios
correspondientes (bidireccional o unidireccional). Para autorizar a los usuarios de un dominio a
acceder a los recursos de otro dominio, siempre hay que pensar que la relacin de confianza se
realiza en el sentido del dominio de los recursos hacia el dominio de las cuentas de usuario. El
sentido de la relacin de confianza es pues muy importante.

En los siguientes esquemas, la flecha negra indica el sentido de la confianza y las dems flechas
indican el sentido de acceso a los recursos por los usuarios.

Existen tres tipos de confianzas:

Bidireccional: los usuarios de cada dominio pueden acceder respectivamente a los recursos
del otro dominio.

Unidireccional de entrada: los usuarios del dominio A pueden acceder a los recursos del
dominio B.
Unidireccional de salida: los usuarios del dominio B pueden acceder a los recursos del
dominio A.

Por defecto, al crear una relacin de confianza entre un dominio y un bosque externo, el filtrado de
los SID de seguridad se activa para evitar cualquier suplantacin de identidad. Todo objeto de
grupo (con la excepcin de los grupos de difusin), equipo o usuario de Active Directory posee un
atributo SID. Durante una migracin de recursos de un dominio a otro, las cuentas migradas
conservan sus atributos de seguridad SID correspondientes al dominio de origen. El SID del
dominio origen se convierte automticamente en el atributo SID-History para adquirir un nuevo SID
correspondiente al dominio de destino. Si el filtrado de los SID est activado en el dominio de
destino, no se conservar el atributo SID-History porque las referencias del atributo no
correspondern al dominio Active Directory. Para que los usuarios migrados puedan continuar
utilizando los recursos del dominio de origen hay que desactivar el filtrado de los SID.

Preste atencin, si un administrador crea una relacin de confianza entre dos bosques con el
objetivo de implementar una autenticacin con Kerberos, la sincronizacin temporal de los
dominios correspondientes no puede superar un desfase de 5 minutos.

e. Enrutamiento de sufijo de nombre

El enrutamiento de sufijo de nombre permite agregar los nombres de sufijo (tambin llamados
sufijos UPN: User Principal Name) como complemento a las cuentas de usuario. De esta forma, el
administrador puede definir en las propiedades de una cuenta de usuario el nombre del sufijo a
emplear para verificar un inicio de sesin en el dominio. Este nombre de sufijo puede ser diferente
de su nombre de dominio. Al igual que una direccin de correo electrnico, un sufijo de nombre se
puede escribir de la siguiente manera: login@<Nombre del dominio>.

Por defecto, cuando editamos las propiedades de una cuenta de usuario, solo el sufijo de nombre
correspondiente al nombre de dominio aparece en la lista desplegable:
Mediante el sufijo de nombre, un usuario puede iniciar sesin en el dominio indicando su login de
conexin seguido del nombre de sufijo autorizado para su cuenta.

Ejemplo de nombre de inicio de sesin: joliv ares@infonov ice.priv

Para agregar sufijos de nombre adicionales, basta con realizar las siguientes etapas:

Abra la consola Dominios y confianzas de Active Directory.

Haga clic con el botn derecho en Dominios y confianzas de active Directory (en la raz de
consola) y haga clic en Propiedades.

En la ventana Propiedades: Dominios y confianzas de Active Directory, escriba ediciones-


eni.es en el campo Sufijos UPN alternativos: y haga clic en Agregar. A continuacin, haga clic
en Siguiente:
Abra la consola Usuarios y equipos de Active Directory.

Edite las propiedades de una cuenta de usuario existente.

En la pestaa Cuenta, es posible en adelante seleccionar el sufijo UPN previamente creado:

El enrutamiento de nombres de sufijo permite a los usuarios migrados durante la fusin de


dos empresas continuar autenticndose en el dominio de destino con su sufijo UPN original
correspondiente al nombre de dominio de origen.
Trabajos prcticos
La empresa INFONOVICE desea crear un subdominio Active Directory que agrupar el conjunto de
filiales ubicadas en los Estados Unidos. Para ello, solicita sus servicios para instalar un nuevo dominio
llamado usa.infonovice.priv en el servidor DC-03 que es miembro del dominio infonovice.priv.

La empresa OXYLIVE ha sido recientemente adquirida por la empresa INFONOVICE. En el marco de


una consolidacin de las infraestructuras Active Directory de los dos dominios, la empresa
INFONOVICE solicita sus servicios para implementar una relacin de confianza externa entre ambos
dominios en previsin de una futura migracin de recursos.

Para realizar los siguientes trabajos prcticos deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

DC-03: controlador de dominio usa.infonovice.priv, servidor DNS

Direccin IP: 192.168.0.110

Mscara de subred: 255.255.255.0

OXYDC-01: controlador de dominio oxylive.local, servidor DNS

Direccin IP: 192.168.0.105

Mscara de subred: 255.255.255.0

La contrasea de la cuenta de administrador de cada dominio debe modificarse para utilizar la


siguiente contrasea: P@ssw0rd

1. Aadir un dominio al bosque


Este taller tiene como objetivo crear un nuevo dominio usa.infonovice.priv en el bosque Active
Directory existente cuyo dominio raz es infonovice.priv.

Paso 1: inicie una sesin en el servidor DC-03 que es miembro del dominio infonovice.priv y a
continuacin, en el Administrador del servidor, haga clic en Agregar roles y caractersticas.

Paso 2: en la ventana Antes de comenzar, haga clic en Siguiente.

Paso 3: en la ventana Seleccionar tipo de instalacin, haga clic en Siguiente.

Paso 4: en la ventana Seleccionar servidor de destino, haga clic en Siguiente.

Paso 5: en los roles de servidor, marque la opcin correspondiente al rol Servicios de dominio
de Active Directory, a continuacin haga clic en Agregar caractersticas de la ventana
emergente que aparece, y haga clic en Siguiente:
Paso 6: en la ventana Seleccionar caractersticas, haga clic en Siguiente.

Paso 7: en la ventana Servicios de dominio de Active Directory, haga clic en Siguiente.

Paso 8: en la ventana Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 9: en la ventana Progreso de la instalacin, haga clic en Cerrar.

Paso 10: haga clic en el signo de exclamacin del panel triangular amarillo y, a continuacin,
haga clic en Promover este servidor a controlador de dominio:

Paso 11: en la ventana Configuracin de implementacin, seleccione Agregar un nuevo


dominio a un bosque existente y escriba a continuacin usa en la seccin Nuevo nombre de
dominio. A continuacin, haga clic en el botn Cambiar:
Paso 12: en la ventana emergente de seguridad de Windows, introduzca la informacin de
autenticacin de la cuenta Administrador del dominio INFONOVICE.priv y haga clic en Aceptar:

Paso 13: haga clic en Siguiente.

Paso 14: en la ventana Opciones del controlador de dominio, deje las opciones por defecto y, a
continuacin, escriba la contrasea DSRM (P@ssw0rd) y haga clic en Siguiente:
Paso 15: en la ventana Opciones de DNS, verifique que la informacin de identificacin indicada
para la creacin de una delegacin se corresponde a la cuenta Administrador del dominio
INFONOVICE y haga clic en Siguiente:

Paso 16: en la ventana Opciones adicionales, verifique que el nombre NETBIOS que aparece se
corresponde con el dominio USA y haga clic en Siguiente.
Paso 17: en la ventana Rutas de acceso, deje las opciones por defecto y haga clic
en Siguiente(en entornos de PRODUCCIN, es recomendable especificar una particin dedicada
para cada ubicacin de los elementos de la base de datos AD DS, archivos de registro y directorio
SYSVOL).

Paso 18: en la ventana Revisar opciones, haga clic en Siguiente.

Paso 19: en la ventana Comprobacin de requisitos previos, haga clic en Instalar (en este
punto, verifique que no aparece ningn error en el resumen).

Paso 20: tras el reinicio, podemos constatar que el servidor DC-03 se ha promovido
correctamente controlador de dominio en el subdominio usa.infonovice.priv.

Cuando un administrador agrega un nuevo dominio a un bosque ya existente o un subdominio, el


proceso de adicin del nuevo dominio crea al mismo tiempo las relaciones de confianza transitivas
adecuadas. Podemos visualizar las relaciones de confianza creadas en la consola Dominios
yconfianzas de Active Directory, disponible en las herramientas administrativas del sistema
operativo:

2. Configurar una confianza AD DS


Este taller tiene como objetivo crear una relacin de confianza externa bidireccional entre el dominio
infonovice.priv y el dominio oxylive.local.

Paso 1: en el servidor DC-01, arranque el Administrador del servidor, haga clic


enHerramientas en la barra de men y, a continuacin, haga clic en la herramienta de
administracin Dominios y confianzas de Active Directory.

Paso 2: despliegue el rbol de la consola Dominios y confianzas de Active Directory, haga clic
con el botn derecho en el dominio infonovice.priv y, a continuacin, haga clic en Propiedades.

Paso 3: en la ventana Propiedades de: infonovice.priv, haga clic en la pestaa Confianzas y, a


continuacin, en Nueva confianza.

Paso 4: en la ventana Asistente para nueva confianza, haga clic en Siguiente.

Paso 5: en la ventana Nombre de confianza escriba oxylive.local (que corresponde al nombre del
dominio al que queremos dar confianza) en el campo Nombre. A continuacin, haga clic
enSiguiente:

Paso 6: en la ventana Tipo de confianza, marque la opcin Confianza externa y, a continuacin,


haga clic en Siguiente:

Paso 7: en la ventana Direccin de confianza, marque la opcin Bidireccional y haga clic


enSiguiente:
Paso 8: en la ventana Partes de la relacin de confianza, marque la opcin Ambos, este
dominio y el dominio especificado y, a continuacin, haga clic en Siguiente:

Paso 9: en la ventana Nombre de usuario y contrasea, escriba OXYLIVE\administrador en el


campo Usuario y P@ssw0rd en el campo Contrasea, a continuacin haga clic en Siguiente:
Paso 10: en la ventana Nivel de autenticacin de confianza de salida - Dominio local, marque
la opcin Autenticacin en todo el dominio y, a continuacin, haga clic en Siguiente.

Paso 11: en la ventana Nivel de autenticacin de confianza de salida - Dominio especificado,


marque la opcin Autenticacin en todo el dominio y, a continuacin, haga clic en Siguiente.

Paso 12: en la ventana Se ha completado la seleccin de confianzas, haga clic dos veces
enSiguiente.

Paso 13: en la ventana Confirmar confianza saliente, marque la opcin S y, a continuacin,


haga clic en Siguiente.

Paso 14: en la ventana Confirmar confianza entrante, marque la opcin S y, a continuacin,


haga clic en Siguiente.

Paso 15: en la ventana Finalizacin del Asistente para nueva confianza, haga clic
en Finalizary, a continuacin, haga clic en Aceptar para cerrar la ventana emergente de
informacin sobre la activacin del filtrado de identificador de seguridad (SID).

Paso 16: podemos en adelante constatar, en la pestaa Confianzas de las propiedades del
dominio infonovice.priv, que la relacin de confianza externa con el dominio oxylive.local se ha
creado correctamente. La relacin de confianza no es transitiva porque se trata de un tipo de
aprobacin de bosque externo:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la implantacin distribuida de
Active Directory en Microsoft Windows Server 2012 R2. Podramos resumirlo de la manera siguiente:

Una infraestructura Active Directory se encuentra organizada jerrquicamente con una gestin
administrativa que incluye bosques y dominios.

El primer dominio instalado en la infraestructura Active Directory se convierte en el dominio raz


del bosque.

La migracin de una infraestructura obsoleta a Windows Server 2012 R2 requiere la


actualizacin del esquema de Active Directory.

Las relaciones de confianza permiten autorizar a los usuarios externos para acceder a los
recursos internos del dominio.

El enrutamiento de sufijos de nombres permite personalizar el nombre del dominio asociado al


sufijo UPN de una cuenta de usuario.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Cul es el nombre del grupo de usuarios que poseen permisos de administracin con control
total sobre todos los objetos del bosque?

2 Qu particiones del directorio son nicas dentro del bosque?

3 Qu operacin debe realizar un administrador antes de introducir el primer controlador de


dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente?

4 Qu herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?

5 Qu es el historial de SID (SID-History)?

6 Qu consola de administracin permite personalizar los sufijos UPN de los usuarios del
dominio?

7 Para qu sirve una relacin de confianza?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /7

Para este captulo, la puntuacin mnima es de 5/7.

3. Respuestas
1 Cul es el nombre del grupo de usuarios que poseen permisos de administracin con control
total sobre todos los objetos del bosque?

El grupo integrado Administradores de empresas posee control total sobre el conjunto del bosque.

2 Qu particiones del directorio son nicas dentro del bosque?

La particin de Configuracin y la particin de esquema son nicas dentro del bosque.

3 Qu operacin debe realizar un administrador antes de introducir el primer controlador de


dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente?

Cuando una infraestructura Active Directory no cuenta con ningn controlador de dominio que
emplee el sistema operativo Windows Server 2012 R2, es imperativo actualizar el esquema antes
de integrar el primer controlador de dominio bajo Windows Server 2012 R2. El administrador utiliza
entonces la herramienta ADPREP.exe, disponible en la carpeta \Support\adprep del DVD de
instalacin.

4 Qu herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?

La herramienta de migracin ADMT (Active Directory Migration Tools) permite migrar los recursos
de un dominio fuente a un dominio de destino. Esta herramienta est disponible de forma gratuita
en el sitio de Microsoft.

5 Qu es el historial de SID (SID-History)?

El historial de SID (SID-History) es un atributo asociado a una cuenta de usuario. Cuando se migra
una cuenta de usuario de un dominio a otro, este ltimo conserva el atributo SID de su cuenta
inicial en el atributo SID-History de su nueva cuenta de usuario en el nuevo dominio. Esta accin
tiene como objeto conservar los permisos de acceso a los recursos del dominio original que no han
sido todava migrados.

6 Qu consola de administracin permite personalizar los sufijos UPN de los usuarios del
dominio?

La consola Dom inios y confianzas de Activ e Directory permite personalizar los sufijos UPN
disponibles para el conjunto de los usuarios del dominio. Basta con editar las propiedades del nodo
raz de la consola para agregar los sufijos UPN.

7 Para qu sirve una relacin de confianza?

Una relacin de confianza consiste en autorizar a los usuarios de un dominio para acceder a los
recursos de otro dominio.
Requisitos previos y objetivos

1. Requisitos previos
Conocer los servicios de dominio Active Directory.

Conocer los principios de resolucin DNS.

2. Objetivos
Comprender los sitios Active Directory.

Comprender la autenticacin de los usuarios en el dominio.

Comprender la bsqueda de servicios en la red.

Saber configurar un controlador de dominio como catlogo global.

Saber crear sitios y subredes Active Directory.


Presentacin de los sitios Active Directory
Los sitios Active Directory son objetos del directorio que se encuentran en la particin de
configuracin: CN=Sites,CN=Configuration,DC=<Dominio raz del bosque>.

1. Objetivo de los sitios


Un sitio tiene como objetivo gestionar el trfico de replicacin entre sitios y facilitar la ubicacin de
los servicios. La necesidad de crear sitios se hace evidente cuando es imperativo identificar y
separar una red fuertemente conectada como, por ejemplo, una sede central de un anexo de la
empresa que se encuentra en una red remota con una conexin lenta.

Una red fuertemente conectada representa un sitio de Active Directory donde las
replicaciones de los cambios aportados a Active Directory son instantneas.

Una red menos fuertemente conectada estara representada por conexiones lentas, menos
fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de
red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sera posible
realizar por la noche la replicacin de las particiones del directorio entre dos sitios para no
interferir con el trfico de los usuarios y penalizar la calidad de servicio en entornos con
anchos de banda reducidos. Hablamos de una conexin lenta cuando su ancho de banda es
inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la
red. De esta forma, un usuario conectado a un sitio donde la conexin con la sede central sea
lenta se ver obligado a conectarse a un controlador de dominio de su sitio.

a. Administracin de los sitios

La gestin de los sitios se realiza a travs de la herramienta de administracin Sitios y servicios


de Active Directory, disponible en la siguiente
ubicacin:%SYSTEMROOT%\System32\dssite.msc o mediante las herramientas administrativas
de Windows Server:

La consola de administracin Sitios y servicios de Active Directory es un complemento


disponible, tambin, mediante una consola MMC.
Esta consola de administracin permite gestionar los siguientes elementos:

Las subredes (Subnets)

Los protocolos de transporte (IP o SMTP)

Los sitios

Las topologas de replicacin

La programacin de replicacin

Los vnculos entre sitios

Los servidores de catlogo global

b. Ubicacin de los servicios

La ubicacin de los servicios permite a los clientes de un sitio localizar el controlador de dominio
ms cercano a su ubicacin geogrfica, o un servicio de red prximo a su sitio, con el objetivo de
utilizar los recursos de su sitio en lugar de solicitar recursos de un sitio remoto.

Los sitios de Active Directory ayudan a localizar los servicios, incluyendo aquellos proporcionados
por los controladores de dominio. Durante el inicio de sesin, los clientes de Windows se redirigen,
automticamente, a un controlador de dominio de su sitio. Si no se encuentra disponible ningn
controlador de dominio en el sitio, se les redirige hacia el controlador de dominio de otro sitio que
ser capaz de identificarles.

Para que un usuario identifique los recursos disponibles en su sitio, el equipo cliente efecta una
peticin DNS para consultar el conjunto de registros de tipo SRV. Un registro SRV permite indicar
qu servidor ofrece un servicio en la red:

Ejemplos de servicios disponibles en los registros SRV de un servidor DNS:

Servidor Kerberos: para la autenticacin de los usuarios en el dominio.

Servidor LDAP: para el directorio Active Directory.

Cada servidor que se une a un dominio anuncia los servicios creando registros DNS
llamadosUbicacin de servicio o registro SRV.

Mediante los sitios, los usuarios contactan con los servidores del sitio que disponen del servicio
adecuado.

2. Los sitios
Durante la creacin del primer dominio de un bosque, los servicios de dominio Active Directory crean
automticamente un sitio por defecto llamado Default-First-Site-Name (es recomendable renombrar
el sitio por defecto para darle un nombre ms representativo).

Tambin es recomendable crear un sitio para una parte de la red que albergue al menos un
controlador de dominio o un servicio de recursos DFS replicado.

Para definir un sitio, hay que crear un objeto de clase Site. Este objeto es un contenedor que
permite gestionar la replicacin entre controladores de dominio.

3. Las subredes
Las subredes permiten a los clientes saber a qu sitio pertenecen en funcin de su direccin IP. Es
importante definir cada subred IP (IPv4 o IPv6) como un objeto de tipo subred Active Directory (LAN,
WAN, VPN). Si la direccin IP de un cliente no est comprendida en el rango de direcciones de una
subred, el cliente no ser capaz de determinar a qu subred pertenece y esto puede acarrear
problemas de rendimiento.

Un sitio es solo til cuando los clientes y los servidores saben a qu sitio pertenecen. Para conseguir
esto, la direccin IP del equipo cliente debe estar asociada a un sitio existente, y son los objetos de
clase subred los que permiten establecer esta asociacin. Por tanto debemos definir previamente las
subredes de cada sitio.

Una subred est asociada a un sitio. Cuando un cliente se conecta al dominio, se identifica de
inmediato con su direccin IP para ser redirigido a un controlador de dominio de su sitio. Los objetos
de tipo Subred se almacenan en la particin de configuracin del
directorio:CN=Subnet,CN=Schema,CN=Configuration,DC=<Dominio raz del
bosque>

Un sitio puede poseer varias subredes. Las conexiones VPN deben definirse, tambin, en los objetos
de subred.

4. Los servidores de catlogo global


Los controladores de dominio que actan como servidores de catlogo global se configuran desde la
consola Sitios y servicios de Active Directory. El primer controlador de dominio instalado en un
nuevo bosque Active Directory se define como servidor de catlogo global de forma predeterminada.

Como recordatorio, cuando una empresa tiene una infraestructura de Active Directory con varios
dominios, un servidor de catlogo global tiene una rplica de los objetos de los otros dominios. De
esta forma, un usuario de un dominio A podr efectuar una bsqueda de un objeto situado en un
dominio B consultando un servidor de catlogo global de su dominio:

Para definir un controlador de dominio como servidor de catlogo global, basta con abrir la
consolaSitios y servicios de Active Directory, editar las propiedades del objeto NTDS Settings
asociado al controlador de dominio que se va a configurar y marcar la opcin Catlogo global.

Los servidores de catlogo global permiten, tambin, almacenar la pertenencia de un grupo o


cuenta de usuario a un grupo universal. La pertenencia de cada objeto de grupo o usuario a un
grupo universal se replica siempre en los servidores que actan como catlogo global. Si no se
encuentra disponible ningn servidor de catlogo global en un sitio o un dominio, los inicios de
sesin sern todos simplemente rechazados, para evitar cualquier problema de seguridad vinculado
al acceso a los recursos. Para evitar esto, si un sitio no dispone de un servidor de catlogo global en
cada controlador de dominio, se puede habilitar la actualizacin en cache de la pertenencia a grupo
universal (funcionalidad UGMC: Universal Group Membership Caching). Activando la funcionalidad
UGMC empleando la consola Sitios y servicios Active Directory, los servidores que albergan el
catlogo global mantendrn en cach la informacin de pertenencia a grupos universales. Si en un
momento concreto no existe ningn servidor de catlogo global disponible en el sitio, los
controladores de dominio podrn utilizar la informacin previamente almacenada en cach y de esta
forma autorizar el acceso a los recursos de red. Cuando la funcionalidad UGMC est activa, los
controladores de dominio que albergan el catlogo global actualizan la cach cada 8 horas.

5. Las particiones Active Directory


En una infraestructura multidominio que contiene varios sitios de Active Directory cada dominio
mantiene y actualiza los datos contenidos en la base de datos NTDS. Esta base de datos del
directorio contiene varias particiones (tambin llamadas contextos de nomenclatura, como la
particin de dominio, la particin de configuracin o la particin de esquema) y los controladores de
dominio de cada sitio replican las copias o las rplicas de las particiones del directorio.

La particin de dominio se replica en todos los controladores de dominio de un mismo dominio


y no en los controladores de dominio incluidos en otros dominios.

La particin de esquema se replica en todos los controladores de dominio del bosque.


Cualquier controlador de dominio de cualquier sitio poseer, por tanto, una rplica de la
particin de esquema.
La particin de configuracin se replica en todos los controladores de dominio del bosque.
Cualquier controlador de dominio de cualquier sitio poseer, tambin, una rplica de la
particin de configuracin.

Los servidores de catlogo global tienen una utilidad muy importante en una infraestructura
multisitio.

6. Los vnculos de sitios


Por defecto, cada nuevo sitio que se agrega a la infraestructura Active Directory, se agrega al
vnculo de sitio llamado DEFAULTIPSITELINK. Los vnculos de sitio se encuentran en la consola Sitios
y servicios de Active Directory, en el nodo Inter-Site Transport - IP.

a. Funcionamiento de los vnculos de sitios

Todos los sitios pertenecientes al mismo vnculo de sitio pueden replicarse entre s gracias a la
topologa de replicacin calculada automticamente.

Por defecto cuando creamos un bosque, el objeto vnculo de sitios DEFAULTIPSITELINK se crea en
el complemento Sitios y servicios de Active Directory. En una estructura Active Directory compuesta
de varios sitios se recomienda crear manualmente los vnculos de sitios que reflejen la topologa
fsica de la red.
Por defecto, todos los vnculos de sitios creados automticamente por la topologa de replicacin
son transitivos, lo que significa que estn interconectados para aumentar la tolerancia a fallos
relacionados con la replicacin. Para desactivar la transitividad de los vnculos de sitios
automticos, basta con deshabilitar la opcin Enlazar todos los vnculos a sitios en las
propiedades del nodo vinculado al protocolo de transporte IP: Sites\Inter-Site Transport\IP.
Si la transitividad de los vnculos de sitios se encuentra deshabilitada, el administrador debe
entonces configurar manualmente los vnculos de sitios para obtener una ruta de replicacin vlida
en caso de error o prdida de contacto con uno de los sitios, hablamos entonces de creacin de
puentes de sitios.

b. Administracin de los vnculos de sitios

Durante la edicin de las propiedades de un vnculo de sitios, podemos configurar las opciones
siguientes:

La descripcin.

Los sitios pertenecientes al vnculo de sitios.

El coste de utilizacin del vnculo de sitios.

El plazo para supervisin/replicacin.

La programacin de la replicacin.
La descripcin del vnculo de sitios es una informacin disponible para los administradores de la
infraestructura Active Directory. Permite identificar claramente un vnculo de sitios y conocer su
utilidad en el caso de una topologa de replicacin compleja.

Los sitios presentes en el vnculo de sitios se presentan directamente al comprobador de


coherencia para generar automticamente una topologa de replicacin, y crear los objetos de
conexin adecuados.

Los costes del vnculo de sitios se utilizan para gestionar el trfico de replicacin. Los costes ms
altos se utilizan para enlaces lentos y los costes ms bajos para enlaces rpidos. Por defecto,
todos los vnculos estn configurados con un coste con el valor 100.

La replicacin entre sitios se basa en la exploracin, no hay notificacin de cambios para iniciar el
proceso de replicacin. De manera predeterminada, cada 3 horas (180 minutos) un servidor
cabeza de puente interrogar a sus asociados de replicacin para determinar si existen
modificaciones disponibles. Podemos modificar este valor para reducir el intervalo de exploracin,
sabiendo que el valor mnimo es de 15 minutos.

La programacin de la replicacin del vnculo de sitios permite indicar la franja horaria autorizada
para la exploracin y la replicacin entre sitios.

Los vnculos de sitios deben poseer al menos dos sitios para poder ser creados.
7. Los puentes de sitio
Los puentes de sitio permiten crear manualmente vnculos entre sitios transitivos cuando la creacin
de vnculos automtica est desactivada. Cada vnculo de sitios posee entonces un controlador de
dominio servidor haciendo de cabeza de puente.

Un servidor cabeza de puente es un servidor responsable de cualquier rplica de una particin en el


sitio y fuera del sitio. Estos ltimos estn encargados de replicar las modificaciones de una particin
recibidas por los servidores cabeza de puente de otros sitios.

Cada sitio puede estar configurado para disponer de un servidor cabeza de puente que replicar los
datos a un servidor cabeza de puente de otro sitio. La creacin de un puente de sitio se hace a
travs de la consola Sitios y servicios de Active Directory, en el contenedor Inter-Site Transports \
IP:
Trabajos prcticos
La empresa INFONOVICE posee un sitio en Madrid y otro en Len, y desea configurar los sitios de
Active Directory para que los usuarios de cada ciudad puedan identificar los recursos de sus sitios.
Para ello, solicitan sus servicios para configurar los controladores de dominio empleando la consola
Sitios y servicios de Active Directory para que los clientes puedan identificar su sitio de pertenencia.
Los sitios estn conectados empleando un enlace de alta velocidad. Para evitar cualquier problema de
prdida de comunicacin con el servidor de catlogo global del sitio de Len, activar la funcionalidad
de actualizacin en cach de los grupos universales.

La infraestructura Active Directory se compone de los controladores de dominio de Madrid


(representados en la maqueta por el servidor DC-01), y los controladores de dominio de Len
(representados en la maqueta por el servidor DC-02). Los equipos cliente ubicados en Madrid estn
integrados en la red 172.16.0.0/16 mientras que los equipos ubicados en Len estn integrados en la
red 192.168.0.0/24.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 172.16.0.1

Mscara de subred: 255.255.0.0

Puerta de enlace predeterminada: 192.168.0.254

DC-02: controlador de dominio infonovice.priv, servidor DNS y DHCP

Direccin IP: 192.168.0.101

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

1. Cambiar el nombre del sitio predeterminado


Paso 1: arranque el Administrador del servidor y, a continuacin, en el men Herramientas,
haga clic en Sitios y servicios de Active Directory.

Paso 2: despliegue el rbol de la consola para seleccionar el sitio por defecto llamado Default-
First-Site-Name.

Paso 3: haga clic con el botn derecho en el sitio por defecto y, a continuacin, haga clic
enCambiar nombre. Escriba Madrid y valide la modificacin:

2. Crear los sitios


Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: en el rbol de la consola, haga clic con el botn derecho en la carpeta Sites y, a
continuacin, haga clic en Nuevo sitio - Sitio.

Paso 3: en la ventana Nuevo objeto: Sitio, escriba Len en el campo Nombre. A continuacin,
seleccione el objeto de vnculo a sitios llamado DEFAULTIPSITELINK y haga clic en Aceptar:

Paso 4: la siguiente ventana le informa sobre las mejores prcticas a seguir despus de la
creacin de un objeto Sitio. Lalas y haga clic en Aceptar:

Paso 5: el sitio de Len aparece, a continuacin, en el rbol de la consola Sitios y servicios de


Active Directory:
3. Asignar servidores a un sitio
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: despliegue el rbol de la consola para desarrollar los nodos Sites, Madrid y Servers.
Aparece el conjunto de controladores de dominio porque el sitio Madrid era previamente el sitio
por defecto:

Paso 3: haga clic con el botn derecho en el controlador de dominio DC-02 y haga clic en Mover.

Paso 4: seleccione el sitio de Len y haga clic en Aceptar:


Paso 5: despliegue el rbol de la consola para desarrollar el nodo Sites - Len - Servers. El
controlador de dominio DC-02 aparece en adelante como asignado al sitio de Len. Los usuarios
de este sitio podrn a partir de ahora contactar con este controlador de dominio durante el inicio
de sesin:

4. Crear subredes
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: en la consola, despliegue el rbol de carpetas.

Paso 3: a continuacin, haga clic con el botn derecho en la carpeta Subnets y haga clic
enNueva - Subred.

Paso 4: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 172.16.0.0/16 y, a


continuacin, seleccione el sitio Madrid. A continuacin, haga clic en Aceptar:
Paso 5: la subred 172.16.0.0/16 dedicada al sitio Madrid aparece, ahora, en la consola Sitios y
servicios de Active Directory:

Paso 6: haga de nuevo clic con el botn derecho en la carpeta Subnets y haga clic en Nueva -
Subred.

Paso 7: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 192.168.0.0/24 y, a


continuacin, seleccione el sitio Len. A continuacin, haga clic en Aceptar:
Paso 8: la subred 192.168.0.0/24 dedicada al sitio Len aparece, ahora, en la consola Sitios y
servicios de Active Directory:

5. Configurar el catlogo global


Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: despliegue el rbol de la consola para desarrollar el nodo Sites - Len - Servers - DC-
02.

Paso 3: seleccione NTDS Settings y haga clic en Propiedades.

Paso 4: en la ventana Propiedades: NTDS Settings, verifique que la opcin Catlogo globalest
seleccionada y, a continuacin, haga clic en Aceptar:

El controlador de dominio DC-02 est, ahora, configurado para actuar como catlogo global en el
sitio de Len.

6. Configurar la cach
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: despliegue el rbol de la consola para desarrollar el nodo Sites - Len.

Paso 3: en la parte derecha de la ventana Sitios y servicios de Active Directory, haga clic con
el botn derecho en NTDS Site Settings y haga clic en Propiedades:
Paso 4: en la ventana Propiedades: NTDS Site Settings, marque la opcin Habilitar cach de
pertenencia al grupo universal. En la lista desplegable, especifique la actualizacin de la cach
desde Madrid y, a continuacin, haga clic en Aceptar:

La pertenencia a los grupos universales estar en adelante activada en los controladores de


dominio que alberguen el catlogo del sitio de Len. La informacin de la cach se replicar
desde los servidores de catlogo global del sitio de Madrid.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los sitios de Active Directory.
Podra resumirse de la manera siguiente:

Los sitios Active Directory son objetos del directorio almacenados en la particin de
configuracin.

Los sitios ayudan a los clientes a autenticarse en un controlador de dominio de su mismo sitio.

Los sitios proporcionan una ayuda para la ubicacin de los servicios.

Los sitios permiten gestionar el trfico de replicacin.

Las subredes son objetos del directorio almacenados en la particin de configuracin.

El catlogo global contiene un juego de atributos parcial de los objetos del bosque.

La consola Sitios y servicios de Active Directory permite gestionar los sitios y vnculos de sitio.

Un vnculo a sitio contiene varios sitios que estn autorizados a replicarse entre s.

Los puentes de sitio permiten crear manualmente vnculos de sitio transitivos.

La topologa de replicacin de un sitio se calcula automticamente mediante el comprobador de


coherencia (KCC).

Se recomienda crear manualmente la topologa de replicacin entre sitios.


Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 En qu particin del directorio se almacenan los objetos Sitios?

2 Qu complemento permite gestionar los sitios Active Directory?

3 En qu particin del directorio se almacenan los objetos Subred?

4 Cul es el procedimiento a seguir para configurar un controlador de dominio como servidor


de catlogo global?

5 Con cuntos sitios debe contar un vnculo de sitio como mnimo?

6 Para qu sirve un sitio de Active Directory?

7 A qu consola de administracin corresponde el complemento dssite.msc?

8 Para qu sirve la funcionalidad UGMC?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /8

Para este captulo, la puntuacin mnima es de 6/8.

3. Respuestas
1 En qu particin del directorio se almacenan los objetos Sitios?

Los objetos Sitios se almacenan en la particin Configuration del directorio en la ubicacin


siguiente: CN=Sites,CN=Configuration,DC=<Dom inio raz del bosque>

2 Qu complemento permite gestionar los sitios Active Directory?

El complemento Sitios y servicios de Active Directory permite gestionar los objetos Site. Este
complemento se encuentra en la carpeta %SYSTEMROOT%\System 32\dssite.m sc

3 En qu particin del directorio se almacenan los objetos Subred?

Los objetos Subred estn almacenados en la particin Configuration del directorio en la ubicacin
siguiente: CN=Subnet,CN=Schem a,CN=Configuration,DC=<Dom inio raz del bosque>

4 Cul es el procedimiento a seguir para configurar un controlador de dominio como servidor


de catlogo global?

Para configurar un controlador de dominio como servidor de catlogo global hay que abrir la consola
Sitios y servicios de Active Directory, editar las propiedades NTDS Settings asociado al objeto de
servidor, y marcar la opcin Catlogo global.

5 Con cuntos sitios debe contar un vnculo de sitio como mnimo?

Un vnculo de sitio debe poseer al menos dos sitios para poder ser creado.

6 Para qu sirve un sitio de Active Directory?

Un sitio Active Directory permite fundamentalmente gestionar el trfico de replicacin y facilitar la


ubicacin de los servicios.

7 A qu consola de administracin corresponde el complemento dssite.msc?


dssite.msc corresponde al complemento Sitios y serv icios de Activ e Directory.

8 Para qu sirve la funcionalidad UGMC?

La funcionalidad UGMC (Universal Group Membership Caching) permite almacenar en cach los
datos de pertenencia a grupos universales. sta permite autorizar la autenticacin de usuarios
cuando ningn servidor de catlogo global est disponible.
Requisitos previos y objetivos

1. Requisitos previos
Conocer los servicios de dominio Active Directory.

Conocer el despliegue distribuido de Active Directory.

Conocer los sitios y servicios de Active Directory.

Conocer las particiones de dominio.

2. Objetivos
Comprender la replicacin de Active Directory.

Implementar la replicacin de Active Directory entre distintos sitios.

Resolver problemas y supervisar la replicacin de Active Directory.


Presentacin de la replicacin de Active Directory
En una infraestructura Active Directory, cuando un administrador efecta modificaciones en un
controlador de dominio, los datos modificados se replican en el conjunto de los controladores de
dominio del bosque. Cuando la replicacin tiene lugar entre los controladores de dominio, hablamos
de replicacin con varios maestros. De este modo, no hay una relacin maestro/esclavo entre los
controladores de dominio porque cada DC est disponible en escritura. Los controladores de dominio
de solo lectura, tambin llamados RODC, no se encuentran disponibles en escritura y, por tanto, no
pueden replicar las posibles modificaciones efectuadas en la base de datos de Active Directory. Por lo
tanto, los servidores de RODC reciben datos que mantienen los controladores de dominio en
escritura. Hablamos de replicacin unidireccional.

Un administrador debe asegurarse de que la infraestructura Active Directory replica correctamente


toda la informacin de la base de datos NTDS a travs de todos los controladores de dominio del
bosque.

1. Replicacin de Active Directory


En una infraestructura Active Directory, cada controlador de dominio incluye una copia de la base de
datos de Active Directory. Esta base de datos se divide en varias particiones donde el mbito de la
replicacin puede abarcar el dominio o el bosque Active Directory. Estas particiones representan el
contexto de nomenclatura. Un contexto de nomenclatura corresponde a los elementos siguientes:

Dominio: contiene todos los objetos almacenados en un dominio (cuentas de usuario,


cuentas de equipo, grupos y directivas de grupo).

Configuracin: contiene los objetos que representan la estructura lgica del bosque - los
dominios - y la topologa fsica - los sitios, las subredes y los servicios.

Esquema: define las clases de objeto y sus atributos, que pueden estar contenidos en la
base de datos de Active Directory.

Las particiones replicadas a escala del bosque:

Particin de esquema

Particin de configuracin

Las particiones replicadas a escala del dominio:

Particin de dominio

Particin de aplicacin

Los servicios de dominio Active Directory son responsables de mantener actualizados los datos
contenidos en cada controlador de dominio implementando una topologa de replicacin que
encargar a los controladores de dominio replicar las particiones modificadas que se encuentran en
los controladores de dominio configurados en la topologa de replicacin. Los controladores de
dominio se convierten en asociados de replicacin. Este conjunto de rplicas entre los controladores
de dominio aporta un gran nivel de tolerancia a fallos. Si algn controlador de dominio se quedara,
sbitamente, sin servicio, tanto la autenticacin de los usuarios como la gestin de los permisos
dentro del dominio seguiran funcionando, porque los asociados de replicacin todava en lnea
contienen, tambin, una copia de la base de datos Active Directory.

a. Programacin de la replicacin

Como mencionamos previamente, cada controlador de dominio conserva y mantiene una copia
actualizada de la base de datos Active Directory pero, cmo saber cundo y qu replicar?

Una infraestructura de replicacin de varios maestros implica que cualquier controlador de dominio
de escritura puede forzar una replicacin cuando se modifica su contenido. Para saber si ha tenido
lugar algn cambio en el dominio, los controladores de dominio interrogan peridicamente a sus
asociados de replicacin para saber si la replicacin es necesaria o no (Polling).

Es posible modificar la programacin de la replicacin de Active Directory mediante la consola Sitios


y servicios de Active Directory. De manera predeterminada, en un entorno de un nico dominio,
un controlador de dominio consulta su asociado de replicacin una vez cada hora:

Si se planifican replicaciones de varios maestros, ciertas modificaciones de la configuracin de


Active Directory conllevan una replicacin inmediata en el conjunto de los controladores de
dominio. Por ejemplo, cuando un administrador desactiva una cuenta de usuario, el controlador de
dominio que haya experimentado la modificacin enva una notificacin a sus asociados de
replicacin para que repliquen la actualizacin inmediatamente. De esta forma, la cuenta de
usuario deshabilitada no podr iniciar sesin en el dominio.

Para sitios conectados mediante enlaces de baja velocidad, puede ser imperativo reducir el trfico
de replicacin Active Directory autorizando a los controladores de dominio a escrutar las
actualizaciones de sus asociados de replicacin en una franja horaria donde la tasa de actividad
de los usuarios sea inferior. Solo las actualizaciones importantes, como la modificacin de una
contrasea, podrn generar una replicacin inmediata entre los diferentes asociados de la
topologa de replicacin.

b. Topologa de replicacin

Por defecto, los servicios de dominio Active Directory crean automticamente la topologa de
replicacin. Cuando un administrador agrega un controlador de dominio, el objeto que representa
la cuenta de equipo del servidor se agrega automticamente en la consola Sitios y servicios de
Active Directory. Para construir la topologa de replicacin, los servicios de dominio Active
Directory utilizan el componente Comprobador de coherencia (KCC, Knowledge
ConsistencyChecker) que crea automticamente un objeto de conexin en la consola Sitios y
servicios de Active Directory para indicar los diferentes asociados de replicacin de los
controladores de dominio. Esto permite saber en qu controladores de dominio replicar los datos.
Si se elimina algn controlador de dominio, el comprobador de coherencia actualiza los objetos de
conexin reorganizando dinmicamente la topologa de replicacin.

A continuacin aparece el ejemplo de una topologa de replicacin con objetos de conexin


creados por el comprobador de coherencia:
Un administrador puede, tambin, crear objetos de conexin manualmente para mantener el
control total sobre la topologa de replicacin. Un objeto de conexin creado manualmente nunca
ser eliminado por la gestin dinmica del comprobador de coherencia. Por este motivo, se
desaconseja gestionar topologas de replicacin de varios maestros de forma esttica porque esto
complica considerablemente la administracin.

Cuando dos sitios de una infraestructura intercambian datos, la topologa de replicacin Active
Directory (KCC) emplea una ruta lgica para replicar los datos. Cada sitio se encuentra lgicamente
conectado a otro sitio a travs de un controlador de dominio que se encargar de replicar los
datos entre los sitios.

Si la infraestructura Active Directory est compuesta de varios sitios, una topologa de replicacin
entre sitios (ISTG: Inter Site Topology Generator) se despliega para que cada sitio pueda encontrar
una ruta de replicacin a travs de un controlador de dominio perteneciente a otro sitio. El
generador de topologa entre sitios crea automticamente los objetos de conexin para crear las
rutas de replicacin Active Directory.

Las modificaciones efectuadas en el directorio se replican entre controladores de dominio


utilizando dos protocolos:

DS-RPC (Directory Service Remote Procedure Call): DS-RPC aparece en el complemento Sitios
y servicios de Active Directory bajo la forma IP. IP se utiliza en toda replicacin entre
sitios y es el protocolo preferido por defecto por la replicacin entre sitios.

ISM-SMTP (Inter Site Messaging - Simple Mail Transfer Protocol): este protocolo solo se utiliza
cuando las conexiones entre los sitios no son fiables o no estn siempre disponibles. La
implementacin de una autoridad certificadora permite la securizacin del trfico de
replicacin en las redes no fiables. El inconveniente de utilizar el SMTP en una topologa de
replicacin es que este ltimo no puede utilizarse para replicar el contexto de nomenclatura
del dominio. Por este motivo, la replicacin Active Directory empleando el protocolo SMTP en
el conjunto de los controladores de dominio de la empresa debe asegurarse en un dominio
separado. Muy pocas organizaciones utilizan el protocolo SMTP para la replicacin Active
Directory debido a la carga administrativa requerida para configurar y gestionar una
autoridad de certificacin (CA).

En una topologa de replicacin, no puede haber ms de tres saltos. Esto permite optimizar la
replicacin y limitar el trfico en la red. En una red compuesta de 3 a 5 controladores de dominio, a
razn de cerca de 15 segundos de espera por salto, una modificacin en Active Directory se
replicar en menos de un minuto.

En una topologa de replicacin creada automticamente, si uno de los controladores de dominio


no se encuentra disponible, algunos asociados de replicacin no podrn recibir notificaciones
durante una modificacin. Por este motivo existe un proceso de sondeo de las modificaciones
(tambin llamado polling). Este proceso permite verificar, junto con su asociado de replicacin, si
se ha realizado alguna actualizacin (por defecto, el sondeo se realizar cada hora). Si el servidor
interrogado no responde, el asociado de replicacin inicia el comprobador de coherencia para
validar la topologa de replicacin que se reconstruir si el controlador de dominio est realmente
desconectado.

Para visualizar la topologa de replicacin, basta con realizar los siguientes pasos:

Desde el Administrador del servidor, abra la consola Sitios y servicios de Active Directory.

Despliegue el rbol de la consola para identificar el controlador de dominio DC-01 en la


ubicacin siguiente: Sitios y servicios de Active directory - Sites - <Nombre del sitio> -
Servers

Despliegue el rbol del servidor DC-01 y seleccione NTDS Settings. En la ventana de la


derecha aparece, ahora, un objeto de conexin generado automticamente por el
comprobador de coherencia. Este objeto de conexin est almacenado en la particin de
configuracin e indica cul es el servidor asociado de replicacin del servidor DC-01.

c. Objetos de conexin

Un objeto de conexin puede crearse de dos maneras:

Automticamente por el comprobador de coherencia

Manualmente por el administrador

Cuando un administrador edita un objeto de conexin, puede modificar los elementos siguientes:

La programacin

El asociado de replicacin
El campo Contextos de nomenclatura replicados indica las particiones que se replicarn en el
asociado de replicacin. Encontramos, en particular, las particiones de:

Esquema

Configuracin

ForestDnsZone

DomainDnsZone

El botn Cambiar programacin permite especificar las franjas horarias autorizadas para realizar
una replicacin Active Directory entre los asociados de replicacin del objeto de conexin
especfico:
El botn Cambiar de la seccin Replicar desde permite especificar el controlador de dominio sobre
el que se replicarn los datos Active Directory:

Cada objeto de conexin de la consola Sitios y servicios de Active Directory representa un


sentido de replicacin unidireccional entre dos asociados de replicacin.

Cuando el comprobador de coherencia ha generado la topologa de replicacin completa, un


administrador puede forzar una replicacin entre los diferentes asociados de un objeto de
conexin realizando los pasos siguientes:
Desde la consola Sitios y servicios de Active Directory, despliegue el rbol de la consola
para seleccionar un objeto de conexin de un controlador de dominio.

Haga clic con el botn derecho en el objeto de conexin generado por el comprobador de
coherencia y haga clic en Replicar ahora:

Si un administrador elimina accidentalmente un objeto de conexin creado automticamente por el


comprobador de coherencia, siempre es posible generar una nueva topologa de replicacin
realizando los pasos siguientes:

Desde la consola Sitios y servicios de Active Directory, despliegue el rbol de la consola


para seleccionar un controlador de dominio. A continuacin, despliegue el nodo
correspondiente al controlador de dominio y seleccione NTDS Settings.

Haga clic con el botn derecho en NTDS Settings, haga clic en Todas las tareas y, a
continuacin, en Comprobar la topologa de replicacin.

Espere varios minutos a que el comprobador de coherencia analice y cree la topologa de


replicacin adecuada para el dominio. Actualice a continuacin la consola Sitios y servicios de
Active Directory. Los objetos de conexin del controlador de dominio reaparecen:

Un administrador puede crear manualmente un objeto de conexin para forzar la replicacin de un


controlador de dominio en otro controlador de dominio especfico, siguiendo este procedimiento:

Desde la consola Sitios y servicios de Active Directory, despliegue el rbol de la consola


para seleccionar un controlador de dominio. A continuacin, despliegue el nodo
correspondiente al controlador de dominio y seleccione NTDS Settings.

Haga clic con el botn derecho en NTDS Settings, haga clic en Nuevo y, a continuacin,
despliegue en Conexin.

En el resultado de la bsqueda de los controladores de dominio, seleccione el asociado de


replicacin sobre el que desea replicar y haga clic en Aceptar:
Escriba el nombre del objeto de conexin para identificarlo rpidamente en la consola Sitios y
servicios de Active Directory y haga clic en Aceptar:

El nuevo objeto de conexin aparece, ahora, en la consola Sitios y servicios de Active Directory:
d. Replicacin a los RODC

Una infraestructura Active Directory utiliza un sistema de replicacin de varios dominios, debido a
que un administrador puede crear o modificar objetos en cualquier controlador de dominio y los
cambios se replican en otros controladores de dominio. Un controlador de dominio de solo lectura
(RODC) no puede ser alterado por un administrador. Esto no impide al comprobador de coherencia
(KCC) crear objetos de conexin destinados a replicar los datos de un controlador de dominio de
escritura sobre un controlador de dominio de solo lectura. En este caso particular, el comprobador
de coherencia crear una topologa de replicacin unidireccional para actualizar los controladores
de dominio de solo lectura.

Sin embargo, a veces ocurre que una operacin necesita una escritura en la base de datos Active
Directory. En este caso, el controlador de dominio de solo lectura transfiere la solicitud de escritura
a un controlador de dominio en escritura. Una vez realizada la modificacin, el controlador de
dominio que haya realizado el registro replica el contenido de la base de datos Active Directory que
contiene el controlador de dominio de solo lectura. El controlador de dominio de solo lectura indica
de esta forma a la aplicacin o el usuario que haya realizado la solicitud de escritura el nombre del
controlador de dominio que debe contactar para seguir las operaciones de modificacin de la base
de datos Active Directory:

e. Replicacin de contraseas (RODC)

La principal utilidad de un controlador de dominio de solo lectura (RODC: Read Only Domain
Controller) es mejorar el proceso de autenticacin de los usuarios de un sitio remoto y mejorar la
seguridad sin almacenar ninguna contrasea. Sin embargo, es posible activar la escritura en cach
de algunas contraseas de cuentas de usuario configurando una directiva de replicacin de
contraseas para los controladores de dominio de solo lectura. Cuando la contrasea de una
cuenta de usuario se almacena en cach, el servidor RODC puede autenticar directamente a un
usuario asignndole un ticket de servicio que le permite acceder a los recursos. En caso contrario,
el servidor RODC transmite la solicitud de autenticacin del usuario a un controlador de dominio en
escritura. Solo las cuentas de usuario miembros del grupo de seguridad del dominio local Grupo de
replicacin de contrasea RODC permitida, pueden tener su contrasea guardada en cach en
un RODC.
La directiva de replicacin de contrasea de un servidor RODC define, entonces, aquellas cuentas
de usuario cuyas contraseas se almacenarn en cach. Para acceder a la configuracin de la
directiva de replicacin de contraseas basta con editar las propiedades de un controlador de
dominio en lectura desde la consola Usuarios y equipos de Active Directory:
La directiva de replicacin de contraseas de un RODC contiene varios grupos por defecto:

Administradores

Grupo de replicacin de contrasea RODC permitida

Grupo de replicacin de contrasea RODC denegada

Opers. de cuentas

Operadores de copia de seguridad

Opers. de servidores

Solo el grupo donde las contraseas RODC estn permitidas tiene configurado el parmetro
comoPermitir. Por defecto, el grupo llamado Grupo de replicacin de contrasea RODC
permitida no contiene ninguna cuenta de usuario definida. El administrador debe, por tanto,
configurar manualmente la directiva de replicacin de contraseas.

Para que un usuario cuya contrasea se ha guardada en cach pueda iniciar una sesin en un
controlador de dominio de solo lectura, la contrasea de la cuenta del equipo del usuario debe
estar, tambin, configurada para guardarse en cach.

f. Los conflictos de replicacin

En una infraestructura Active Directory que emplea una replicacin de varios dominios, si dos
administradores trabajan cada uno en un controlador de dominio distinto y realizan una
modificacin al mismo tiempo sobre el mismo objeto, indicando valores diferentes para el mismo
atributo, se puede producir un conflicto de replicacin. Para evitar esta situacin, Microsoft ha
implementado un sistema de deteccin de conflictos que permite aportar una solucin adecuada
para todas las posibles situaciones que puedan causar un conflicto de actualizacin.

Para ello, cada objeto de Active Directory posee los siguientes atributos especficos que ayudan a
resolver conflictos de replicacin:

Atributo de versin: durante la creacin de un objeto, ste se crea automticamente con


un nmero de versin almacenado en el atributo uSNCreated del objeto. Este atributo se
incrementa con cada modificacin en el atributo uSNChanged del mismo objeto. Por
ejemplo, una cuenta de usuario con el atributo de versin 15 pasar automticamente a la
versin 16 si un administrador cambia una propiedad del objeto. Entonces, durante un
conflicto de replicacin, la modificacin de un objeto cuyo nmero de versin sea mayor ser
prioritaria.

Atributo GUID (Globally Unique IDentifier): durante la creacin de un objeto, se le asigna un


valor especfico en el atributo objectGUID. Este valor representa un identificador nico en el
bosque que no puede ser modificado. El identificador asignado se calcula mediante un
algoritmo y la fecha y hora de la creacin para generar un cdigo de 128 bits. Durante un
conflicto de replicacin relativo a la creacin simultnea de dos objetos con el mismo nombre
en la misma UO, el objeto con el atributo objectGUID generado en primer lugar tendr
prioridad.

Atributo de marca de tiempo: cada modificacin de un objeto implica la actualizacin del


atributo when Changed, lo que permite registrar una marca de tiempo de la modificacin.
Durante un conflicto de replicacin, la modificacin del objeto con la fecha de modificacin
ms reciente ser prioritaria.
2. Replicacin SYSVOL

a. Presentacin de la carpeta SYSVOL

La carpeta SYSVOL es una carpeta local que se crea automticamente durante la promocin de un
servidor a controlador de dominio para albergar los servicios de dominio Active Directory.

Por defecto, la carpeta SYSVOL se crea en la siguiente ruta: C:\Windows\SYSVOL


El rol de la carpeta SYSVOL es principalmente albergar los scripts de inicio de sesin as como los
parmetros de directivas de grupo (GPO). La carpeta C:\Windows\SYSVOL\sysvol est
compartida de manera predeterminada para que cualquier usuario del dominio pueda recuperar los
elementos necesarios para el inicio de sesin en el dominio. En esta carpeta compartida,
encontramos un enlace simblico que nos dirige a la carpeta C:\Windows\SYSVOL\domain:

Parmetros de directivas de grupo: si un administrador del sistema modifica un objeto de


directiva de grupo, los parmetros configurados se registran automticamente en la
carpetaC:\Windows\SYSVOL\domain\Policies\<GUID de la GPO>.

Scripts de inicio de sesin: si un administrador crea un script de inicio de sesin para que
los usuarios puedan acceder a l desde la red, el script ser depositado en la
carpetaC:\Windows\SYSVOL\domain\scripts.

La carpeta SYSVOL es muy importante para el buen funcionamiento de los servicios de dominio
Active Directory.

b. Replicacin de la carpeta SYSVOL

Para que cada controlador de dominio mantenga y albergue una misma copia del directorio
SYSVOL, el proceso de replicacin definido por el comprobador de coherencia asegura que el
conjunto de los controladores de dominio estn actualizados. Se trata de una replicacin de
archivos de un controlador de dominio a otro. En las versiones anteriores de Windows Server, el
proceso encargado de replicar el directorio SYSVOL era FRS (File Replication System). A partir de
Windows Server 2008, se utiliza el proceso DFS-R (Distributed File System Replication).

Para realizar la replicacin de la carpeta SYSVOL con DFS-R, el nivel funcional del dominio debe
estar configurado al menos como Windows Server 2008.

Para migrar el sistema de replicacin de la carpeta SYSVOL para utilizar el sistema de replicacin
DFS-R, el administrador del sistema debe utilizar la herramienta DFSRMIG ubicada
enC:\Windows\System32\Dfsrmig.exe.

La migracin del sistema de replicacin FRS a DFS-R se compone de cuatro etapas:

0 (start): etapa por defecto del controlador de dominio. Solo se utiliza FRS para replicar el
directorio SYSVOL en esta etapa.

1 (prepared): se crea una copia del directorio SYSVOL en una carpeta llamada
SYSVOL_DFSR y, a continuacin, se agrega al juego de replicacin existente. DFS-R replica a
continuacin el contenido de las carpetas SYSVOL_DFSR en todos los controladores de
dominio. FRS sigue replicando las carpetas SYSVOL originales y los clientes siguen utilizando
el directorio SYSVOL en esta etapa.

2 (redirected): la carpeta compartida SYSVOL\sysvol se redirige para ser en adelante


SYSVOL_DFSR\sysvol. Los clientes emplean en adelante la carpeta SYSVOL_DFSR para
obtener los scrips de inicio de sesin y las plantillas de directivas de grupo.

3 (eliminated): se detiene el servicio de replicacin FRS, lo que detiene automticamente la


replicacin de la carpeta SYSVOL.

El comando dsfrmig.exe cuenta con tres opciones:

Setglobalstate [state]: esta opcin configura el estado de la migracin DFS-R


global en curso, y se aplica a todos los controladores de dominio. El estado especificado en
el parmetro [state] es un nmero comprendido entre 0 y 3. Cada controlador de
dominio ser notificado del nuevo estado de la migracin DFS-$ y migrar automticamente
a ese estado.

Getglobalstate: esta opcin reporta del estado de la migracin DFS-R global en curso.
Getmigrationstate: esta opcin reporta el estado de la migracin en curso de cada
controlador de dominio. La opcin Getmigrationstatepermite controlar el progreso de
los controladores de dominio indicando el estado de la migracin DFS-R.

En caso de producirse algn problema al pasar de una etapa a la siguiente, es posible volver
a las etapas anteriores utilizando la opcin setglobalstate. Sin embargo, despus de haber
usado la opcin setglobalstate para especificar la etapa 3 (eliminated), es imposible volver a las
etapas anteriores.

3. Supervisar y resolver problemas


Para supervisar y gestionar la replicacin con el objetivo de resolver problemas o para optimizarla,
podemos utilizar una de estas dos herramientas de generacin de
informes: Repadmin.exe(herramienta de diagnstico de la replicacin) y Dcdiag.exe (herramienta
de diagnstico de los servicios de directorio). Estas herramientas estn disponibles en la
carpetaC:\Windows\system32, o directamente a partir de un smbolo del sistema.

Repadmin.exe: esta herramienta por lnea de comandos permite conocer el estado de la


replicacin en cada controlador de dominio. Es posible utilizar repadmin.exe para crear la
topologa de replicacin y forzar la replicacin entre los controladores de dominio.
Ejemplo de utilizacin del comando repadmin.exe:

En los ejemplos siguientes la variable DSA_NAMES representa un identificador de red (nombre


DNS, NetBIOS o direccin IP de un controlador de dominio).

Repadmin /showrepl [DSA_NAMES]: permite mostrar los socios de replicacin de un


controlador de dominio.
Repadmin /showconn [DSA_NAMES]: permite mostrar los objetos de conexin de un
controlador de dominio.

Repadmin /showobjmeta [DSA_NAMES] [CN_Objeto]: permite mostrar los


metadatos de un objeto, sus atributos y replicacin.

Repadmin /kcc: fuerza al comprobador de coherencia a recalcular la topologa de


replicacin entrante para el servidor.

Repadmin /replicate [DESTINO_DSA_NAMES] [FUENTE_DSA_NAMES]


[nombre_de_contexto_de_nomenclatura]: permite forzar la replicacin entre dos
socios.

Repadmin /syncall [DSA_NAME] /A /e: permite sincronizar un controlador de


dominio con todos sus socios, incluyendo los de dems sitios.

Dcdiag.exe: es una herramienta por lnea de comandos que permite diagnosticar el estado
de los servicios de directorio. Esta herramienta realiza un nmero de verificaciones y genera
un informe del estado global de la replicacin y de la seguridad de los servicios de dominio de
Active Directory. El uso de la herramienta dcdiag.exe sin parmetros ejecuta un conjunto de
pruebas y presenta los resultados.
Ejemplo de comandos dcdiag.exe:

Dcdiag /c: ejecuta casi todas las pruebas de diagnstico.

Dcdiag /Test:FrsEvent: muestra todos los errores de funcionamiento del servicio de


replicacin de archivos (FRS).

Dcdiag /Test:DFSREvent: muestra todos los errores de funcionamiento del servicio


de replicacin de archivos (DFS-R).

Dcdiag /Test:Intersite: detecta los fallos que pudieran impedir o retrasar la


replicacin entre sitios.

Dcdiag /Test:KccEvent: identifica los errores de verificacin de coherencia de los


datos.

Dcdiag /Test:Replications: verifica la puntualidad de la replicacin entre


controladores de dominio.

Dcdiag /Test:Topology: verifica que la topologa de replicacin est completamente


conectada para todos los DSA.

Dcdiag /Test:VerifyReplicas: verifica que todas las particiones del directorio de


aplicaciones estn completamente presentes en los controladores de dominio que
albergan las rplicas.
Trabajos prcticos
La empresa INFONOVICE posee dos sitios principales, estando uno en Madrid y el otro en Len.
Existen tambin sucursales en Nueva York y Toledo. Esta empresa desea configurar la replicacin
Active Directory entre estos sitios. Los dos sitios principales estn conectados entre s mediante
enlaces ADSL de alta velocidad, y cada sitio dispone de controladores de dominio de escritura. El sitio
de Nueva York posee un controlador de dominio en escritura pero est conectado mediante un enlace
de baja velocidad. Para realizar el esquema, la empresa solicita sus servicios para configurar la
replicacin entre los sitios cada hora entre los sitios principales. Otro sitio basado en Toledo est
conectado a los dems sitios mediante un enlace de baja velocidad. Hay pocos usuarios en el sitio de
Toledo, por lo que est prevista la instalacin de un controlador de dominio de solo lectura. La
replicacin a este pequeo sitio tendr lugar cada 4 horas al igual que para el sitio de Nueva York.
Deber configurar la directiva de replicacin de las contraseas para almacenar en cach la
contrasea de los usuarios no confidenciales del sitio.

La infraestructura Active Directory est compuesta por un controlador de dominio en Madrid


(representada en la maqueta por el servidor DC-01), un controlador de dominio en Len
(representado en la maqueta por el servidor DC-02) y un controlador de dominio en Nueva York
(representado en la maqueta por el servidor DC-03). El sitio de Toledo cuenta con un controlador de
dominio de solo lectura (representado en la maqueta por el servidor DC-04). Para simplificar el
enrutamiento del entorno de prueba, el conjunto de los sitios se ubicar en la misma subred
(192.168.0.0/24). En un entorno de produccin, cada sitio debe poseer su propia direccin de red
para que los clientes puedan fcilmente identificar el controlador de dominio asociado a su subred.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv (Madrid), servidor DNS y DHCP

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

DC-02: controlador de dominio infonovice.priv (Len), servidor DNS y DHCP

Direccin IP: 192.168.0.101

Mscara de subred: 255.255.255.07

DC-03: controlador de dominio infonovice.priv (Nueva York), servidor DNS

Direccin IP: 192.168.0.110

Mscara de subred: 255.255.255.0

DC-04: controlador de dominio (RODC) infonovice.priv (Toledo)

Direccin IP: 192.168.0.111

Mscara de subred: 255.255.255.0

Requisitos previos:

Instale y configure los controladores de dominio.

Renombre el sitio por defecto indicando Madrid.

Cree los otros tres sitios: Nueva York, Toledo y Len.

Asigne el controlador de dominio DC-02 al sitio de Len.

Asigne el controlador de dominio DC-03 al sitio de Nueva York.

Asigne el controlador de dominio (RODC) DC-04 al sitio de Toledo.


En este punto, todos los sitios estn conectados en el mismo vnculo de sitio por defecto llamado
DEFAULTIPSITELINK.

1. Configurar la replicacin
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.

Paso 2: despliegue el rbol de la consola: Sitios y servicios de Active Directory - Sites - Inter-
Site Transports - IP. Haga clic con el botn derecho en IP y haga clic en Nuevo vnculo a sitios.

Paso 3: en la ventana Nuevo objeto - Vnculo de sitio, escriba SUCURSALES en el


campoNombres y, a continuacin, agregue los sitios de Nueva York y Toledo a este nuevo vnculo.
Haga clic en Siguiente.
Paso 4: edite las propiedades del vnculo SUCURSALES para configurar el campo Replicar
cadaen 240 minutos. A continuacin, haga clic en el botn Cambiar programacin:
Paso 5: en la ventana Programacin para SUCURSALES, prohba la replicacin en fines de
semana y, a continuacin, haga clic en Aceptar y cierre las propiedades del vnculo SUCURSALES:

Paso 6: haga clic con el botn derecho en DEFAULTIPSITELINK para cambiar el nombre del
vnculo por defecto escribiendo CENTRALES:
Paso 7: edite las propiedades del vnculo CENTRALES para configurar el campo Replicar
cada en60 minutos. Asigne solamente los sitios de Madrid y Len en este vnculo y haga clic
en Aceptar:

La replicacin est, ahora, configurada con los vnculos de sitio creados manualmente. Los
controladores de dominio situados en el vnculo CENTRALES se replicarn cada 60 minutos, mientras
que los controladores de dominio situados en el vnculo SUCURSALES se replicarn entre s cada 240
minutos:

2. Configurar la directiva RODC


Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Usuarios y equipos de Active Directory.

Paso 2: cree los grupos de seguridad de tipo global Usuarios-Toledo y Equipos-Toledo en la


UOINFONOVICE\Grupos. A continuacin, cree las cuentas de usuario Usuario1 y Usuario2 en la
UO INFONOVICE\Usuarios. Las dos cuentas de usuario deben ser miembros del
grupoUsuarios-Toledo. Cree a continuacin las cuentas de equipo Equipo1 y Equipo2 en la
UOINFONOVICE\Equipos. Las dos cuentas de usuario deben ser miembros del grupo Equipos-
Toledo.

Paso 3: despliegue el rbol de la consola hasta seleccionar la Unidad organizativa Domain


Controllers:

Paso 4: haga clic con el botn derecho en el controlador de dominio DC-04 (cuyo tipo est
indicado como solo lectura, GC) y haga clic en Propiedades.

Paso 5: haga clic en la pestaa Directiva de replicacin de contraseas y, a continuacin, haga


doble clic en el nico grupo donde la configuracin indica Permitir (se trata del grupo de dominio
local llamado Grupo de replicacin de contrasea RODC permitida).
Paso 6: en la ventana de las propiedades del grupo de seguridad de dominio local, haga clic en
la pestaa Miembros y, a continuacin, en el botn Agregar.

Paso 7: seguidamente busque el grupo de seguridad global llamado Usuarios-Toledo y haga clic
en Aceptar dos veces:

Paso 8: en la ventana Propiedades: DC-04, haga clic en el botn Opciones avanzadas de la


pestaa Directiva de replicacin de contraseas.

Paso 9: en la ventana Directiva de replicacin de contraseas avanzada para DC-04, haga clic
en la pestaa Directiva resultante y, a continuacin, haga clic en el botn Agregar.

Paso 10: busque la cuenta de usuario llamada Usuario1 y, a continuacin, haga clic en Aceptar.
La cuenta aparece con una configuracin resultante Permitir. Esto quiere decir que la contrasea
de la cuenta de usuario seleccionado est autorizada a ser guardada en cach en el servidor
RODC:

Paso 11: haga clic en la pestaa Uso de directivas.

Paso 12: haga clic en el botn Rellenar contraseas previamente.

Paso 13: busque las cuentas de usuario Usuario1 y Usuario2 y, a continuacin, haga clic
enAceptar:

Paso 14: se abre la ventana Rellenar contraseas previamente. El mensaje de aviso indica que
las cuentas de equipo usadas para el inicio de sesin por los usuarios seleccionados deben
agregarse tambin al grupo de contrasea autorizado en RODC. Haga clic en S:
Paso 15: haga clic en Aceptar:

Paso 16: agregue el grupo de seguridad global Equipos-Toledo en el grupo llamado Grupo de
replicacin de contrasea RODC permitida:
Paso 17: repita las etapas 11 a 12 para buscar las cuentas de equipo Equipo1 y Equipo2. Haga
clic en S para rellenar las contraseas de las cuentas de equipo:

Paso 18: haga clic en Aceptar:


Una vez que todas las contraseas de las cuentas de usuario y de equipo estn almacenadas en la
cach del controlador de dominio de solo lectura, aparecen en la pestaa Uso de directivas:

3. Monitorizar la replicacin
Paso 1: abra un smbolo del sistema con privilegios de administrador.

Paso 2: escriba el comando siguiente para mostrar todos los socios de replicacin del controlador
de dominio DC-01:

repadmin /showrepl DC-01


Paso 3: escriba el comando siguiente para mostrar el conjunto de objetos de conexin del
comprobador de coherencia de la informacin del controlador de dominio DC-01:

repadmin /showconn DC-01


Paso 4: escriba el comando siguiente para forzar al comprobador de coherencia de la informacin
a volver a calcular la topologa de replicacin del controlador de dominio:

repadmin /kcc

Paso 5: escriba el comando siguiente para forzar la sincronizacin del controlador de dominio DC-
01 con todos sus socios de replicacin:

repadmin /syncall DC-01 /A /e


Paso 6: escriba el comando siguiente para verificar la topologa de replicacin:

dcdiag /test:topology
Paso 7: escriba el comando siguiente para comprobar la puntualidad del controlador de dominio
sobre el que se ejecuta el comando:

dcdiag /test:replications
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la replicacin de Active Directory
en Microsoft Windows Server 2012 R2. Podramos resumirse de la siguiente manera:

En una infraestructura Active Directory que cuente con ms de un controlador de dominio, cada
modificacin en el directorio se replica en los dems controladores de dominio.

Existen dos tipos de controladores de dominio. Los controladores de dominio de escritura y los
controlador de dominio de solo lectura (RODC).

El directorio est dividido en varias particiones que se replican, algunas a escala de bosque
(particin de esquema y de configuracin) y otras a escala de dominio (particin de dominio y
de aplicacin).

Un administrador puede configurar y gestionar la replicacin a travs del complemento Sitios y


servicios de Active Directory.

Los controladores de dominio emiten notificaciones de actualizacin a los dems controladores


de dominio para indicar que un administrador ha realizado alguna modificacin. A continuacin
comienza el proceso de replicacin.

Si ningn controlador de dominio recibe la notificacin de actualizacin, se inicia


automticamente un proceso de sondeo. Se trata de los propios controladores de dominio que
interrogan a su socio de replicacin para saber si existe o no una actualizacin.

La topologa de replicacin se calcula automticamente mediante el comprobador de coherencia


de datos (KCC).

Los servidores RODC pueden guardar en cach la contrasea de las cuentas de usuario y
equipos mediante una directiva de replicacin de contraseas.

La carpeta SYSVOL de cada controlador de dominio se actualiza mediante una replicacin de


archivos empleando el sistema de replicacin FRS o DFS-R.

Las herramientas repadmin.exe y dcdiag.exe permiten controlar y resolver los problemas


vinculados a la replicacin en Active Directory.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Qu componente de la infraestructura Active Directory es responsable de la creacin de una
topologa de replicacin?

2 Qu herramienta de administracin permite gestionar las replicaciones Active Directory?

3 Qu acciones debe realizar un administrador para poner en cach en un RODC las


contraseas de las cuentas de usuario o equipos?

4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicacin.

5 Qu contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de


dominio Active Directory?

6 Qu herramienta est a disposicin de los administradores para migrar el proceso de


replicacin FRS a DFS-R?

7 Para qu sirve la herramienta repadmin.exe?

8 Para qu sirve la herramienta dcdiag.exe?

9 Cite dos mtodos que permitan forzar la replicacin Active Directory entre dos socios de
replicacin.

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /9

Para este captulo, la puntuacin mnima es de 6/9.

3. Respuestas
1 Qu componente de la infraestructura Active Directory es responsable de la creacin de una
topologa de replicacin?

El comprobador de coherencia de la informacin (KCC: Knowledge Consistency Checker) se encarga


de construir automticamente una topologa de replicacin creando los objetos de conexin para
cada socio de replicacin.

2 Qu herramienta de administracin permite gestionar las replicaciones Active Directory?

El complemento Sitios y servicios de Active Directory permite gestionar las replicaciones Active
Directory.

3 Qu acciones debe realizar un administrador para poner en cach en un RODC las


contraseas de las cuentas de usuario o equipos?

El administrador de la infraestructura Active Directory debe poner las cuentas de usuario y de


equipo en el grupo de seguridad de dominio local, donde la contrasea RODC est autorizada. Una
vez completado, el administrador puede rellenar las contraseas de los objetos de este grupo en la
cach del RODC.

4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicacin.
Para resolver conflictos de replicacin, Active Directory puede verificar los siguientes atributos:

Atributo de versin (uSNCreated & uSNChanged)

Atributo GUID (Globally Unique Identifier)

Atributo de marca de tiempo (whenChanged)

5 Qu contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de


dominio Active Directory?

El directorio compartido %SYSTEMROOT%\SYSVOL\sysvol en un controlador de dominio alberga el


conjunto de scripts de inicio de sesin, adems de las GPO existentes en el dominio Active
Directory.

6 Qu herramienta est a disposicin de los administradores para migrar el proceso de


replicacin FRS a DFS-R?

Para migrar el sistema de replicacin FRS de la carpeta SYSVOL para utilizar el sistema de
replicacin DFS-R los administradores pueden utilizar la herramienta DFSRMIG ubicada en:
C:\Windows\System32\Dfsrmig.exe

7 Para qu sirve la herramienta repadmin.exe?

La herramienta repadmin.exe permite diagnosticar y resolver los problemas vinculados a la


replicacin en Active Directory.

8 Para qu sirve la herramienta dcdiag.exe?

La herramienta dcdiag.exe permite diagnosticar y resolver los problemas vinculados al servicio de


directorio de Active Directory.

9 Cite dos mtodos que permitan forzar la replicacin Active Directory entre dos socios de
replicacin.

Para forzar la replicacin entre dos socios, podemos:

Seleccionar un objeto de conexin en la interfaz grfica, hacer clic con el botn y, a


continuacin, hacer clic en Replicar ahora.

Ejecutar el comando repadmin /replicate.


Requisitos previos y objetivos

1. Requisitos previos
Conocimiento bsico de la administracin de Windows Server 2012 R2.

Conocimiento bsico de la seguridad informtica.

Conocimiento bsico de los certificados digitales.

2. Objetivos
Saber administrar una infraestructura de clave pblica.

Saber instalar una entidad de certificacin.

Saber administrar certificados.

Saber administrar plantillas de certificados.

Saber administrar los niveles jerrquicos de una entidad de certificacin.

Saber revocar certificados.

Saber cmo solicitar un certificado a una entidad de certificacin.


Infraestructura de claves pblicas
En el mundo de la informtica, la seguridad es un punto crucial para cualquier organizacin que
intercambie datos digitales en una red (interna o externa). Cuando se trata de intercambiar datos
confidenciales o personales, siempre puede existir la duda respecto al interlocutor con el que nos
comunicamos, o el temor a que los datos transmitidos puedan ser interceptados y explotados con
fines malintencionados. Las infraestructuras de claves pblicas, llamadas PKI (Public Key
Infrastructure), fueron concebidas para construir una relacin de confianza en un entorno a veces mal
securizado.

1. Presentacin de PKI
Las infraestructuras de clave pblica (PKI) se han creado con el objetivo de probar a los dems que
es realmente quien dice ser durante un intercambio de datos a travs de una red informtica. La
identidad de cada entidad, componente de red, individuo, sistema u otros puede ser verificada
empleando un certificado emitido por una entidad de certificacin aprobada. Los certificados digitales
forman parte integral de una infraestructura de claves pblicas y pueden ser totalmente
transparentes para un usuario que emplea un ordenador a diario. Encontramos el uso de los
certificados en todo tipo de elementos, sea para securizar una conexin VPN IPsec (Virtual Private
Network Internet Protocol security), el intercambio de correos electrnicos, efectuar un pago en lnea
en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos
o carpetas utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de
clave pblica nos ayudan pues a securizar las comunicaciones informticas y, en particular, a
establecer vnculos de confianza entre las personas fsicas y los certificados digitales igual que lo
hara un documento nacional de identidad. Un administrador a cargo de una infraestructura de clave
pblica debe distribuir los certificados digitales con extremo cuidado a las personas que formen
parte de su organizacin y revocar los certificados de aquellos usuarios que ya no formen parte de
la misma.

Por ejemplo, cuando consulta el sitio Internet de su banco para verificar sus cuentas, el acceso se
encuentra probablemente securizado empleando una pgina web HTTPS que utiliza un certificado
SSL. Si muestra las propiedades del certificado, puede constatar que posee informacin de la
entidad de certificacin que ha proporcionado el certificado a su banco. Su navegador acepta
mostrar la pgina solicitada porque el certificado ha sido emitido por una entidad de certificacin
comercial aprobada como, por ejemplo, VeriSign. Por defecto, su navegador de Internet contiene
una lista de entidades de certificacin comerciales aprobadas. Esta lista se actualiza
automticamente cuando realiza una actualizacin de su sistema operativo. La lista de
certificaciones comerciales aprobadas est disponible en las opciones de su navegador web
(pestaa Contenido para Internet Explorer y la pestaa Cifrado en opciones, o la
opcin avanzadopara Mozilla Firefox):
2. Componentes de una PKI
Una infraestructura de clave pblica se compone de varios elementos de los cuales algunos ofrecen
servicios a los usuarios. Encontramos por ejemplo los elementos siguientes:

Las entidades de certificacin (CA: Certificate Authority): permiten crear y gestionar los
certificados. Las entidades de certificacin pueden estar estructuradas bajo diferentes formas
jerrquicas que podemos definir de dos o tres niveles.

Los certificados digitales: los certificados los distribuye una entidad de certificacin
aprobada por la organizacin (CA interna o comercial). Los certificados sirven para autenticar
un servicio, un servidor, un usuario o un sitio comercial. En el caso de un sitio web, por
ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS del sitio web
accedido por los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no
podr acceder a la informacin securizada. Esto permite asignar un certificado vlido para un
nico servicio. Lo mismo ocurre con un certificado de usuario que contiene el nombre y
apellidos de la persona interesada. La autenticacin por certificado solo funciona si se verifica
la identidad del usuario.

Las plantillas de certificados: las plantillas de certificados permiten a los administradores


generar certificados previamente configurados en funcin del uso deseado. Estos certificados
pueden personalizarse en funcin de las necesidades.

Las claves pblicas y las claves privadas: se emplean para cifrar y descifrar los datos.

Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar
certificados a una entidad de certificacin declarada en Active Directory o mediante un
formulario de una pgina web de la entidad de certificacin. Tambin pueden acceder a sitios
securizados por certificados. Los equipos cliente tienen una lista de entidades emisoras de
certificados de confianza (accesible desde un navegador web o el complemento Certificados),
lo que les permite validar el acceso a sitios web mediante certificados emitidos por entidades
de certificacin comerciales.

Las listas de revocacin de certificados (CRL: Certificate Revocation Lists): representan las
listas emitidas por entidades de certificacin y los certificados digitales que ya no son vlidos
o estn revocados. Una entidad de certificacin mantiene actualizada esta lista que contiene
el detalle de la asignacin de certificados indicando las fechas de validez, as como aquellos
certificados que han sido revocados. Cuando se presenta un certificado para acceder a un
servicio, un inicio de sesin o una solicitud de cifrado, el sistema de autenticacin o de
verificacin accede automticamente a una lista de revocacin diaria desde una entidad de
certificacin aprobada para verificar la validez del certificado. Si ste aparece en la lista, el
acceso es simple y llanamente denegado. Si la CRL introducida en el certificado no se puede
obtener, el acceso es igualmente denegado.

Los respondedores en lnea: los clientes pueden emplear un respondedor en lnea para
interrogar a una entidad de certificacin directamente para conocer el estado de un
certificado recin presentado. Este proceso es ms rpido que la descarga y la consulta de
una nueva lista de revocacin de certificados.

A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo
un componente que permite la instalacin, configuracin y gestin de entidades de certificacin. A
partir de Windows Server 2008, este componente aparece como un rol de servidor, mejor conocido
bajo el nombre de Active Directory Certificate Services (AD CS).

3. Cifrado
Cuando un administrador desea securizar datos informticos, puede implementar todo tipo de
sistemas o tecnologas haciendo imposible el acceso de una persona no autorizada. Pero, qu pasa
si los datos securizados son interceptados en la red o sustrados con el robo de un servidor o de un
disco duro de la empresa? Todo dato no protegido puede, por definicin, accederse de forma
abierta. Esto quiere decir que cualquier persona con malas intenciones puede acceder a sus datos
sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para garantizar la integridad
de sus datos, es posible securizar el conjunto de los elementos basndose en certificados para
cifrar y descifrar los datos o informacin del sistema.

Una infraestructura de clave pblica ofrece a su vez servicios criptogrficos, que permiten mantener
la integridad de los datos del sistema de informacin. Una infraestructura PKI se basa en dos
mtodos de cifrado de los datos:

Cifrado simtrico (por clave secreta): el uso de un cifrado simtrico necesita el intercambio
de un secreto compartido entre dos componentes o personas que desean comunicarse. El
cifrado se realiza empleando un mecanismo especfico y el secreto intercambiado entre los
dos asociados consiste en revelar el funcionamiento del mecanismo de cifrado. Esto permite a
diferentes asociados poder descifrar los datos cifrados empleando un secreto definido en un
algoritmo. Cualquier individuo que posee el secreto podr, por tanto, descifrar los datos.

Cifrado asimtrico (por clave pblica): el uso de un cifrado asimtrico permite cifrar los
datos empleando un sistema de pares de claves. Se utiliza una clave pblica para cifrar los
datos, mientras que se utiliza una clave privada para descifrarlos. La clave pblica puede ser
conocida por todos y puede ser intercambiada en redes no seguras. La clave privada debe
sin embargo ser segura y conocida solamente por la persona que va a acceder a los datos
cifrados.
Presentacin de AD CS
Los servicios de certificados de Active Directory en Windows Server 2012 R2 se presentan bajo la
forma de un rol de servidor. Este rol permite, en particular, implementar una infraestructura jerrquica
de claves pblicas para crear y gestionar los certificados. Mediante AD CS es posible responder a
diferentes necesidades empresariales como la securizacin de las comunicaciones VPN, WAN, LAN e
inalmbricas, securizar los sitios web IIS o securizar mensajes electrnicos emitidos por un servidor
de mensajera Microsoft Exchange.

1. Servicios de certificados AD CS
Es posible instalar AD CS como una entidad de certificacin independiente o empresarial. AD CS
puede proporcionar los servicios de certificados al interior o al exterior de la red empresarial. AD CS
integra funcionalidades adicionales con el sistema operativo Windows Server 2012. Encontramos, en
particular, las novedades siguientes:

Los servicios de rol AD CS pueden instalarse en cualquier edicin de Windows Server 2012
R2.

Los servicios de rol AD CS pueden instalarse en una instalacin mnima (Core Server).

AD CS est ahora integrado con el administrador del servidor.

Aporta funcionalidades PowerShell adicionales.

Los equipos miembro de un grupo de trabajo pueden, ahora, realizar una peticin de
renovacin de un certificado.

Compatibilidad con los nombre de dominio internacionales.

Los servicios AD CS y los clientes PKI reconocen, ahora, los sitios AD DS.

Una seguridad mejorada a nivel del servicio de rol Entidad de certificacin.

En la versin del sistema operativo Microsoft Windows Server 2008 R2 el tipo de entidad de
certificacin empresarial solo puede instalarse en la edicin Enterprise o Datacenter.

a. CA independiente

Una entidad de certificacin independiente tiene la ventaja de poderse instalar en un servidor


miembro de un dominio o de un grupo de trabajo. El requisito previo AD DS no es necesario cuando
deseamos desplegar una CA independiente. Este tipo de instalacin de entidad de certificacin se
utiliza, por lo general, en infraestructuras de claves pblicas de varias capas. La entidad de
certificacin raz instalada en una jerarqua de CA debe ser de tipo independiente. Su funcin es la
de generar un certificado destinado a las CA intermedias. Despus de la instalacin de una CA raz
independiente, se aconseja ponerla fuera de lnea o desconectada de la red para incrementar la
seguridad de la infraestructura de clave pblica. En una infraestructura de CA de tres capas, la
entidad de certificacin intermediaria debe, tambin, ser de tipo independiente.

La instalacin de una entidad de certificacin raz requiere la configuracin de los siguientes


elementos:

Puntos de distribucin de lista de revocacin de certificados (CDP: CRL Distribution


Points): los CDP permiten indicar la ubicacin de una CRL, empleada al solicitar la validacin
de un certificado.

Acceso a la informacin de entidad emisora (AIA: Authority Information Access): las AIA
permiten indicar a los usuarios la ubicacin donde encontrar el certificado de la entidad de
certificacin raz.

b. CA empresarial
Una entidad de certificacin empresarial se encuentra integrada en los servicios de dominio Active
Directory. En una infraestructura de claves pblicas, las CA empresariales se utilizan, por lo
general, como entidad de certificacin emisora. La instalacin de este tipo de CA se realiza en un
servidor miembro de un dominio. De esta forma, los usuarios del dominio pueden enviar las
solicitudes de certificados que pueden aprobarse directamente en la entidad de certificacin
empresarial encargada de emitir los certificados. La instalacin de este tipo de CA es dependiente
del sistema operativo que la alberga.

c. Administracin de AD CS

La instalacin del rol de servidor AD CS agrega a las herramientas administrativas del sistema
operativo la consola de administracin Entidad de certificacin:

Esta consola de administracin es un complemento situado


en:%SYSTEMROOT%\system32\certsrv.msc

La instalacin de AD CS instala, tambin, el servicio Windows Servicios de certificados de Active


Directory, configurado con un tipo de arranque Automtico:

Si acaba de instalar una entidad de certificacin intermedia, el servicio Windows Servicios de


certificados de Active Directory estar en un estado detenido porque no se habr importado
ningn certificado emitido por una entidad certificadora maestra.

La consola de administracin certsrv permite visualizar el estado del servidor mediante un icono
en la autoridad de certificacin (Servicio Windows detenido o arrancado). Tambin podemos detener
o arrancar una entidad de certificacin desde el complemento:

El rbol de la consola de administracin AD CS permite acceder a los siguientes contenedores:


Certificados revocados: permite visualizar el conjunto de certificados revocados o
expirados de su organizacin.

Certificados emitidos: permite visualizar el conjunto de certificados aprobados o emitidos


por su organizacin.

Solicitudes pendientes: permite visualizar el conjunto de certificados solicitados por los


componentes de red u otros usuarios. Los certificados que aparecen en este contenedor
deben aprobarse manualmente antes de poder utilizarlos.

Error en las solicitudes: permite visualizar el conjunto de solicitudes de certificados que


han fallado. Tambin es posible emitir certificados desde este contenedor.

Cuando se instala un certificado, es posible administrarlo o visualizarlo desde la consola de


administracin de certificados:

%SYSTEMROOT%\system32\certlm.msc: permite gestionar los certificados vinculados al


equipo.

%SYSTEMROOT%\system32\certmgrmsc: permite gestionar los certificados vinculados


al usuario.

2. Jerarqua de CA
Una infraestructura de claves pblicas puede funcionar empleando un nico servidor independiente
que tenga el rol de servidor AD CS. Sin embargo, cuando su infraestructura est compuesta por
varias entidades de certificacin, hablamos de una jerarqua de CA. El uso de un nico servidor para
la explotacin de los servicios de certificados puede debilitar la seguridad de la infraestructura de
claves pblicas. Para reforzar la seguridad, podemos agregar entidades de certificacin adicionales a
una PKI. Existen diferentes tipos de jerarqua de CA cuya topologa corresponder a los requisitos
de seguridad o necesidades empresariales. En una jerarqua CA de varias capas, un servidor CA raz
se encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar
los certificados a los usuarios, equipos o servicios. En una jerarqua de CA, el nivel ms alto se
denomina entidad de certificacin raz. Todo ataque contra el servidor que contiene la CA raz, o
cualquier CA, puede comprometer la seguridad del conjunto de las CA intermedias o subyacentes.
Por ello es importante securizar las entidades de certificacin de mayor nivel colocndolas fuera de
lnea o inaccesibles a cualquier intento de intrusin. En la mayora de las situaciones, las PKI se
implementan en infraestructuras de dos o tres capas.

a. Infraestructura de dos capas

Una infraestructura de entidad de certificacin de dos capas aporta un mnimo de seguridad pues
permite situar fuera de lnea a la CA raz para mantener nicamente a la CA emisora para la
asignacin y aprobacin de certificados. Generalmente, se implementa una CA raz independiente
en el nivel ms alto y se ubica una CA empresarial emisora en el nivel ms bajo para proporcionar
los servicios de certificados a los equipos y usuarios de la red.

Segn el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de
certificacin:

CA raz: CA independiente (fuera de lnea)


CA emisora: CA empresarial (en lnea)

b. Infraestructura de tres capas

Una infraestructura de entidad de certificacin de tres capas aporta un nivel mayor de seguridad y
disponibilidad porque las CA de mayor nivel pueden dejarse fuera de lnea y las CA emisoras
pueden implementarse de manera redundante para aportar una mejor disponibilidad o cubrir una
mayor zona geogrfica. Generalmente, se configura una CA raz independiente en el nivel ms alto
y, a continuacin, se ubican en segundo nivel las CA raz independientes intermedias. Por ltimo,
las CA empresariales emisoras se sitan en el nivel ms bajo para proporcionar los servicios de
certificados a los equipos o usuarios de la red.

CA raz: CA independiente (fuera de lnea)

CA intermedia: CA independiente (fuera de lnea)

CA emisora: CA empresarial (en lnea)


c. CA raz

La CA raz tiene el nivel ms alto de una jerarqua de CA. Durante la creacin de una nueva
entidad de certificacin raz, hay que crear obligatoriamente una nueva clave privada.

La creacin de una clave privada requiere proveer la siguiente informacin:

La seleccin de un proveedor de servicios criptogrficos: para generar un par de claves


para la entidad de certificacin raz, la API Microsoft Crypto debe utilizar un proveedor de
cifrado software o hardware.

La longitud de la clave: el nmero de caracteres de la clave determina la longitud de las


claves del par. Cuanto mayor sea la longitud de la clave, ms largo ser el proceso de
decodificacin.

La seleccin de un algoritmo hash: los algoritmos hash permiten securizar las claves
utilizando un algoritmo de clculo especfico, destinado a generar informacin cifrada del par
de claves.

Existen de manera predeterminada:

14 proveedores de cifrado:

Microsoft Base Smart Card Crypto Provider

Microsoft Enhanced Cryptographic Provider v1.0

ECDSA_P256#Microsoft Smart Card Key Storage Provider

ECDSA_P521#Microsoft Smart Card Key Storage Provider

RSA#Microsoft Sotftware Key Store Provider

Microsoft Base Cryptographic Provider v1.0

ECDSA_P521#Microsoft Software Key Store Provider

ECDSA_P256#Microsoft Software Key Store Provider

Microsoft Strong Cryptographic Provider

ECDSA_P384#Microsoft Software Key Storage Provider

Microsoft Base DSS Cryptographic Provider

RSA#Microsoft Smart Card Key Storage Provider

DSA#Microsoft Software Key Storage Provider

ECDSA_P384#Microsoft Smart Card Key Storage Provider

4 longitudes de clave:

512

1024

2048

4096

7 algoritmos hash:

SHA256

SHA384

SHA512

SHA1

MD5

MD4

MD2

d. CA intermedia

Es necesario instalar, como mnimo, una entidad de certificacin intermedia en una jerarqua de
certificados de tres capas. Su objetivo es aportar un nivel de seguridad adicional para proteger a
la entidad de certificacin raz. La CA intermedia recibe un certificado de la CA raz para funcionar y
emitir un certificado a la CA emisora para que ella funcione a su vez.
e. CA emisora

Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a
los usuarios, servidores y dems componentes que realicen una solicitud. El uso de una CA
empresarial permite la inscripcin automtica de los usuarios o los equipos.

3. Servicios de roles AD CS
El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a
cuatro en Windows Server 2008 R2.

a. Entidad de certificacin

El servicio de rol Entidad de certificacin tiene como objetivo realizar las misiones siguientes:

Aceptar las peticiones de certificados.

Expedir certificados.

Revocar certificados.

Publicar la lista de revocacin de certificados.

La instalacin de este rol de servicio AD CS requiere privilegios de administracin local cuando el


servidor es miembro de un grupo de trabajo, o privilegios de administracin de dominio si el
servidor es miembro de un dominio Active Directory. Para instalar este servicio de rol como una
entidad de certificacin empresarial, el servidor debe ser miembro de un dominio Active Directory.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsCertificationAuthority

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsCertificationAuthority

En Windows Server 2012 R2, es posible en adelante utilizar los comandos de lnea PowerShell
para realizar una copia de seguridad o restaurar el servicio de rol entidad de certificacin (CA):

Para realizar una copia de seguridad del servicio entidad de certificacin, basta con ejecutar el
comando PowerShell siguiente: Backup-CARoleService

Para restaurar el servicio entidad de certificacin, basta con ejecutar el comando PowerShell
siguiente: Restore-CARoleService

b. Solicitud de certificados a travs de la Web

El servicio de rol Inscripcin web de entidad de certificacin permite emitir y renovar los
certificados a los usuarios y equipos que no son miembros de un dominio, no estn conectados a
la red o que no ejecutan un sistema operativo de Microsoft.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsWebEnrollment

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsWebEnrollment

c. Respondedor en lnea

El servicio de rol Respondedor en lnea utiliza el protocolo OCSP (Online Certificate Status Protocol).
Su objetivo es proporcionar informacin sobre el estado de revocacin de certificados emitidos as
como una lista de revocacin de certificados. El uso de este servicio en lnea es ms rpido que la
consulta a una CRL (Certificate Revocation List, lista de revocacin de certificados). Para instalar
este servicio de rol como una entidad de certificacin empresarial, el servidor debe ser miembro de
un dominio Active Directory.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsOnlineResponder

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsOnlineResponder

d. Inscripcin de dispositivos de red

El servicio de rol Servicio de inscripcin de dispositivos de red (NDES) permite a los dispositivos
de red que no ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD
CS. Este servicio de rol emplea el protocolo SCEP (Simple Certificate Enrollment Protocol) para
comunicarse con los diferentes componentes de la red.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsNetworkDeviceEnrollmentService

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsNetworkDeviceEnrollmentService

e. Inscripcin de certificados

El servicio de rol Servicios web de inscripcin de certificados permite a los usuarios o equipos
solicitar un certificado utilizando el protocolo HTTPS. La instalacin solo puede realizarse en un
servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificacin empresarial.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsEnrollmentWebService

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsEnrollmentWebService

f. Directiva de certificados

El servicio de rol Servicio web de directiva de inscripcin de certificados funciona conjuntamente


con el servicio de rol Servicios web de inscripcin de certificados. Este servicio de rol AD CS permite
a los usuarios y equipos que no son miembros de un dominio, o que no se encuentran conectados
al dominio, realizar una solicitud de inscripcin de certificado. La instalacin solo puede realizarse
en un servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificacin empresarial.

Se puede instalar este componente utilizando el comando PowerShell siguiente: Install-


AdcsEnrollmentPolicyWebService

Para desinstalar este componente, basta con ejecutar el comando PowerShell


siguiente:Uninstall-AdcsEnrollmentPolicyWebService

4. Certificados
Un certificado digital puede ser emitido por una entidad de certificacin interna o pblica. Sin
embargo, tambin es posible generar un certificado autofirmado si no se encuentra disponible
ninguna entidad de certificacin. Por defecto, todo sistema Microsoft integra las herramientas que
permiten gestionar los certificados autofirmados. Un certificado autofirmado significa que el sistema
se atribuye un certificado que reconoce como vlido por si mismo. Un certificado autofirmado solo lo
reconoce como vlido el sistema que lo ha generado.

Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe
accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que
accedan al sitio web reciben sistemticamente un mensaje de aviso de su navegador, indicando que
el certificado presentado por el sitio no se ha verificado y que el acceso es potencialmente peligroso.
Para que los usuarios no reciban este mensaje debe instalar el certificado autofirmado por IIS en su
almacn local Entidad de certificacin raz de confianza.

La creacin de certificados en entornos Microsoft est fundamentalmente basada en el estndar


X.509. Un certificado contiene la siguiente informacin:

Informacin de identificacin (Nombre, razn social, ubicacin, etc.).

Una clave pblica.

El algoritmo hash/Huella digital.

La identidad del emisor.

La fecha de validez.

Un nmero de serie.

La versin del certificado.

La URL de acceso a la informacin de la entidad de certificacin.

Las URL de los puntos de distribucin de listas de certificados revocados.

a. Plantillas de certificado

Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas
que pueden personalizarse previamente. Estas plantillas solo estn disponibles en un servidor que
albergue el rol AD CS como entidad de certificacin empresarial emisora.

Por defecto existen once plantillas de certificado:

Replicacin de directorio de correo electrnico.

Autenticacin de controlador de dominio.

Autenticacin Kerberos.

Agente de recuperacin de EFS.

EFS bsico.
Controlador de dominio.

Servidor web.

Equipo.

Usuario.

Entidad de certificacin subordinada.

Administrador.

Tambin es posible crear o duplicar plantillas de certificado para completar la lista existente.

Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben
asignar permisos de inscripcin en el certificado especfico.

Para gestionar las plantillas de certificado, basta con hacer clic con el botn derecho en el
contenedor Plantillas de certificado de la consola Entidad de certificacin y, a continuacin,
hacer clic en Administrar.

Cuando se valida una solicitud y se emite un certificado, es posible extraer el certificado de la


entidad de certificacin emisora para poder explotarlo. Para ello, basta con utilizar el Asistente
para exportar certificados y seleccionar uno de los formatos que deseamos utilizar para el
certificado.

Existen diferentes tipos de archivos de certificado:

DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptogrfica
definida por la Unin internacional de telecomunicaciones. El formato de archivo DER
(Distinguished Encoding Rules) lo utilizan con frecuencia equipos informticos que ejecutan
un sistema operativo diferente de Windows.

X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las
infraestructuras de mensajera que soportan la norma de criptografa S/MIME
(Secure/Multipurpose Internet Mail Extension).

Estndar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B): este formato


de archivo se utiliza con frecuencia para la transferencia de un certificado de un equipo a
otro.

Intercambio de informacin personal: PKCS #12 (.PFX): este formato de archivo se


utiliza para transferir un certificado de un equipo a otro pero incluyendo la clave privada y la
clave pblica, lo cual puede resultar peligroso para la integridad de los datos a proteger.

Almacn de certificados en serie de Microsoft (.SST): este formato de archivo se utiliza


con frecuencia para la transferencia de un certificado raz a otro equipo.

b. Solicitud de certificado

Existen varios mtodos que permiten solicitar un certificado a una entidad de certificacin. Se
puede efectuar una solicitud de certificado desde:

La interfaz web de la entidad de certificacin, accediendo al directorio virtual Certsrv.

El complemento Certificados.

Durante una solicitud de certificado, si el usuario se encuentra habilitado puede, tambin,


seleccionar una plantilla de certificado preconfigurada para un uso definido (por ejemplo:
Certificado de usuario, equipo, EFS bsico, etc.).

Si no est habilitada la inscripcin automtica, el usuario deber presentar sistemticamente una


solicitud de certificado que validar manualmente el administrador de la entidad de certificacin. Si
la inscripcin automtica est habilitada, se aceptar la solicitud de certificado y ste se emitir
automticamente.
Trabajos prcticos
La empresa INFONOVICE desea securizar el acceso a su sitio Intranet implementando un acceso web
SSL/TLS (Secure Socket Layer/Transport Layer Security) empleando la URL siguiente:
https://intranet.infonovice.priv

Adicionalmente, desea securizar el acceso al dominio de ciertas cuentas de usuario empleando un


sistema de tarjeta inteligente. En ambos casos debe utilizarse un certificado digital para securizar el
acceso.

Para responder a estas necesidades, se le pide implementar una solucin de infraestructura de clave
pblica. sta tendr como objetivo proteger los diferentes servicios y accesos mediante un certificado
emitido por una entidad de certificacin. Debe instalarse empleando el rol de servidor AD CS y debe
disearse como una jerarqua de dos capas.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CS-01: entidad de certificacin raz (CA independiente), Workgroup

Direccin IP: 192.168.0.112

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\, D:\

CS-02: entidad de certificacin emisora (CA empresarial), Infonovice.priv

Direccin IP: 192.168.0.113

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\ D:\, E:\

CLIENT1: cliente DNS y DHCP

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

1. Instalar una CA independiente


Este taller permite instalar el rol de servidor AD CS como entidad de certificacin independiente en el
servidor CS-01, que no est ubicado en el dominio Infonovice.priv, sino en un grupo de trabajo
llamado Workgroup. Esta CA debe ser la raz de la jerarqua para construir un modelo de dos capas
de nuestra infraestructura de clave pblica.

Paso 1: inicie una sesin en el servidor CS-01 con credenciales de administracin y a


continuacin, en el Administrador del servidor, haga clic en Agregar roles y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al
rolServicios de certificados de Active Directory y, a continuacin, haga clic en el botn Agregar
caractersticas. A continuacin, haga clic en Siguiente:

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente.

Paso 6: en el paso Seleccionar servicios de rol, marque la opcin Entidad de certificacin y, a


continuacin, haga clic en Siguiente.

Paso 7: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 8: en el paso Progreso de la instalacin, haga clic en Configurar Servicios de certificados


de Active Directory en el servidor de destino.

Paso 9: en el paso Credenciales, verifique que se ha seleccionado una cuenta de administrador


local del servidor. Haga clic en Siguiente.

Paso 10: en el paso Servicios de rol, marque la opcin Entidad de certificacin y, a


continuacin, haga clic en Siguiente:
Paso 11: en el paso Tipo de instalacin, la opcin CA independiente esta marcada. Haga clic
enSiguiente:

Paso 12: en el paso Especifique el tipo de CA, marque la opcin CA raz y, a continuacin, haga
clic en Siguiente:
Paso 13: en el paso Clave privada, marque la opcin Crear una clave privada nueva y, a
continuacin, haga clic en Siguiente:

Paso 14: en el paso Criptografa para la CA, seleccione el proveedor de servicios


criptogrficosRSA#Microsoft Software Key Storage Provider y, a continuacin, indique una
longitud de clave de 4096. Seleccione el algoritmo de hash SHA1 y haga clic en Siguiente:
Paso 15: en el paso Nombre de CA, escriba Infonovice-Root-CA en el campo Nombre comn para
esta entidad de certificacin y, a continuacin, haga clic en Siguiente:

Paso 16: en el paso Perodo de validez, indique 10 Aos para especificar la fecha de expiracin
del certificado y, a continuacin, haga clic en Siguiente.

Paso 17: en el paso Base de datos de CA, especifique la ubicacin de la base de datos de
certificados en la carpeta D:\CA\CertDB y, a continuacin, especifique la ubicacin del registro de
la base de datos en la ubicacin siguiente: D:\CA\CertLog. Haga clic en Siguiente.

Paso 18: en el paso Confirmacin, verifique los parmetros de su entidad de certificacin raz y,
a continuacin, haga clic en Configurar.

Paso 19: en el paso Resultados, verifique que su entidad de certificacin muestra


suConfiguracin realizada correctamente. A continuacin, haga clic dos veces en Cerrar.

Paso 20: arranque la consola Entidad de certificacin en las herramientas de administracin. En


el rbol de la consola, haga clic con el botn derecho en la entidad de certificacin Infonovice-
Root-CA y, a continuacin, haga clic en Propiedades.

Paso 21: haga clic en la pestaa Extensiones y, a continuacin, agregue un nuevo punto de
distribucin de lista de revocacin de certificados haciendo clic en Agregar.

Paso 22: en el campo Ubicacin, escriba la URL siguiente y haga clic en Aceptar:

http://CS-02.infonovice.priv/CertData/<nombre de CA><sufijo de nombre de lista CRL><diferencias


entre listas CRL permitidas>.crl
Paso 23: marque las siguientes opciones y haga clic en Aplicar:

Incluir en las CRL. Usada para encontrar la ubicacin de diferencias CRL.

Incluir en la extensin CDP de los certificados emitidos


Paso 24: haga clic en No para no volver a iniciar el servicio de certificados de Active Directory
ahora.

Paso 25: haga clic en la lista desplegable para seleccionar la extensin Acceso a la informacin
de entidad (AIA) y, a continuacin, haga clic en Agregar.

Paso 26: en el campo Ubicacin, escriba la URL siguiente y haga clic en Aceptar:

http://CS-02.infonovice.priv/CertData/<nombre DNS del servidor><nombre de CA><nombre de


certificado>.crt
Paso 27: marque la opcin Incluir en la extensin AIA de los certificados emitidos y haga clic
en Aceptar.

Paso 28: haga clic en S para volver a iniciar el servicio de certificados de Active Directory ahora.
Paso 29: de vuelta en la consola de gestin certsrv, despliegue el rbol para seleccionar la
carpeta Certificados revocados. Haga clic con el botn derecho sobre ella, seleccione Todas las
tareas y, a continuacin, haga clic en Publicar:

Paso 30: en la ventana Publicar lista de revocacin de certificados, haga clic en Aceptar para
crear una nueva lista.

Paso 31: en la consola certsrv, haga clic con el botn derecho en la entidad de
certificacinInfonovice-Root-CA y, a continuacin, haga clic en Propiedades.

Paso 32: en la pestaa General, haga clic en Ver certificado.

Paso 33: en la ventana Certificado, haga clic en la pestaa Detalles y, a continuacin, haga clic
en Copiar en archivo.

Paso 34: en el Asistente para exportar certificados, haga clic en Siguiente en la pantalla de
bienvenida.

Paso 35: deje las opciones por defecto y haga clic en Siguiente para exportar el certificado en
formato DER binario codificado X.509.

Paso 36: cree la carpeta C:\Compartir en el servidor CS-02 y comprtala con permisos de lectura
y escritura para el grupo Todos. Haga clic en Examinar en el paso que permite exportar el
archivo e indique la siguiente ubicacin \\CS-02\Compartir\Certificado-Root.cer y, a
continuacin, haga clic en Guardar, Siguiente y Finalizar.

Paso 37: una vez exportado el certificado, haga clic en Aceptar para cerrar el conjunto de
ventanas.

Paso 38: navegue hasta la carpeta C:\Compartir en el servidor CS-02 para copiar aqu los dos
archivos presentes en la carpeta siguiente y, a continuacin, comparta la carpeta CertEnroll:
C:\Windows\System32\Certsrv\CertEnroll
Paso 39: vaya al panel de control del servidor CS-02, haga clic en Ver el estado y las tareas de
red, y, a continuacin, haga clic en Cambiar configuracin de uso compartido avanzado.

Paso 40: en la seccin Invitado o pblico, seleccione Activar el uso compartido de archivos e
impresoras y haga clic en Guardar cambios:

Paso 41: abra una sesin en el servidor DC-01 con privilegios de administracin para el dominio
Infonovice.priv. Abra la consola de gestin DNS y cree el Host A siguiente en la zona de bsqueda
directa de Infonovice.priv:

Nombre: CS-01

Direccin IP: 192.168.0.112


En este punto, su entidad de certificacin raz est instalada y configurada.

2. Instalar una CA empresarial


Este taller permite instalar el rol de servidor AD CS como entidad de certificacin empresarial en el
servidor CS-02. A nivel de la jerarqua de CA, AD CS debe configurarse como entidad de certificacin
empresarial emisora para nuestra infraestructura de claves pblicas.

Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar roles y
caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al


rolServicios de certificados de Active Directory y, a continuacin, haga clic en el botn Agregar
caractersticas. Haga clic en Siguiente.

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente.

Paso 6: en el paso Seleccionar servicios de rol, marque las opciones Entidad de


certificacin eInscripcin web de entidad de certificacin y haga clic en Agregar
caractersticas. Al aadir el servicio de rol Inscripcin web de entidad de certificacin, el
asistente incluye la instalacin del rol Servidor web (IIS). A continuacin, haga clic
en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.

Paso 8: en el paso Seleccionar servicios de rol, haga clic en Siguiente.

Paso 9: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 10: en el paso Progreso de la instalacin, haga clic en Configurar Servicios de


certificados de Active Directory en el servidor de destino.

Paso 11: en el paso Credenciales, compruebe que se ha informado una cuenta de administrador
del dominio Infonovice.priv y, a continuacin, haga clic en Siguiente.

Paso 12: en el paso Servicios de rol, marque las opciones asociadas a los roles Entidad de
certificacin e Inscripcin web de entidad de certificacin. A continuacin, haga clic
enSiguiente:
Paso 13: en el paso Tipo de instalacin, marque la opcin CA empresarial y haga clic
enSiguiente.

Paso 14: en el paso Tipo de CA, marque la opcin CA subordinada y haga clic en Siguiente.

Paso 15: en el paso Clave privada, marque la opcin Crear una clave privada nueva y, a
continuacin, haga clic en Siguiente.

Paso 16: en el paso Criptografa para la CA, deje las opciones por defecto y haga clic
enSiguiente.

Paso 17: en el paso Nombre de CA, escriba Infonovice-Emisor-CA en el campo Nombre comn
para esta entidad de certificacin y, a continuacin, haga clic en Siguiente:
Paso 18: en el paso Solicitud de certificado, marque la opcin Guardar una solicitud de
certificado en un archivo del equipo de destino, identifique la ubicacin de grabacin del archivo
de solicitud de certificado y, a continuacin, haga clic en Siguiente:
Paso 19: en el paso Base de datos de CA, especifique la ubicacin de la base de datos de
certificados en la carpeta D:\CA\CertDB, informe a continuacin la ubicacin del registro de la base
de datos en la siguiente carpeta: E:\CA\CertLog. A continuacin, haga clic en Siguiente:

Paso 20: en el paso Confirmacin, verifique los parmetros de su entidad de certificacin


subordinada y, a continuacin, haga clic en Configurar.

Paso 21: en el paso Resultados, la instalacin de la entidad de certificacin empresarial muestra


un mensaje de advertencia, indicando que no se debe olvidar solicitar un certificado de la entidad
de certificacin maestra para autorizar a esta entidad de certificacin empresarial a emitir
certificados. Verifique que el estado de la instalacin del servicio de rol Inscripcin web de
entidad de certificacin indica un estado de configuracin realizada correctamente. Por ltimo,
haga clic dos veces en Cerrar.
Llegados a este punto, la entidad de certificacin empresarial emisora se encuentra instalada y
configurada, pero no funciona. Falta, a continuacin, utilizar el archivo de peticin generado
durante el proceso de instalacin para obtener un certificado de la entidad de certificacin maestra.

3. Activar una CA emisora


Este taller permite activar una CA emisora albergando el rol de servidor AD CS como entidad de
certificacin empresarial en el servidor CS-02.

Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv. Navegue hasta la carpeta \\CS-02\Compartir, haga clic con el botn derecho en el
archivo Certificado-Root.cer y haga clic en Instalar certificado y en Abrir.

Paso 2: en el Asistente para importar certificados, marque la opcin Equipo local en la ventana
de bienvenida y, a continuacin, haga clic en Siguiente.

Paso 3: en el paso Almacn de certificados, marque la opcin Colocar todos los certificados en
el siguiente almacn y, a continuacin, haga clic en Examinar.

Paso 4: seleccione el almacn Entidades de certificacin raz de confianza y, a continuacin,


haga clic en Aceptar.

Paso 5: haga clic en Siguiente y en Finalizar. Una vez realizada con xito la importacin del
certificado, haga clic en Aceptar.

Paso 6: navegue hasta la carpeta \\CS-02\Compartir y copie los archivos CS-01_Infonovice-


Root-CA.crt y Infonovice-Root-CA.crl en la carpeta CertData, que crearemos en la ubicacin
siguiente: C:\inetpub\wwwroot\

Paso 7: copie el archivo C:\CS-02.infonovice.priv_Infonovice-CS-02-CA.req en la carpeta


\\CS-02\Compartir.

Paso 8: inicie una sesin en el servidor CS-01 con credenciales de administracin y abra, a
continuacin, la consola de administracin Entidad de certificacin. Haga clic con el botn
derecho en la entidad de certificacin Infonovice-Root-CA y seleccione Todas las tareas y, a
continuacin, haga clic en Enviar solicitud nueva:

Paso 9: seleccione el archivo C:\Compartir\CS-02.infonovice.priv_Infonovice-CS-02-CA.req y


haga clic en Abrir.

Paso 10: despliegue el rbol de la consola y seleccione la carpeta Solicitudes pendientes. Haga
clic con el botn derecho en la solicitud disponible, seleccione Todas las tareas y, a continuacin,
haga clic en Emitir:

Paso 11: despliegue el rbol de la consola certsrv, seleccione la carpeta Certificados emitidos.
Haga clic con el botn derecho en el certificado disponible y haga clic en Abrir.

Paso 12: en la ventana Certificado, haga clic en la pestaa Detalles y, a continuacin, haga clic
en Copiar en archivo.

Paso 13: en la ventana Asistente para exportar certificados, haga clic en Siguiente en la
pantalla de bienvenida.

Paso 14: en el paso Formato de archivo de exportacin, marque la opcin Estndar de sintaxis
de cifrado de mensajes: certificados PKCS #7 (.P7B). Marque la opcin Incluir todos los
certificados en la ruta de certificacin (si es posible) y haga clic en Siguiente:
Paso 15: en el paso Archivo que se va a exportar, haga clic en Examinar. Navegue hasta la
carpeta compartida \\CS-02\Compartir y escriba CA-intermedio.p7b en el Nombre de archivo.
Haga clic en Guardar.

Siguiendo las mejores prcticas, la entidad de certificacin raz debe desconectarse de la red
despus de su instalacin. En condiciones reales, la operacin de transferencia de un certificado
a otro equipo debe realizarse empleando un soporte extrable.

Paso 16: haga clic en Siguiente y, a continuacin, en Finalizar. Cuando la exportacin del
certificado se haya realizado con xito, haga clic en Aceptar dos veces.

Paso 17: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y abra la consola de administracin Entidad de certificacin. Haga clic con el
botn derecho en la entidad de certificacin Infonovice-Emisor-CA, seleccione Todas las tareas y,
a continuacin, haga clic en Instalar el certificado de CA:
Paso 18: navegue hasta la carpeta compartida \\CS-02\Compartir para seleccionar el archivo CA-
Intermedio.p7b. Haga clic en Abrir.

Paso 19: en la consola de administracin certSrv en el servidor CS-02, haga clic con el botn
derecho en la entidad de certificacin y, a continuacin, haga clic en Todas las tareas e Iniciar
servicio.

El inicio del servicio de certificados puede realizarse, tambin, haciendo clic en el tringulo verde
de la barra de tareas.

4. Publicar un certificado empleando las GPO


Este taller permite publicar el certificado de la entidad de certificacin raz de la infraestructura PKI
para que el conjunto de los equipos miembros del dominio puedan aprobar el certificado emitido.

Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
enAdministracin de directivas de grupo.

Paso 2: despliegue el rbol de la consola y, a continuacin, edite la GPO Default Domain


Policyen el dominio Infonovice.priv.

Paso 3: despliegue el rbol de la consola y seleccione el siguiente nodo: Configuracin del


equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas de
clave pblica - Entidades de certificacin raz de confianza.
Paso 4: haga clic con el botn derecho en Entidades de certificacin raz de confianza y, a
continuacin, haga clic en Importar.

Paso 5: en la ventana Asistente para importar certificados, haga clic en Siguiente en la


pantalla de bienvenida.

Paso 6: en el paso Archivo para importar, haga clic en Examinar.

Paso 7: seleccione el archivo \\CS-02\Compartir\Certificado-Root.cer, haga clic en Abrir y, a


continuacin, en Siguiente.

Paso 8: en el paso Almacn de certificados, verifique que el almacn seleccionado es Entidades


de certificacin raz de confianza y haga clic en Siguiente.

Paso 9: haga clic en Siguiente y, por ltimo, en Finalizar.

Paso 10: cierre el editor y la consola de administracin de directivas de grupo.

5. Configurar la interfaz Web


Este taller permite configurar la interfaz web de los servicios de certificados para utilizar el protocolo
HTTPS.

Paso 1: inicie una sesin en el servidor CS-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Administrador de Internet Information Services (IIS).

Paso 2: en la parte izquierda del rbol de la consola seleccione el nombre del servidor que
contiene la entidad de certificacin empresarial emisora. En la parte central, haga doble clic
enCertificados de servidor.

Paso 3: en la parte derecha, haga clic en Crear una solicitud de certificado:


Paso 4: en la ventana Solicitar certificado escriba la siguiente informacin y, a continuacin,
haga clic en Siguiente:

Nombre comn: certificados.infonovice.priv

Organizacin: INFONOVICE

Unidad organizativa: CERTIFICADOS

Ciudad o localidad: Madrid

Estado o provincia: Espaa

Pas o regin: ES
El campo Nombre comn corresponde a la URL definitiva, es decir
http://certificados.infonovice.priv.

Paso 5: en el paso Propiedades de proveedor de servicios criptogrficos, seleccione una


longitud en bits de 2048 y, a continuacin, haga clic en Siguiente.

Paso 6: cree la carpeta C:\Certificados. En el paso Nombre de archivo,


escribaC:\Certificados\Solicitud.txt, y haga clic en Finalizar:
Paso 7: abra el navegador Internet Explorer escribiendo la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado:

Paso 8: haga clic en solicitud avanzada de certificado:


Paso 9: haga clic en Enviar una solicitud de certificado con un archivo:

Paso 10: copie el contenido del archivo C:\Certificados\Solicitud.txt en la seccin Guardar


solicitud. Seleccione la plantilla de certificado Servidor Web y, a continuacin, haga clic enEnviar.
Paso 11: haga clic en Descargar certificado y guarde el archivo Certnew.cer en la
carpetaC:\Certificados\:

Paso 12: cambie a la consola de administracin IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.

Paso 13: en el paso Especificar respuesta de entidad de certificacin, seleccione la ubicacin


del archivo de respuesta C:\Certificados\certnew.cer, escriba certsrv en el campo Nombre
descriptivo y, a continuacin, seleccione Personal en el campo Seleccione un almacn de
certificados para el nuevo certificado. Haga clic en Aceptar.

Paso 14: cambie a la consola de administracin IIS, despliegue el rbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.

Paso 15: en la ventana Enlaces de sitios, haga clic en Agregar.


Paso 16: en la ventana Agregar enlace de sitio, introduzca la informacin siguiente y haga clic
en Aceptar y en Cerrar.

Tipo: https

Puerto: 443

Nombre de host: certificados.infonovice.priv

Certificado SSL: certsrv

Paso 17: despliegue el rbol de Default Web Site y seleccione la carpeta virtual certsrv. En la
parte central, haga doble clic en Configuracin de SSL.

Paso 18: marque la opcin Requerir SSL y haga clic en Aplicar.

Paso 19: en el servidor DC-01, abra el Administrador del servidor, haga clic en Herramientas y,
a continuacin, en DNS.

Paso 20: despliegue el rbol de la consola y, a continuacin, cree un registro CNAME en la Zona
de bsqueda directa infonovice.priv. Indique la siguiente informacin y haga clic en Aceptar:

Nombre de alias: certificados

Nombre de dominio completo (FQDN): certificados.infonovice.priv

Nombre de dominio completo (FQDN) para el host de destino: CS-02.infonovice.priv


Paso 21: en la consola de administracin IIS, seleccione el nombre del servidor IIS y, a
continuacin, en la parte central, haga doble clic en Autenticacin para habilitar la Autenticacin
Windows y deshabilitar la autenticacin annima:

6. Solicitar un certificado
Este taller permite solicitar un certificado a la entidad de certificacin emisora. El certificado a emitir
ser de tipo Bsico EFS, para el usuario Juan Dupont.

Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del
dominioInfonovice.priv. Arranque el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Entidad de certificacin.

Paso 2: despliegue el rbol de la consola Entidad de certificacin, seleccione el


contenedorPlantillas de certificado, haga clic con el botn derecho sobre l y, a continuacin,
haga clic enAdministrar.

Paso 3: en la lista de plantillas de certificados disponibles, haga clic con el botn derecho en EFS
bsico y, a continuacin, haga clic en Propiedades.

Paso 4: en la ventana Propiedades: EFS bsico, haga clic en la pestaa Seguridad. Seleccione
el grupo Usuarios autentificados, marque el permiso Inscribirse como autorizado y, a
continuacin, haga clic en Aceptar:

Paso 5: cierre todas las ventanas de la consola de administracin Entidad de certificacin.

Paso 6: inicie una sesin en el equipo CLIENT1 con una cuenta de usuario del dominio
Infonovice.priv (conctese con el usuario: jdupont; si esta cuenta de usuario no existe en su
dominio Active Directory, crela).

Paso 7: en la consola MMC, agregue el complemento Certificados.

Paso 8: despliegue el rbol de la consola para seleccionar el contenedor Personal. Haga clic con
el botn derecho encima y seleccione Todas las tareas y haga clic en Solicitar un nuevo
certificado.

Paso 9: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 10: en el paso Seleccionar directiva de inscripcin de certificados, seleccione la directiva


Active Directory y haga clic en Siguiente.

Paso 11: marque la opcin correspondiente a la plantilla de certificado EFS bsico y, a


continuacin, haga clic en Inscribir:

Paso 12: cuando la operacin finalice con xito, haga clic en Finalizar.

Paso 13: en el rbol de la consola Certificados, navegue hasta el


contenedorPersonal/Certificados para ver el certificado EFS bsico emitido por la entidad de
certificacinInfonovice-Emisor-CA para el usuario Juan Dupont. Este certificado puede utilizarse, en
lo sucesivo, para cifrar datos locales con la tecnologa EFS (Encrypting File System):
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los servicios de certificados AD
CS de Microsoft Windows Server 2012 R2. Podra resumirse de la manera siguiente:

Las entidades de certificacin permiten emitir y gestionar certificados a travs del rol de
servidor AD CS.

AD CS posee los seis roles siguientes:

Entidad de certificacin

Inscripcin web de entidad de certificacin

Respondedor en lnea

Servicio de inscripcin de dispositivo de red

Servicio web de inscripcin de certificados

Servicio web Directiva de inscripcin de certificados

AD CS puede instalarse segn dos tipos de entidad de certificacin:

Entidad de certificacin independiente

Entidad de certificacin empresarial

En una jerarqua de entidades de certificacin de varias capas, las entidades de certificacin de


mayor nivel deben configurarse fuera de lnea para aumentar la seguridad.

Cuando se presenta un certificado, el sistema verifica en primer lugar su validez consultando la


lista de revocacin de certificados o un respondedor en lnea.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Cul es el objetivo de una infraestructura de clave pblica en una red empresarial?

2 Cite los diferentes tipos de entidad de certificacin contemplados por AD CS.

3 Qu tipo de entidad de certificacin instalamos en una CA raz?

4 Qu tipo de entidad de certificacin instalamos en una CA intermedia?

5 Qu tipo de entidad de certificacin instalamos en una CA emisora?

6 Cul es el nombre del servicio Windows encargado del funcionamiento de AD CS?

7 Es el administrador informtico de una gran infraestructura. Se le solicita instalar una


jerarqua de entidades de certificacin AD CS de tres capas. Qu tipo de entidad de
certificacin debe instalar en cada capa?

8 Cite dos mtodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificacin comercial aprobada.

9 Para qu sirve una CRL?

10 Para qu sirven las AIA?

11 Cules son los seis servicios de rol del rol del servidor AD CS?

12 Cite al menos tres de las once plantillas de certificados.

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /12

Para este captulo, la puntuacin mnima es de 9/12.

3. Respuestas
1 Cul es el objetivo de una infraestructura de clave pblica en una red empresarial?

Una infraestructura de clave pblica permite securizar el acceso, las comunicaciones o la integridad
de los datos en una red empresarial

2 Cite los diferentes tipos de entidad de certificacin contemplados por AD CS.

Existen dos tipos de entidad de certificacin en AD CS. Las CA independientes y las CA


empresariales integradas en Active Directory.

3 Qu tipo de entidad de certificacin instalamos en una CA raz?

Una CA raz debe instalarse con una entidad de certificacin independiente.

4 Qu tipo de entidad de certificacin instalamos en una CA intermedia?

Una CA intermedia debe instalarse con una entidad de certificacin independiente.

5 Qu tipo de entidad de certificacin instalamos en una CA emisora?

Una CA emisora debe instalarse con una entidad de certificacin empresarial.

6 Cul es el nombre del servicio Windows encargado del funcionamiento de AD CS?


La instalacin del rol de servidor AD CS instala a su vez el servicio Windows asociado llamado
Servicio de certificados.

7 Es el administrador informtico de una gran infraestructura. Se le solicita instalar una


jerarqua de entidades de certificacin AD CS de tres capas. Qu tipo de entidad de
certificacin debe instalar en cada capa?

En una jerarqua de entidad de certificacin de tres capas, cada nivel debe ser instalado segn el
tipo de CA siguiente:

CA raz: entidad de certificacin independiente (para implementar fuera de lnea)

CA interm edia: entidad de certificacin independiente (para implementar fuera de lnea)

CA em isora: entidad de certificacin empresarial (para dejar en lnea)

8 Cite dos mtodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificacin comercial aprobada.

Para visualizar la lista de certificados emitidos por una entidad de certificacin comercial aprobada,
podemos:

Abrir las propiedades de un navegador Web para ver los certificados.

Abrir el complemento certm gr.m sc o certlm .m sc.

9 Para qu sirve una CRL?

Una CRL (lista de revocacin de certificados) permite visualizar los certificados digitales invlidos o
revocados. Esta lista se actualiza automticamente desde una entidad de certificacin.

10 Para qu sirven las AIA?

Las AIA (Authority Information Access) permiten indicar a los usuarios la ubicacin del certificado
de la entidad de certificacin raz.

11 Cules son los seis servicios de rol del rol del servidor AD CS?

AD CS posee los seis servicios de rol siguientes:

Entidad de certificacin

Solicitud de certificados va Web

Respondedor en lnea

Inscripcin de dispositivo de red

Inscripcin de certificados

Directivas de certificados

12 Cite al menos tres de las once plantillas de certificados.

Existen once plantillas de certificado:

Replicacin de directorio de correo electrnico

Autenticacin de controlador de dominio

Autenticacin Kerberos

Agente de recuperacin EFS

EFS bsico

Controlador de dominio

Servidor Web
Equipo

Usuario

Entidad de certificacin subordinada

Administrador
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos bsicos de la administracin de Windows Server 2012 R2.

Tener nociones bsicas de la gestin de permisos NTFS.

Saber gestionar una infraestructura AD CS.

2. Objetivos
Comprender la gestin de derechos AD RMS.

Conocer los diferentes componentes de una infraestructura AD RMS.

Saber instalar una infraestructura AD RMS.

Saber configurar una infraestructura AD RMS.

Saber implementar una infraestructura AD RMS.

Saber proteger la integridad de los datos.


Servicios de gestin de derechos
A partir de Windows Server 2008, los servicios de gestin de derechos digitales se presentan bajo la
forma de un rol de servidor llamado AD RMS (Active Directory Rights Management Services). AD RMS
permite extender los permisos de seguridad NTFS para aportar una seguridad complementaria
pensada para proteger la integridad de los datos. En comparacin, los servicios de administracin de
derechos en Windows Server realizan las mismas funciones que la gestin de derechos digitales para
el contenido de audio o vdeo (DRM, Digital Rights Management).

1. Presentacin de AD RMS
AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en su
empresa. Este rol permite, en particular, preservar la propiedad intelectual as como el contenido de
datos hospedados o intercambiados con otros asociados. La proteccin de un servidor de archivos
con los permisos tradicionales NTFS pueden verse limitados en un proceso de gestin de derechos
digitales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido
de los archivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un
documento Word, el sistema verifica las ACL para verificar que el usuario est autorizado para leer o
modificar el contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede
impedir que el contenido se conserve. De este modo, el usuario que abra el archivo tambin puede
imprimir los datos visualizados, o copiarlos para modificarlos ms tarde. AD RMS permite responder a
esta necesidad de seguridad implementando una capa adicional a travs de una nueva tecnologa
que puede basarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS
(Servicios de certificados) y AD FS (Servicios de federacin). Mediante la implementacin del rol de
servidor AD RMS, es posible proteger el contenido de sus datos tanto en el interior de su red
empresarial como en el exterior. Este rol de servidor es, en cierta medida, una evolucin del servicio
de administracin de derechos de Microsoft (RM: Rights Management), disponible con el sistema
operativo Windows Server 2003 en la forma de un servicio Windows llamado RMS (Rights
Management Services).

a. Funcionamiento de AD RMS

Para proteger los datos confidenciales de su empresa, una infraestructura de gestin de derechos
Active Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas
de proteccin de los datos as como el intercambio de certificados y licencias de acceso al servicio.
La configuracin de la infraestructura, as como los registros de actividad, se almacenan en una
base de datos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS
que se autentica automticamente en un directorio Active Directory para garantizar que el usuario
est habilitado para utilizar el contenido protegido. El usuario obtiene, a continuacin, un
certificado que le permite descifrar los datos protegidos. Los servicios de gestin de derechos se
basan a su vez en los servicios Web IIS. El conjunto de usuarios o grupos que deben tener acceso
a los servicios de administracin de derechos Active Directory deben poseer una direccin de
correo electrnico configurada en su perfil Active Directory.

AD RMS es compatible en particular con las siguientes aplicaciones:

Pack Office 2003 / 2007 / 2010 / 2013

Microsoft SharePoint 2003 / 2007 / 2013

Microsoft Exchange Server 2007 / 2010 / 2013

XPS Viewer

Internet Explorer (requiere la instalacin de un mdulo complementario)

Adobe Acrobat Reader

La instalacin de una infraestructura de este tipo requiere la formacin de los usuarios, ya que son
ellos los que deben definir los elementos a securizar indicando si el documento puede ser
sobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento de
manera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios
autenticados o que dispongan de un certificado vlido pueden acceder a los datos protegidos.
Cuando un usuario securiza un documento empleando los servicios de administracin de derechos,
la infraestructura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el
usuario forma parte de su organizacin, o de una entidad aprobada por los servicios de
federacin, el cliente AD RMS instalado en la mquina cliente solicita automticamente una licencia
de uso a la infraestructura AD RMS.

Para facilitar la gestin de los derechos cuando un usuario genera contenido, un administrador de
la infraestructura AD RMS puede a su vez desplegar plantillas de directivas de permisos. En funcin
del uso del contenido, un usuario podr aplicar la plantilla de directiva directamente sin tener que
preocuparse de los elementos a configurar para proteger eficazmente su contenido.

La instalacin de un servidor AD RMS crea un primer servidor en un clster raz. Este clster no
necesita contar con las tecnologas de clustering de Microsoft o de equilibrio de carga de red. Un
clster raz AD RMS aporta simplemente una solucin de alta disponibilidad para las peticiones de
los usuarios utilizando una tecnologa propia de los servicios de gestin de derechos de Active
Directory. Si la infraestructura AD RMS va a trabajar con un solo servidor de gestin de derechos,
es posible utilizar una base de datos interna llamada WID (Windows Internal Database), que est
integrada en el sistema operativo. Esta instancia de base de datos solo permite la creacin de un
nico servidor en el clster AD RMS raz. Una infraestructura AD RMS soporta como mnimo la
utilizacin de una base de datos Microsoft SQL Server 2008.

La instalacin del primer servidor del clster raz AD RMS necesita la creacin de una clave de
cifrado. Esta clave debe asignarse a todos los servidores que se unan al clster para que estos
puedan, a su vez, cifrar los certificados o las licencias a transmitir a los usuarios. Existen dos
mtodos de almacenamiento de esta clave de cifrado:

Almacenamiento centralizado: permite almacenar la clave de cifrado en la base de datos


del clster AD RMS. De esta forma, cada servidor que se una al clster puede recuperar
automticamente la clave de cifrado sin intervencin del administrador.

Almacenamiento manual: obliga a seleccionar un proveedor de servicios criptogrfico para


cifrar la clave, que debe almacenarse, posteriormente, de forma manual. Cada servidor que
solicite unirse al clster debe recuperar esta clave de cifrado antes de integrarse en el
clster raz AD RMS.

b. Administracin de AD RMS

La administracin del rol de servidor AD RMS se realiza mediante un complemento ubicado en la


siguiente ruta: %SYSTEMROOT%\system32\AdRmsAdmin.msc

El clster AD RMS raz es accesible a travs de una URL que es preferible asociar a un alias DNS
declarado previamente en el servidor de nombres de su organizacin. El clster AD RMS raz utiliza
las carpetas virtuales siguientes en el rbol del sitio web predeterminado:

_wmcs

admin

certification

decommission

groupexpansion
licensing

Estas carpetas virtuales albergan los servicios web utilizados por la gestin del clster AD RMS. La
consola de administracin est configurada para apuntar a la URL del clster AD RMS utilizando los
protocolos HTTP o HTTPS segn la configuracin del administrador de servicios de Internet (IIS). En
entornos de produccin, es preferible securizar el acceso al clster AD RMS implementando la
autenticacin SSL, ofreciendo as una proteccin mediante la aprobacin de un certificado.

Las carpetas virtuales dedicadas a la administracin de los servicios de gestin de derechos se


almacenan de manera local en la carpeta siguiente: C:\inetpub\wwwroot\_wmcs

Para verificar si el servicio Web administrador de roles AD RMS est operativo, basta con acceder a
la URL siguiente:

http://<Alias DNS del clster>/_wmcs/admin/RoleMgr.asmx

o bien

https://<Alias DNS del clster>/_wmcs/admin/RoleMgr.asmx


Los servicios web AD RMS se gestionan a travs de un grupo de aplicaciones
llamado_DRMSAppPool1. Este grupo de aplicaciones utiliza la cuenta de servicio introducida
durante la instalacin del rol de servidor AD RMS basndose en el Framework .NET 4.0.30319.

El administrador de licencias AD RMS est accesible en la URL siguiente:

https://cluster-adrms.infonovice.priv/_wmcs/licensing

Es posible, no obstante, modificar en cualquier momento la URL del administrador de licencias a


travs de las propiedades del clster AD RMS, haciendo clic en la pestaa Direcciones URL del
clster. En esta misma pestaa es posible configurar las URL de la Extranet, para hacer que AD
RMS est disponible desde el exterior de la red empresarial:
El administrador de certificados AD RMS est disponible en la URL siguiente:

https://cluster-adrms.infonovice.priv/_wmcs/certification/certification.asmx

Es posible, no obstante, modificar en cualquier momento la URL del administrador de certificados


mediante las propiedades del clster AD RMS, haciendo clic en la pestaa SCP. La informacin del
clster raz AD RMS est publicada en el servicio de dominio Active Directory, sobra decir que solo
una cuenta de administracin del dominio puede realizar dicha modificacin:

Si el clster emplea una base de datos interna en lugar de una base de datos empresarial
comoMicrosoft SQL Server, el proceso de instalacin instala la base de datos WID (Windows Internal
Database), que emplea los servicios Windows siguientes:

Base de datos interna de Windows:

Editor de VSS de la base de datos interna de Windows:


Una vez configurado el complemento para apuntar a la URL del clster AD RMS, la interfaz de
administracin permite acceder a los siguientes elementos de configuracin:

Directivas de confianza:

Dominios de usuario de confianza: permite conceder licencias de uso a los usuarios que
posean un certificado de cuenta de derechos emitido en un clster AD RMS externo.

Dominios de publicacin de confianza: permite descifrar las licencias de publicacin de


un clster AD RMS externo, para poder distribuir las licencias de uso de contenido a los
usuarios aprobados.

Compatibilidad con identidad federada: esta caracterstica solo est disponible si se


encuentran implementados los servicios AD FS y si los servicios de rol AD RMS soportan la
federacin de identidades. Permite dar soporte a usuarios emitidos por entornos
aprobados (tambin es posible dar soporte a usuarios que posean una cuenta Windows
Live).

Compatibilidad con Microsoft Federation Gateway: esta caracterstica solo est


disponible si los servicios AD FS estn implementados, as como los roles AD
RMSCompatibilidad con la federacin de identidades.

Plantillas de directiva de derechos: permite definir las reglas de proteccin del contenido
aplicadas a los documentos a proteger.

Directivas de certificados de cuenta de derechos: permite a los usuarios recuperar un


certificado de cuenta de derechos que les permite acceder al contenido protegido. Los
certificados de cuentas de derechos estndar se almacenan de manera local en el equipo
del usuario aprobado y son vlidos durante 365 das de manera predeterminada. Los
certificados de cuentas de derechos temporales se configuran con una duracin de 15 min
por defecto, para que un usuario pueda consultar el contenido protegido desde una
ubicacin diferente de su puesto de trabajo habitual.

Directivas de exclusin:

Usuarios: permite bloquear los certificados de cuenta de derechos asignados a usuarios


especficos. Para bloquear el acceso de un usuario interno o externo a su organizacin,
basta con introducir la clave pblica de su certificado de cuenta de derechos, o indicar su
direccin de correo electrnico. Por defecto, la directiva de exclusin Usuarios est
deshabilitada. Si no desea que AD RMS impacte al conjunto de sus colaboradores, puede
crear una directiva de exclusin de usuarios para limitar el uso de la proteccin de datos
digitales a un conjunto de usuarios o departamentos confidenciales de su organizacin.

Aplicaciones: permite bloquear las aplicaciones que no estn aprobadas por el clster AD
RMS. Para bloquear una aplicacin, basta con indicar el nombre del ejecutable a excluir,
as como su versin. Por defecto, la directiva de exclusin Aplicaciones est deshabilitada.

Caja de seguridad: permite bloquear a los usuarios que acceden a la infraestructura AD


RMS utilizando un cliente cuya versin de referencia est por debajo de la versin
especificada en la directiva de exclusin. Esto obliga a los usuarios a acceder a los
contenidos protegidos a travs de un cliente actualizado, ofreciendo de esta forma el
mximo nivel de seguridad en las fases de cifrado y descifrado del contenido securizado.

Directivas de seguridad:

Superusuarios: permite definir un grupo llamado Superusuarios. El conjunto de


integrantes de este grupo recibe las licencias de uso de los propietarios permitindoles
descifrar todo el contenido publicado en el clster AD RMS. Por defecto, la administracin
del grupo superusuarios est deshabilitada.

Contrasea de la clave del clster: permite restablecer la contrasea de la clave del


clster.

Retirada: permite proporcionar a los usuarios el control de acceso total a su contenido


previamente securizado por la infraestructura de administracin de derechos Active
Directory. Esta accin solo debe contemplarse si tiene previsto eliminar el rol de servidor
AD RMS de su organizacin.

Informes:

Informes de estadsticas: permite obtener las estadsticas de los usuarios que han
recibido un certificado de cuenta de derechos desde el clster AD RMS.

Informes de mantenimiento: permiten visualizar la informacin del estado del clster AD


RMS. Estos informes solo funcionan una vez descargado el componente Control Visor de
informes de Microsoft.

Informes de solucin de problemas: permite visualizar los datos de posibles problemas


de licencias AD RMS. Estos informes solo funcionan una vez descargado el
componenteControl Visor de informes de Microsoft.

c. Componentes de AD RMS

Los servicios de gestin de derechos Active Directory presentan una infraestructura compleja. Se
basan en la instalacin y gestin de los siguientes componentes:

Un bosque que albergue los servicios de directorio de Active Directory.

Los servidores AD RMS (en clster) publicados en Active Directory.

Un servidor SQL.

Un clster de servidores Web IIS.

Los clientes AD RMS.

2. Instalar y configurar AD RMS


Antes de instalar los servicios de gestin de derechos de Active Directory, es importante disear
previamente la arquitectura de destino para saber exactamente cmo se utilizar AD RMS en su red
empresarial. Solo hacindonos las preguntas adecuadas ser ms fcil implementar una
infraestructura de tal magnitud.
a. Realizar el esquema de la infraestructura

La instalacin de AD RMS requiere profundizar en algunas restricciones tcnicas con el fin de


implementar mejor los componentes en su arquitectura existente. La infraestructura AD RMS
depende fundamentalmente de sus necesidades y su presupuesto. Para responder mejor a sus
necesidades de infraestructura AD RMS, conviene hacerse las siguientes preguntas:

Cuntos servidores AD RMS deben ser desplegados?

Debe utilizar la infraestructura un servidor SQL o la base de datos integrada?

Estar compuesta la infraestructura de un clster de servidores AD RMS?

Cul ser la estrategia de proteccin de los datos?

Deben protegerse los datos solamente para un uso interno o tambin para su uso
externo?

Debe funcionar la infraestructura en un entorno compuesto por varios bosques?

Debe separarse la gestin de las licencias en un clster AD RMS dedicado?

Todas estas preguntas son esenciales para definir la arquitectura final de su infraestructura AD
RMS. Por ejemplo, la opcin de utilizar una base de datos interna o distinta de Microsoft SQL
Server tendr un impacto en la implementacin de los clsteres de servidores AD RMS. Solo una
base de datos Microsoft SQL Server puede recibir varias conexiones, de ah la posibilidad de crear
un clster de servidores AD RMS. El uso de una base de datos interna solo permite aceptar una
conexin, de ah la instalacin de un nico servidor AD RMS en la infraestructura. Esto puede
interesar para un entorno de prueba o maqueta, pero no convendr para un entorno de
produccin.

b. Requisitos previos de instalacin

Antes de comenzar la instalacin de una infraestructura AD RMS, es importante conocer las


recomendaciones siguientes:

Un bosque Active Directory solo puede albergar un clster de servidores AD RMS.

AD RMS no debe instalarse en un controlador de dominio.

AD RMS debe instalarse en un servidor miembro de un dominio Active Directory.

La base de datos centralizada del clster AD RMS debe instalarse, como mnimo, en una
versin de Microsoft SQL Server 2008 (si la infraestructura cuenta con un solo servidor AD
RMS, es posible utilizar la base de datos interna de Microsoft).

Los equipos cliente deben utilizar, todos ellos, un cliente AD RMS vlido. Por defecto, los
sistemas operativos cliente como Microsoft Windows Vista, Windows 7 o Windows 8
integran un cliente AD RMS. Del lado de los servidores los sistemas operativos como
Microsoft Windows Server 2008, 2008 R2, 2012 y 2012 R2 integran un cliente AD RMS.

Conviene tener en cuenta estos datos en un despliegue de AD RMS.

En cuanto a los requisitos tcnicos, los servidores que compongan el clster AD RMS deben
responder a las siguientes caractersticas mnimas:

Procesador: Pentium 4 a 3 GHz o superior

Memoria RAM: 512 MB

Disco duro: 40 GB de espacio libre en disco

Las caractersticas hardware recomendadas son las siguientes:

Procesador: dos Pentium 4 a 3 GHz o superior

Memoria RAM: 1024 MB


Disco duro: 80 GB de espacio libre en disco

3. Proteger el contenido de los archivos


La proteccin de los documentos puede llevarse a cabo mediante una plantilla de directiva de
permisos. Cada grupo de seguridad o usuario afectado por la directiva debe poseer una direccin de
correo electrnico en las propiedades del objeto de Active Directory asociado. Sin una direccin de
correo electrnico, el mbito de la proteccin no podr implicar al usuario o grupo objetivo.

Las plantillas de directivas pueden tener en cuenta las siguientes funcionalidades:

Especificar el idioma del cliente AD RMS soportado.

Especificar la informacin complementaria para las aplicaciones compatibles con AD RMS.

Definir los permisos autorizados para explotar el contenido protegido.

Definir la fecha de caducidad del contenido.

Definir la fecha de expiracin de la licencia de uso.

Por defecto, el asistente de creacin de una plantilla de directiva de permisos ofrece la posibilidad
de autorizar o restringir los permisos siguientes:

Control total

Ver

Editar

Guardar

Exportar (Guardar como)

Imprimir

Reenviar

Responder

Responder a todos

Extraer

Permitir macros

Ver derechos

Editar derechos
El proceso de proteccin de un documento es el siguiente:

El usuario crea un documento cuyo contenido debe protegerse.

El equipo cliente realiza una solicitud de certificado de licencia al clster AD RMS.

El usuario recibe un certificado de licencia para proteger su contenido.

El usuario configura el documento indicando la directiva de proteccin aplicada para sus


destinatarios.

Cuando el usuario valida la configuracin, se cifra el archivo.

El proceso de acceso a un documento protegido es el siguiente:

El usuario abre un documento cuyo contenido est protegido.

La aplicacin compatible con AD RMS solicita la informacin de credenciales.

Una vez introducidas las credenciales, la aplicacin interroga al clster empleando la URL
configurada para saber si el usuario est autorizado y si puede recuperar una licencia de
uso.

El usuario aprobado obtiene una licencia de uso que le permite descifrar el contenido
protegido.
Trabajos prcticos
La empresa INFONOVICE desea securizar el acceso a sus datos almacenados en el servidor de
archivos. Despus de la compra de la empresa OXYFILM, se le pide implementar la tecnologa AD RMS
para securizar el contenido de los datos compartidos entre los dominios INFONOVICE.priv y
OXYFILM.local. El conjunto de los documentos generados por los usuarios del departamento de RRHH
deben securizarse para que usuarios del departamento de marketing puedan tener acceso solo de
lectura, con restricciones para copiar o imprimir el contenido.

Para responder a esta necesidad, se le pide implementar la tecnologa AD RMS para que los dos
bosques puedan intercambiar los datos, cuyo contenido debe estar protegido para limitar la copia o
impresin.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CS-02: entidad de certificacin emisora (CA empresarial), Infonovice.priv

Direccin IP: 192.168.0.113

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\ D:\, E:\

FILES-01: servidor de archivos, AD RMS, Infonovice.priv

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\, E:\ (50 GB)

CLIENT1: cliente DNS y DHCP, Pack Office 2010, Infonovice.priv

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

DC-05: controlador de dominio oxyfilm.local, servidor DNS

Direccin IP: 192.168.0.118

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLIENT3: cliente DNS y DHCP, oxyfilm.local

Direccin IP: 192.168.0.119

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

1. Preparar el despliegue AD RMS


1. Preparar el despliegue AD RMS
Este taller permite preparar la instalacin del rol de servidor AD RMS.

Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv, en el Administrador del servidor, haga clic en Herramientas y, a continuacin,
en DNS.

Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.

Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el


campoDominio DNS y, a continuacin, escriba 192.168.0.118 en el campo Direcciones IP de los
servidores maestros. A continuacin, haga clic en Aceptar.

Paso 4: inicie una sesin en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local a continuacin, en el Administrador del servidor, haga clic
en Herramientas y enDNS.

Paso 5: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.

Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el


campoDominio DNS y, a continuacin, escriba 192.168.0.100 en el campo Direcciones IP de los
servidores maestros. A continuacin, haga clic en Aceptar.

Paso 7: cambie al servidor DC-01, en el Administrador del servidor, haga clic


en Herramientasy, a continuacin, en Usuarios y equipos de Active Directory.

Paso 8: cree el rbol de unidades organizativas siguiente:

INFONOVICE\Usuarios

INFONOVICE\RRHH

INFONOVICE\Grupos

INFONOVICE\Cuentas de servicio

Paso 9: cree la cuenta de usuario siguiente en la UO INFONOVICE\RRHH:

Nombre completo: Juan Dupont

Apellidos: Dupont

Nombre de pila: Juan

Inicio de sesin: jdupont

Contrasea: P@ssw0rd

E-mail: jdupont@infonovice.priv

Paso 10: cree la cuenta de usuario siguiente en la UO INFONOVICE\Usuarios:

Nombre completo: Marcos Lablanca

Apellidos: Lablanca

Nombre de pila: Marcos

Inicio de sesin: mlablanca

Contrasea: P@ssw0rd

E-mail: mlablanca@infonovice.priv

Paso 11: cree la cuenta de servicio siguiente en la UO INFONOVICE\Cuentas de servicio:


Nombre completo: svc-adrms

Apellidos: svc-adrms

Nombre de pila: svc-adrms

Inicio de sesin: svc-adrms

Contrasea: P@ssw0rd

Opciones de contrasea: La contrasea nunca expira

Paso 12: cree los siguientes grupos de seguridad en la UO INFONOVICE\Grupos, con las
caractersticas siguientes:

Nombre de grupo: GG_RH_Users

Tipo: Grupo de seguridad

mbito: Global

E-mail: RRHH@infonovice.priv

Miembros: Juan Dupont

Nombre de grupo: GG_MARKETING_Users

Tipo: Grupo de seguridad

mbito: Global

E-mail: marketing@infonovice.priv

Miembros: Marcos Lablanca

Nombre de grupo: GG_ADRMS_SuperUsers

Tipo: Grupo de seguridad

mbito: Global

E-mail: superusers@infonovice.priv

Paso 13: en DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en DNS.

Paso 14: despliegue el rbol de la consola hasta Zonas de bsqueda directa\infonovice.priv, a


continuacin, cree un alias CNAME con las siguientes caractersticas y haga clic en Aceptar:

Nombre de alias: CLUSTER-ADRMS

Nombre de dominio completo (FQDN): CLUSTER-ADRMS.infonovice.priv

Nombre de dominio completo (FQDN) para el host de destino: FILES-01.infonovice.priv


Paso 15: inicie una sesin en el servidor CS-02 (servidor de certificados que alberga la entidad
de certificacin empresarial emisora) con una cuenta de administrador del dominio Infonovice.priv.
Abra el Administrador del servidor, haga clic en Herramientas y, a continuacin, en Entidad de
certificacin.

Paso 16: despliegue el rbol de la consola para seleccionar el contenedor Plantillas de


certificado. Haga clic con el botn derecho encima y haga clic en Administrar.

Paso 17: en la lista de plantillas de certificado disponibles, seleccione el certificado Servidor Web,
haga clic con el botn derecho encima y haga clic en Plantilla duplicada.

Paso 18: en la ventana Propiedades de plantilla nueva, seleccione Windows Server 2012 en
el campo Entidad de certificacin de la seccin Compatibilidad y haga clic en Aceptar para
validar la seleccin. A continuacin, seleccione Windows 8 / Windows Server 2012 en el
campoDestinatario del certificado y haga clic en Aceptar para validar la seleccin.

Paso 19: haga clic en la pestaa General de la ventana Propiedades de plantilla nueva y
escriba Servidor Web ADRMS en el campo Nombre para mostrar de la plantilla. A continuacin,
marque la opcin Publicar certificado en Active Directory.

Paso 20: haga clic en la pestaa Seguridad de la ventana Propiedades de plantilla nueva y
haga clic en Agregar para seleccionar la cuenta de equipo FILES-01. Marque los
permisos Leer yInscribirse, a continuacin haga clic en Aceptar para cerrar las propiedades de
la nueva plantilla de certificado y cierre la consola de plantillas de certificado.
Paso 21: en la consola Entidad de certificacin, haga clic con el botn derecho en Plantillas de
certificado, haga clic en Nuevo y, a continuacin, en Plantilla de certificado que se va a emitir.
Seleccione la plantilla de certificado llamada Servidor Web ADRMS y, a continuacin, haga clic
enAceptar:
2. Instalar AD RMS
Este taller permite instalar el rol de servidor AD RMS en el servidor de archivos FILES-01. Este primer
servidor constituye el clster AD RMS.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar roles y
caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al rolActive


Directory Rights Management Services y, a continuacin, haga clic en el botn Agregar
caractersticas. A continuacin, haga clic en Siguiente:
La instalacin de los servicios AD RMS agrega a su vez el rol Servidor Web IIS.

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Active Directory Rights Management Services, haga clic en Siguiente.

Paso 6: en el paso Seleccionar servicios de rol, marque la opcin Servidor de Active Directory
Rights Management Services y, a continuacin, haga clic en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.

Paso 8: en el paso Seleccionar servicios de rol, haga clic en Siguiente.

Paso 9: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 10: en el paso Progreso de la instalacin, haga clic en Cerrar.

3. Configuracin posterior a la instalacin AD RMS


Este taller permite configurar el rol del servidor AD RMS en el servidor de archivos FILES-01.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en la bandera con la
notificacin amarilla. A continuacin, haga clic en Realice tareas de configuracin adicionales.

Paso 2: en la ventana de configuracin AD RMS, haga clic en Siguiente.

Paso 3: en el paso Clster de AD RMS, la opcin Crear un nuevo clster raz de AD RMS est
previamente seleccionada porque se trata de la configuracin del primer servidor de la
infraestructura. Haga clic en Siguiente.

Paso 4: en el paso Base de datos de configuracin, marque la opcin Usar Windows Internal
Database en este servidor y haga clic en Siguiente.

Paso 5: en el paso Cuenta de servicio, haga clic en Especificar para indicar la cuenta de
servicioINFONOVICE\svc-adrms. A continuacin, haga clic en Siguiente:
Paso 6: en el paso Modo criptogrfico, marque la opcin Modo criptogrfico 2 (esto permite
mejorar la seguridad) y, a continuacin, haga clic en Siguiente.

Paso 7: en el paso Almacenamiento de la clave del clster, marque la opcin Usar


almacenamiento de claves administrado centralmente por AD RMS y haga clic en Siguiente.

En un entorno de produccin, es recomendable seleccionar la opcin Usar almacenamiento de


claves CSP.

Paso 8: en el paso Contrasea de la clave del clster, escriba P@ssw0rd en el campo dedicado
a las contraseas y, a continuacin, haga clic en Siguiente.

Paso 9: en el paso Sitio web del clster, seleccione el rol Default Web Site y haga clic
enSiguiente.

Paso 10: en el paso Direccin de clster, marque la opcin Usar una conexin cifrada con
SSLen la seccin Tipo de conexin y, a continuacin, escriba CLUSTER-ADRMS.infonovice.priv en el
campo https:// de la seccin Nombre de dominio completo. A continuacin, haga clic
enSiguiente:
Paso 11: en el paso Certificado de servidor, marque la opcin Elegir un certificado existente
para cifrado SSL y, a continuacin, haga clic en Siguiente.

Paso 12: en el paso Certificado emisor de licencias, escriba INFONOVICEADRMS en el


campoNombre y, a continuacin, haga clic en Siguiente.

Paso 13: en el paso Registro de SCP, marque la opcin Registrar el SCP ahora y, a
continuacin, haga clic en Siguiente.

Paso 14: en el paso Confirmacin, haga clic en Instalar.

Paso 15: en el paso Resultado, compruebe que se han configurado los servicios AD RMS y, a
continuacin, haga clic en Cerrar.

Paso 16: abra el Administrador del servidor del servidor FILES-01, haga clic
en Herramientasy, a continuacin, en Administrador de Internet Information Services (IIS).

Paso 17: en la parte izquierda del rbol de la consola, seleccione el nombre del servidor. En la
parte central, haga doble clic en Certificados de servidor.

Paso 18: en la parte derecha, haga clic en Crear una solicitud de certificado.

Paso 19: en la ventana Solicitar certificado, escriba la siguiente informacin y, a continuacin,


haga clic en Siguiente:

Nombre comn: CLUSTER-ADRMS.infonovice.priv

Organizacin: INFONOVICE

Unidad organizativa: AD RMS

Ciudad o localidad: Madrid

Estado o provincia: Madrid

Pas o regin: ES
El campo Nombre comn corresponde a la URL definitiva, es decir http://CLUSTER-
ADRMS.infonovice.priv.

Paso 20: en el paso Propiedades de proveedor de servicios criptogrficos, seleccione una


longitud en bits de 2048 y, a continuacin, haga clic en Siguiente.

Paso 21: cree la carpeta C:\Certificados. En el paso Nombre de archivo,


escribaC:\Certificados\Solicitud.txt y haga clic en Finalizar.

Paso 22: abra el navegador Internet Explorer, escriba la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado.

Paso 23: haga clic en Solicitud avanzada de certificado.

Paso 24: haga clic en Enviar una solicitud de certificado con un archivo.

Paso 25: copie el contenido del archivo C:\Certificados\Solicitud.txt en la seccin Guardar


solicitud. Seleccione la plantilla de certificado Servidor Web ADRMS y, a continuacin, haga clic
enEnviar:
Paso 26: haga clic en Descargar certificado y guarde el archivo Certnew.cer en la
carpetaC:\Certificados\.

Paso 27: cambie a la consola de administracin IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.

Paso 28: en el paso Especificar respuesta de entidad de certificacin, seleccione la ubicacin


del archivo de respuesta C:\Certificados\certnew.cer, escriba Servidor Web ADRMS en el
campoNombre descriptivo y, a continuacin, seleccione Personal en el campo Seleccione un
almacn de certificados para el nuevo certificado. Haga clic en Aceptar.

Paso 29: cambie a la consola de administracin IIS, despliegue el rbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.

Paso 30: en la ventana Enlaces, haga doble clic en el tipo de vnculo https.

Paso 31: en la ventana Modificar enlace de sitio, introduzca la informacin siguiente y, a


continuacin, haga clic en Aceptar y en Cerrar.

Tipo: https

Puerto: 443

Nombre de host: CLUSTER-ADRMS.infonovice.priv

Certificado SSL: Servidor Web ADRMS


Paso 32: inicie una sesin en el servidor FILES-01.

4. Configurar la consola AD RMS


Este taller permite configurar la consola de administracin AD RMS en el servidor de archivos FILES-
01.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.

Paso 2: en el rbol de la consola, haga clic con el botn derecho en el nombre del clster servidor
local y, a continuacin, haga clic en Eliminar.

Paso 3: en la ventana Quitar clster, haga clic en S.

Paso 4: haga clic con el botn derecho en el nodo raz de la consola y haga clic en Agregar
clster.

Paso 5: en la ventana Agregar clster, seleccione HTTPS con nmero de puerto 443 en la
seccin Protocolo de conexin. Marque la opcin Equipo remoto y escriba cluster-
adrms.infonovice.priv en la seccin Conectar a. Marque la opcin Conectar como e introduzca las
credenciales de conexin de una cuenta de administrador del dominio Infonovice.priv, a
continuacin, haga clic en Finalizar.
Paso 6: la consola de administracin AD RMS permite, en lo sucesivo, administrar el clster a
travs de servicios web:

5. Configurar los superusuarios


Este taller permite configurar un grupo de superusuarios en el clster AD RMS. Los integrantes de
este grupo tienen la posibilidad de descifrar todo el contenido publicado en la infraestructura AD RMS.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Paso 2: despliegue el rbol de la consola y seleccione Superusuarios en el nodo Directivas de
seguridad.

Paso 3: en el men Acciones, haga clic en Habilitar superusuarios.

Paso 4: en la parte central de la consola, haga clic en Cambiar grupo de superusuarios.

Paso 5: en la ventana Superusuarios, haga clic en Examinar para seleccionar el grupo de


seguridad global GG_ADRMS_SuperUsers. Verifique que la direccin e-mail asociada al grupo de
seguridad se muestra correctamente en el campo Grupo de superusuarios y, a continuacin,
haga clic en Aceptar:

6. Configurar una plantilla de directiva


Este taller permite crear una plantilla de directiva de derechos que limita el uso de un contenido solo
para su lectura por parte de los usuarios del departamento de Marketing. El contenido protegido debe
configurarse con una expiracin en 5 das, que se corresponde con una semana laboral, y una licencia
de uso de 5 das.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.

Paso 2: despliegue el rbol de la consola hasta seleccionar Plantillas de directiva de


derechosbajo el nodo Directivas de confianza.

Paso 3: en el men Acciones, haga clic en Administrar plantillas de directiva de derechos


distribuidas y, a continuacin, haga clic en Crear plantilla de directiva de derechos distribuida.

Paso 4: en la ventana Crear plantilla de directiva de derechos distribuida, haga clic


en Agregaren el paso Agregar informacin de identificacin de plantilla.

Paso 5: en la ventana Agregar nueva informacin de identificacin de la plantilla, introduzca


los valores siguientes y, a continuacin, haga clic en Agregar:

Idioma: espaol (Espaa, alfabetizacin internacional)

Nombre: Lectura

Descripcin: Proteccin AD RMS - Copia o impresin restringidas

Paso 6: haga clic en Siguiente.

Paso 7: en el paso Agregar derechos de usuario, haga clic en Agregar en la seccin Usuarios y
derechos para especificar el grupo de seguridad global GG_MARKETING_Users (E-mail:
marketing@infonovice.priv) y, a continuacin, haga clic en Aceptar:

Paso 8: en la seccin Derechos de marketing@infonovice.priv, marque la opcin Ver y, a


continuacin, haga clic en Siguiente:
Paso 9: en el paso Especificar directiva de expiracin, indique un valor para la expiracin del
contenido, as como para la expiracin de la licencia de uso, igual a 5 das. A continuacin, haga
clic en Siguiente:
Paso 10: en el paso Especificar directiva extendida, marque la opcin Requerir una nueva
licencia de uso cada vez que se consuma contenido y, a continuacin, haga clic en Finalizar:
Paso 11: su plantilla de directiva de derechos aparece, ahora, en la consola, aunque la ubicacin
del archivo aparece como No establecido. Cree, en el servidor FILES-01, los directorios
siguientes con las caractersticas asociadas:

Directorio a crear: E:\Plantillas

Nombre de recurso compartido: Plantillas

Permisos de recurso compartido: svc-adrms (Lectura y Escritura)

Directorio a crear: E:\Compartir

Nombre de recurso compartido: Compartir

Permisos de recurso compartido: Todos (Lectura y Escritura)

Paso 12: en la consola de administracin de Consola de servicios AD RMS, haga clic en Cambiar
la ubicacin del archivo de plantillas de directiva de derechos distribuidas:

Paso 13: marque la opcin Habilitar exportacin y, a continuacin, especifique la ubicacin de


las plantillas escribiendo \\FILES-01\Plantillas. A continuacin, haga clic en Aceptar:

Paso 14: la plantilla de directiva de derechos distribuidos creada previamente aparece, ahora, en
la carpeta E:\Plantillas del servidor FILES-01:
7. Crear una directiva de exclusin
Este taller permite crear una directiva de exclusin de aplicacin para prohibir que se pueda consultar
el contenido protegido por AD RMS mediante versiones de Word obsoletas. Solo las versiones de
Word Office 2010 y 365 estarn aceptadas.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.

Paso 2: despliegue el rbol de la consola y seleccione Aplicaciones en el nodo Directivas de


exclusin.

Paso 3: en el men Acciones, haga clic en Habilitar exclusin de aplicaciones.

Paso 4: en el men Acciones, haga clic en Excluir aplicacin.

Paso 5: en la ventana Excluir aplicacin, escriba la siguiente informacin y, a continuacin, haga


clic en Finalizar:

Nombre del archivo de aplicacin: WINWORD.EXE

Versin mnima: 14.0.0.0

Versin mxima: 15.0.0.0


Paso 6: la exclusin de aplicaciones aparece, ahora, en la consola de administracin de Consola
de servicios AD RMS:

8. Proteger el contenido
Este taller permite crear un documento Word desde el pack Office 2010 y protegerlo antes de enviarlo
a otros usuarios. Una vez securizado el documento, se debe realizar una prueba para confirmar que
los usuarios del departamento de Marketing solo tienen derechos de lectura en el documento.

Paso 1: inicie una sesin en el equipo CLIENT1 con la cuenta de usuario Juan Dupont (nombre
de usuario: jdupont, contrasea: P@ssw0rd).

Paso 2: vaya al escritorio del usuario y cree un nuevo documento Word


llamadoConfidencial.docx.

Paso 3: abra el documento Word Confidencial.docx y escriba el texto siguiente: "Documento de


Recursos Humanos".

Paso 4: haga clic en la pestaa Archivo del documento Word y, a continuacin, vaya a la
seccinInformacin. En la seccin Permisos haga clic en Proteger documento, seleccione a
continuacinRestringir permisos por personas y haga clic en Administrar credenciales:

Paso 5: en primer lugar, la aplicacin Microsoft Word contacta con los servicios de dominio de
Active Directory para recuperar la URL del clster AD RMS:

Paso 6: a continuacin, se solicita al usuario sus credenciales de dominio INFONOVICE.priv.


Escriba el nombre de usuario jdupont y la contrasea P@ssw0rd. Marque la opcin Recordar mis
credenciales y haga clic en Aceptar.
Paso 7: la aplicacin verifica los datos de conexin proporcionados, para verificar que sus
credenciales estn autorizadas para acceder a los servicios AD RMS:

Paso 8: en la ventana Seleccionar caractersticas, haga clic en Aceptar:

Paso 9: en la ventana Permiso, marque la opcin Restringir el acceso a documento. En la


seccin Leer escriba la direccin de correo electrnico del usuario Marcos Lablanca, perteneciente
al departamento de MARKETING (mlablanca@infonovice.priv), y haga clic en Aceptar:
Paso 10: el documento Confidencial.docx est en adelante securizado. Guarde el archivo en la
direccin siguiente \\FILES-01\Compartir y, a continuacin, cierre la sesin del usuario jdupont:

Paso 11: inicie una sesin en el equipo CLIENT1 con la cuenta de usuario Marcos
Lablanca(nombre de usuario: mlablanca, contrasea: P@ssw0rd).

Paso 12: abra el archivo \\FILES-01\Compartir\Confidencial.docx.

Paso 13: introduzca las credenciales de conexin de la cuenta mlablanca, marque la


opcinRecordar mis credenciales y haga clic en Aceptar:
Paso 14: la aplicacin Microsoft Word verifica los datos proporcionados. Marque la opcin No
volver a mostrar este mensaje y haga clic en Aceptar:

Paso 15: una vez abierto el documento, intente modificar el contenido. Haga clic con el botn
derecho en la pgina para verificar que el conjunto de las opciones de modificacin o de copia
estn sombreadas:
Paso 16: haga clic en Archivo para confirmar que las opciones Guardar, Guardar
como eImprimir estn deshabilitadas:

Paso 17: haga clic en Proteger documento y, a continuacin, en Ver permisos para confirmar
que solo estn habilitadas las opciones de lectura mediante un programa:
Paso 18: transfiera el archivo Confidencial.docx al equipo CLIENT3 del dominio Oxyfilm.local, y abra
el documento despus de iniciar sesin con una cuenta de administrador del dominio
Oxyfilm.local.

Paso 19: acepte el certificado presentado por la URL del clster AD RMS y, a continuacin, haga
clic en S para aceptar la verificacin de las credenciales. El contenido no estar accesible porque
las credenciales de la cuenta de usuario proporcionada no forman parte de un dominio aprobado
por el clster AD RMS del dominio Infonovice.priv. Haga clic en No para no utilizar otro juego de
credenciales:

Para que los usuarios de otro dominio puedan acceder al contenido protegido por AD RMS, hay
que crear una directiva de confianza para aprobar al dominio que alberga a los usuarios.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los servicios de gestin de
derechos de Active Directory con la implementacin del rol de servidor AD RMS en Microsoft Windows
Server 2012 R2. Podra resumirse de la manera siguiente:

AD RMS constituye un medio excelente para proteger el contenido de los datos generados en
una organizacin implementando una tecnologa de gestin de derechos digitales como lo hara
un DRM para el contenido musical.

AD RMS es una extensin de los permisos NTFS y permite proteger la integridad de los datos.
Su implementacin permite prohibir, a aquellos usuarios con acceso al contenido, que lo copien,
impriman o incluso que lo transfieran.

AD RMS protege los documentos mediante un cifrado basado en un certificado y una licencia de
uso. Cualquier persona que desee leer un documento protegido por la infraestructura de
gestin de derechos de Active Directory debe contar con un cliente AD RMS actualizado, un
certificado de cuenta de derechos as como una licencia de uso.

Una infraestructura AD RMS debe configurarse para que las propias aplicaciones permitan
proteger el contenido.

Los equipos cliente que ejecuten Windows XP deben contar con al menos el Service Pack 2
para disponer del cliente AD RMS.

Por defecto, los servicios web de AD RMS escuchan en el puerto 80 de los servicios IIS. En un
entorno de produccin, es preferible implementar un acceso SSL HTTPS utilizando el puerto
443.

Una infraestructura AD RMS es compleja y est basada en varias tecnologas como: AD DS, AD
FS, AD CS.

Para extender las caractersticas de los servicios AD RMS hacia el exterior de la organizacin,
hay que crear una URL de clster Extranet.

Para aprobar otras infraestructuras AD RMS, hay que crear una directiva de confianza y, a
continuacin, intercambiar los certificados de licencia de los servidores.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Para qu sirve la clave de cifrado del clster AD RMS?

2 Qu es una licencia de publicacin?

3 Qu es una licencia de uso?

4 Qu es un clster raz?

5 Cuntos clsteres AD RMS pueden implementarse, como mximo, en un bosque Active


Directory ?

6 Cul es la utilidad del grupo superusuarios?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /6

Para este captulo, la puntuacin mnima es de 4/6.

3. Respuestas
1 Para qu sirve la clave de cifrado del clster AD RMS?

La clave de cifrado del clster AD RMS se genera durante la instalacin del primer servidor del
clster raz. Cada servidor que necesite unirse al clster raz debe presentar esta clave de cifrado.

2 Qu es una licencia de publicacin?

Cuando un usuario protege el contenido de uno de sus archivos, el clster asigna al documento
una licencia de publicacin que define los permisos del documento.

3 Qu es una licencia de uso?

Cuando un usuario autorizado intenta acceder al contenido protegido, el clster proporciona una
licencia de uso que permite abrir el archivo.

4 Qu es un clster raz?

Un clster raz de AD RMS representa un conjunto de servidores que ejecutan el rol de servidor AD
RMS. Los servidores pueden unirse mediante una URL de clster para responder a las peticiones de
licencias de uso y gestin de certificados.

5 Cuntos clsteres AD RMS pueden implementarse, como mximo, en un bosque Active


Directory?

Solo puede existir un nico clster AD RMS en un bosque Active Directory.

6 Cul es la utilidad del grupo superusuarios?

Los integrantes del grupo superusuarios reciben el conjunto de licencias propietarias para poder
descifrar todo tipo de contenido protegido por la infraestructura AD RMS.
Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos bsicos de la administracin de Windows Server 2012 R2.

Contar con nociones sobre la gestin de servicios de dominio Active Directory.

Contar con nociones sobre la gestin de relaciones de confianza de Active Directory.

2. Objetivos
Comprender la utilidad de los servicios de federacin de Active Directory.

Saber preparar una infraestructura de red antes de desplegar AD FS.

Saber instalar y configurar los servicios de federacin de Active Directory.


Servicios de federacin
Trabajar en un entorno Windows compuesto de una infraestructura de mltiples dominios y de varios
bosques requiere crear mltiples relaciones de confianza. Cuando se trata de trabajar con un
asociado que posee varios bosques, la tarea puede resultar ms complicada que lo previsto por el
administrador encargado de crear el conjunto de relaciones de confianza necesarias para compartir
los recursos entre varias entidades. Si las diferentes organizaciones se encuentran separadas entre
s por un vnculo WAN, los equipos de red deben comenzar un complicado proyecto de apertura de
flujos de datos, necesario para el correcto funcionamiento del trfico vinculado a Active Directory.
Estos mtodos no proporcionan un nivel de seguridad satisfactorio, ya que los controladores de
dominio internos no deben estar unidos directamente con el exterior, por medio de un canal de
comunicacin de tipo NAT (Network Address Translation). En un mundo ideal, los servicios de su
organizacin que pueden ser consultados desde el exterior deben situarse en un entorno de red o
permetro llamado "DMZ" (DeMilitarized Zone). El uso de una red perimetral aporta un nivel de
seguridad adicional y protege de esta forma sus recursos de un potencial acceso directo a los
servidores clave de su infraestructura informtica.

Para aportar a los administradores una mayor flexibilidad para la gestin de las relaciones de
confianza entre asociados u otros servicios en lnea, Microsoft ha implementado en su sistema
operativo Windows Server 2012 R2 los servicios de federacin de Active Directory. La tecnologa
existe desde Windows Server 2003 R2 pero, a partir de Windows Server 2008, los servicios de
federacin de Active Directory se presentan como un rol de servidor llamado AD FS (Active Directory
Federation Services).

1. Presentacin de AD FS
Active Directory Federation Services es un rol de servidor que permite extender la gestin de la
autenticacin al exterior de su red empresarial. La implementacin de esta tecnologa no requiere la
apertura de los diferentes canales de red empleados por el trfico de los servicios de dominio de
Active Directory, sino que simplemente se conforma con el uso de comunicaciones cifradas a travs
del protocolo HTTPS (puerto generalmente abierto previamente en el firewall de una infraestructura
que ya publica servicios web o de mensajera Webmail). Los servicios de federacin proporcionados
por el rol de servidor AD FS permite obtener una nica autenticacin (SSO: Single Sign On) en las
aplicaciones de tipo Web (Web SSO). No es necesario trabajar con varias organizaciones para
implementar AD FS. Tambin podemos utilizar AD FS dentro de una misma organizacin, o entre dos
bosques que posean relaciones de confianza entre s. AD FS en Windows Server 2012 R2 se basa
en la versin AD FS 3.0 y Microsoft ha agregado comandos de gestin PowerShell adicionales as
como una integracin con el control de acceso dinmico.

a. Funcionamiento de AD FS

El rol de servidor Active Directory Federation Services requiere la instalacin de una


infraestructura compleja. Ya que las comunicaciones estn securizadas empleando un cifrado
basado en certificados, la infraestructura interna de su organizacin puede necesitar el uso de los
servicios de certificados AD CS.

AD FS permite autorizar a los usuarios de sus asociados a acceder a sus recursos. Cuando un
usuario intenta acceder a uno de sus recursos contenido dentro del permetro de publicacin, los
servicios de federacin efectan un proceso de validacin automtico utilizando la informacin de
conexin introducida y la informacin de autenticacin del usuario que previamente ha abierto una
sesin en su dominio de origen (anlisis del token de acceso Windows). De esta forma, la
infraestructura AD FS comunica con los servicios de dominio AD DS internos o los de sus asociados.
Esto permite asegurar que las credenciales proporcionadas son vlidas antes de presentar y
autorizar el acceso al recurso solicitado. Si uno de sus asociados no cuenta con el directorio AD DS,
los servicios de federacin pueden, tambin, trabajar de manera conjunta con el rol de servidor AD
LDS (Active Directory Lightweight Directory Services), que es el equivalente a un servicio de
directorio ms ligero que los servicios de directorio de AD DS. Mediante este proceso de
autenticacin, los usuarios de cada organizacin federada solo tienen la necesidad de autenticarse
durante el inicio de sesin de su equipo cliente para utilizar a continuacin una aplicacin web sin
tener que identificarse de nuevo (sin necesidad de introducir el nombre de usuario y la
contrasea).

AD FS es compatible con una extensa gama de servicios y aplicaciones. Encontramos, en particular,


AD FS en las implementaciones siguientes:

Servicios Web (sitios web, Extranet, Webmail, etc.)

Servicios AD RMS

Servicios Cloud (ejemplo de Cloud Azure de Microsoft)

Servicios Citrix

Para trabajar con otras organizaciones que utilicen a su vez servicios de federacin y servicios de
dominio Active Directory, los administradores a cargo de la implementacin de AD FS deben crear
relaciones de confianza federadas.

No hay que confundir las relaciones de confianza (que hacen referencia a la relacin de
confianza tradicional entre los bosques de Active Directory) con las relaciones de confianza de
federacin (que hacen referencia a una relacin de confianza federada entre dos bosques de
Active Directory).

La creacin de una relacin de confianza de federacin requiere especificar claramente los


elementos siguientes:

Los recursos accesibles

Los usuarios autorizados

Dado que la autenticacin de los usuarios est basada, en parte, en los token de acceso
Windows, la sincronizacin horaria de los equipos de la infraestructura juega un rol importante. El
emulador PDC de cada controlador de dominio tiene la funcin de sincronizar la hora de los
equipos correspondientes. Sin embargo, si trabajamos con diferentes organizaciones que
gestionan sus propios directorios AD DS, no es sencillo gestionar estos datos horarios. Por este
motivo, Microsoft recomienda a todas las organizaciones basar su sincronizacin horaria en
servidores externos, utilizando el protocolo NTP (Network Time Protocol).

Cuando un usuario se autentica en una aplicacin compatible con AD FS, el navegador web crea
una cookie local, permitiendo asi al usuario autenticarse en SSO ms rpidamente.

b. Administracin de AD FS

La administracin del rol de servidor AD FS se realiza a travs de un complemento situado en la


siguiente ubicacin: %windir%\ADFS\Microsoft.IdentityServer.msc

El asistente de instalacin del rol de servidor AD FS instala a su vez el servicio Active Directory
Federation Services:
Este servicio se encuentra detenido por defecto. Primero hay que configurar los servicios de
federacin empleando el asistente de la consola de administracin AD FS para poder arrancar el
servicio.

Al aadir el rol de servidor AD FS se instalan tambin los servicios Web (IIS) con la
caractersticaAutenticacin de asignaciones de certificado de cliente.

El asistente de instalacin ofrece dos tipos de instalacin de los servicios de federacin. Es posible
realizar los siguientes tipos de instalacin:

Instalacin de un servidor independiente: esta opcin solo debe favorecerse en


infraestructuras de pequea envergadura o entornos de prueba porque no ofrece alta
disponibilidad. Seleccionando esta opcin, no es posible crear una granja de servidores AD
FS.

Instalacin en una granja de servidores: esta opcin permite dotar de alta disponibilidad a
los servicios de federacin, adems de un sistema de equilibrio de carga de los servidores
AD FS.

Cuando los servicios de federacin se configuran desde la consola de Administracin AD FS el rbol


aparece de la siguiente forma:

Servicio:

Extremos

Certificados

Descripciones de notificaciones

Relaciones de confianza:

Confianzas de proveedores de notificaciones

Veracidades de usuarios de confianza

Almacenes de atributos

2. Notificaciones
Las notificaciones contienen informacin especfica acerca de un usuario o un equipo que se
autentica en una aplicacin compatible con AD FS.

Cuando un usuario realiza una solicitud de acceso a una aplicacin Web, el directorio AD DS que
efecta la autenticacin puede proporcionar las notificaciones solicitadas a un servidor de federacin
que transmite, a su vez, los datos a la aplicacin.

AD FS soporta tres tipos de notificaciones:

Notificaciones de usuarios: este tipo de notificacin es relativo a los atributos del usuario
que puede presentarse a un servidor de federacin. El atributo UPN (User Principal Name)
representa el atributo con mayor prioridad. Las direcciones de correo electrnico se utiliza,
tambin como parmetros de notificacin de usuario.

Notificaciones de grupo: las notificaciones pueden estar basadas en la pertenencia a grupos


de usuarios.

Notificaciones personalizadas: las notificaciones personalizadas permiten definir atributos


no convencionales o especficos vinculados a un usuario. Algunos atributos importantes como
la UPN o la direccin de correo electrnico pueden ser mltiples, o uno solo de entre estos
tipos de atributos puede tenerse en cuenta durante una notificacin de identidad. Por esta
razn las UPN o las direcciones de correo electrnico pueden configurarse como notificaciones
personalizadas.

3. Infraestructura AD FS
Una infraestructura AD FS puede complicarse muy rpidamente en funcin del nmero de asociados
que requieran acceso a los recursos de la organizacin. Por este motivo, resulta muy importante
conocer bien los diferentes componentes de una infraestructura AD DS.

a. Infraestructura

Una infraestructura AD FS entre dos asociados que permita un acceso a las aplicaciones Web
externas se presenta segn el esquema siguiente:

El proceso de autenticacin SSO en un servidor Web que hospeda aplicaciones compatibles con AD
FS es el siguiente:

1. Un usuario miembro de la asociacin AD FS realiza una solicitud de acceso a un


sitio web externo mediante una URL.

2. Un agente ubicado en el servidor Web se encarga de verificar los datos


proporcionados transmitiendo una solicitud a un servidor proxy de federacin de
recursos.

3. Empleando las notificaciones proporcionadas por la autenticacin del usuario en


su dominio de origen, el servidor proxy AD FS del entorno correspondiente que
contenga los recursos transmite las notificaciones recogidas a un servidor AD FS
interno al dominio de los recursos.

4. Si el usuario no existe en el directorio Active Directory del dominio de los


recursos, el servidor AD FS del dominio de los recursos contacta entonces con el
directorio Active Directory del dominio de la cuenta que enva la solicitud al
destino del servidor proxy AD FS del dominio de los recursos. El servidor proxy
AD FS del dominio de los recursos transfiere la peticin al servidor proxy AD FS
del dominio de cuentas para contactar con el servidor AD FS del dominio de
cuentas.

5. El servidor AD FS del dominio de cuentas que est conectado al directorio Active


Directory puede ahora verificar las notificaciones del usuario, al igual que sus
derechos de acceso.

6. Una vez validadas las notificaciones de usuario, el servidor AD FS de cuentas


genera un token de seguridad que contiene las notificaciones del usuario as
como un certificado digital del servidor AD FS de cuentas.

7. El servidor AD FS de cuentas responde al servidor AD FS de recursos empleando


una peticin que contiene el token de seguridad. La comunicacin entre los dos
asociados de federacin pasa nuevamente a travs de los servidores proxy de
federacin.

8. El servidor AD FS de recursos extrae la informacin del token de seguridad para


evaluar las notificaciones del usuario.

9. Se genera un nuevo token de seguridad y se presenta al servidor web.

10. El navegador web crea una cookie local para que el usuario pueda volver a
conectarse al sitio Web con SSO.

b. Componentes

Una infraestructura AD FS posee los siguientes componentes:

Servidores de federacin: los servidores de federacin poseen el rol del servidor AD FS.
Encontramos generalmente un servidor de federacin en el dominio que alberga los
recursos y otro en el dominio que alberga las cuentas de usuario.

Proxys de servidor de federacin: los proxys de servidor de federacin poseen, adems,


el rol AD DS pero estn ubicados en la red perimetral para reenviar a los servidores de
federacin ubicados en la red interna. Encontramos tambin los proxys de servidores de
federacin respectivamente en las redes perimetrales de los dominios de cuentas y los
dominios de recursos.

Las aplicaciones habilitadas para AD FS: las aplicaciones habilitadas para AD FS


representan las aplicaciones albergadas en los servidores Web.

Los controladores de dominio AD DS: los controladores de dominio permiten autenticar a


los usuarios y asignarles tkens de seguridad. Por lo general, encontramos controladores
de dominio en los dominios de cuentas y los dominios de recursos. Si una organizacin no
utiliza los servicios de AD DS, se puede utilizar a su vez una instancia de AD LDS para
administrar la correspondencia de las cuentas de usuario.

Los clientes: los clientes son los usuarios que desean acceder a las aplicaciones habilitadas
para AD FS a travs de su equipo cliente. Una vez autenticados en el dominio AD DS de su
organizacin, pueden acceder a las aplicaciones Web externas a su organizacin y
habilitadas para AD FS sin tener que volver a introducir sus credenciales de conexin.

Las notificaciones: las notificaciones pueden ser de varios tipos. Pueden ser notificaciones
de identidad, de proveedor, de grupo, etc. Las notificaciones contienen por ejemplo, el
conjunto de datos vinculados al objeto de usuario o equipo.

Los certificados: la infraestructura AD FS emplea certificados digitales que pueden emitirse


mediante una entidad de certificacin interna. Los servicios de certificados AD CS pueden
formar parte integral de una infraestructura AD FS. El uso de certificados emitidos por una
entidad de certificacin interna obliga a cada parte a aprobar estos certificados emitidos por
la entidad interna.

Los almacenes de atributos: permiten almacenar la informacin de notificaciones de los


usuarios.

Las veracidades de usuarios de confianza: son los servidores de federacin que reciben
los tokens de seguridad (tokens) de los usuarios externos a partir de un proveedor de
notificaciones aprobado. El servidor de federacin acepta las notificaciones proporcionadas
y genera nuevos tokens de seguridad que puede utilizar el servidor Web para autorizar a
los usuarios remotos.

4. Instalar y configurar AD FS
La instalacin de los servicios de federacin Active Directory requiere el conocimiento de las
siguientes recomendaciones y requisitos previos:

La instalacin del rol de servidor AD FS no requiere forzosamente permisos de administracin


en el dominio Active Directory correspondiente. Es posible instalar este rol de servidor en un
servidor miembro con permisos de administrador local.

Aunque sea prctico en un entorno de pruebas, no es recomendable instalar el rol de


servidor AD FS en un controlador de dominio. Si tiene la posibilidad, es muy recomendable
utilizar un servidor miembro dedicado.

Los controladores de dominio deben configurarse en sistemas operativos Windows Server


2003 Service Pack 1 como mnimo.

Los servidores AD FS deben pertenecer a un dominio AD DS mientras que los proxys de


servidores AD FS no tienen que estar, necesariamente, integrados en un dominio.

AD FS soporta los almacenes de atributos siguientes:

AD DS

AD LDS

ADAM

Microsoft SQL 2005 y superiores

AD FS puede realizar las funciones siguientes:

Proveedor de notificacin

Proxy de servidor de federacin

Usuario de confianza

El asistente de configuracin de los servicios de federacin AD FS realiza las acciones siguientes:


Trabajos prcticos
La empresa INFONOVICE desea implementar los servicios de federacin de Microsoft para trabajar con
su nuevo asociado OXYFILM.

Para responder a esta necesidad, se le pide implementar la tecnologa AD FS para extender las
funcionalidades de los componentes AD RMS internos y obtener un acceso Web SSO para los servicios
Web de la empresa.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: Controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CS-03: Entidad de certificacin emisora (CA empresarial), Infonovice.priv

Direccin IP: 192.168.0.120

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\ D:\, E:\

FILES-01: Servidor de archivos, AD RMS, AD FS, Infonovice.priv

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones: C:\, E:\ (50 GB)

FS-01: Servidor de archivos, Proxy AD FS, Infonovice.priv

Direccin IP: 192.168.0.121

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLIENT1: Cliente DNS y DHCP, Pack Office 2010, Infonovice.priv

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

DC-05: Controlador de dominio oxyfilm.local, servidor DNS, AD CS (CA empresarial emisora)

Direccin IP: 192.168.0.118

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

1. Preparar el despliegue AD FS
Este taller permite preparar la instalacin del rol de servidor AD FS.
Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv en el Administrador del servidor, haga clic en Herramientas y, a continuacin,
enDNS.

Paso 2: despliegue el rbol de la consola , haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.

Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el


campoDominio DNS y, a continuacin, escriba 192.168.0.118 en el campo Direcciones IP de los
servidores maestros. A continuacin, haga clic en Aceptar.

Paso 4: inicie una sesin en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local y, a continuacin, en el Administrador del servidor, haga clic
en Herramientas y enDNS.

Paso 5: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.

Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el


campoDominio DNS y, a continuacin, escriba 192.168.0.100 en el campo Direcciones IP de los
servidores maestros. A continuacin, haga clic en Aceptar.

Paso 7: verifique la sincronizacin horaria de los dos controladores de dominio y los equipos
integrantes del dominio. El conjunto de los equipos de la infraestructura debe estar
perfectamente sincronizado.

Paso 8: acceda al servidor FILES-01 y, desde el Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de Internet Information Services (IIS).

Paso 9: en el rbol de la consola, haga clic en el nombre del servidor y, a continuacin, en la


parte central, haga doble clic en Certificados de servidor.

Paso 10: en la parte derecha, haga clic en Crear de certificado de dominio.

Paso 11: en la ventana Solicitar certificado, escriba la siguiente informacin y, a continuacin,


haga clic en Siguiente:

Nombre comn: FILES-01.infonovice.priv

Organizacin: INFONOVICE

Unidad organizativa: AD FS

Ciudad o localidad: Madrid

Estado o provincia: Madrid

Pas o regin: ES
Paso 12: en el paso Entidad de certificacin en lnea, haga clic en Seleccionar para indicar la
entidad de certificacin Infonovice-Root-CA (hospedada en el servidor CS-03, que debe instalarse
y configurarse segn los requisitos previos del taller). Escriba FILES-01.infonovice.priv en el
campoNombre descriptivo y haga clic en Finalizar:
Paso 13: en la consola Administrador de Internet Information Services (IIS), despliegue el
rbol de la consola para seleccionar el sitio Default Web Site. En la parte derecha, haga clic
enEnlaces.

Paso 14: en la ventana Enlaces de sitios, haga clic en Agregar.

Paso 15: en la ventana Agregar enlace de sitio, introduzca la informacin siguiente y haga clic
en Aceptar:

Tipo: https

Direccin IP: Todas las no asignadas

Puerto: 443

Nombre de host: FILES-01.infonovice.priv

Certificado SSL: FILES-01.infonovice.priv


Paso 16: en la ventana Enlaces de sitios, haga clic en Cerrar y cierre la ventana
delAdministrador de Internet Information Services (IIS).

Paso 17: acceda al servidor DC-01 y navegue a la carpeta \\DC-05.oxyfilm.local\CertEnroll. A


continuacin, copie el archivo DC-05.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio
Windows.

Paso 18: en el Administrador del servidor, haga clic en Herramientas y, a continuacin,


enAdministracin de directivas de grupo.

Paso 19: despliegue el rbol de la consola para editar el objeto de directiva de


grupoDefault Domain Policy.

Paso 20: en la ventana Editor de administracin de directivas de grupo, despliegue el rbol de


la consola para seleccionar el contenedor siguiente:

Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de


seguridad - Directivas de clave pblica - Entidades de certificacin raz de confianza

Paso 21: haga clic con el botn derecho en Entidades de certificacin raz de confianza y, a
continuacin, haga clic en Importar.

Paso 22: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.

Paso 23: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
05.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.

Paso 24: en el paso Almacn de certificados, haga clic en Siguiente.

Paso 25: en el paso Finalizacin del Asistente para importar certificados, haga clic
enFinalizar.

Paso 26: acceda al servidor DC-05 y navegue a la carpeta \\DC-03.oxyfilm.local\CertEnroll. A


continuacin, copie el archivo DC-03.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio
Windows.

Paso 27: en el Administrador del servidor, haga clic en Herramientas y, a continuacin,


enAdministracin de directivas de grupo.

Paso 28: despliegue el rbol de la consola para editar el objeto de directiva de


grupoDefault Domain Policy.

Paso 29: en la ventana Editor de administracin de directivas de grupo, despliegue el rbol de


la consola para seleccionar el contenedor siguiente:

Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de


seguridad - Directivas de clave pblica - Entidades de certificacin raz de confianza

Paso 30: haga clic con el botn derecho en Entidades de certificacin raz de confianza y, a
continuacin, haga clic en Importar.

Paso 31: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.

Paso 32: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
03.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.

Paso 33: en el paso Almacn de certificados, haga clic en Siguiente.

Paso 34: en el paso Finalizacin del Asistente para importar certificados, haga clic
enFinalizar.

Paso 35: acceda al servidor FILES-01, descargue e instale el archivo Windows Identity
Foundation SDK - Espaol (WindowsIdentityFoundation-SDK-3.5.msi).

2. Instalar los servidores AD FS


Este taller permite preparar la instalacin del rol de servidor AD FS en los respectivos servidores de
los dominios Infonovice.priv y Oxyfilm.local.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al


rolServicios de federacin de Active Directory y, a continuacin, haga clic en el botn Agregar
caractersticas. A continuacin, haga clic en Siguiente:
La instalacin de los servicios AD RMS agrega a su vez el rol Servidor Web IIS.

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Servicios de federacin de Active Directory (AD FS), haga clic enSiguiente.

Paso 6: en el paso Seleccionar servicios de rol, haga clic en Siguiente.

Paso 7: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 8: en el paso Progreso de la instalacin, no cierre la ventana y haga clic en Configure el


servicio de federacin en este servidor.

Paso 9: en el centro de la consola AD FS, haga clic en el vnculo Asistente para configurar el
servidor de federacin de AD FS:

Paso 10: en la ventana Asistente para la configuracin de los Servicios de federacin de


Active Directory (ADFS), dentro de la pgina principal, marque la opcin Crear el primer
servidor de federacin de una granja de servidores de federacin y haga clic en Siguiente.

Paso 11: en el paso Seleccionar tipo de implementacin, marque la opcin Servidor de Entidad
de certificacin y, a continuacin, haga clic en Siguiente.
Paso 12: en el paso Nombre del servicio de federacin, verifique que el certificado SSL
seleccionado es FILES-01.infonovice.priv y haga clic en Siguiente.

Paso 13: en el paso Resumen, haga clic en Siguiente.

Paso 14: en el paso Resultados, haga clic en Cerrar.

Paso 15: inicie una sesin en el equipo CLIENT1 con las credenciales del usuario Juan
Dupont (nombre de usuario: jdupont y contrasea: P@ssw0rd). Abra Internet Explorer y valide la
instalacin accediendo a la siguiente URL: https://FILES-
01.infonovice.priv/federationmetadata/2007-06/federationmetadata.xml

Paso 16: repita las operaciones 1 a 14 en el servidor FS-02 del dominio Oxyfilm.local.

3. Configurar la firma de tokens


Este taller permite configurar el rol de servidor AD FS para la firma de tokens de seguridad.

Paso 1: inicie una sesin en el servidor FILES-01 con credenciales de administracin del
dominioInfonovice.priv y, a continuacin, abra un smbolo de sistema PowerShell.

Paso 2: escriba el comando siguiente:

set-ADFSProperties -AutoCertificateRollover $False

Paso 3: en el Administrador del servidor, haga clic en Herramientas y, a continuacin,


enAdministracin de AD FS.

Paso 4: despliegue el rbol de la consola, haga clic con el botn derecho en ADFS \ Servicio \
Certificados, y haga clic en Agregar certificado de firma de token.

Paso 5: en la ventana Seguridad de Windows, seleccione el certificado llamado FILES-


01.infonovice.priv y haga clic en Aceptar.

Paso 6: en la ventana AD FS, haga clic en S y, a continuacin, en Aceptar para ignorar los
mensajes de informacin.

Paso 7: en la seccin Firma de token, haga clic con el botn derecho en el certificado con el
nombre de objeto CN=FILES-01.infonovice.priv y, a continuacin, haga clic en Establecer como
principal.
Paso 8: en la ventana AD FS, haga clic en S para ignorar el mensaje informativo.

Paso 9: a continuacin, elimine el segundo certificado de la seccin Firma de token.

4. Configurar las notificaciones


Este taller permite configurar las reglas de notificaciones para AD FS.

Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, arranque el Administrador del servidor. Haga clic
enHerramientas y, a continuacin, en Administracin de AD FS.

Paso 2: despliegue el rbol de la consola para seleccionar el contenedor AD FS \ Relaciones de


confianza \ Confianzas de proveedores de notificaciones. En la parte central, haga clic con el
botn derecho en Active Directory y haga clic en Editar reglas de notificacin.

Paso 3: en la ventana Editar reglas de notificacin para Active Directory, haga clic en Agregar
regla.

Paso 4: en el paso Seleccionar plantilla de regla, en la lista desplegable, seleccione Enviar


atributos LDAP como notificaciones y haga clic en Siguiente.

Paso 5: en el paso Configurar regla, introduzca los elementos siguientes, haga clic
en Finalizary, a continuacin, en Aceptar:

Nombre de regla de notificacin: Transmitir conjunto de atributos LDAP configurados

Almacn de atributos: Active Directory

Asignacin de atributos LDAP a los tipos de notificacin saliente:

User-Principal-Name: UPN

E-Mail-Adresses: Direccin de correo electrnico de AD FS1.x

Display-Name: Nombre

5. Instalar los proxys AD FS


Este taller permite instalar los proxys de servidor AD FS el servidor de archivos FS-01.

Paso 1: inicie una sesin en el servidor FS-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al


rolServicios de federacin de Active Directory y, a continuacin, haga clic en el botn Agregar
caractersticas. A continuacin, haga clic en Siguiente.
La instalacin de los servicios AD RMS agrega a su vez el rol Servidor Web IIS.

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Servicios de federacin de Active Directory, haga clic en Siguiente.

Paso 6: en el paso Seleccionar servicios de rol, marque la opcin Proxy FSP y, a continuacin,
haga clic en Siguiente.

Paso 7: deje las dems opciones por defecto haciendo clic en Siguiente y, por ltimo, haga clic
en Instalar.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los servicios de Federacin de
Active Directory con la implementacin del rol de servidor AD FS en Microsoft Windows Server 2012 R2.
Podra resumirse de la manera siguiente:

AD FS permite extender la autenticacin de un usuario ms all de su dominio de pertenencia,


para poder acceder a los recursos albergados en las infraestructuras de asociados aprobados.

AD FS es un rol de servidor integrado en el sistema operativo Windows Server 2012 R2.

AD FS utiliza el puerto de comunicaciones HTTPS combinado con el uso de certificados SSL.

El almacn de atributos debe especificarse al implementar el primer servidor AD FS para que los
dems servidores lo utilicen.

Antes de ser accesibles para los usuarios, las aplicaciones deben primero estar habilitadas
para funcionar con AD FS. Un administrador debe crear las notificaciones adecuadas que deben
presentarse a la aplicacin.

AD FS permite realizar una autenticacin SSO para las aplicaciones de tipo Web.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Sobre qu versin de AD FS estn basados los servicios de federacin de Active Directory?

2 Qu puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?

3 Qu acciones debe realizar un administrador para agregar otros servidores AD FS a la


infraestructura durante la instalacin del rol de servidor AD FS en modo servidor
independiente?

4 Qu tipo de notificaciones soporta AD FS?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /4

Para este captulo, la puntuacin mnima es de 3/4.

3. Respuestas
1 Sobre qu versin de AD FS estn basados los servicios de federacin de Active Directory?

Los servicios de federacin Active Directory se basan en la versin AD FS 3.0.

2 Qu puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?

Los servicios de federacin Active Directory solo necesitan el puerto 443 para intercambiar
informacin mediante el protocolo HTTPS.

3 Qu acciones debe realizar un administrador para agregar otros servidores AD FS a la


infraestructura durante la instalacin del rol de servidor AD FS en modo servidor
independiente?

Si el rol de servidor AD FS est instalado como servidor independiente, no es posible agregar otros
servidores. El administrador deber desinstalar el rol de servidor para volver a instalarlo en modo
granja de servidores.

4 Qu tipo de notificaciones soporta AD FS?

AD FS soporta las notificaciones de usuario, grupo y personalizadas.


Requisitos previos y objetivos

1. Requisitos previos
Instalar y configurar la direccin IP de un equipo cliente.

Instalar y configurar la direccin IP de dos servidores con el rol IIS.

Saber instalar una funcionalidad de servidor.

2. Objetivos
Comprender la nocin de reparto de carga.

Instalar el componente NLB.

Configurar un clster NLB.

Unir un host a un clster NLB.


El reparto de carga
El balanceo de carga informtico es una nocin bien conocida que se describe con detalle en los
siguientes prrafos.

1. Presentacin del reparto de carga


En el dominio de la informtica, el reparto de carga (o equilibrio de carga) (Load Balancing) consiste
en implementar una tecnologa que permita a los usuarios acceder a un servicio con tiempos de
acceso reducidos, una seguridad robusta y una alta disponibilidad de servidores y aplicaciones.

En comparacin, imagine una sala de cine con varias pelculas y una sola taquilla abierta. Si varios
clientes acuden a la vez, el taquillero se ver rpidamente desbordado y los clientes estarn
descontentos por la espera para acceder al contenido deseado. En este momento el cine abrir una
o ms taquillas para repartir la carga de trabajo entre varios empleados reduciendo as el tiempo de
espera de los clientes. En este caso concreto, la alta disponibilidad se garantiza mediante la difusin
de una misma pelcula en dos salas diferentes.

Extrapolemos este ejemplo llevndolo a una infraestructura informtica. Una empresa (el cine, en
nuestro ejemplo) que posea un nico servidor web (la pelcula, en nuestro ejemplo) y que no utilice
ninguna tcnica de reparto de carga se ver rpidamente saturado por un pico de utilizacin del
servicio por varios usuarios. La implementacin de una tcnica de reparto de carga consistir en
agregar uno o varios servidores ofreciendo un contenido idntico para que los usuarios puedan
acceder a travs de un punto de acceso nico (la taquilla de cine, en nuestro ejemplo). El equilibrio
de carga permite de esta forma incrementar la seguridad de un sistema de informacin ofreciendo
redundancia a los servidores y un acceso viable incluso en caso de fallo de uno de los servidores.

A una agrupacin de servidores se le denomina una granja, pero en una solucin de reparto de
carga hablaremos en concreto de un clster. Cada servidor integrado en un clster se representa
como un nodo del clster. Las peticiones de los usuarios se distribuyen, de esta manera, entre los
nodos que componen el clster.

Antes de implementar una solucin de reparto de carga, debemos conocer que existen varias
tecnologas software o hardware.

a. Tecnologas existentes

Para implementar una solucin de equilibrio de carga dentro de una infraestructura informtica,
debemos plantearnos la pregunta de qu tecnologa utilizar. Las soluciones hardware presentan
muchas ms opciones de configuracin y administracin que las soluciones software aunque son,
sin embargo, mucho ms costosas. Las soluciones software son en su mayora fciles de
implementar y ofrecen una excelente solucin de alta disponibilidad a menor coste. Cada una de
las tecnologas disponibles estar ms o menos adaptada a un servicio de su infraestructura.

Las soluciones hardware consisten en cabinas de red que registran las solicitudes
entrantes de los clientes que llegan a una direccin IP virtual para distribuirla a un host
disponible en un clster. Hoy en da, varios fabricantes ofrecen soluciones de reparto de
carga por hardware (por ejemplo, las cabinas ALOHA de Exceliance, NetScaler de
CITRIX,ACE de CISCO, etc.).

Las soluciones software consisten en implementar funcionalidades vinculadas a un sistema


operativo, a un rol de servidor o software de terceros. Encontraremos en particular:

El reparto de carga de red o NLB (Network Load Balancing): esta solucin es una
funcionalidad integrada en Windows, fcil de implementar y de administrar. El principio de
funcionamiento consiste en repartir las peticiones entrantes a travs del
protocoloTCP/IP (Transmission Control Protocol/Internet Protocol) entre los servidores
disponibles de un clster.

El DNS Round-Robin (operacin por turnos): esta solucin de equilibrio de carga consiste
en registrar varias direcciones IP para un mismo nombre de dominio. Mediante un
mecanismo llamado de operacin por turnos, el servidor DNS atribuir una direccin IP por
reparto (mediante aquellas presentes en la configuracin del nombre de dominio
especifico) a los clientes que realicen una solicitud de resolucin de ese nombre de
dominio.

El software de terceros: hoy en da, varios fabricantes ofrecen aplicaciones de reparto de


carga basadas en el mismo principio que la tecnologa NLB. La mayora son del mundo
Open Source (que debe traducirse como cdigo abierto disponible). Encontraremos en
particular HAProxy la ms conocida, o IPVS.

b. Ventajas e inconvenientes

Las soluciones hardware:

Las ventajas:

Atacando una direccin IP virtual llamada VIP, los servidores que componen el clster
estn protegidos porque el usuario no conoce directamente la direccin IP de los
servidores que componen el clster

Alta disponibilidad

Compatibilidad con varios protocolos

Los inconvenientes:

Soluciones costosas

Se requieren a veces poseer competencias particulares, o la necesidad de contratar


personal cualificado para la administracin de la aplicacin, soporte del fabricante, o de
un tercero.

El reparto de carga de red (Network Load Balancing):

Las ventajas:

Fcil de implementar

Integrado en Windows

Gratuito

Atacando una direccin IP virtual llamada VIP, los servidores que componen el clster
estn protegidos porque el usuario no conoce directamente la direccin IP de los
servidores que componen el clster.

Alta disponibilidad

Los servidores HS estn automticamente excluidos del clster

Los inconvenientes:

Capacidad limitada a 32 nodos en un clster (Microsoft aconseja un mximo de 8 por


clster).

No permite verificar el estado de un servicio. Si un servicio se encuentra inactivo pero es


posible agregar el servidor host, el reparto de carga distribuir de manera uniforme el
trfico al servidor fuera de servicio.

DNS Round-Robin:

Las ventajas:

Fcil de implementar
Integrado en Windows

Gratuito

Los inconvenientes:

Esta solucin no permite conocer el estado de un servidor. Los usuarios pueden verse
dirigidos a un servidor fuera de servicio.

El software de terceros:

Las ventajas:

Son, frecuentemente, soluciones open source, el software de terceros puede ser


gratuito. Se benefician, a su vez, de toda una comunidad de desarrolladores
garantizando de esta forma un soporte de la aplicacin y actualizaciones regulares.

Alta disponibilidad

Los inconvenientes:

Si el software sufre un problema, los servidores del clster no estarn accesibles.


El reparto de carga de red
El reparto de carga de red consiste en distribuir la carga mediante el protocolo TCP/IP. Esta tecnologa
utiliza el driver nlb.sys ubicado en la siguiente carpeta: C:\Windows\System 32\Driv ers

1. Network Load Balancing


El Network Load Balancing (reparto de carga de red) es un componente integrado en Windows que
permite implementar una tecnologa de reparto de carga por software. Este mtodo lo utilizan,
principalmente, las aplicaciones web (sitios de Internet, servicios Web, FTP (File Transfer Protocol),
etc.), o los servicios Terminal Server. Para implementar esta funcionalidad, es necesario crear un
clster de servidores y los usuarios accedern al servicio mediante una direccin IP virtual. Segn el
modo de reparto de carga definido en la configuracin, el conjunto de las peticiones entrantes se
distribuir hasta el o los servidores host disponibles en el clster. NLB funciona solamente a travs
del protocolo TCP/IP y ningn otro protocolo de red debe figurar en la interfaz de red utilizada. Las
direcciones IP de los servidores integrantes del clster NLB debern estar configuradas de manera
esttica porque el servicio DHCP (Dynamic Host Configuration Protocol) no est soportado. Esta
tecnologa permite soportar hasta 32 nodos en un mismo clster. Siguiendo las mejores prcticas de
Microsoft, no se aconseja llegar al mximo de la capacidad soportada. Para garantizar buenos
rendimientos en el sistema de equilibrio de carga de red, es preferible crear varios clsters
de 8nodos como mximo a su vez accesibles mediante un equilibrio de carga en DNS Round-Robin.
1. Peticin HTTP de un usuario en la direccin IP virtual del clster NLB.

2. El clster redirige la peticin al servidor menos cargado.

3. El servidor selecciona el acceso a la base de datos del sitio web.

4. El servidor del clster reenva los datos solicitados por el usuario.

2. Diferentes modos de equilibrio de carga


En una infraestructura NLB, el reparto de la carga puede trabajar segn distintos modos de trabajo
que estn, a su vez, adaptados a diferentes situaciones.

a. Prioritario

Este modo de equilibro de carga permite redirigir todas las peticiones entrantes a un servidor por
defecto. Dicho de otra forma, todas las peticiones de usuario se envan al servidor que tenga la
mayor prioridad del clster. Cuando el servidor prioritario no se encuentra disponible, o no
responde, las peticiones entrantes se envan directamente al servidor que tiene una prioridad
menor. Este modo de reparto de carga no est adaptado a escenarios muy escalables porque solo
se utiliza un servidor. Para definir un nodo prioritario, basta con indicar el valor 1 en sus
parmetros de prioridad. Este nmero corresponde a la mxima prioridad. El segundo servidor
tendr entonces el valor 2. Existen solo 32 niveles de prioridad porque el clster de equilibrio de
carga solo puede gestionar 32 hosts como mximo.

Para definir este tipo de reparto de carga, basta con seleccionar la opcin Un nico host en las
propiedades de una regla de puerto del clster:

b. Modo igual

Este modo de equilibrio de carga permite repartir el trfico entrante de la misma forma en el
conjunto de los hosts disponibles en el clster. De esta forma, cada nodo del clster trata una
carga idntica y puede responder eficazmente a un incremento de la carga. Cuando un host del
clster presenta un fallo de disponibilidad, el reparto se realiza de nuevo de forma equilibrada
entre los hosts restantes.

Para definir este tipo de reparto, basta con seleccionar la opcin Host mltiple en las propiedades
del clster de equilibrio de carga, y marcar, a continuacin, la opcin Igual en las propiedades de
una regla de puerto asociada a cada nodo del clster. En este modo, tambin podemos definir la
afinidad de las sesiones.

c. Modo manual

Este modo de equilibrio de carga permite definir incluso el porcentaje de reparto asignado a cada
nodo del clster. Cada nodo estar configurado con un peso que definir su carga en el clster
NLB:

Para definir este tipo de equilibrio de carga, basta con desmarcar la opcin Igual en las
propiedades de una regla de puerto asociada a cada nodo del clster y definir de forma manual, a
continuacin, la carga a tratar por cada nodo seleccionado:
3. Modos de transmisin
El conjunto de los nodos de una infraestructura de equilibrio de carga debe poseer una direccin IP
esttica ubicada en una misma subred. Las tarjetas de red deben estar configuradas en
modoUnicast (monodifusin) o Multicast (multidifusin). No se soportan entornos mixtos. Todos los
hosts de un clster debern pues utilizar el mismo modo de transmisin:

a. Unicast - Monodifusin

Este es el modo de difusin por defecto.

Durante la implementacin del clster NLB en modo unicast, la direccin MAC (Media Access Control),
asociada a la nica tarjeta de red, se desactiva y se remplaza por una direccin MAC virtual
generada automticamente. Todos los hosts del clster poseen entonces la misma direccin MAC,
lo cual hace imposible la comunicacin entre los hosts de un mismo clster.

En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 02-bf-
XX-XX-XX-XX:

Cuando un clster utiliza el modo unicast, los miembros intercambian peticiones de broadcast
para indicar su pertenencia al clster.

b. Multicast - Multidifusin

Este modo de transmisin puede utilizarse cuando un host cuenta con una o ms tarjetas de red.

La primera tarjeta de red estar dedicada al trfico del clster NLB y la segunda a la administracin
del servidor.

Cuando implementamos un clster NLB en modo multicast, se conserva la direccin MAC (Media
Access Control) asociada a la primera tarjeta de red. La interfaz dedicada al clster poseer una
direccin MAC diferente en cada host, adems de la direccin MAC del clster. La segunda tarjeta
de red permitir a cada nodo comunicarse dentro del clster o con las otras redes.
En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 03-bf-
XX-XX-XX-XX:

c. Multidifusin IGMP

Este modo de transmisin puede utilizarse cuando un host cuenta con una o ms tarjetas de red.
Combinando el modo de transmisin Multicast con IGMP (Internet Group Management Protocol), se
garantiza que el flujo de datos emitido por el clster NLB pasar por los puertos del conmutador
dedicados a cada nodo.

En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 01-00-
XX-XX-XX-XX:

4. Afinidad del equilibrio de carga


Cuando la tecnologa de equilibrio de carga se utiliza en una granja de servidores Terminal Server,
es posible configurar los parmetros de afinidad para que los usuarios se vuelvan a conectar, en
caso de cada, al servidor en el que tenan iniciada una conexin. Para utilizar los parmetros de
afinidad de sesin, hay que seleccionar el modo Host mltiple y ajustar los parmetros de afinidad.

Estn disponibles los siguientes parmetros de afinidad:

Ninguno (None): todas las peticiones de un cliente se dirigen a cualquier servidor miembro
del clster.

Sencillo (Single): todas las peticiones de un cliente se dirigen al mismo servidor despus de
una primera conexin.

Red (Network): todas las peticiones de un cliente se dirigen al mismo servidor en funcin de
su direccin IP. Esta opcin se utiliza, principalmente, cuando varios usuarios provienen de
subredes diferentes:

5. Convergencia y alta disponibilidad


En una infraestructura de equilibrio de carga de red, cada host de un clster ejecuta una copia del
servicio o la aplicacin que queremos hacer disponible a los usuarios. Para garantizar continuidad de
servicio y una alta disponibilidad del SI (sistema de informacin), el componente NLB utiliza una
tecnologa que garantiza una alta disponibilidad y el acceso a los miembros del clster.

Por ejemplo, cuando un host est fuera de servicio y no responde, se le excluye automticamente
del clster NLB y no se le dirige ninguna peticin.

Para determinar si los servidores de un clster estn activos, se intercambian mensajes de latido
entre s, tambin llamados Heartbeat (latido de corazn), cuyo objetivo es comprobar su correcto
funcionamiento adems de su pertenencia al clster. El envo de estos mensajes est planificado
cada cinco segundos en cada host (este perodo se reduce a un segundo durante las fases de
convergencia, para que el clster establezca la lista de miembros activos). Si uno de ellos no es
capaz de emitir mensajes de latido, se considera fuera de servicio y se excluye automticamente del
clster NLB. Este proceso no necesita intervencin humana y es perfectamente autnomo.

En el caso de excluir un host del clster, se produce un fenmeno de convergencia. Los servidores
activos integrantes del clster convergen para determinar el conjunto de tareas siguientes:

Elegir un nuevo host por defecto (el que tenga la propiedad ms alta).

Verificar qu hosts son todava vlidos en el clster.

Verificar que las nuevas peticiones entrantes se gestionan en los hosts disponibles del
clster.

Durante el proceso de convergencia, el servidor previamente considerado como fuera de


servicio puede volver a unirse al clster. Si un nuevo servidor se une al clster, el proceso de
convergencia se producir de nuevo para confirmar todos los hosts activos del clster.

Es posible configurar la frecuencia de envo de los mensajes de latido en un clster modificando una
clave del registro en cada nodo.

La clave de registro siguiente permite configurar la frecuencia del envo de los mensajes de
latido llamados Heartbeat (valor expresado en milisegundos):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgPeriod (Valor por defecto: 1 seg., es decir 1000 m s en decimal):

La siguiente clave del Registro permite definir el nmero de mensajes de latido fallidos antes
de declarar un host como fuera de servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgTolerance (Valor por defecto: 5 intentos):
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permitir
garantizar el acceso a los servidores web que hospedan el sitio Intranet de la empresa. El sitio
intranet lo consulta, esencialmente, el personal de la empresa y la direccin le solicita que el acceso
est optimizado con por una solucin de reparto de carga de red.

La infraestructura debe apoyarse en dos servidores web bajo IIS albergando cada uno una copia del
sitio intranet. Los dos servidores miembros del dominio Infonovice.priv deben estar integrados en un
clster de reparto de carga de red.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

NLB-01: servidor web IIS, Network Load Balancing

Direccin IP: 192.168.0.114

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

NLB-02: servidor web IIS, Network Load Balancing

Direccin IP: 192.168.0.115

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLIENT1: Internet Explorer 8

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Para complementar la parte terica del reparto de carga, aqu tiene algunos escenarios que le
permitirn utilizar las diferentes herramientas e implementar una infraestructura NLB. Para
establecer un laboratorio con mquinas virtuales, podemos crear una infraestructura de prueba en
la plataforma Cloud de Microsoft Azure (1 mes de evaluacin
gratuito:http://www.windowsazure.com/es-es).

1. Instalar y configurar NLB


Este taller permite instalar paso a paso el componente Equilibrio de carga de red en un sistema
operativo Windows Server 2012 R2. Se abordan todas las fases de la preparacin de un servidor para
el cumplimiento de las mejores prcticas y requisitos previos. Antes de instalar el componente
Equilibrio de carga de red en un servidor Windows Server 2012 R2, conviene confirmar que contamos
con permisos de administracin en los servidores.

Instalar el componente NLB


Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
con una cuenta con permisos de administrador.

Paso 2: haga clic en el icono del Administrador del servidor.

Paso 3: en la pgina inicial, haga clic en Agregar roles y caractersticas.

Paso 4: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.

Paso 5: en el paso Seleccionar caractersticas, marque la opcin Equilibrio de carga de red y, a


continuacin, haga clic en Agregar caractersticas en la ventana que se abre. A continuacin,
haga clic en Siguiente:

Remote Server Administration Tools permite agregar la consola de administracin y las


herramientas por lnea de comandos adecuadas para administrar la caracterstica NLB.

Paso 6: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 7: cuando la instalacin de los componentes termine, haga clic en Cerrar.

Paso 8: la consola de administracin Administrador de equilibrio de carga de red aparece


ahora, en la lista de programas disponibles del sistema operativo as como en la
carpetaHerramientas administrativas:
Para abrir la consola de administracin empleando mtodos abreviados, tambin podemos
acceder al Administrador de equilibrio de carga de red escribiendo el comando nlbmgr en una
ventana Ejecutar o en un Smbolo del sistema.

Repita los pasos 1 al 7 en el servidor NLB-02, miembro de la infraestructura de reparto de carga


de red.

Configurar las interfaces de red

Antes de configurar la infraestructura de equilibrio de carga de red hay que verificar que las
direcciones IP de cada nodo estn configuradas de forma esttica y no utilizando DHCP. En nuestro
caso, vamos a configurar una infraestructura NLB en modo unicast a travs de una nica tarjeta de
red en cada host.

Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
con una cuenta con permisos de administrador.

Paso 2: despliegue el men Windows de la derecha (mtodo abreviado: C) y haga clic

enConfiguracin:
Paso 3: en la seccin Configuracin, haga clic en Panel de control:

Paso 4: haga clic en Ver el estado y las tareas de red:


Paso 5: haga clic en Cambiar configuracin del adaptador:

Paso 6: haga doble clic en la tarjeta de red a configurar:

Para acceder a esta ventana ms rpidamente, podemos escribir el comando ncpa.cplen una
ventana Ejecutar o Smbolo del sistema.

Paso 7: al mostrarse el estado de la conexin de red, haga clic en Propiedades.


Paso 8: seleccione Protocolo de Internet versin 4 (TCP/IPv4) y haga clic en Propiedades:

Paso 9: marque la opcin Usar la siguiente direccin IP y, a continuacin, configure la direccin


IP de esta tarjeta de red con la informacin siguiente y haga clic en Aceptar:

Direccin IP: 192.168.0.114

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Servidor DNS preferido: 192.168.0.100

Servidor DNS alternativo: 192.168.0.101

Paso 10: haga clic dos veces en Aceptar para salir de la ventana de propiedades del adaptador
de red.

Paso 11: la direccin IP de la tarjeta de red del servidor NLB-01 est ahora configurada de
forma esttica. Repita los pasos 1 al 10 en el servidor NLB-02 con la informacin de
configuracin IP siguiente:

Direccin IP: 192.168.0.115

Mscara de subred: 255.255.0.0

Puerta de enlace predeterminada: 192.168.0.254

Servidor DNS preferido: 192.168.0.100

Servidor DNS alternativo: 192.168.0.101

2. Administrar un clster NLB


Este taller permite aprender a manejar la consola de administracin Administrador de equilibrio de
carga de red as como las herramientas por lnea de comandos asociadas.
Crear un clster NLB

La creacin de un clster de equilibrio de carga de red tendr como objetivo crear la direccin IP
virtual que ser el punto de entrada de todos los nodos del clster. En primer lugar, es preciso
verificar que la hora de cada servidor est perfectamente configurada y sincronizada.

Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.

Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.

Paso 3: en el rbol de la consola, haga clic con el botn derecho en Clsteres de equilibrio de
carga de red y haga clic en Nuevo clster:

Paso 4: en la ventana Clster nuevo: Conectar, escriba localhost en el campo Host y, a


continuacin, haga clic en Conectar.

Paso 5: seleccione la interfaz de red que servir para el clster de equilibrio de carga y haga clic
en Siguiente.

Paso 6: en la ventana Clster nuevo: Parmetros de host, deje las opciones por defecto y, a
continuacin, haga clic en Siguiente.
Paso 7: en la ventana Clster nuevo: Direccin IP del clster, haga clic en Agregar para
especificar la direccin IP virtual del clster de equilibrio de carga.

Paso 8: escriba la direccin IP virtual siguiente, accesible a los usuarios y, a continuacin, haga
clic en Aceptar:

Direccin IP: 192.168.0.202

Mscara de subred: 255.255.255.0

Paso 9: en la ventana Clster nuevo: Direcciones IP del clster, haga clic en Siguiente:
Paso 10: en la ventana Clster nuevo: Parmetros de clster, informe el campo Nombre
completo de Internet escribiendo Intranet.infonovice.priv, marque la opcin Multidifusin para
definir el modo de operacin del clster y haga clic en Siguiente:

Paso 11: en la ventana Clster nuevo: Reglas de puerto, haga clic en Finalizar.

Paso 12: el clster de equilibrio de carga de red Intranet.infonovice.priv est, ahora, configurado
con un nico host:

Es posible configurar un clster de equilibrio de carga de red con varias direcciones IP virtuales.
Tambin es posible aplicar una regla de puerto diferente por IP virtual del clster.

Configurar las reglas de puerto

Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.

Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.

Paso 3: en el rbol de la consola, haga clic con el botn derecho en el nombre del clster
(Intranet.infonovice.priv) y, a continuacin, haga clic en Propiedades de clster.

Paso 4: en la ventana Propiedades: Intranet.infonovice.priv, haga clic en la pestaa Reglas de


puerto, seleccione la regla de puerto por defecto y haga clic en Modificar.

La regla de puerto por defecto redirige todas las peticiones de usuario entrantes de ambos
protocolos, TCP y UDP, a un puerto comprendido entre 0 y 65535. La regla de afinidad por
defecto est definida para "single".

Paso 5: en la ventana Agregar o editar regla de puerto, especifique el intervalo


indicando 8080a 8080 en la seccin Intervalo de puerto y, a continuacin, haga clic en Aceptar.

En la configuracin de la regla anterior se deduce que el conjunto de peticiones entrantes que


lleguen a la direccin IP virtual al puerto 8080 para ambos protocolos TCP o UDP, sern
automticamente redirigidas a cualquier servidor disponible en el clster con una afinidad de sesin
sencilla.

Con una regla de configuracin de puerto es, tambin, posible bloquear el acceso a algunos puertos
TCP o UDP haciendo clic en la opcin Deshabilitar este intervalo de puerto:

Es posible crear varias reglas de puerto, asociadas o no a diferentes IP virtuales que pertenezcan al
clster de equilibrio de carga de red.

Configurar la afinidad

Para configurar la afinidad de una sesin hay que activar el modo de filtrado Host mltiple en una
regla de puerto y, a continuacin, marcar la opcin correspondiente a la afinidad de sesin deseada.
En nuestro caso, podemos seleccionar la afinidad Sencillo que permite a un usuario volver a conectar
al mismo servidor en caso de una prdida de conexin al clster:

Agregar un nuevo host al clster

Para realizar esta operacin, el segundo host NLB-02, debe estar configurado con una direccin
IP fija, adems de tener instalada la caracterstica del servidor Equilibrio de carga de red.

Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.

Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.

Paso 3: haga clic con el botn derecho en el nombre del clster (Intranet.infonovice.priv) y, a
continuacin, haga clic en Agregar host al clster.

Paso 4: en la ventana Agregar host al clster: Conectar, escriba la direccin IP o el nombre de


host del servidor NLB-02 en el campo Host y, a continuacin, haga clic en Conectar (el host a
agregar debe previamente contar con la caracterstica de servidor Equilibrio de carga de red).

Paso 5: seleccione la interfaz del host remoto a configurar para el clster de equilibrio de carga y,
a continuacin, haga clic en Siguiente:
Paso 6: en la ventana Agregar host al clster: Parmetros de host, verifique que tiene
asignada una prioridad igual a 2 y, a continuacin, haga clic en Siguiente:

El segundo nodo de un clster tendr por defecto un parmetro de prioridad fijado en 2, porque
el primer host de un clster es prioritario. Esto quiere decir que tiene un parmetro de prioridad
fijado en 1.

Paso 7: en la ventana Agregar host al clster: Reglas de puerto, haga clic en Finalizar.

Paso 8: el segundo host, NLB-02, aparece ahora en la consola de administracin de equilibrio de


carga, con un estado igual a Convergido:

Clster y lnea de comandos

Es posible administrar un clster de equilibrio de carga de red empleando el men contextual de la


consola Administrador de equilibrio de carga de red y tambin es posible administrarlo o realizar
ciertas tareas de manera remota, por lnea de comandos.

Para administrar un clster de equilibrio de carga de red por lnea de comandos, hay que emplear el
ejecutable NLB.exe ubicado en el directorio C:\Windows\System32 del servidor que tenga la
caracterstica de equilibrio de carga de red:

La sintaxis de esta utilidad es la siguiente:

NLB <command> [<IP_de_clster>[:<IP_de_host>] [remote options] ]

Por ejemplo, si deseamos desactivar de forma remota todas las peticiones entrantes en un host
especfico del clster, basta con escribir el comando siguiente:

NLB drainstop 192.168.0.202:192.168.0.115

El servidor especificado en el comando aparecer, a continuacin, con el estado Detenido:

Para conocer la lista de opciones disponibles con el ejecutable NLB, basta con escribir el comando
siguiente: NLB help

He aqu la lista de comandos disponibles con la utilidad NLB.exe:

Help
Ip2mac
Reload
Display
Query
Suspend
Resume
Start
Stop
Drainstop
Enable
Disable
Drain
Queryport
Params

3. Administrar un clster mediante PowerShell


Para administrar un clster de equilibrio de carga empleando comandos PowerShell, podemos utilizar
los ejemplos de lnea de comandos siguientes.

Agregar una IP virtual al clster

Paso 1: abra un smbolo del sistema PowerShell.

Paso 2: escriba el siguiente comando, que permite identificar el nombre de la interfaz de red a
configurar:

Get-NetAdapter

Paso 3: escriba el siguiente comando para agregar una IP virtual al clster de equilibrio de carga:

Add-NlbClusterVip <IP de clster> -InterfaceName <Nombre de la


interfaz de red> -SubMask <Mscara de subred>

Por ejemplo:

Add-NlbClusterVip 192.168.0.204 -InterfaceName Ethernet -


SubnetMask 255.255.255.0

Paso 4: abra la consola Administrador de equilibrio de carga de red, edite las propiedades del
clster para verificar que la direccin IP virtual 192.168.0.204 se ha agregado correctamente:
Paso 5: para eliminar la direccin IP virtual agregada previamente, escriba el comando siguiente:

Remove-NlbClusterVip 192.168.0.204 -Force

Detener un nodo del clster

Paso 1: abra un smbolo del sistema PowerShell.

Paso 2: escriba el siguiente comando para identificar el nombre de la interfaz de red que desea
configurar:

Get-NetAdapter

Paso 3: escriba el siguiente comando PowerShell para detener el host NLB-02:

Stop-NlbClusterNode -Hostname <Nombre del host a detener>

Por ejemplo:

Stop-NlbClusterNode -Hostname NLB-02

Paso 4: abra la consola Administrador de equilibrio de carga de red para verificar que el host
NLB-02 se ha detenido correctamente:
Paso 5: para arrancar un host del clster, escriba el comando PowerShell siguiente:

Start-NlbClusterNode -Hostname NLB-02

4. Simular el reparto de carga


Este taller permite probar en condiciones reales el cambio y la gestin del reparto de carga. Para ello,
la infraestructura estar compuesta por dos servidores Web bajo IIS. Un equipo cliente deber
conectarse a una URL de la direccin IP virtual. El objetivo ser simular la carga o parada de uno de
los servidores del clster para verificar que el clster NLB se encarga correctamente de redirigir las
peticiones entrantes al segundo servidor disponible.

Instalar los servidores Web IIS

Este procedimiento describe cmo agregar la caracterstica IIS en un servidor Windows 2012 R2.

Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador local.

Paso 2: abra el Administrador del servidor.

Paso 3: en la pgina inicial, haga clic en Agregar roles y caractersticas.

Paso 4: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 5: en la ventana Seleccionar roles de servidor, marque la opcin Servidor web (IIS).

Paso 6: haga clic en Agregar caractersticas.

Paso 7: haga clic en Siguiente:


Paso 8: haga clic en Siguiente en todos los pasos y, a continuacin, haga clic en Instalar y
Cerrar.

Paso 9: navegue hasta la carpeta C:\inetpub\wwwroot y cree el archivo index.htm escribiendo


la frase siguiente Welcome to <Hostname Server> teniendo cuidado de reemplazar la cadena
<Hostname Server> por el nombre host del servidor.

Paso 10: repita los pasos 1 al 9 en el segundo servidor que compone el clster de equilibrio de
carga (NLB-02).

Paso 11: configure los parmetros del clster de equilibrio de carga para redefinir la regla de
puerto para un intervalo de 1 a 65535.

Paso 12: conctese al equipo CLIENT1 y acceda a uno de los servidores IIS escribiendo la URL
con la direccin IP virtual del clster, es decir http://192.168.0.202. Identifique a qu servidor
le ha redirigido el administrador de equilibrio de carga:

A continuacin, cierre el navegador teniendo la precaucin de borrar la cach.

Simular la prdida de uno de los nodos

Ahora que los servidores de aplicacin Web estn configurados, vamos a simular la prdida de uno de
los nodos del clster para verificar que el acceso a otro servidor del clster est siempre disponible.

Paso 1: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.
Paso 2: en el ejercicio anterior, el clster de equilibrio de carga de red ha redirigido nuestra
peticin al servidor llamado NLB-01. Vamos, ahora, a simular el fallo de este ltimo prohibiendo
cualquier conexin a este servidor. Identifique el nodo NLB-01 en la consola Administrador de
equilibrio de carga de red, contenido en el clster previamente creado. Haga clic con el botn
derecho en el servidor y, a continuacin, haga clic en Controlar host - Detener:

Paso 3: conctese al equipo CLIENT1. Escriba de nuevo la URL de la direccin IP virtual en el


navegador Web. Compruebe que, ahora, se le ha redirigido al segundo nodo del clster:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos al reparto de carga. Podra
resumirse de la manera siguiente:

Existen diferentes tecnologas de reparto de carga.

El reparto de carga de red se basa en el protocolo TCP/IP para equilibrar la carga.

Un clster NLB se compone de varios servidores que tienen la funcionalidad Equilibrio de carga
de red.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Cuntos nodos es posible gestionar, como mximo, en un clster NLB?

16

32

64

2 En un modo de equilibrio de carga prioritario, cul de estas cifras significa que un servidor
tiene mayor prioridad?

3 Cules son los diferentes modos de difusin de un clster NLB?

4 Cules son los diferentes tipos de afinidad de sesin?

5 Para qu sirve una regla de puerto?

6 En un clster NLB, a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?

7 Qu consola de administracin permite administrar un clster NLB?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /7

Para este captulo, la puntuacin mnima es de 5/7.

3. Respuestas
1 Cuntos nodos es posible gestionar, como mximo, en un clster NLB?

16

32

64

En una infraestructura que utiliza el equilibrio de carga de Microsoft, NLB puede funcionar con
clsteres compuestos de hasta 32 hosts. Esta limitacin del software es vlida para cualquier
edicin de Windows Server 2012 R2.

2 En un modo de equilibrio de carga prioritario, cul de estas cifras significa que un servidor
tiene mayor prioridad?

En un clster NLB, el servidor ser prioritario si su parmetro de prioridad es igual a 1. Por


consiguiente, el servidor siguiente tendr un parmetro de prioridad configurado en 2. El parmetro
de prioridad de un servidor puede configurarse con valores comprendidos entre 1 y 32.

3 Cules son los diferentes modos de difusin de un clster NLB?

En un clster NLB podemos configurar tres modos de difusin. Unicast, multicast e IGMP
multicast.

4 Cules son los diferentes tipos de afinidad de sesin?

En un clster NLB, es posible configurar la afinidad de sesin en los parmetros de clster


especificando uno de los tres tipos siguientes: ninguno, sencillo o red.

5 Para qu sirve una regla de puerto?

Una regla de puerto permite configurar una directiva de reparto de carga agregando un filtrado de
las peticiones entrantes basado en el protocolo de red, el puerto y la direccin IP virtual del clster.
Mediante una regla de puerto es posible, tambin, configurar el modo de equilibrio de carga.

6 En un clster NLB, a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?

Por defecto, se considera que un host est fuera de servicio y se le excluye de un clster NLB si no
responde a ms de 5 mensajes de latido.

7 Qu consola de administracin permite administrar un clster NLB?

La consola Adm inistrador de equilibrio de carga de red permite administrar un clster NLB
empleando una interfaz grfica.
Requisitos previos y objetivos

1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.

Tener nociones sobre la alta disponibilidad en una infraestructura informtica.

Saber instalar y configurar un servidor web con IIS.

2. Objetivos
Saber implementar una solucin de alta disponibilidad.

Saber implementar un clster.

Comprender el funcionamiento de la conmutacin por error en un clster.

Comprender el funcionamiento de un qurum.

Saber implementar una infraestructura web altamente disponible.


Alta disponibilidad
Hoy en da, la informtica ocupa un lugar importante en el trabajo cotidiano de las empresas. Una
interrupcin del servicio no es asumible si se prolonga en el tiempo, por sus altos costes. Por este
motivo, resulta necesario implementar soluciones que permitan reducir o evitar cualquier interrupcin
del servicio o falta de disponibilidad de una infraestructura informtica.

1. Presentacin de la alta disponibilidad


La alta disponibilidad de una infraestructura informtica consiste en implementar una solucin
hardware o software que permita garantizar un servicio continuo para los usuarios. La tasa de
disponibilidad de una infraestructura informtica se expresa en porcentajes, y podemos afirmar que
una infraestructura es altamente disponible cuando su porcentaje de disponibilidad se aproxima a
umbrales superiores al 99%. La finalidad de esta implementacin es garantizar un funcionamiento
de la infraestructura de 24x7. Para lograr con xito el mejor nivel de servicio posible para los
usuarios, un administrador debe evaluar los distintos riesgos de interrupciones de servicio en la
infraestructura. La redundancia de los equipos (clsters, RAID, equilibrio de carga de red, etc.)
permite obtener una mayor tolerancia a fallos. El estudio de un plan de disponibilidad debe
realizarse junto al cliente y los usuarios finales. La definicin del rango de disponibilidad de una
aplicacin es muy importante porque, en funcin de las necesidades, los costes de implementacin
sern ms o menos importantes en funcin de la tolerancia a fallos deseada.

2. Soluciones de alta disponibilidad


Existen varias tecnologas que permiten obtener una alta disponibilidad en una infraestructura
informtica. Como mencionamos en el captulo previo, el reparto de carga representa, por ejemplo,
una solucin de alta disponibilidad basada en software para una arquitectura de servidores de
aplicacin. La redundancia de equipos o el emparejamiento de un sitio con otro sitio remoto son
tcnicas que se utilizan con frecuencia en grandes estructuras donde la disponibilidad debe ser
impecable. El emparejamiento permite, en particular, duplicar un sitio en tiempo real con una
infraestructura remota idntica permitiendo bascular al conjunto de usuarios al sitio remoto en caso
de siniestro del sitio principal (colapso, incendio, robo, etc.).
Clster de conmutacin por error
La tecnologa de clster de conmutacin por error representa una solucin de alta disponibilidad
directamente integrada en el sistema operativo Microsoft Windows Server 2012 R2 como una
funcionalidad del servidor.

1. Presentacin de los clsters


En el mundo informtico, un clster representa un grupo de servidores que ejecutan la misma
instancia de una aplicacin. Cada servidor representa un nodo del clster. Es posible configurar el
clster de servidores con varios tipos de aplicaciones que soporten el funcionamiento en
arquitecturas de clster de servidores. Encontramos, con frecuencia, clsters de servidores Web,
servidores de mensajera Exchange, servidores SQL u otros servidores de aplicaciones (como Jboss,
WebSphere, WebLogic, etc.). La funcionalidad de clster ya exista en las versiones anteriores del
sistema operativo Windows Server. El sistema operativo Microsoft Windows Server 2012 R2 aporta
sin embargo algunas mejoras y novedades interesantes tales como:

Soporte de 64 nodos fsicos en un clster (frente a 16 nodos en las ediciones Windows


Server 2008, y 8 nodos para las ediciones de Windows Server 2003).

Soporte para 8000 mquinas virtuales en cada clster (frente a 1000 para Windows Server
2003 y 4000 para Windows Server 2012).

Mejor administracin de los clsters.

Nuevos applets de comandos Windows PowerShell.

2. Funcionamiento de un clster
En el funcionamiento bsico de un clster, cuando un nodo deja de responder, el clster cambia
automticamente el servicio enviando a los usuarios a otro nodo disponible del clster. Un clster se
compone de varios componentes:

Los nodos: un nodo representa un grupo de equipos que pertenecen al clster.

Las redes: un clster posee una red para comunicarse con los usuarios y una red diferente
para que los servidores se comuniquen entre ellos.

El almacenamiento: para la mayor parte de las aplicaciones hospedadas en los servidores


puestos en configuracin de clster, los nodos disponibles deben contar con un espacio de
almacenamiento compartido y accesible desde cada nodo del clster. De esta forma, en caso
de prdida de uno de los nodos del clster, el nodo al que se bascule se har cargo
automticamente de la actividad con la menor interrupcin del servicio.

Los clientes: representan los usuarios que acceden al servicio hospedado en el clster.

Las aplicaciones: representan el servicio ofrecido a los usuarios.

Al igual que una infraestructura de equilibrio de carga (NLB), los nodos de un clster se comunican
entre s. De este modo, cada nodo conoce el estado de los otros nodos. Esta comunicacin permite
a los nodos del clster conocer en tiempo real cules son los nodos defectuosos, los nodos
entrantes o salientes del clster. En lo relativo al almacenamiento, los nodos del clster acceden al
mismo dispositivo de almacenamiento sea un volumen compartido en un disco duro, un elemento de
almacenamiento iSCSI o una cabina de almacenamiento SAN de fibra ptica. La opcin de la solucin
de almacenamiento se debe basar en las especificaciones de la empresa y las expectativas en
trminos de rendimiento. En cuanto a las tecnologas de particionado de discos, las particiones FAT
no estn soportadas. Los discos que componen el almacenamiento disponible pueden ser de tipo
MBR o GPT.

a. Redes
La implementacin de un clster de conmutacin por error requiere la configuracin de diferentes
redes de comunicacin. Los nodos del clster soportan los protocolos de comunicacin IPv4 e IPv6.
Segn las mejores prcticas, cada nodo del clster debe contar con al menos dos tarjetas de red
para poder configurar las redes siguientes:

Una red privada: este tipo de red permite a los nodos del clster de conmutacin por error
comunicarse entre s para intercambiar mensajes de latido llamados heartbeat en la versin
inglesa. Los mensajes de latido sirven para interrogar a los integrantes del clster y
verificar que cada nodo est en lnea. El envo de los mensajes de latido con destino a los
nodos del clster se realiza mediante el protocolo UDP por el puerto 3343.

Una red pblica: este tipo de red permite a los clientes conectarse al servicio hospedado
en los nodos del clster.

En la instalacin del clster, una de las tarjetas de red debe identificarse como red pblica y la otra
como red interna:

Si la infraestructura de conmutacin solo cuenta con nodos que disponen de una sola tarjeta de
red, es posible autorizar a los clientes a conectarse mediante una red interna marcando la
opcinPermitir que los clientes se conecten a travs de esta red:
Hablamos entonces de una red mixta que combina la red interna del clster de conmutacin por
error y la red pblica que acepta las comunicaciones de los equipos cliente.

Si los discos que componen el almacenamiento del clster estn accesibles mediante una red
iSCSI, es muy recomendable dedicar, tambin, esta red para separar la red interna de la red
pblica.

b. Conmutacin

Para respetar un nivel de calidad de servicio ptimo, los clsteres de conmutacin interrogan
permanentemente a los nodos que los componen para saber si estn activos. En caso de no
obtener respuesta de un nodo activo del clster, se le excluye automticamente para que los
recursos conmuten a otro nodo disponible del clster que se convierte entonces en el nodo activo.

El siguiente esquema ilustra las acciones realizadas por un clster durante una conmutacin de
recursos a otro nodo:

1. El nodo activo del clster encuentra un problema y falla sbitamente. Se le deja


fuera de lnea en el clster.

2. Los usuarios no pueden acceder al servicio.

3. Los recursos compartidos se ponen fuera de lnea.

4. Se elige un nuevo nodo segn las preferencias de conmutacin para convertirse


en el host activo del clster.

5. Los recursos compartidos se ponen en lnea para el nuevo nodo activo del
clster.

6. Los usuarios acceden de nuevo al servicio.

c. Volmenes compartidos

En la mayora de las infraestructuras, solo un nodo del clster alberga el servicio donde la
aplicacin est disponible para los usuarios. Este servidor se conoce como servidor activo y ejecuta
localmente la aplicacin con un acceso exclusivo en la ubicacin de almacenamiento de los datos
del aplicativo. Los dems nodos del clster se configuran como nodos pasivos. Cuando el nodo
activo queda fuera de servicio por un fallo, otro nodo del clster se convierte en el nodo activo y
ejecuta a su vez la aplicacin de manera local teniendo la precaucin de recuperar el acceso
exclusivo al recurso compartido de los datos del aplicativo. Para gestionar los accesos
concurrentes, Microsoft ha introducido a partir de Windows Server 2008 R2 la tecnologa de
volmenes compartidos, ms conocidos bajo el nombre de CSV en la versin inglesa del sistema
operativo (CSV: Cluster Shared Volumes). Los volmenes compartidos permiten pues a los nodos
de un clster de conmutacin por error acceder simultneamente a un mismo archivo hospedado
en una LUN del elemento de almacenamiento compartido. Los volmenes compartidos aparecen
bajo la forma de un sistema de archivos de tipo CSVFS (Cluster Shared Volume File System) y
utilizan la tecnologa de comparticin SMB 3.0 (Server Message Block) para activar los flujos de
datos compartidos entre los nodos de un clster. A diferencia de los sistemas de archivos NTFS, el
sistema de archivos CSVFS puede someterse a operaciones de mantenimiento manteniendo el
servicio en lnea. Es posible, por ejemplo, ejecutar el comando de verificacin del disco Check
Disk(Chkdsk.exe) sin necesidad de desmontar las particiones activas o reiniciar el sistema.

Infraestructura clsica de un clster de conmutacin por error sin CSV:


Solo el nodo activo del clster accede al almacenamiento compartido.

Infraestructura clsica de un clster de conmutacin por error con CSV:


Todos los nodos del clster acceden al mismo tiempo al almacenamiento compartido.

Tenga precaucin, antes de crear una infraestructura utilizando volmenes compartidos es


obligatorio configurar los discos, antes de que haya datos en ellos. Si se agrega un disco de
almacenamiento a los volmenes compartidos, se produce la destruccin de todos los datos
existentes en el volumen. Adems, no es posible aadir un disco disponible a los volmenes
compartidos si ya se encuentra en uso por parte de alguno de los nodos del clster.

d. Consola de administracin del clster

La implementacin de esta tecnologa se lleva a cabo agregando la caracterstica Clster de


conmutacin por error. Al agregar este componente se instala el complemento Administrador de
clsteres de conmutacin por error en las herramientas administrativas de Windows:

En comparacin con Windows Server 2008 R2, la consola de administracin conserva casi la misma
interfaz. Se han aadido a su vez comandos PowerShell adicionales para la gestin del clster
bajo Windows Server 2012 R2 y algunas caractersticas, como la utilidad Cluster.exe, se han
eliminado en Windows Server 2012.

Al agregar la caracterstica clster de conmutacin por error se instala tambin el servicio


Windows Servicio de clster con un tipo de arranque predeterminado configurado
comoDeshabilitado hasta que se configure el clster. Cada nodo cuenta con una copia de la
configuracin del clster de conmutacin por error y el servicio de clster permite sincronizar los
datos entre s:

Ha aparecido, tambin, una nueva caracterstica para el clster de conmutacin por error a partir
de Windows Server 2012. Es, ahora, posible actualizar el sistema operativo con parches de
Windows en cada nodo sin tener que interrumpir el servicio. Los parches (Hotfix) de Microsoft
pueden instalarse mediante el complemento Actualizacin compatible con clsteres (Cluster-
Aware Updating), disponible en las herramientas administrativas del sistema operativo.

e. Administracin de un clster de conmutacin por error

La consola de administracin Administrador de clsteres de conmutacin por error permite, en


particular, realizar las acciones siguientes:

Conectarse a un clster existente: cuando ya existe un clster en la red, la consola de


administracin permite conectarse a este clster para administrarlo.

Crear un nuevo clster: permite crear un clster de conmutacin por error aadiendo los
servidores que compondrn los diferentes nodos disponibles de la infraestructura de
conmutacin por error.

Validar la configuracin del clster: la validacin de la configuracin permite verificar que


los nuevos servidores del clster respeten las mejores prcticas de Microsoft. Solo es
posible activar un clster si los parmetros de los servidores, de la red y del
almacenamiento superan las distintas pruebas de validacin de la configuracin. El paso de
validacin permite verificar la configuracin de un clster existente o de una seleccin de
servidores.

La validacin de la configuracin constituye la primera etapa a verificar antes de crear un clster de


conmutacin por error. El asistente de validacin de una configuracin realiza una batera de
pruebas repartidas en las cuatro categoras siguientes:

Configuracin del sistema:

Validar la edicin de sistema operativo

Validar la opcin de instalacin del sistema operativo

Validar la configuracin de Active Directory

Validar la misma arquitectura de procesador

Validar la versin de sistema operativo

Validar los niveles de actualizacin de software

Validar los niveles de Service Pack

Validar la configuracin de volcado de memoria


Validar los servicios requeridos

Validar que todos los controladores estn firmados

Inventario:

Almacenamiento

Sistema

Red:

Mostrar el orden de enlace de red

Validar la comunicacin de red

Validar la configuracin de Firewall de Windows

Validar la configuracin de IP

Validar la configuracin de red del clster

Almacenamiento:

Enumerar los discos

Enumerar los discos para validar

Validar el sistema de archivos

Validar el arbitraje de disco

Validar la latencia de acceso a disco

Validar la reserva persistente de espacios de almacenamiento

Validar la reserva persistente SCSI-3

Validar la conmutacin por error de disco

Validar la conmutacin por error simultnea

Validar los discos basados en Microsoft MPIO

Validar los datos vitales de producto (Vital Product Data) del dispositivo SCSI

Validar los enlaces de red CSV

Validar la configuracin de CSV

Validar el arbitraje mltiple


Al finalizar las pruebas de validacin, podemos editar un informe en formato *.mht:

Los informes estn tambin disponibles en la carpeta %WINDIR%\cluster\Reports:


Cuando el asistente de validacin finaliza, es posible crear el clster inmediatamente con las
mquinas que hayan sido validadas.

Cuando la configuracin del clster de conmutacin por error finaliza, tambin es posible
mostrar un informe de configuracin en formato *.mht desde el asistente de creacin del
clster.

Una vez establecida la conexin al clster, la consola de administracin permite visualizar las
tareas de administracin siguientes:

Roles: permite configurar la alta disponibilidad de un rol de servidor (ejemplo de rol:


servidor de archivos, servidor DHCP, servidor de destino iSCSI, etc.).

Nodos: permite gestionar los diferentes hosts del clster. Tambin podemos aadir un
nuevo host al clster o detener el servicio de clster.

Almacenamiento:

Discos: permite administrar los discos disponibles para un clster. La visualizacin indica
que nodo del clster es propietario del espacio de almacenamiento. Cuando un nodo
queda inactivo, el qurum determina el nodo al cul bascular (consulte la seccin
siguiente).

Grupos: permite gestionar los espacios de almacenamiento disponibles para un clster


creando un grupo de almacenamiento.

Redes: permite visualizar las redes internas o externas disponibles para el clster de
conmutacin por error.

Red de clsteres 1 y 2: permite definir qu red est dedicada a la red interna o a la red
de cliente.

Eventos de clster: permite visualizar los registros de eventos vinculados a la actividad del
clster de conmutacin por error.
f. Qurum

En un clster de conmutacin por error, un qurum determina el nmero de nodos que deben
estar en lnea para que el clster pueda garantizar el servicio a los usuarios. La opcin de dejar el
servicio en lnea se realiza mediante un sistema de votacin en el que cada nodo del clster o
disco compartido puede dar su voto. Para que la votacin sea justa, hace falta que el nmero de
nodos sea impar, para que haya forzosamente un voto ganador y no de igualdad. Si el nmero de
nodos disponibles para un voto es idntico, un componente del clster como un servidor de
archivos o un disco duro compartido puede agregarse como testigo para participar en el voto y de
esta forma aportar un voto decisivo. Cuando varios nodos de un clster se encuentran
defectuosos y el voto establece la parada del servicio, la funcionalidad de clster de conmutacin
cesa de inmediato deteniendo los servicios de Windows asociados a los nodos del clster.

Un qurum puede funcionar segn varios modos. La configuracin del tipo de qurum se realiza en
las propiedades del clster, ejecutando el Asistente para configurar qurum de clster.
Un qurum de clster puede funcionar en los modos de configuracin siguientes:

Mayora de disco y nodo (Node and Disk Majority): en este modo de qurum, los nodos
del clster y un disco de almacenamiento testigo pueden votar. Cuando la mayora de los
componentes estn en lnea y pueden votar, el servicio se mantiene en el clster.

Mayora de nodo (Node Majority): en este modo de qurum, solo los nodos del clster
pueden votar. No puede existir un componente testigo. Si ms de la mitad de los
componentes estn en lnea para votar, el servicio se mantiene en el clster.

Mayora de recurso compartido de archivos y nodo (Node and File Share Majority): en
este modo de qurum, los nodos del clster y un recurso compartido de archivos testigo
pueden votar. Cuando la mayora de los componentes estn en lnea y pueden votar, el
servicio se mantiene en el clster.

g. Instalar y configurar un clster

La instalacin de un clster de servidores para implementar una solucin de alta disponibilidad


necesita la caracterstica de servidor Clster de conmutacin por error. Una vez instalado el
componente, la consola de administracin sirve para crear el clster. Los pasos para la creacin de
un clster de conmutacin por error son los siguientes:

Disponer de permisos de administracin en las mquinas destinadas a unirse al clster.

Configurar las mquinas para dirigirse a un punto de almacenamiento compartido.

Validar los parmetros de configuracin de los servidores (sistema, almacenamiento y red).

Crear el clster mediante el asistente.

Antes de crear un clster de conmutacin por error, debemos verificar que cada nodo responde a
los requisitos previos descritos por Microsoft. Todos los servidores destinados a ser los diferentes
nodos del clster deben poseer las caractersticas siguientes:

El mismo tipo de arquitectura de procesador (64 bits).

La misma edicin del sistema operativo Windows Server 2012 R2 (Standard o Datacenter).

El mismo nivel de service pack.

El mismo nivel de parches.

El mismo protocolo de red para los adaptadores de red de cada nodo.

El mismo dominio Active Directory para todos los nodos.

El mismo rol de clster instalado en cada nodo.

La creacin del clster requiere introducir la informacin siguiente en el asistente de configuracin


del clster de conmutacin por error:

Introducir los servidores que componen el clster.

Indicar el nombre NETBIOS del clster (15 caracteres como mximo).

Indicar la direccin IP del clster.


Una vez introducida la informacin, se crea el clster y est listo para proveer un servicio a los
usuarios con alta disponibilidad.

h. Los roles

Los roles permiten configurar las aplicaciones o servicios disponibles mediante la infraestructura de
clster de conmutacin por error. Es importante identificar y especificar el tipo de servicios a
prestar en alta disponibilidad porque no todas las aplicaciones pueden funcionar con una solucin
de clster de conmutacin por error. Antes de integrar un servicio o una aplicacin a este tipo de
infraestructura, es necesario contactar con el fabricante para saber si la aplicacin soporta este
tipo de implementacin. La seccin Roles de la consola del administrador de clsteres de
conmutacin por error permite configurar los parmetros de alta disponibilidad para un rol de
servidor. De esta forma, es posible definir las acciones que el clster debe realizar para restablecer
un servicio o una aplicacin. Si uno de los nodos del clster sufre un fallo (un fallo del sistema,
tarjeta de red fuera de servicio, u otros), el servicio cambia automticamente a otro nodo
disponible. Sin embargo, si es la aplicacin o el rol de servidor el que sufre el fallo, el clster es
capaz de reiniciar automticamente el servicio en funcin de los parmetros de los roles fijados
previamente en la consola de administracin. Antes de agregar ciertos roles de servidor, el
asistente verifica la presencia del rol en uno de los nodos del clster. Si el rol o servicio no existe,
entonces no es posible configurar el rol en el clster. Existen varios roles preconfigurados para
desplegarse como servicio en clster:

Ejemplos de roles ms frecuentemente usados:

Servidor de archivos

Equipo virtual

Servicio genrico
i. Optimizacin de los CSV

Los volmenes compartidos de clster (Cluster Shared Volumes) en Windows Server 2012 R2 se
benefician de ciertas mejoras a nivel de la gestin y de la comparticin de recursos. En Windows
Server 2012 un nodo poda ser propietario de varios discos agregados a volmenes compartidos.
En adelante, el clster de conmutacin por error equilibra automticamente la propiedad de cada
nodo sobre los volmenes compartidos para optimizar las entradas y salidas sobre los discos
(optimizacin de entrada/salida, escritura y lectura en los discos).

En caso de fallo de uno de los nodos del clster, el cambio del nodo propietario del disco CSV
defectuoso a los otros nodos funcionales del clster se realizar de forma ms efectiva.

En Windows Server 2012, cada nodo posea una instancia nica del servicio "Servidor" a cargo de
administrar el conjunto del trfico SMB entre los nodos y el recurso compartido. En Windows Server
2012 R2 cada nodo puede, sin embargo, contar con varias instancias del servicio "Servidor" que se
supervisa para mejorar la continuidad del servicio y un cambio ms rpido a los otros nodos del
clster en caso de fallo.

Para verificar el estado de funcionamiento de los discos de volumen compartidos en cada nodo,
podemos en adelante utilizar el comando PowerShell siguiente:

Get-ClusterSharedVolumeState
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permitir
garantizar el acceso a los servidores web que hospedan el sitio Internet de la empresa. La
presentacin del sitio web permite a los usuarios depositar all los archivos comprimidos para ser
almacenados en un servidor de archivos. El sitio web infonovice.es lo consultan muchos internautas y
clientes potenciales, la direccin le solicita que el acceso al sitio sea redundante para que est
accesible permanentemente, 24h/7. El servidor de archivos se basa en una plataforma accesible
mediante un almacenamiento iSCSI.

Para responder a esta necesidad, se le pide implementar una solucin de clsteres de servidores
para que el sitio web pueda estar operativo en caso de fallo. La infraestructura debe basarse en dos
servidores web bajo IIS albergando cada uno una copia del sitio Internet. Los dos servidores deben
estar configurados en clster.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: Controlador de dominio infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLS-01: Servidor Web IIS

Direccin de red de comunicacin con los clientes: 192.168.0.116

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Direccin IP de red de comunicacin interna con el clster: 172.16.0.1

Mscara de subred interna: 255.255.0.0

CLS-02: Servidor Web IIS

Direccin de red de comunicacin con los clientes: 192.168.0.117

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Direccin IP de red de comunicacin interna con el clster: 172.16.0.2

Mscara de subred interna: 255.255.0.0

FILES-01: Servidor de archivos iSCSI

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLIENT1: Cliente: DNS y DHCP

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Requisitos previos del servidor FILES-01:


Instale el rol Servidor del destino iSCSI en el servidor FILES-01.

A continuacin, cree los nuevos discos iSCSI con los parmetros siguientes desde
elAdministrador del servidor:

Volmenes: E:\; G:\; H:\

Nombre del disco duro virtual iSCSI: CLUSTER-HDD1, CLUSTER-HDD2, CLUSTER-HDD3

Tamao del disco duro virtual: 10 GB

Asignar el destino iSCSI: Nuevo destino iSCSI

Nombre del destino: CLUSTER-IIS

Servidores de acceso: CLS-01 & CLS-02

1. Instalar IIS en cada nodo


Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles
y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en la ventana Seleccionar roles de servidor, marque la opcin Servidor Web (IIS).
Cuando se abra la ventana emergente Agregar caractersticas para el Servidor del destino
iSCSI, haga clic en Agregar caractersticas y en Siguiente.

Paso 4: deje las dems opciones por defecto haciendo clic en Siguiente y, a continuacin, haga
clic en Instalar y Cerrar.

Paso 5: repita las operaciones 1 a 4 en el servidor CLS-02.

2. Conectar los nodos al disco iSCSI


Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic
en Herramientasluego en Iniciador iSCSI.

Paso 2: haga clic en S para iniciar el servicio Microsoft iSCSI.

Paso 3: en la pestaa Destinos de la ventana Propiedades: Iniciador iSCSI, escriba FILES-01en


el campo Destino de la seccin Conexin rpida y, a continuacin, haga clic en Conexin rpida.

Paso 4: en la ventana Conexin rpida, aparece un IQN en la seccin Destinos detectados, que
se corresponde al destino iSCSI llamado CLUSTER-IIS. Haga clic en Listo.

Paso 5: verifique que el IQN detectado tiene un estado Conectado luego haga clic en Aceptar.

Paso 6: vuelva al Administrador del servidor y, a continuacin, haga clic en la seccin Servicios
de archivos y de almacenamiento, Volmenes y discos.
Paso 7: seleccione cada disco de 10 GB, de tipo iSCSI y cuyo estado muestra Sin conexin. Haga
clic con el botn derecho encima y haga clic en Poner en lnea.

Paso 8: haga clic en S para confirmar la puesta en lnea del disco duro iSCSI.

Paso 9: cree un nuevo volumen en cada disco duro iSCSI con los parmetros siguientes y, a
continuacin, haga clic en Crear:

Tamao del volumen: 9,97 GB

Letra de unidad o carpeta: E:\, F:\, G:\

Etiqueta del volumen: Nuevo volumen

Sistema de archivos: NTFS

Tamao de la unidad de asignacin: Predeterminado

Paso 10: repita las operaciones 1 a 8 en el servidor CLS-02.

3. Crear un clster de servidores


Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles
y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.

Paso 3: en el paso Seleccionar caractersticas, marque la opcin Clster de conmutacin por


error y, a continuacin, haga clic en Agregar caractersticas cuando se muestre la segunda
ventana. Haga clic en Siguiente y, a continuacin, en Instalar. Cuando la instalacin de la
caracterstica haya terminado, haga clic en Cerrar:
Paso 4: repita las operaciones 1 a 3 en el servidor CLS-02.

Paso 5: abra la consola Administrador del servidor en el servidor CLS-01, haga clic
enHerramientas y, a continuacin, en Administracin de clsteres de conmutacin por error.

Paso 6: en el men Acciones, haga clic en Validar configuracin.

Paso 7: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 8: en el paso Seleccionar servidores o un clster, haga clic en Examinar, introduzca los
nombres de los servidores a verificar (CLS-01; CLS-02), separndolos por un punto y coma y, a
continuacin, haga clic en Aceptar.

Paso 9: una vez seleccionados los servidores a verificar, haga clic en Siguiente:
Paso 10: en el paso Opciones de pruebas del asistente, marque la opcin Ejecutar todas las
pruebas y haga clic en Siguiente.

Paso 11: en el paso Confirmacin, haga clic en Siguiente.

Paso 12: cuando terminen las pruebas, verifique que el resultado global valida que la
configuracin de la infraestructura seleccionada est adaptada para configurar un clster.
Verifique que la opcin Crear el clster ahora con los nodos validados est marcada y, a
continuacin, haga clic en Finalizar:
Paso 13: en el paso Antes de comenzar de la ventana Asistente para crear clster, haga clic
enSiguiente.

Paso 14: en el paso Punto de acceso para administrar el clster, escriba CLUSTER-IIS en el
campo Nombre del clster y, a continuacin, indique la direccin IP 192.168.0.200 en el
campoDireccin. A continuacin, haga clic en Siguiente:
Paso 15: en el paso Confirmacin, verifique que la opcin Agregar todo el almacenamiento
apto al clster se encuentra marcada y, a continuacin, haga clic en Siguiente.

Paso 16: en el paso Resumen, haga clic en Finalizar. El clster creado aparece, ahora, en la
ventana de la consola Administrador de clsteres de conmutacin por error:

4. Crear un volumen compartido de clster


Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de clsteres de conmutacin por error.

Paso 2: despliegue el rbol del clster disponible en la consola, para seleccionar CLUSTER-
IIS.infonovice.priv - Almacenamiento - Discos. Seleccione uno de los discos donde el estado
muestre Almacenamiento disponible y, a continuacin, haga clic en Agregar a volmenes
compartidos de clster.

El disco aparece, ahora, con el estado Volumen compartido de clster.

5. Configurar un rol de servidor


Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de clsteres de conmutacin por error.

Paso 2: despliegue el rbol del clster para seleccionar el nodo Roles. En el men Acciones,
haga clic en Configurar rol.

Paso 3: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 4: en el paso Seleccionar rol, seleccione el rol Servicio genrico y haga clic en Siguiente.

Paso 5: en el paso Seleccionar servicio, seleccione el servicio llamado Servicio de


publicacinWorld Wide Web y haga clic en Siguiente.

Paso 6: en el paso Punto de acceso de cliente, escriba WEBUPLOAD en el campo Nombre y, a


continuacin, indique la direccin IP 192.168.0.201 en el campo Direccin. A continuacin, haga
clic en Siguiente:
Paso 7: en el paso Seleccionar almacenamiento, marque la opcin correspondiente a Disco de
clster 3 y, a continuacin, haga clic en Siguiente.

Paso 8: en el paso Replicar configuracin del Registro, haga clic en Siguiente.

Paso 9: en el paso Confirmacin, verifique los parmetros del rol a desplegar en el clster y, a
continuacin, haga clic en Siguiente.

Paso 10: en el paso Resumen, haga clic en Finalizar.

En este punto, el clster de dos servidores est configurado para reiniciar el servicio IIS en caso de
fallo. El almacenamiento de los sitios web est configurado en el servidor CLS-01. Solo este servidor
puede tener acceso al recurso compartido por el momento.

El segundo servidor CLS-02 no tiene acceso al recurso de almacenamiento iSCSI. Solamente en caso
de producirse un error, se desconectar el recurso compartido para volver a conectarse despus de la
conmutacin al nodo de respaldo.
6. Simular un fallo en el clster
Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de clsteres de conmutacin por error.

Paso 2: identifique el nombre del servidor sobre el que se ejecuta el servicio proporcionado a los
usuarios y, a continuacin, conctese empleando una conexin de escritorio remoto.

Paso 3: detenga manualmente el servicio de publicacin World Wide Web.

Paso 4: vaya a la consola del Administrador de clsteres de conmutacin por error, despliegue
el rbol y seleccione el nodo Eventos de clster.

Paso 5: identifique un evento de error con ID 1069, correspondiente a una parada de servicio de
publicacin World Wide Web en el servidor CLS-01.

Paso 6: cambie de nuevo al servidor CLS-01 y verifique que el Servicio de publicacin World
Wide Web ha reiniciado correctamente.

Paso 7: detenga fsicamente el servidor CLS-01.

Paso 8: cambie al Administrador de clsteres de conmutacin por error en el servidor CLS-02.


El servicio, as como el almacenamiento, deben haber cambiado automticamente al nodo CLS-
02:

Paso 9: abra un explorador de Windows en el servidor CLS-02, el almacenamiento aparecer


como accesible, sin el icono con un signo de interrogacin.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos al funcionamiento del clster de
conmutacin por error y la alta disponibilidad en Windows Server 2012 R2. Podra resumirse de la
manera siguiente:

Un clster de conmutacin por error ofrece una solucin software de alta disponibilidad.

Un clster de conmutacin por error en Windows Server 2012 R2 puede soportar hasta 64
nodos fsicos.

Un clster de conmutacin por error en Windows Server 2012 R2 puede soportar hasta 8000
mquinas virtuales.

En un clster, un nodo representa uno de los servidores que lo componen.

Los clientes se comunican con la instancia de la aplicacin en clster mediante una direccin IP
virtual.

Un clster se vale de una red interna para que los nodos puedan comunicarse entre s, adems
de una red pblica para que los clientes puedan comunicarse con la instancia de la aplicacin
soportada por el clster.

Los volmenes compartidos de un clster permiten gestionar los accesos concurrentes a un


mismo archivo.

Antes de crear un clster de conmutacin por error, los servidores integrantes deben pasar con
xito un conjunto de pruebas. Si algn servidor no supera las validaciones, entonces no podr
formar parte de los nodos de un clster.

Un clster de conmutacin por error permite configurar roles preconfigurados. Un rol permite
reiniciar un servicio fuera de lnea, ejecutar scripts predefinidos o cambiar una aplicacin a otro
nodo disponible en caso de fallo.

Un qurum de clster permite a cada componente votar si el clster se mantiene en lnea


cuando uno o ms no estn ya operativos.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Qu es un clster?

2 Qu protocolos IP estn soportados por un clster de conmutacin por error?

3 Qu protocolo de red y puerto de comunicacin utilizan los nodos de un clster para


comunicarse entre s?

4 Qu servicio Windows permite administrar los servidores de un clster?

5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clster.

6 Cuntos nodos fsicos se soportan en un clster de servidores Windows Server 2012 R2?

7 Cuntas mquinas virtuales se soportan en cada clster Windows Server 2012 R2?

8 En un clster Windows Server 2012 R2, para que sirven los CSV?

9 Qu complemento permite administrar un clster Windows Server 2012 R2?

10 Qu es un qurum de clster?

11 Cules son los tres modos de configuracin de un qurum?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /11

Para este captulo, la puntuacin mnima es de 8/11.

3. Respuestas
1 Qu es un clster?

Un clster es un grupo de servidores que ejecutan la misma instancia de una aplicacin.

2 Qu protocolos IP estn soportados por un clster de conmutacin por error?

Un clster de conmutacin por error soporta los protocolos IPv 4 e IPv 6.

3 Qu protocolo de red y puerto de comunicacin utilizan los nodos de un clster para


comunicarse entre s?

Los nodos del clster intercambian entre ellos mensajes de latido empleando el protocolo UDP en
el puerto 3343.

4 Qu servicio Windows permite administrar los servidores de un clster?

El servicio Windows Serv icio de clster permite administrar los servidores de un clster.

5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clster.

Los servidores que quieran integrarse en un clster de conmutacin por error deben cumplir los
requisitos previos siguientes:

La misma edicin del sistema operativo.


La misma arquitectura del procesador.

El mismo nivel de parches.

El mismo nivel de service pack.

El mismo protocolo de red para los adaptadores de red de cada nodo.

El mismo dominio Active Directory para todos los nodos.

El mismo rol de clster instalado en cada nodo.

6 Cuntos nodos fsicos se soportan en un clster de servidores Windows Server 2012 R2?

Un clster en Windows Server 2012 R2 puede soportar hasta 64 nodos fsicos.

7 Cuntas mquinas virtuales se soportan en cada clster Windows Server 2012 R2?

En Windows Server 2012 R2, cada clster puede mantener 8000 mquinas virtuales.

8 En un clster Windows Server 2012 R2, para qu sirven los CSV?

Los CSV (Cluster Shared Volumes), o volmenes compartidos, permiten a los nodos de un clster
acceder simultneamente a un mismo archivo albergado en una LUN del espacio de
almacenamiento. Este procedimiento se utiliza, en particular, para el almacenamiento de una
imagen virtual a la cual se necesita acceso simultneo por dos hosts Hyper-V.

9 Qu complemento permite administrar un clster Windows Server 2012 R2?

El complemento Adm inistrador de clsteres de conm utacin por error permite administrar
un clster Windows Server 2012 R2.

10 Qu es un qurum de clster?

Un qurum es un voto que permite determinar cuntos nodos deben estar activos en un clster
para garantizar el servicio a los usuarios.

11 Cules son los tres modos de configuracin de un qurum?

Un qurum puede funcionar en los modos de configuracin siguientes:

Mayora de disco y nodo (Node and Disk Majority)

Mayora de nodo (Node Majority)

Mayora de recurso compartido de archivos y nodo (Node and File Share Majority).
Requisitos previos y objetivos

1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.

Tener nociones sobre la virtualizacin de servidores.

Tener nociones sobre los clsteres de conmutacin.

Tener nociones sobre la alta disponibilidad.

Ten nociones sobre la virtualizacin con Hyper-V.

Saber instalar y configurar Hyper-V.

Saber configurar un recurso compartido iSCSI.

2. Objetivos
Saber implementar un clster de conmutacin por error Hyper-V.

Saber importar una mquina virtual.

Saber configurar la replicacin de una mquina virtual.

Saber implementar una mquina virtual en un clster de conmutacin por error.

Saber mover una mquina virtual.


Virtualizacin con Hyper-V
Hyper-V es un hipervisor integrado en el sistema operativo Windows Server 2012 R2 como rol de
servidor. Hyper-V aporta una solucin de virtualizacin de servidores dentro de los productos servidor
de Microsoft.

1. Presentacin de Hyper-V
En el mundo de la virtualizacin de servidores, existen varios actores que ofrecen productos que
compiten con la solucin ofrecida por Microsoft. En entornos de produccin, encontramos
principalmente los productos siguientes:

VMware vSphere

Citrix XenServer

Microsoft Hyper-V

En el sistema operativo Windows Server 2012 R2, Microsoft ha integrado la versin 3 de Hyper-V. Un
hipervisor es una capa de software que se ejecuta directamente en una mquina fsica para poder
gestionar mltiples mquinas virtuales en un nico host. Este proceso est diseado para ofrecer a
las empresas muchas ventajas, como la alta disponibilidad, reduccin de costes y una gestin
centralizada del sistema de informacin.

Con esta nueva versin del sistema operativo, Microsoft proporciona a las empresas rendimientos
ms importantes y caractersticas mejoradas con respecto a la versin anterior en trminos de
virtualizacin con Hyper-V. Las infraestructuras de virtualizacin pueden beneficiarse en adelante de
las ventajas ofrecidas por las siguientes caractersticas:

Los hosts Hyper-V soportan en adelante hasta:

320 procesadores lgicos en hardware.

4 TB de memoria RAM.

2048 procesadores virtuales por host.

1024 mquinas virtuales activas por host.

Las mquinas virtuales soportan en adelante hasta:

64 procesadores virtuales por VM.

1 TB de memoria por VM.

64 TB de almacenamiento en un disco virtual.

Una infraestructura Hyper-V en Windows Server 2012 R2 ofrece en adelante la posibilidad de:

Redimensionar el tamao de un disco virtual (con la condicin de tener un archivo de disco


VHDX conectado a un controlador SCSI) conectado a una mquina virtual. La accin se puede
llevar a cabo en caliente: no es necesario apagar la mquina virtual, la operacin se lleva a
cabo incluso si el disco est en uso. Esto aporta pues una mayor flexibilidad para las
operaciones de mantenimiento.

Compartir un disco virtual (VHDX) entre varias mquinas virtuales de un clster de


conmutacin por error. Los archivos de cada disco virtual pueden alojarse en un volumen del
clster compartido, un recurso compartido SMB o un servidor de archivos.

Implementar la QoS (Quality of Service) en cada disco virtual para controlar y limitar el I/O
(Input/Output: entrada/salida) de las mquinas virtuales.

Los sistemas operativos invitados siguientes estn, en adelante, soportados: Windows


Server 2012 R2 y Windows 8.1.
a. Instalacin del rol Hyper-V

La instalacin del rol Hyper-V se realiza a travs del Administrador del servidor, agregando el rol
Hyper-V. Aadir este rol requiere un reinicio del servidor para implementar el hipervisor Hyper-V:

Al agregar este rol se aade el servicio Windows: Administracin de mquinas virtuales de


Hyper-V

Antes de instalar el rol de servidor Hyper-V en las mquinas Windows Server 2012 R2 de un clster
debemos garantizar que cada servidor cuenta con la misma versin de procesador y con una
tarjeta de red dedicada al envo de mensajes de latido. Antes de unirse al clster Hyper-V, los
servidores deben contar con la misma versin del sistema operativo as como el mismo nivel de
parches o service pack.

b. Administracin de Hyper-V

La administracin de un host Hyper-V se realiza a travs del complemento Administrador de


Hyper-V disponible en la siguiente ubicacin:

%windir%\system32\mmc.exe "%windir%\system32\virtmgmt.msc"

Si su infraestructura Hyper-V est configurada en modo clster de conmutacin por error, las
mquinas virtuales asociadas al clster Hyper-V deben gestionarse mediante el
complementoAdministrador de clsteres de conmutacin por error:
La consola Administrador de Hyper-V permite conectarse a un host que ejecute el hipervisor de
Microsoft para administrar y gestionar la infraestructura virtual.

c. Administracin de Hyper-V a travs de SCVMM

La gestin de un host Hyper-V puede realizarse mediante el complemento Administrador de Hyper-


V, y tambin mediante el componente SCVMM (System Center Virtual Machine Manager). Esta
consola de administracin aporta ms funcionalidades de administracin que el complemento.

Virtual Machine Manager permite gestionar infraestructuras de virtualizacin de servidores tales


como VMware vSphere, Citrix XenServer o Microsoft Hyper-V. Utilizando este componente,
podemos desplegar y gestionar las mquinas virtuales. El uso de esta consola de administracin
requiere la instalacin de una base de datos Microsoft SQL Server para almacenar los elementos
de configuracin.

La instalacin de la consola SCVMM requiere los siguientes requisitos previos:

Microsoft SQL Server 2008

Microsoft .NET Framework 3.5 SP1

Windows AIK (Automated Installation Kit)

4 GB de memoria RAM como mnimo

Procesador de al menos 2 GHz


Alta disponibilidad con Hyper-V
En entornos de produccin, la alta disponibilidad de un sistema de informacin requiere implementar
equipos redundantes. Para garantizar un alto nivel de disponibilidad de las mquinas virtuales en una
infraestructura de virtualizacin Hyper-V, Microsoft ha implementado tecnologas de replicacin de VM
(Virtual Machines), al igual que el uso de clsteres de conmutacin por error.

1. Replicacin
La replicacin permite aportar una solucin de alta disponibilidad basada en la redundancia de
mquinas virtuales. Activando la replicacin entre dos hosts Hyper-V y las mquinas virtuales, cada
host posee entonces una copia de la mquina virtual. Dado que esta copia est replicada, si uno de
los hosts que hospedan la mquina virtual se detuviera, alguno de los hosts restantes se hara
cargo arrancndola tambin. Para activar la replicacin, es necesario, en primer lugar, configurar los
hosts Hyper-V para la replicacin y, a continuacin, configurar las mquinas virtuales para replicar
segn sus parmetros de replicacin.

2. Clster de conmutacin por error


Con Windows Server 2012 R2, los entornos virtuales pueden volverse altamente disponibles
implementando un clster de conmutacin por error Hyper-V. Cuando se configura una mquina
virtual para ejecutarse en un clster de conmutacin por error, si el host que la hospeda falla, la
mquina se arranca automticamente en un segundo host del clster y las aplicaciones y servicios
siguen estando, as disponibles para los usuarios. Este modo de alta disponibilidad tambin se
denomina Host Clustering.

La implementacin del clster de conmutacin por error Hyper-V requiere la configuracin de un


espacio de almacenamiento compartido. Es preciso configurar una red dedicada para garantizar la
comunicacin entre los hosts Hyper-V y debe dedicarse otra red para la comunicacin con el espacio
de almacenamiento (SAN o iSCSI). Las mquinas virtuales se almacenan en el espacio de
almacenamiento compartido, cada host del clster puede entonces acceder a los archivos que
componen la mquina virtual. Dicho esto, un solo host del clster puede ejecutar una mquina
virtual a la vez. Cuando un host deja de funcionar, se advierte inmediatamente a los dems
integrantes del clster del fallo y un host disponible del clster se encarga de cambiar la mquina
virtual automticamente para garantizar la continuidad del servicio. Los servidores integrantes del
clster estn al corriente del estado de cada host Hyper-V mediante el envo de mensajes de latido.
Estos mensajes de latido se intercambian entre cada host Hyper-V cada segundo para conocer el
estado de cada uno de ellos. El envo de los mensajes de latido se lleva a cabo en la red dedicada a
los hosts a travs del protocolo TCP/UDP en el puerto 3343. Se considera que un host est
indisponible cuando no devuelve 5 mensajes de latido, es decir tras 5 segundos de ausencia de
comunicacin entre los integrantes del clster Hyper-V.

No obstante, existe otro mtodo de conmutacin comnmente llamado Guest Clustering. Este
mtodo no consiste en tener una mquina virtual hospedada en un host Hyper-V de un clster de
conmutacin por error, sino dos mquinas virtuales idnticas, hospedadas en hosts diferentes del
clster de conmutacin por error. De esta forma, en caso de fallo, la mquina virtual hospedada en
el segundo host Hyper-V puede tomar el relevo ms rpidamente. En este modo de conmutacin, las
mquinas virtuales comparten el mismo espacio de almacenamiento.

El clster de conmutacin por error Hyper-V en Windows Server 2012 R2 soporta los elementos
siguientes:

8000 mquinas virtuales por clster.

64 nodos.

Soporte de volmenes compartidos para almacenar las mquinas virtuales.

El almacenamiento de las mquinas virtuales puede realizarse, en lo sucesivo, en recursos


compartidos SMB 3.0.

Soporte para la supervisin de servicios de la mquina virtual.

3. Migracin de las mquinas virtuales


La migracin de las mquinas virtuales puede llevarse a cabo manualmente o automticamente
durante la prdida del host que ejecuta la mquina virtual. La migracin consiste en desplazar la
ejecucin de una mquina virtual de un host A a un host B. Existen dos tipos de migracin:

Migracin rpida: permite desplazar una mquina virtual a otro host teniendo la precaucin
de guardar el estado del servidor antes de la conmutacin. Se vuelve a arrancar la mquina
una vez terminada la conmutacin por error.

Migracin en vivo: permite desplazar una mquina virtual en caliente a otro host del clster.
Se sincroniza el estado del servidor durante el tiempo completo que dure la conmutacin por
error.

Un clster de conmutacin por error tiene, tambin, en cuenta la migracin del almacenamiento de
una mquina virtual. De esta forma, es posible desplazar los archivos que componen una mquina
virtual de un elemento de almacenamiento a otro.

En Windows Server 2012 R2, la operacin de migracin se desarrolla comprimiendo el contenido de


la memoria de la mquina virtual para copiarla en su destino. Esto permite mejorar el rendimiento de
la migracin de una mquina virtual a aproximadamente, la mitad de tiempo.

Adems, en lo sucesivo es posible exportar o clonar manualmente una mquina virtual en caliente.
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permita
garantizar la disponibilidad de las mquinas virtuales en caso de prdida de uno de los hosts de la
infraestructura Hyper-V.

Para responder a esta necesidad, se le pide implementar una solucin de clster de conmutacin por
error para poder migrar en caliente una mquina virtual de un host Hyper-V a otro miembro del
clster.

Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: Controlador de dominio Infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

FILES-01: Servidor de archivos iSCSI, Invonovice.priv

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Particiones E:\, F:\, G:\ (30 GB por disco)

HV-01: Servidor Hyper-V, Infonovice.priv

Direccin IP: 192.168.0.124

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Segunda tarjeta de red

HV-02: Servidor Hyper-V, Infonovice.priv

Direccin IP: 192.168.0.125

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

Segunda tarjeta de red

1. Preparar el almacenamiento Hyper-V


Este taller permite configurar los elementos de almacenamiento de un clster Hyper-V.

Paso 1: inicie una sesin en el servidor FILES-01 con credenciales de administracin y, a


continuacin, utilice el Administrador del servidor para crear tres discos virtuales iSCSI con las
caractersticas siguientes:

Nombre del destino: HYPER-V

Ruta de acceso: Archivo HYPER-V.vhd (en cada particin E:\, F:\ y G:\)

Tamao: 30 GB

Servidor de acceso: HV-01.infonovice.priv y HV-02.infonovice.priv


Paso 2: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enIniciador iSCSI.

Paso 3: en la ventana Microsoft iSCSI, haga clic en S para iniciar el servicio Windows asociado.

Paso 4: en la ventana Propiedades: Iniciador iSCSI, en la pestaa General, escriba FILES-01en


el campo Destino y haga clic en Conexin rpida.

Paso 5: en la ventana Conexin rpida, haga clic en Listo y, a continuacin, Aceptar para cerrar
la ventana.

Paso 6: abra el Administrador del servidor, vaya a la seccin Servicios de archivos y


almacenamiento y haga clic en Discos.

Paso 7: haga clic con el botn derecho en los discos sin conexin y haga clic en Poner en lnea. A
continuacin, haga clic en S para confirmar la operacin.

Paso 8: haga clic con el botn derecho en uno de los nuevos discos en lnea, y haga clic enNuevo
volumen.

Paso 9: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 10: en el paso Seleccionar el servidor y el disco, haga clic en Siguiente.

Paso 11: haga clic en Aceptar para inicializar el disco.

Paso 12: en el paso Especificar el tamao del volumen, indique 30 GB y haga clic en Siguiente.

Paso 13: en el paso Asignar a letra de unidad o carpeta, deje la letra por defecto y haga clic
enSiguiente.

Paso 14: en el paso Seleccionar configuracin del sistema de archivos, indique la siguiente
informacin y haga clic en Siguiente:

Sistema de archivos: NTFS

Tamao de unidad de asignacin: Predeterminado

Etiqueta del volumen: DISCOS

Paso 15: en el paso Confirmar selecciones, haga clic en Crear.

Paso 16: en el paso Resumen, haga clic en Finalizar.

Paso 17: vuelva a realizar los pasos 6 al 16 seleccionando los dems discos en lnea. Para los
nombres de volumen, el segundo disco se llamar VM y el tercero QUORUM.
Paso 18: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enIniciador iSCSI.

Paso 19: en la ventana Microsoft iSCSI, haga clic en S para iniciar el servicio Windows
asociado.

Paso 20: en la ventana Propiedades: Iniciador iSCSI, en la pestaa General, escriba FILES-
01en el campo Destino y haga clic en Conexin rpida.

Paso 21: en la ventana Conexin rpida, haga clic en Listo y, a continuacin, Aceptar para
cerrar la ventana.

Paso 22: abra el Administrador del servidor, vaya a la seccin Servicios de archivos y
almacenamiento y haga clic en Discos.

Paso 23: haga clic con el botn derecho en cada disco sin conexin y haga clic en Poner en lnea.
A continuacin, haga clic en S para confirmar la operacin. Verifique que las tres particiones
aparezcan en el puesto de trabajo.

Paso 24: vaya al servidor HV-01 y, a continuacin, desde el Administrador del servidor,
agregue la caracterstica Clster de conmutacin por error. Repita la operacin en el
servidorHV-02.

Paso 25: desde la consola Administrador del servidor en HV-01, haga clic en Herramientas y,
a continuacin, en Administrador de clsteres de conmutacin por error.

Paso 26: en el men Acciones, haga clic en Validar configuracin.

Paso 27: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 28: en el paso Seleccionar servidores o un clster, agregue los servidores HV-01 y HV-
02 y haga clic en Siguiente.

Paso 29: en el paso Opciones de pruebas, marque la opcin Ejecutar todas las pruebas y haga
clic en Siguiente.

Paso 30: en el paso Confirmacin, haga clic en Siguiente.

Paso 31: en el paso Resumen, verifique que las pruebas han concluido exitosamente y, a
continuacin, marque la opcin Crear el clster ahora con los nodos validados.

Paso 32: en la ventana Asistente para crear clster, haga clic en Siguiente en el paso Antes de
comenzar.

Paso 33: en el paso Punto de acceso para administrar el clster, escriba CLUSTER-HV en el
campo Nombre del clster y, a continuacin, haga clic en Siguiente.
Paso 34: en el paso Confirmacin, desmarque la opcin Agregar todo el almacenamiento apto
al clster y, a continuacin, haga clic en Siguiente.

Paso 35: en el paso Resumen, haga clic en Finalizar.

Paso 36: despliegue el rbol de la consola Administrador de clsteres de conmutacin por


error y seleccione al elemento siguiente CLUSTER-HV.infonovice.priv \ Almacenamiento \
Discos. En el men Acciones, haga clic en Agregar disco.

Paso 37: verifique que los tres discos estn marcados y haga clic en Aceptar.

Etapa 38: verifique que los tres discos aparecen con un estado En lnea:

Paso 39: seleccione el disco cuyo nombre de volumen es VM (se debe tratar del disco nmero 1),
haga clic con el botn derecho encima y haga clic en Agregar a volmenes compartidos del
clster.

Paso 40: haga clic con el botn derecho en el nodo CLUSTER-HV.infonovice.priv, haga clic
enAcciones adicionales y, a continuacin, en Configurar opciones de qurum de clster.

Paso 41: en el paso Antes de comenzar del Asistente para configurar qurum de clster, haga
clic en Siguiente.

Paso 42: en la etapa Seleccionar opcin de configuracin de qurum, marque la


opcinSeleccionar el testigo de qurum y haga clic en Siguiente.

Paso 43: en el paso Seleccionar testigo de qurum, marque la opcin Configurar un testigo de
disco y haga clic en Siguiente.

Paso 44: marque la opcin del disco cuyo nombre de volumen es QUORUM y, a continuacin,
haga clic en Siguiente (se debe tratar del volumen G:\).
Paso 45: en el paso Confirmacin, haga clic en Siguiente.

Paso 46: en el paso Resumen, haga clic en Finalizar.

En este punto, el nodo propietario de cada disco iSCSI debe ser el servidor HV-01. Si no fuera el
caso, realice la modificacin.

2. Instalar el rol Hyper-V


Este taller permite instalar el rol de servidor Hyper-V en un equipo que ejecuta el sistema operativo
Windows Server 2012 R2.

Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al


rolHyper-V y, a continuacin, haga clic en el botn Agregar caractersticas. A continuacin, haga
clic en Siguiente:

Paso 4: en el paso Seleccionar caractersticas, haga clic en Siguiente.

Paso 5: en el paso Hyper-V, haga clic en Siguiente.

Paso 6: en el paso Crear conmutadores virtuales, marque la opcin correspondiente a la


segunda tarjeta de red y haga clic en Siguiente:
Paso 7: en el paso Migracin de mquinas virtuales, haga clic en Siguiente.

Paso 8: en el paso Almacenes predeterminados, haga clic en Siguiente.

En un entorno de produccin, es recomendable seleccionar una ubicacin diferente a la


predeterminada.

Paso 9: en el paso Confirmar selecciones de instalacin, haga clic en Instalar.

Paso 10: en la etapa Progreso de la instalacin, haga clic en Cerrar y reinicie el servidor.

Repita las operaciones 1 a 10 en el servidor HV-02.

3. Importar las mquinas virtuales


Este taller permite importar las mquinas virtuales existentes (del taller anterior de este libro) en un
host Hyper-V.

Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, cree el directorio C:\VM.

Paso 2: copie la carpeta que contiene la mquina virtual CLIENT2 en la carpeta C:\VM del
servidor HV-01.

Paso 3: en el Administrador del servidor, haga clic en Herramientas y, a continuacin,


enAdministrador de Hyper-V.

Paso 4: en el rbol de la consola, seleccione el host Hyper-V, haga clic con el botn derecho
encima y haga clic en Importar mquina virtual.

Paso 5: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 6: en el paso Buscar carpeta, haga clic en Examinar para indicar la ruta C:\VM\CLIENT2.
Haga clic en Siguiente.
Paso 7: en el paso Seleccionar mquina virtual, haga clic en CLIENT2 y, a continuacin,
enSiguiente.

Paso 8: en el paso Elegir tipo de importacin, marque la opcin Copiar la mquina virtual y, a
continuacin, haga clic en Siguiente.

Paso 9: en el paso Elegir carpetas para archivos de mquina virtual, haga clic en Siguiente.

Paso 10: en el paso Elegir carpetas para almacenar discos duros virtuales, haga clic
enSiguiente.

Paso 11: en el paso Resumen, haga clic en Finalizar.

La mquina virtual aparece ahora en el centro de la consola de administracin de Hyper-V.

4. Configurar la replicacin Hyper-V


Este taller permite activar y configurar la replicacin en un host Hyper-V.

Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, cree el directorio C:\REPLICACIN.

Paso 2: en el Administrador del servidor, haga clic en Herramientas y, a continuacin,


enAdministrador de Hyper-V.

Paso 3: en el rbol de la consola, seleccione el host Hyper-V, haga clic con el botn derecho
encima y haga clic en Configuracin de Hyper-V.

Paso 4: en el rbol de la ventana, haga clic en Configuracin de replicacin.

Paso 5: marque la opcin Habilitar este clster como servidor de rplicas.

Paso 6: marque la opcin Usar Kerberos (HTTP) en el puerto 80.

Paso 7: en la seccin Autorizacin y almacenamiento, marque la opcin Permitir replicacin


desde cualquier servidor autenticado. Haga clic en Examinar para especificar la
ubicacinC:\REPLICACIN y, a continuacin, haga clic en Aceptar dos veces:

Paso 8: abra una ventana Ejecutar, escriba firewall.cpl y haga clic en Aceptar:
Paso 9: en el men de la izquierda haga clic en Configuracin avanzada.

Paso 10: en el rbol de la consola, haga clic en Reglas de entrada y, a continuacin, en la lista
central, habilite la regla Escucha HTTP de rplica de Hyper-V (Tcp de entrada) y cierre todas
las ventanas del Firewall de Windows.

Repita las operaciones 1 a 10 en el servidor HV-02.

5. Configurar la replicacin de una VM


Este taller permite activar y configurar la replicacin de una mquina virtual en dos hosts Hyper-V.

Paso 1: inicie una sesin en el servidor HV-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Administrador de Hyper-V.

Paso 2: en el rbol de la consola, seleccione el host Hyper-V y, a continuacin, en la ventana


central, haga clic con el botn derecho en la mquina virtual CLIENT1 y haga clic en Habilitar
replicacin.

Paso 3: en el paso Antes de comenzar, haga clic en Siguiente.

Paso 4: en el paso Especificar servidor de rplicas, escriba HV-02 en el campo Servidor de


rplicas y haga clic en Siguiente.

Paso 5: en el paso Especificar parmetros de conexin, escriba 80 en el campo Puerto del


servidor de rplicas y, a continuacin, marque la opcin Usar la autenticacin Kerberos
(HTTP). A continuacin, haga clic en Siguiente.
Paso 6: en el paso Elegir discos duros virtuales de replicacin, haga clic en Siguiente.

Paso 7: en el paso Configurar RPO, puntos de recuperacin adicionales, marque la


opcinMantener solo el punto de recuperacin ms reciente, y haga clic en Siguiente.

Paso 8: en el paso Elegir mtodo de replicacin inicial, marque la opcin Enviar copia inicial a
travs de la red de la seccin Mtodo de replicacin inicial. A continuacin, marque la
opcinIniciar replicacin inmediatamente de la seccin Programar replicacin inicial y haga clic
enSiguiente.

Paso 9: en el paso Finalizacin del Asistente para habilitar replicacin, haga clic en Finalizar.

Paso 10: seleccione la mquina virtual CLIENT1 y, en la columna Estado, observe el progreso de
la replicacin.

Paso 11: al finalizar la replicacin la mquina virtual CLIENT1 estar, tambin, visible en el host
Hyper-V HV-02. Haga clic con el botn derecho en la mquina virtual replicada y, a continuacin,
haga clic en Replicacin\Mantenimiento de la replicacin. Verifique que no ha habido errores en
la replicacin y haga clic en Cerrar.

Paso 12: haga clic con el botn derecho en la mquina virtual CLIENT1 y haga clic
enReplicacin\Conmutacin por error planeada.

Paso 13: en la ventana Conmutacin por error planeada, marque la opcin Iniciar la mquina
virtual de rplica tras la conmutacin por error y haga clic en Conmutacin por error:
Paso 14: verifique que la mquina virtual CLIENT1 ha iniciado en el host HV-02. Haga clic con el
botn derecho en la mquina virtual y, a continuacin, haga clic en Replicacin\Quitar
replicacin y confirme la eliminacin.

Paso 15: apague la mquina CLIENT1.

6. Configurar la conmutacin por error de clster


Este taller permite configurar la conmutacin por error de un clster Hyper-V.

Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. A continuacin, copie el archivo C:\Users\Public\Documents\Hyper-V\Virtual
Hard Disks\CLIENT2.vhdx en la carpeta C:\ClusterStorage\Volume1.

Paso 2: en el Administrador del servidor del servidor HV-01, haga clic en Herramientas y, a
continuacin, en Administrador de clsteres de conmutacin por error. Despliegue el rbol de
la consola y haga clic con el botn derecho en Roles - Mquinas virtuales - Nueva mquina
virtual.

Paso 3: en la ventana Nueva mquina virtual, seleccione HV-01 y, a continuacin, haga clic
enAceptar.

Paso 4: en el paso Antes de comenzar del Asistente para crear nueva mquina virtual, haga
clic en Siguiente.

Paso 5: en el paso Especificar el nombre y la ubicacin, escriba CLIENT-TEST en el


campoNombre. Marque la opcin Almacenar la mquina virtual en otra ubicacin y haga clic
enExaminar para especificar la ruta C:\ClusterStorage\Volume1. A continuacin, haga clic
enSiguiente:
Paso 6: en el paso Asignar memoria, escriba 1024 MB en el campo Memoria de inicio y haga clic
en Siguiente.

Paso 7: en el paso Configurar funciones de red, seleccione la tarjeta de red correspondiente al


switch virtual existente. Haga clic en Siguiente.

Paso 8: en el paso Conectar disco duro virtual, marque la opcin Usar un disco duro virtual
existente y haga clic en Examinar para seleccionar el
archivo:C:\ClusterStorage\Volume1\CLIENT2.vhdx. A continuacin, haga clic en Siguiente:
Paso 9: en el paso Finalizacin del Asistente para crear nueva mquina virtual, haga clic
enFinalizar.

Paso 10: en el paso Resumen, verifique que la creacin de la VM se ha llevado a cabo con xito
y, a continuacin, haga clic en Finalizar.

7. Migrar una mquina virtual


Este taller permite migrar en caliente una mquina virtual a otro host Hyper-V (V-Motion).

Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de clsteres de conmutacin por error.

Paso 2: despliegue el rbol de la consola para seleccionar el nodo Roles. Haga clic con el botn
derecho en la mquina virtual CLIENT-TEST y haga clic en Iniciar.

Paso 3: haga clic con el botn derecho en la mquina virtual CLIENT-TEST, haga clic en Mover y,
a continuacin, en Migracin en vivo y Seleccionar nodo.

Paso 4: en la ventana Mover mquina virtual, seleccione HV-02 y, a continuacin, haga clic
enAceptar.

Paso 5: haga clic con el botn derecho en la mquina virtual y haga clic en Conectar. Verifique
que la mquina virtual est accesible en el host HV-02.

8. Migrar el almacenamiento de una VM


Este taller permite migrar en caliente el almacenamiento de una mquina virtual a otra ubicacin (V-
Storage).

Paso 1: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de Hyper-V.

Paso 2: haga clic con el botn derecho en la mquina virtual CLIENT2 y haga clic en Mover.

Paso 3: en la ventana Asistente para crear clster, haga clic en Siguiente en el paso Antes de
comenzar.

Paso 4: en el paso Elegir tipo de movimiento, marque la opcin Mover el almacenamiento de la


mquina virtual y, a continuacin, haga clic en Siguiente.

Paso 5: en el paso Elegir opciones de movimiento de almacenamiento, marque la opcin Mover


todos los datos de la mquina virtual a una sola ubicacin y, a continuacin, haga clic
enSiguiente.

Paso 6: en el paso Elegir una nueva ubicacin para mquina virtual, haga clic en Examinar y
seleccione la carpeta C:\CLIENT2. Haga clic en Siguiente y, a continuacin, en Finalizar.

9. Redimensionar un VHDX en caliente


Este taller permite redimensionar en caliente el disco virtual en formato VHDX de una VM:

Paso 1: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de Hyper-V.

Paso 2: verifique que la VM CLIENT2 se encuentra en ejecucin correctamente. Seleccione la VM


y, a continuacin, en la seccin Accin del Administrador de Hyper-V, haga clic en Editar disco.

Paso 3: en la ventana Antes de comenzar, haga clic en Siguiente.

Paso 4: en el paso Localizar disco, haga clic en Examinar para seleccionar la ubicacin del
archivo *.vhdx asociado a la mquina virtual y, a continuacin, haga clic en Siguiente.

Paso 5: en el paso Elegir accin, marque la opcin Expandirlo y, a continuacin, haga clic
enSiguiente.

Paso 6: en el paso Expandir disco duro virtual, escriba un valor superior al tamao actual del
disco. Haga clic en Siguiente y, a continuacin, en Finalizar.
Paso 7: conctese a la mquina virtual cliente e introduzca el comando
siguiente:compmgmt.msc. Navegue hasta el nodo Administracin de discos en la
seccinAlmacenamiento para verificar que el disco duro de la mquina virtual cuenta, en
adelante, con espacio sin asignar.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los clsteres de conmutacin en
Windows Server 2012 R2. Podra resumirse de la manera siguiente:

Windows Server 2012 R2 utiliza la versin 3 de Hyper-V.

Hyper-V puede instalarse en un sistema operativo Windows Server 2012 R2 instalado en modo
Core Server o instalacin completa.

Los hosts de un clster intercambian mensajes de latido cada segundo para conocer el estado
de funcionamiento de los dems integrantes.

Un host se declara como defectuoso cuando no responde a 5 mensajes de latido.

Para administrar una mquina virtual ejecutada en clster, se debe emplear la


consolaAdministrador de clsteres de conmutacin por error.

Una infraestructura de virtualizacin de servidores puede gestionarse y administrarse


mediante la herramienta SCVMM (System Center Virtual Machine Manager).
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 A qu puerto envan los hosts Hyper-V los mensajes de latido para los dems integrantes del
clster?

2 Cuntas mquinas virtuales soporta un clster de conmutacin por error de Windows


Server 2012 R2?

3 Despus de cuntos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los dems miembros de un clster?

4 Cul es la frecuencia de envo de los mensajes de latido enviados por los integrantes de un
clster?

5 Cul es la versin de Hyper-V utilizada en Windows Server 2012 R2?

6 Qu es la replicacin en Hyper-V?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /6

Para este captulo, la puntuacin mnima es de 4/6.

3. Respuestas
1 A qu puerto envan los hosts Hyper-V los mensajes de latido para los dems integrantes del
clster?

Los mensajes de latido se envan a los dems miembros del clster a travs del puerto TCP/UDP
3343.

2 Cuntas mquinas virtuales soporta un clster de conmutacin por error de Windows


Server 2012 R2?

En Windows Server 2012 R2, un clster de conmutacin por error puede soportar 8000 mquinas
virtuales.

3 Despus de cuntos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los dems miembros de un clster?

Si un host Hyper-V no responde a 5 mensajes de latido, se declara como fallo y se inicia el proceso
de conmutacin de las mquinas virtuales.

4 Cul es la frecuencia de envo de los mensajes de latido enviados por los integrantes de un
clster?

Los miembros de un clster Hyper-V envan los mensajes de latido destinados a los dems
integrantes del clster cada segundo.

5 Cul es la versin de Hyper-V utilizada en Windows Server 2012 R2?

Windows Server 2012 R2 utiliza la versin de Hyper-V 3.0.

6 Qu es la replicacin en Hyper-V?

La replicacin permite dotar de redundancia a las mquinas virtuales, que pueden alojarse, de este
modo, simultneamente en dos hosts Hyper-V. Si uno de los hosts cae, la mquina virtual se
reactiva automticamente, en el host Hyper-V restante.
Requisitos previos y objetivos

1. Requisitos previos
Conocer los principios de una copia de seguridad de datos.

Conocer los principios de una restauracin de datos.

Conocer las bases de un plan de recuperacin de contingencias.

2. Objetivos
Saber implementar un plan de recuperacin de contingencias en caso de siniestro.

Saber definir una directiva de copia de seguridad.

Saber implementar la copia de seguridad en Windows Server 2012 R2.

Saber restaurar los datos borrados de un servidor de archivos.

Saber recuperar los objetos eliminados accidentalmente de un directorio.


Presentacin de la recuperacin de desastres
Hoy en da, cada vez ms empresas trabajan empleando diariamente herramientas informticas
(servidores, puestos de trabajo, terminales fijos o mviles, e-mail, etc.). Los datos manipulados estn
disponibles en diferentes soportes, accesibles por uno o varios usuarios y ms o menos
confidenciales. Para muchas empresas, su actividad principal est basada en datos digitales
(contratos, facturas, pedidos, gestin de inventario, productos, servicios en lnea, sitios web,
proyectos, etc.). Por este motivo, la prdida de datos informticos durante un siniestro puede resultar
vital para una empresa (incendio, eliminacin accidental, cadas de sistema, piratera, robo, etc.).
Segn las estadsticas, una empresa que pierde una parte fundamental de sus datos informticos
tras una cada del sistema o una manipulacin incorrecta tiene un porcentaje muy alto de cesar toda
actividad en las semanas siguientes al siniestro, si no se ha implemantado previamente un plan de
recuperacin de desastres. Por este motivo, la copia de seguridad es un aspecto esencial, comn a
casi todas las empresas. Implementar una solucin informtica significa, tambin, planificar e
implementar soluciones de restauracin en caso de siniestro.

1. Recuperacin de desastres
La recuperacin de desastres consiste en restaurar el servicio que se haya visto impactado tras un
siniestro. Para ello, una empresa puede implementar un plan de recuperacin de desastres (PRD)
que consiste en definir las tareas y acciones a realizar para restaurar, en un tiempo rcord, el
servicio ofrecido a los usuarios. Un PRD contiene principalmente un plan de respaldo que consiste en
definir una poltica relativa al almacenamiento del conjunto de datos de la empresa para poder
restaurarlo en caso de necesidad. Antes de implementar una poltica de respaldo, una empresa
debe realizar un estudio preliminar que ayudar a definir claramente las necesidades y orientar la
manera ms adecuada de implementar el plan de respaldo. Para satisfacer mejor las exigencias
requeridas por un sistema informtico, es necesario respetar y seguir las mejores prcticas definidas
en las normas ITIL (Information Technology Infrastructure Library).

Las mejores prcticas contenidas en las publicaciones ITIL abogan por dar respuesta a las
siguientes preguntas antes de implementar un plan de recuperacin de desastres:

Definir los elementos a securizar y/o respaldar: securizar o respaldar el conjunto del
permetro informtico conlleva costes (software, hardware, espacio de almacenamiento en
disco o cinta, redundancia de equipos, etc.). Por este motivo, conviene evaluar previamente el
volumen de datos a almacenar realizando la seleccin de los elementos a conservar.

Evaluar los costes del respaldo: a mayor cantidad de datos a respaldar, mayor ser el coste
del plan de respaldo (equipo de copia de seguridad, espacio en disco, etc.). Para controlar su
presupuesto, es importante no descuidar los costes vinculados al respaldo. Todos los
elementos de la infraestructura de copia de seguridad deben ser evaluados, como el
hardware, software, volumen de datos, costes de retencin, costes de almacenamiento al
igual que los costes humanos (administrador, operador, etc.).

Definir las clusulas del contrato de nivel de servicio: las publicaciones que describen las
mejores prcticas informticas mencionan la gran importancia de definir previamente el nivel
de servicio ofrecido a los usuarios. Estas clusulas deben registrarse en un documento que
indique con claridad la calidad que se espera de los servicios (contrato entre cliente y
proveedor tambin llamado SLA: Service Level Agreement), as como los tiempos de
interrupcin de servicio mximos en caso de avera o siniestro. La duracin mxima de
interrupcin del servicio aceptable antes del reinicio de la actividad, tambin llamada RTO
(Recovery Time Objective) de acuerdo a las publicaciones ITIL.

Definir la prdida de datos aceptable en caso de siniestro: tras un desastre, es posible


restaurar los datos perdidos o daados de un servidor en un momento T, si la aplicacin de
las polticas de copia de seguridad est en funcionamiento. Sin embargo, los datos
introducidos por los usuarios varios minutos antes del siniestro pueden no haber sido
respaldados. Esto quiere decir, implcitamente, que no es posible restaurar los elementos que
no hayan sido respaldados. Por este motivo, es importante definir la tolerancia relativa a la
prdida de datos en caso de siniestro en un documento especfico, tambin llamado RPO
(Recovery Point Objective) en las publicaciones ITIL.

Definir la poltica de retencin de los respaldos: cuando los respaldos se realizan en cinta,
online o en disco, se consume espacio de almacenamiento. La poltica de retencin de
respaldos define el tiempo durante el que es necesario conservar los archivos almacenados
antes de sobrescribirlos con una nueva copia de seguridad o, simplemente, destruirlos.
Cuanto mayor sea el perodo de conservacin de los respaldos, ms fcil ser para un
administrador restaurar datos eliminados hace varios das. El caso se presenta sobre todo
para las situaciones de eliminacin accidental de datos. Por ejemplo, si un usuario elimina
accidentalmente una carpeta importante y ningn usuario se da cuenta de ello en dos
semanas... ser entonces imposible para un administrador restaurar los datos eliminados si
la poltica de retencin de copias de seguridad impone una rotacin para la sobrescritura de
los archivos de una semana. Para poder restaurar en diferentes situaciones, es posible
implementar dos planes de respaldo simultneamente. Por ejemplo, un plan de respaldo
semanal en disco podra realizar copias de seguridad con un perodo de retencin de cuatro
semanas, mientras que otro plan de respaldo mensual en cinta podra realizar copias de
seguridad con un plazo de retencin de un ao.

Definir una poltica de restauracin de datos: existen diferentes mtodos para restaurar los
datos en funcin de los mtodos de copia de seguridad o recuperacin implementados para
securizar la infraestructura informtica. Durante un siniestro, conviene determinar
previamente los mtodos de recuperacin de los datos en funcin del tipo de situacin. Una
poltica de restauracin debe estar definida de acuerdo a las clusulas definidas en los
contratos de calidad de servicio. Por ejemplo, si un usuario pierde un archivo, ser ms rpido
intentar restaurar los datos mirando en la cach de instantneas que recuperar una cinta del
centro de respaldo de archivos. Esto permite restaurar los datos ms rpidamente y
aumentar el porcentaje de disponibilidad para respetar las clusulas de calidad de servicio
por parte de los administradores, as como reducir el tiempo de interrupcin mximo admisible
por los usuarios. Resulta bsico validar y probar regularmente cualquier plan de respaldo que
se implemente, con el objetivo de garantizar que la poltica de restauracin es operativa y
que los datos almacenados son explotables. Sucede con demasiada frecuencia que una
empresa respalda sus datos en cinta y que el da que se requiere una restauracin los
administradores se encuentran impotentes, con una cinta en blanco o datos inutilizables.
Conviene probar, sistemticamente, que el proceso de restauracin funciona y que los
archivos restaurados son accesibles por los usuarios. Esto garantiza la integridad de los
datos restaurados as como la calidad del servicio proporcionado.

2. Presentacin de la copia de seguridad


Existen varias tecnologas de copia de seguridad de datos, varios soportes de destino y varios
fabricantes; las soluciones utilizan componentes hardware o software.

Encontramos en particular las copias de seguridad de datos en los soportes siguientes:

Cloud

Discos duros internos/externos

Soportes extrables

CD/DVD ROM

Ubicaciones de red

Replicacin de datos (en un equipo redundante o una ubicacin geogrfica diferente)

Cintas de copia de seguridad

Instantneas

RAID

Snapshots (copia de seguridad del estado del sistema en un momento concreto)


La mayora de las soluciones software de terceros existentes utilizan componentes que necesitan
un servidor sobre el que instalar la solucin de copia de seguridad y agentes instalados en cada
servidor para garantizar la comunicacin y la transferencia de los datos a respaldar. En este libro se
aborda, nicamente, la solucin de copia de seguridad integrada en el sistema operativo Windows
Server 2012 R2 (funcionalidad Copias de seguridad de Windows Server), las instantneas
(Shadow Copy), as como el sistema de copia de seguridad de tipo Cloud ofrecido por Microsoft
llamado Windows Azure Online Backup.

3. Copias de seguridad de Windows Server


El sistema operativo Microsoft Windows Server 2012 R2 integra de manera nativa la funcionalidad de
servidor llamada Copias de seguridad de Windows Server. Una vez instalada, es posible acceder a
esta herramienta como un complemento accesible desde la carpeta de
sistema%Windir%\system32\wbadmin.msc, las herramientas administrativas del sistema
operativo o mediante el Administrador del servidor.

Esta herramienta permite principalmente gestionar las copias de seguridad locales (ubicacin de red,
volumen en disco) o en lnea (Windows Azure Online Backup).

Cuando ejecutamos una copia de seguridad con esta herramienta, el complemento Copias
deseguridad de Windows Server crea un disco virtual del volumen a respaldar. Este disco virtual es un
archivo imagen con formato *.vhdx, que es el nuevo formato de almacenamiento de las mquinas
virtuales en Microsoft Hyper-V3. Los discos virtuales VHDX pueden soportar 64 TB de datos. El disco
virtual dedicado para la copia de seguridad de los datos se crea en la ubicacin siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Backup [Fecha de la copia de
seguridad]

Se puede navegar en cualquier momento por los archivos de imagen de disco duro empleando un
complemento. La herramienta crea los archivos BackupGlobalCatalog y GlobalCatalog que registran la
configuracin de los volmenes respaldados en la siguiente ubicacin:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Catalog

Cada copia de seguridad realizada debe verificarse para garantizar que los datos son accesibles en
caso de requerir una restauracin urgente. Si ocurriera algn accidente durante el proceso de copia
de seguridad, la herramienta graba los registros de errores en la ubicacin siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Logs

La herramienta de copia de seguridad permite archivar el conjunto de datos de los sistemas


operativos Windows Server, as como las mquinas virtuales que funcionan bajo Hyper-V.

a. Gestin de la copia de seguridad de Windows Server

La consola de administracin Copias de seguridad de Windows Server permite gestionar los tipos
de Copias de seguridad local o Copias de seguridad en lnea. El men Acciones de la Copia de
seguridad local permite administrar los elementos siguientes:
Programar copia de seguridad: permite programar una copia de seguridad para ejecutarla
a intervalos regulares.

Hacer copia de seguridad una vez: permite ejecutar una copia de seguridad completa.

Recuperar: permite restaurar los datos a partir de elementos de una copia de seguridad ya
realizada mediante una copia de seguridad local o en lnea.

Configurar opciones de rendimiento: permite especificar el tipo de copia de seguridad a


realizar para cada volumen y optimizar as el rendimiento del respaldo. La
herramientaCopias de seguridad de Windows Server ofrece dos tipos de opciones de
copia de seguridad. Las copias de seguridad completas y las copias de seguridad
incrementales. Las copias de seguridad completas tardan ms en ejecutarse, porque la
operacin archiva todos los datos seleccionados. La operacin de copia de seguridad
incremental es ms rpida porque archiva nicamente aquellos archivos modificados desde
la ltima copia de seguridad completa o incremental.

Ayuda: permite mostrar la ayuda de la copia de seguridad de Windows Server.

b. Programar la copia de seguridad de Windows

Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server basta con iniciar el asistente Programar copia de seguridad desde el men Acciones de la
seccin Copia de seguridad local. El asistente para programar una copia de seguridad permite
seleccionar los elementos que se quiere copiar y, a continuacin, definir la frecuencia del respaldo.
Es posible planificar la ejecucin de las copias de seguridad para que se realicen una vez por
semana o varias veces al da:
La ubicacin de destino de una copia de seguridad planificada puede definirse en:

Un disco duro dedicado para copias de seguridad

Un volumen

Una carpeta de red compartida

Cuando se ejecuta la copia de seguridad programada, el detalle de la copia se muestra en la


ventana central de la consola Copias de seguridad de Windows Server.

c. Configurar la copia de seguridad de Windows

Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server, basta con iniciar el asistente Hacer copia de seguridad una vez desde el
men Accionesde la seccin Copia de seguridad local. El asistente Copia de seguridad una
vez permite seleccionar los elementos a respaldar realizando una copia completa del servidor o
seleccionando elementos concretos para realizar una copia de seguridad personalizada. Es posible
seleccionar los siguientes elementos de una copia de seguridad:

Reconstruccin completa

Estado del sistema

Un volumen completo

Archivos o carpetas de un volumen


La ubicacin de destino de una copia de seguridad que se realiza una nica vez puede definirse en
una unidad de disco local o una carpeta compartida en la red:

Cuando se ejecuta una copia de seguridad de una vez, el detalle de la copia de seguridad se
muestra en la ventana central de la consola Copias de seguridad de Windows Server.

d. Configurar la restauracin de datos

Para recuperar los datos mediante la herramienta Copias de seguridad de Windows Server,
basta con iniciar el asistente Recuperar desde el men Acciones de la seccin Copia de seguridad
local. El Asistente para recuperacin permite seleccionar los elementos a recuperar desde el
catlogo de copias de seguridad disponibles.

El asistente muestra un calendario con los datos en negrita indicando los elementos de copias de
seguridad disponibles en el catlogo de respaldos realizados con xito:

El asistente para recuperacin de datos ofrece la posibilidad de restaurar los elementos


siguientes:

Archivos y carpetas

Mquinas virtuales compatibles con Hyper-V

Volmenes

Aplicaciones

Estado del sistema


Recuperacin de datos
En un plan de recuperacin de desastres, el servicio interrumpido por un incidente informtico debe
restablecerse lo ms rpidamente posible. La copia de seguridad es un elemento que supera todo
tipo de incidentes, pero el tiempo de recuperacin a veces puede ser bastante largo, sobre todo si se
subcontrata la copia de seguridad a un proveedor de servicios responsable de mantener las cintas de
respaldo en una caja fuerte segura. En ciertas situaciones, la implementacin de la
tecnologainstantneas en un servidor de archivos o la activacin de la Papelera de reciclaje de
Active Directory puede hacer ganar un tiempo precioso a los administradores, conscientes de
restaurar los datos borrados accidentalmente en un tiempo rcord.

1. Instantneas
Las instantneas, tambin llamadas en ingls Shadow Copy, permiten implementar una copia de
seguridad automtica en los archivos modificados. Esto permite, en particular, restaurar un archivo a
una versin anterior cuando se realizan, por ejemplo, modificaciones errneas en un documento,
que luego se salvaguardan. Esta tecnologa utiliza el servicio Windows Volume Shadow Copy
Service (VSS) para realizar una copia de los archivos.

Para activar las instantneas, basta con realizar el procedimiento siguiente:

Edite las propiedades del volumen que contiene sus datos.

Haga clic en la pestaa Instantneas, seleccione el volumen en el que desea activar la


funcionalidad y, a continuacin, haga clic en Configuracin.

Establezca un tamao lmite para la gestin de las instantneas (el tamao mnimo se fija en
320 MB).

A continuacin, haga clic en el botn Programacin.

En la pestaa Programacin, seleccione la hora de ejecucin de las instantneas, haga clic


enAceptar y cierre a continuacin la ventana de configuracin:
Las instantneas estn activadas en el volumen cuando un pequeo reloj aparece y el
botnHabilitar aparece en gris. Haga clic en Aceptar para cerrar las propiedades del volumen a
respaldar con esta funcionalidad.
El botn Crear ahora permite ejecutar una instantnea manualmente sin tener que esperar a
la hora de la prxima ejecucin planificada de las instantneas.

Para restaurar los datos que han sido modificados por error, basta con editar las propiedades
de la carpeta o archivo a restaurar y hacer clic en la pestaa Versiones anteriores. Esta vista
permite visualizar las versiones anteriores del archivo disponibles para poder seleccionar una
fecha adecuada para restaurar el archivo. Antes de restaurarlo, es posible visualizar el
contenido del archivo o de la carpeta haciendo clic en Abrir, para verificar si la copia es
conforme al elemento que deseamos restaurar. Haciendo clic en el botn Copiar, podemos
restaurar el elemento seleccionado a una ubicacin diferente. Haciendo clic
en Restaurarpodemos recuperar el archivo de la fecha seleccionada, sobrescribiendo la versin
actual.
2. Papelera de reciclaje de Active Directory
La papelera de reciclaje de Active Directory es una funcionalidad aparecida con Windows Server
2008. Esta funcionalidad permite restaurar objetos eliminados por error, cuando la opcin de
proteccin contra eliminacin accidental no est implementada. La activacin de esta opcin necesita
la elevacin del nivel funcional del bosque a Windows Server 2012. Despus de activada, ya no ser
posible modificar el nivel funcional del bosque ni desactivar la papelera de reciclaje de Active
Directory.

Para activar la papelera de reciclaje de Active Directory, basta con realizar el procedimiento
siguiente:

Aumente el nivel funcional del bosque al menos a Windows Server 2012.

Arranque la consola Centro de administracin de Active Directory.

En la consola ADAC, seleccione el dominio en gestin y, a continuacin, en las tareas


disponibles, haga clic en Habilitar papelera de reciclaje:

Haga clic en Aceptar para validar la activacin de la papelera de reciclaje de Active Directory:
Trabajos prcticos
La empresa INFONOVICE desea implementar un plan de recuperacin ante desastres que permitir
respaldar la totalidad de la informacin almacenada en el servidor de archivos. El nivel de servicio en
caso de siniestro no debe estar degradado mucho tiempo. Para ello, la empresa solicita planificar la
copia de seguridad a diario, con un umbral de prdida de datos mximo admisible fijado en medio da
de actividad. En lo relativo al directorio Active Directory, aunque la proteccin de objetos est activada
por defecto para evitar cualquier eliminacin accidental, se le solicita implementar la papelera de
reciclaje de Active Directory para poder restaurar cualquier objeto no protegido que fuera eliminado.

Para responder a cada necesidad, se le solicita implementar una solucin de copia de seguridad en
disco y en lnea para ofrecer dos mecanismos distintos de recuperacin de los datos. La
implementacin de instantneas se utilizar para cumplir el requisito del umbral de prdida de datos
mximo de medio da. El conjunto de los datos de usuario a respaldar se encuentra en la carpeta
compartida E:\COMN (cree los archivos en esta carpeta compartida bajo el nombre del recurso
compartido: COMN) del servidor de archivos. Las copias de seguridad se almacenarn de manera
local en el directorio compartido E:\BACKUP del servidor de archivos.

Para realizar los siguientes trabajos prcticos deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:

DC-01: controlador de dominio Infonovice.priv, servidor DNS

Direccin IP: 192.168.0.100

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

FILES-01: servidor de archivos

Direccin IP: 192.168.0.109

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

CLIENT1: cliente DNS y DHCP

Direccin IP: 192.168.0.104

Mscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.254

1. Instalar una herramienta de copia de seguridad


Este taller permite instalar la herramienta de Microsoft Copias de seguridad de Windows Server,
disponible de forma estndar en las caractersticas de servidor del sistema operativo.

Paso 1: inicie una sesin en el servidor de archivos FILES-01 y, a continuacin, en la


consolaAdministrador del servidor, haga clic en Agregar roles y caractersticas.

Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.

Paso 3: en la ventana Seleccionar caractersticas, marque la opcin Copias de seguridad de


Windows Server. Haga clic en Siguiente y, a continuacin, en Instalar.

Paso 4: haga clic en Cerrar cuando la instalacin de la caracterstica haya terminado.

2. Configurar la copia de seguridad de Windows


Este taller permite configurar, planificar y ejecutar un trabajo de copia de seguridad empleando la
funcionalidad de servidor Copias de seguridad de Windows Server.

Crear un trabajo de copia de seguridad

Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y, a continuacin,


en el men Herramientas, haga clic en la funcionalidad Copias de seguridad de Windows
Server.

Paso 2: en el panel de la izquierda se encuentra el rbol de la consola. Seleccione Copia de


seguridad local y, a continuacin, en el panel de la derecha, haga clic en Hacer copia de
seguridad una vez.

Paso 3: en la ventana Opciones de copia de seguridad, verifique que la opcin Opciones


diferentes est marcada y, a continuacin, haga clic en Siguiente.

Paso 4: en la ventana Seleccionar configuracin de copia de seguridad, marque la


opcinPersonalizada y haga clic en Siguiente.

Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.

Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a


continuacin, haga clic en Aceptar:

Reconstruccin completa

Estado del sistema

El disco local completo (C:)

La carpeta E:\COMN

Paso 7: verifique la seleccin de la copia de seguridad y, a continuacin, haga clic en Siguiente:


Paso 8: en la ventana Especificar tipo de destino, marque la opcin Carpeta compartida
remota y, a continuacin, haga clic en Siguiente.

Paso 9: en la ventana Especificar carpeta remota, escriba \\FILES-01\BACKUP en el


campoUbicacin. En la seccin Control de acceso, marque la opcin Heredar y, a continuacin,
haga clic en Siguiente:
Paso 10: en la ventana Confirmacin, verifique los elementos que componen el trabajo de copia
de seguridad y haga clic en Copia de seguridad para iniciar el trabajo.
Paso 11: al terminar la copia de seguridad, haga clic en Cerrar.

Paso 12: el detalle de la copia de seguridad aparece en la parte central de la consola Copias de
seguridad de Windows Server. Navegue hasta la carpeta
E:\BACKUP\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad] para
constatar que la copia de seguridad del servidor se ha realizado correctamente:

Planificar la copia de seguridad de Windows

Este procedimiento permite planificar una copia de seguridad empleando la herramienta Copias de
seguridad de Windows Server. Los datos a respaldar deben configurarse para archivarse en un
nuevo volumen dedicado al almacenamiento. Habr que agregar como requisito previo un nuevo disco
al servidor FILES-01 que se inicializar como el volumen F:\.

Paso 1: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a


continuacin, en el men Herramientas, haga clic en la funcionalidad Copias de seguridad de
Windows Server.

Paso 2: en el panel de la izquierda se encuentra el rbol de la consola. Seleccione Copia de


seguridad local y, a continuacin, en el panel de la derecha, haga clic en Programar copia de
seguridad.

Paso 3: en la ventana Introduccin, haga clic en Siguiente.

Paso 4: en la ventana Seleccionar configuracin de copia de seguridad, marque la


opcinPersonalizada y haga clic en Siguiente.

Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.

Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a


continuacin, haga clic en Aceptar:

Reconstruccin completa

Estado del sistema

El disco local completo (C:)


La carpeta E:\COMN

Paso 7: verifique la seleccin de la copia de seguridad y, a continuacin, haga clic en Siguiente.

Paso 8: en la ventana Especificar hora de copia de seguridad, marque la opcin Una vez al
dapara especificar la frecuencia de los respaldos y, a continuacin, en la lista desplegable,
seleccione 22:30. A continuacin, haga clic en Siguiente:
Paso 9: en la ventana Especificar tipo de destino, marque la opcin En un volumen y, a
continuacin, haga clic en Siguiente.

Paso 10: en la ventana Seleccionar volumen de destino, haga clic en Agregar. Seleccione el
volumen F:\, haga clic en Aceptar y, a continuacin, en Siguiente.

Paso 11: en la ventana Confirmacin, verifique los parmetros de la programacin de la copia


de seguridad y, a continuacin, haga clic en Finalizar.

Paso 12: en la ventana Resumen, verifique la fecha de ejecucin de la copia de seguridad


programada y, a continuacin, haga clic en Cerrar.

Paso 13: la copia de seguridad programada aparece, ahora, en el centro de la consola Copias de
seguridad de Windows Server:
Paso 14: cuando llega la hora de ejecucin, se inicia la copia de seguridad programada. Al
terminar la copia de seguridad, se muestra una notificacin en la ventana central de la
consolaCopias de seguridad de Windows Server:

Paso 15: navegue hasta la carpeta F:\WindowsImageBackup\FILES-01\Backup [Fecha de la copia


de seguridad], para verificar que la copia de seguridad programada se ha ejecutado
correctamente:

3. Restaurar los datos


Este taller permite validar un plan de respaldo restaurando los datos guardados previamente con la
herramienta de Microsoft Copias de seguridad de Windows Server.

Paso 1: elimine el contenido de la carpeta E:\COMN.

Paso 2: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a


continuacin, en el men Herramientas, haga clic en la funcionalidad Copias de seguridad de
Windows Server.
Paso 3: en el panel de la izquierda se encuentra el rbol de la consola. Seleccione Copia de
seguridad local y, a continuacin, en el panel de la derecha, haga clic en Recuperar.

Paso 4: en la ventana Introduccin, marque la opcin Este servidor y, a continuacin, haga clic
en Siguiente.

Paso 5: en la ventana Seleccionar fecha de copia de seguridad, haga clic en una fecha que
aparezca marcada en negrita en el calendario. Esta fecha debe corresponder a la ltima copia de
seguridad programada que se ha ejecutado en el servidor. Haga clic en Siguiente.

Paso 6: en la ventana Seleccionar tipo de recuperacin, marque la opcin Archivos y


carpetasy, a continuacin, haga clic en Siguiente.

Paso 7: en la ventana Seleccionar elementos que se van a recuperar, despliegue el rbol de


elementos disponibles para seleccionar la carpeta E:\COMN. Seleccione, a continuacin, todos
los archivos disponibles en la lista de elementos a recuperar y haga clic en Siguiente:

Paso 8: en la ventana Especificar opciones de recuperacin, marque las opciones siguientes y,


a continuacin, haga clic en Siguiente:

Ubicacin original (seccin: Destino de la recuperacin)

Sobrescribir las versiones existentes con las recuperadas (seccin: Cuando se


encuentren elementos en la copia de seguridad que ya estn en el destino)

Restaurar los permisos de la lista de control de acceso del archivo que se


recupera(seccin: Configuracin de seguridad)

Paso 9: en la ventana Confirmacin, verifique que el conjunto de los archivos a restaurar son
correctos y, a continuacin, haga clic en Recuperar.

Paso 10: en la ventana Progreso de la recuperacin, verifique el detalle de los elementos


recuperados y, a continuacin, haga clic en Cerrar.
Paso 11: navegue hasta la carpeta E:\COMN para verificar que el conjunto de los archivos
eliminados se han restaurado correctamente.

4. Windows Azure Backup


Este taller permite instalar y configurar la herramienta de copia de seguridad y restauracin Windows
Azure Online Backup (WAB).

Instalacin de WAB

Este taller permite instalar la herramienta de copia de seguridad Windows Azure Backup (WAB).

Paso 1: abra su navegador y vaya al sitio web siguiente: http://www.windowsazure.com/es-


es/para acceder a toda la informacin necesaria referente a Windows Azure.

Paso 2: haga clic en el vnculo PORTAL y acceda con una cuenta de usuario MICROSOFT (Hotmail,
MSN, Passport.Net, etc.), antes de ser redirigido a la web
siguiente:https://manage.windowsazure.com

Paso 3: en la interfaz de administracin, haga clic en Nuevo - Servicios de datos - Servicios de


recuperacin - Almacn de copia de seguridad - Creacin rpida e indique el
nombreINFONOVICE en el campo Nombre, Oeste de Europa en la lista desplegable dedicada a
laRegin. A continuacin, haga clic en Crear Almacn:

Paso 4: Al terminar la creacin del almacn aparece una notificacin en la barra inferior:

Paso 5: en la ventana Servicios de recuperacin, haga clic en el tipo de almacn de copia de


seguridad INFONOVICE previamente creado:
Paso 6: en el panel del almacn INFONOVICE, observe los tres pasos necesarios para utilizar la
herramienta de copia de seguridad mediante la cloud Windows Azure. Haga clic en Adquirir
certificado para leer el procedimiento a seguir para la generacin de un certificado x.509 V3 de
una longitud mnima de 2048 bits:

Es posible crear un certificado autofirmado para el taller si no podemos obtener un certificado emitido
por una autoridad certificadora aprobada por Microsoft. Para crear el certificado autofirmado, basta
con seguir los pasos siguientes:

Descargue la herramienta MakeCert.exe desde el sitio web de Microsoft (el archivo Windows SDK
for Windows 8 and .NET Framework 4 contiene la herramienta MakeCert: sdksetup.exe).

Ejecute el comando siguiente en el servidor sobre el que se encuentra instalado el agente


Windows Azure Backup para crear el certificado autofirmado (el certificado se crear en la carpeta
que contiene la herramienta): makecert.exe -r -pe -n CN=CertInfonovice -ss my
-sr localmachine -eku 1.5.5.7.3.2 -len 2048 -e 01/01/16
CertInfonovice.cer

La fecha de expiracin est en formato Americano, es decir los meses y los das cambian de
lugar: mes/da/ao.

Haga clic con el botn derecho en el archivo CertInfonovice.cer y haga clic en Instalar
certificado.

Especifique la ubicacin de almacenamiento en el Equipo local y, a continuacin, haga clic


enSiguiente.

Marque la opcin Colocar todos los certificados en el siguiente almacn y haga clic
enExaminar para especificar el almacn de certificado Personal. Haga clic en Aceptar y, a
continuacin, en Siguiente.

Haga clic en Finalizar y, a continuacin, Aceptar para importar el certificado en el equipo.

Conctese al portal de gestin de Windows Azure e importe el certificado creado en la


ventanaAlmacn de copia de seguridad haciendo clic en Administrar certificado del paso 1:

Importe el certificado CertInfonovice.cer (tenga precaucin, el certificado no debe tener una fecha
de validez superior a 3 aos y una longitud de cifrado menor de 2048 bits):

Paso 7: haga clic en Descargar agente y seleccione Agente para Windows Server y System
Center - Data Protection Manager. Esta accin tiene como finalidad descargar el
ejecutableWABInstaller.exe (Windows Azure Backup Installer).

Paso 8: ejecute el archivo WABInstaller.exe (la ejecucin de este archivo puede realizarse en
un sistema operativo Microsoft Windows Server 2008 R2 SP1 o superior).

Paso 9: marque la opcin Acepto los trminos del Aviso complementario y haga clic en Aceptar.

Paso 10: en la ventana Comprobacin de requisitos previos, haga clic en Siguiente:


Paso 11: en la ventana Configuracin de la instalacin, verifique la ubicacin de la carpeta de
instalacin del agente Windows Azure Backup as como la ubicacin de la cach (esta ubicacin
debe disponer de un espacio disponible de al menos un 10% de los datos de la copia de
seguridad). Modifique las rutas si fuera necesario, en caso contrario haga clic en Siguiente:
Paso 12: en el paso Participacin en Microsoft Update, marque la opcin Utilizar Microsoft
Update cuando comprueba si hay actualizaciones y haga clic en Instalar.

Paso 13: en el paso Instalacin, cuando la instalacin termine, desmarque la opcin Buscar
actualizaciones ms recientes y haga clic en Finalizar.

Paso 14: vaya al men Inicio y, mediante la tecla Windows de su teclado, haga clic en el
programa Windows Azure Backup:
Paso 15: en el men Acciones, haga clic en Registrar servidor:

Paso 16: en el paso Configuracin de proxy, si fuera necesario, introduzca la informacin


necesaria en funcin de su infraestructura de red, en caso contrario haga clic en Siguiente.

Paso 17: en el paso Identificacin del almacn, haga clic en Examinar. Seleccione el certificado
autofirmado creado en el paso anterior y, a continuacin, haga clic en Aceptar.

Paso 18: cuando el certificado se haya importado correctamente, seleccione el almacn


INFONOVICE creado previamente en el portal Windows Azure y haga clic en Siguiente:
Paso 19: en el paso Configuracin de cifrado, haga clic en el botn Generar frase de
contrasea. Haga clic en Examinar, y seleccione su Escritorio y, a continuacin, haga clic
enRegistrar:
Este paso permite registrar el servidor automticamente en su cuenta Windows Azure.

Paso 20: recuerde guardar la contrasea generada en un archivo de texto en el escritorio y, a


continuacin, haga clic en Cerrar:
En lo sucesivo es posible utilizar Windows Azure Online Backup con el servidor FILES-01.

Programar la copia de seguridad

Este taller permite programar una copia de seguridad mediante la herramienta de copia de seguridad
Windows Azure Backup (WAB).

Paso 1: en el servidor FILES-01, cree la carpeta C:\BACKUP que contenga los


archivosConfidencial.txt, Importante.txt y Pblico.txt y, a continuacin, arranque el
programa Windows Azure Backup:

Paso 2: en el men Acciones, haga clic en Programar copia de seguridad.

Paso 3: en el paso Introduccin, haga clic en Siguiente.

Paso 4: en el paso Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.

Paso 5: en la ventana Seleccionar elementos, despliegue el rbol de la unidad C:\, marque la


opcin BACKUP y, a continuacin, haga clic en Aceptar y en Siguiente:
Paso 6: en el paso Especificar la hora de la copia de seguridad, marque el conjunto de las
horas de la semana excepto los fines de semana y, a continuacin, agregue los horarios
siguientes: 3:00, 12:00 y 20:00. Despus haga clic en Siguiente.
Paso 7: en el paso Especificar la configuracin de retencin, deje las opciones por defecto y
haga clic en Siguiente.

Paso 8: en la ventana Confirmacin, compruebe los parmetros de la configuracin de la copia


de seguridad y, a continuacin, haga clic en Finalizar.

Paso 9: en el paso Modificar progreso de la copia de seguridad, haga clic en Cerrar.

Paso 10: la programacin de la copia de seguridad se muestra en la ventana de la herramienta


Windows Azure Backup:

El trabajo de copia de seguridad mediante Windows Azure Backup est programado. Este ltimo
tiene un lmite de 850 GB de datos.

Restaurar los datos

Este taller permite recuperar los datos una copia de seguridad mediante la herramienta de copia de
seguridad Windows Azure Backup (WAB).

Paso 1: en el servidor FILES-01, elimine la carpeta C:\BACKUP y, a continuacin, arranque el


programa Windows Azure Backup.

Paso 2: en el men Acciones, haga clic en Recuperar datos.

Paso 3: en el paso Introduccin, marque la opcin Este servidor y, a continuacin, haga clic
enSiguiente.

Paso 4: en el paso Seleccionar modo de recuperacin, marque la opcin Examinar archivos y,


a continuacin, haga clic en Siguiente.

Paso 5: en el paso Seleccionar el volumen, seleccione el volumen C:\ y, a continuacin, la fecha


de la copia de seguridad que acaba de realizar, as como la hora de ejecucin programada. A
continuacin, haga clic en Siguiente:

Paso 6: en el paso Seleccionar elementos que recuperar, despliegue el rbol de elementos


disponibles para seleccionar la carpeta C:\BACKUP. A continuacin, haga clic en Siguiente:
Paso 7: en el paso Especificar opciones de recuperacin, marque las opciones Ubicacin
original en la seccin Destino de la recuperacin, Sobrescribir las versiones existentes con las
versiones recuperadas y, a continuacin, marque la opcin Restaurar los permisos de la lista
de control de acceso (ACL) en el archivo o la carpeta que se estn recuperando en la
seccinConfiguracin de seguridad. A continuacin, haga clic en Siguiente:
Paso 8: en la ventana Confirmacin, verifique los parmetros de recuperacin de los datos y, a
continuacin, haga clic en Recuperar.

Paso 9: cuando finalice la restauracin de los datos eliminados, haga clic en Cerrar.

Paso 10: navegue hasta la carpeta C:\BACKUP para verificar que los
archivos Confidencial.txt,Importante.txt y Pblico.txt se han restaurado correctamente:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la copia de seguridad y
restauracin en Windows Server 2012 R2. Podra resumirse de la manera siguiente:

Una infraestructura Windows Server 2012 R2 necesita un plan de recuperacin ante desastres
que respete las mejores prcticas ITIL como los SLA, los RTO y los RPO.

Windows Server 2012 posee la funcionalidad Copias de seguridad de Windows Server.

La herramienta de copia de seguridad integrada permite gestionar los respaldos locales o en


lnea.

Las instantneas permiten recuperar una versin anterior de un archivo o carpeta.

La papelera de reciclaje de Active Directory permite recuperar los objetos del directorio
eliminados accidentalmente.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.

1. Preguntas
1 Qu es un PRD?

2 Qu es un SLA?

3 Qu es un RTO?

4 Qu es un RPO?

5 Qu funcionalidad dedicada a la copia de seguridad est integrada en el sistema operativo


Windows Server 2012 R2?

6 Para qu sirven las instantneas?

7 Cul es el volumen de datos mximo permitido para un trabajo de copia de seguridad


empleando Windows Azure Backup?

2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.

Nmero de puntos: /7

Para este captulo, la puntuacin mnima es de 5/7.

3. Respuestas
1 Qu es un PRD?

Un PRD o Plan de Recuperacin de Desastres permite definir un plan de recuperacin en caso de un


siniestro.

2 Qu es un SLA?

Un SLA, o Service Level Agreement, permite definir el contrato de calidad de servicio que una
infraestructura debe proporcionar. Encontramos en particular las duraciones mximas de
interrupcin de servicio en caso de siniestro.

3 Qu es un RTO?

Un RTO, o Recovery Time Objective, permite definir la duracin mxima de interrupcin de servicio
antes de reanudar la actividad.

4 Qu es un RPO?

Un RPO, o Recovery Point Objective, permite definir la tolerancia a prdida de datos admisible en
caso de siniestro.

5 Qu funcionalidad dedicada a la copia de seguridad est integrada en el sistema operativo


Windows Server 2012 R2?

La funcionalidad Copia de seguridad de Windows Server es un complemento integrado en el


sistema operativo Windows Server 2012 R2.

6 Para qu sirven las instantneas?

Las instantneas permiten realizar copias de archivos frecuentemente modificados para poder
recuperar una versin anterior en caso de una solicitud de restauracin urgente.

7 Cul es el volumen de datos mximo permitido para un trabajo de copia de seguridad


empleando Windows Azure Backup?

Un trabajo de copia de seguridad empleando Windows Azure Backup est limitado a un volumen de
datos inferior a los 850 GB.
Tabla de objetivos

Trabajos
Objetivo Captulos
prcticos

Configure and Manage High Availability

Configure Network Load Balancing (NLB) El reparto de El reparto de


carga carga -
Administrar un
clster NLB

Configure failover clustering Clsters y alta Clsters y alta


disponibilidad disponibilidad -
Crear un clster
de servidores

Manage failover clustering roles Clsters y alta Clsters y alta


disponibilidad disponibilidad -
Simular un fallo
en el clster

Manage Virtual Machine (VM) movement Clster de Clster de


conmutacin conmutacin por
por error Hyper- error Hyper-V -
V Configurar la
conmutacin por
error de clster

Configure File and Storage Solutions

Configure advanced file services Los servicios de Los servicios de


archivos archivos
avanzados avanzados -
Crear una
infraestructura
iSCSI
Los servicios de
archivos
avanzados -
Implementar
BranchCache

Implement Dynamic Access Control (DAC) Control de Control de


acceso dinmico acceso dinmico
- Configurar
Kerberos
Control de
acceso dinmico
- Crear las
notificaciones
Control de
acceso dinmico
- Configurar las
propiedades
Control de
acceso dinmico
- Configurar la
clasificacin
Control de
acceso dinmico
- Configurar una
regla de acceso
central
Control de
acceso dinmico
- Crear una
directiva de
acceso central
Control de
acceso dinmico
- Publicar una
directiva de
acceso
Control de
acceso dinmico
- Comprobar el
acceso a los
recursos

Configure and optimize storage Los servicios de


archivos
avanzados -
Optimizar el uso
del
almacenamiento
- Desduplicacin
de datos

Implement Business Continuity and Disaster Recovery

Configure and manage backups Copia de Copia de


seguridad y seguridad y
restauracin restauracin -
Configurar la
copia de
seguridad de
Windows

Recover servers Copia de Copia de


seguridad y seguridad y
restauracin restauracin -
Restaurar los
datos

Configure site-level fault tolerance Copia de


seguridad y
restauracin

Configure Network Services

Implement an advanced Dynamic Host Los servicios Los servicios


Configuration Protocol (DHCP) solution avanzados de avanzados de
red red - Instalar y
configurar el
servicio DHCP

Implement an advanced DNS solution Los servicios Los servicios


avanzados de avanzados de
red red - Configurar
el servicio DNS
con DNSSEC

Deploy and manage IPAM Los servicios


avanzados de
red - IPAM
Configure the Active Directory Infrastructure

Configure a forest or a domain Los servicios de Los servicios de


dominio Active dominio Active
Directory Directory -
Instalar el rol AD
DS empleando la
interfaz grfica

Configure trusts Despliegue Despliegue


distribuido AD distribuido AD DS
DS - Configurar una
confianza AD DS

Configure sites Sitios y servicios Sitios y servicios


Active Directory Active Directory -
Crear los sitios

Manage Active Directory and SYSVOL replication Replicacin de Replicacin de


Active Directory Active Directory -
Configurar la
replicacin

Configure Identity and Access Solutions

Implement Active Directory Federation Services Servicios de Servicios de


2.1 (AD FSv2.1) federacin AD federacin AD FS
FS - Preparar el
despliegue AD FS

Install and configure Active Directory Certificate Servicios de Servicios de


Services (AD CS) certificados AD certificados AD
CS CS - Instalar una
CA
independiente

Manage certificates Servicios de Servicios de


certificados AD certificados AD
CS CS - Solicitar un
certificado

Install and configure Active Directory Rights Servicios de Servicios de


Management Services (AD RMS) gestin de gestin de
derechos derechos -
Preparar el
despliegue AD
RMS