Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual 2018-I 03 ASO (1938) PDF
Manual 2018-I 03 ASO (1938) PDF
Sistemas
Operativos
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS 2
Índice
Presentación 5
Red de contenidos 7
Unidad de Aprendizaje 1
SERVICIOS FTP Y RRAS 9
1.1 Tema 1 : Servicio de múltiples websites 11
1.1.1 : Fundamentos del rol Web Server (IIS) 11
1.1.2 : Fundamentos del rol DNS Server 17
1.1.3 : Implementación de múltiples websites 24
Unidad de Aprendizaje 2
REDES PRIVADAS VIRTUALES 95
2.1 Tema 4 : Servicio VPN 97
2.1.1 : Fundamentos del servicio VPN 97
2.1.2 : Configuración del Servidor VPN 99
2.1.3 : Implementación del servicio VPN para clientes remotos 99
Unidad de Aprendizaje 3
FUNDAMENTOS DE SEGURIDAD DE RED 133
3.1 Tema 5 : Administración de Windows Server Update Services 135
3.1.1 : Fundamentos de WSUS 135
3.1.2 : Configuración del Servidor WSUS 142
3.1.3 : Implementación y gestión de WSUS 149
Unidad de Aprendizaje 4
ADMINISTRACIÓN AVANZADA DE DIRECTORIO ACTIVO 209
4.1 Tema 7 : Introducción a Windows Server Core 211
4.1.1 : Fundamentos de Windows Server Core 211
4.1.2 : Fundamentos de Servidor de Archivos 212
4.1.3 : Implementación de Server Core como Servidor de Archivos 212
Unidad de Aprendizaje 5
SERVICIOS DE ESCRITORIO REMOTO Y VIRTUALIZACIÓN 269
5.1 Tema 9 : Remote Desktop Services 271
5.1.1 : Fundamentos de Remote Desktop Services 271
5.1.2 : Implementación de Remote Desktop Services 272
Presentación
Administración de Sistemas Operativos es un curso que pertenece a la línea de
infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un
conjunto de conocimientos teóricos y prácticos que permite a los alumnos administrar
la plataforma Windows Server 2016.
Red de contenidos
UNIDAD 1
Servicios FTP y RRAS
SISTEMAS OPERATIVOS
ADMINISTRACIÓN DE
UNIDAD 2
Redes Privadas Virtuales
UNIDAD 3
Fundamentos de seguridad de
red
UNIDAD 4
Administración avanzada de
Directorio Activo
UNIDAD 5
Servicios de Escritorio Remoto y
Virtualización
UNIDAD
1
SERVICIOS FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, el alumno mediante el uso adecuado del sistema
operativo Windows Server 2016 implementa y configura los servicios de
múltiples websites, FTP y RRAS para transferir archivos entre redes de área
local (LAN) y redes de área extensa (WAN), y emular un router físico con el
Servidor Windows Server 2016.
TEMARIO
ACTIVIDADES PROPUESTAS
Los alumnos implementan diversos sitios web con la misma dirección IP
del Servidor Web.
Los alumnos implementan un sitio FTP autenticado con aislamiento de
usuarios del dominio.
Los alumnos configuran el Servidor RRAS para que emule como un
router entre una red local y extensa.
El rol Web Server (IIS) del sistema operativo Windows Server 2016 brinda una
plataforma segura y fácil de administrar donde se pueden alojar sitios web1, servicios y
aplicaciones de manera confiable. En la actualidad, este rol trabaja con la versión IIS2
8.5, este software permite que se puedan compartir información en distintos
escenarios, ya sea con usuarios en Internet, en una intranet o en una extranet; por lo
que es una plataforma web unificada que integra distintos tipos de páginas por
ejemplo: Active Server Pages (ASP), ASP.NET, PHP, servicios de FTP y Windows
Communication Foundation (WCF).
Dentro de las ventajas de utilizar IIS 8.5 es el hecho de que se puede implementar y
ejecutar aplicaciones web de ASP.NET, ASP clásico y PHP en el mismo servidor de
forma sencilla, otro es el refuerzo de la seguridad web que se debe gracias a una
superficie reducida del servidor y el aislamiento automático de aplicaciones.
1
En inglés website, es un conglomerado de documentos (páginas web) organizados
jerarquicamente y que están relacionadas a un dominio de internet. Un sitio puede contener
una combinación de graficos, textos, audios, videos u otros materiales.
2
Internet Information Services (IIS) es el software de servidor web incluido con Windows que
permite la implementación de sitios web tanto local como remotamente.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
SERVER_A para que en él se instalen los roles y características. Luego, haga clic
en Next.
6. Inmediatamente, aparece la ventana Add features that are required for Web
Server (IIS)? que indica que para poder implementar el rol Web Server (IIS) se
debe adicionar algunas características que aun no han sido instaladas; por ello,
haga clic en el botón Add Features.
9. En la ventana Select role services, los servicios básicos para el rol Web Server
(IIS) son seleccionados por defecto por el sistema. Haga clic en Next.
11. Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa nuestro rol Web Server (IIS).
Las siglas DNS significan Sistema de Nombres de Dominio, dicho sistema se encarga
de la asignación de nombres a equipos y servicios de red que se organizan en una
jerarquía de dominios. El servicio DNS registra la relación que existe entre cada
nombre de dominio y su dirección IP correspondiente.
Por ejemplo, cuando un usuario desea visitar algún sitio web, lo hace mediante
nombres debido a que es más fácil de recordar y de escribir (google.com,
cibertec.edu.pe, microsoft.com, etc), todos ellos se conocen como nombres de
dominio. En cambio, las computadoras identifican los sitios web y se conectan a ellos
mediante un formato numérico que se conocen como direcciones IP, algo similares a
la numeración telefónica, pero mucho más estructurado.
Entre las principales funciones que presenta este servicio, puede indicar las
siguientes:
Existen 13 servidores DNS raíz en todo internet, ellos almacenan la información de los
servidores para cada una de las zonas de más alto nivel. Los servidores DNS raíz se
identifican con las primeras letras del alfabeto, sus nombres son de la forma letra.root-
servers.net (donde letra va desde la A hasta la M) y varios de ellos se encuentran
divididos físicamente y dispersos geográficamente por todo el mundo.
1.1.2.2 Integración de los roles DNS Server y Active Directory Domain Services
Se debe tener en cuenta que los servicios del rol AD DS y del rol DNS Server pueden
instalarse de forma independiente o juntos. Pero, es preciso mencionar que los
servicios del rol de AD DS son obligatorios si el DNS Server hospedará zonas DNS
integradas con Active Directory.
Ahora bien, dentro de las ventajas que se podrían mencionar referente a esta
integración son las siguientes:
DNS incluye la replicación de datos con varios maestros y una seguridad mejorada
basada en las capacidades de AD DS. Cualquier servidor DNS que contiene una
zona integrada en Active Directory puede recibir actualizaciones dinámicas
enviados por los clientes, esto garantiza que no exista ningún punto único de fallo,
como el caso de las áreas en base a un modelo estándar.
4
En español Servicios de Dominio de Directorio Activo, dicho rol proporciona una base de
datos que almacena y administra información acerca de los recursos de la red, también permite
la organización jerarquica de los elementos de una red (usuarios, equipos y otros dispositivos).
1. Abra Server Manager y en la pestaña Tools, haga doble clic a la opción DNS.
3. En la ventana New Resource Record, escriba www en Alias name (uses parent
domain if left blank) como nombre de alias, luego, haga clic en Browse.
El rol Web Server (IIS) permite implementar varios sitios web en un solo servidor; para
ello, se cuenta con tres distintas formas de hacerlo:
Que todos los sitios web tengan la misma dirección IP, pero distintos números de
puertos
Que cada sitio web tenga un nombre de encabezado de host. De de esta manera,
todos los sitios web pueden utilizar la misma dirección IP y el mismo número de
puerto
Internet Firewall
1. En el SERVER_A, haga clic en el boton Start y en This PC, luego, haga doble clic
en Local Disk (C:) y en la carpeta inetpub (esta carpeta fue creada por el rol IIS).
Dentro de esta última, cree una carpeta llamada WebSites y dentro de ella otras
tres más llamadas sitio1, sitio2, sitio3. En cada uno de estos sitios,
almacenaremos los archivos index con su respectiva imagen de ser necesario.
2. Por ejemplo para la creación del código fuente del sitio1, abra un bloc de notas y
escriba los siguientes comandos:
<html>
<head>
<title> Sitio 1 </title>
</head>
<body bgcolor="#d6d7c9" text="#000000">
<H1 align="center" >Bienvenidos al Sitio 1 </H1>
<HR>
<p> Estimado usuario le damos una cordial bienvenida a nuestra página web
Sitio 1 </p>
<img src="s1.png">
</body>
</html>
Luego, guarde el archivo con el nombre index.html con el tipo All Files.
1.1.3.3 Creación de los nombres de encabezados de host para cada sitio web
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga doble clic a la
opción DNS.
4. Inmediatamente, aparecerá una nueva ventana en la que nos indica que nuestro
nuevo host ha sido creado de forma exitosa, luego, haga clic en OK
6. Para la creación de una nueva zona primaria, haga clic derecho sobre la carpeta
Forward Lookup Zones y elija la opción New Zone.
7. En la ventana Welcome to the New Zone Wizard, haga clic en Next para
continuar.
8. Luego, en la ventana Zone Type, seleccione la opción Primary zone y haga clic en
Next.
11. En la ventana Dynamic Update, seleccione la opción Allow only secure dynamic
updates (recommended for Active Directory) y haga clic en Next.
12. Luego de completar de forma exitosa la creación de la nueva zona, haga clic en
Finish.
13. Finalmente, en la nueva zona asor.local cree un nuevo encabezado de host para
el sitio3 con la dirección IP 192.168.1.100.
En esta etapa, se crearán los 3 sitios web; para ello, ejecute los siguientes pasos:
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga doble clic a la
opción Internet Information Services (IIS) Manager.
4. Para la creación de los dos sitios web restantes, repita los pasos 2 y 3, pero para
este último, donde dice Host name, se debe escribir sitio3.asor.local por
pertenecer a otra zona principal ya que la zona cibertec.com fue creado por
defecto por nuestro dominio.
1. En el equipo del cliente web, abra un navegador de internet y visite los 3 sitios web
ya configurados; para ello, escriba en la barra de direcciones
http://sitio1.cibertec.com, http://sitio2.cibertec.com y http://sitio3.asor.local
2. Además, utilice el comando nslookup para comprobar que nuestro DNS está
resolviendo correctamente los nombres y las IPs. Para ello, abra CMD del Cliente y
ejecute nslookup sitio1.cibertec.com
Finalmente, realice las demas pruebas para los sitios web restantes.
Resumen
1. Web Server (IIS) de Windows Server 2016 es una plataforma web unificada que
integra distintos tipos de páginas tales como Active Server Pages (ASP),
ASP.NET, PHP, servicios de FTP y Windows Communication Foundation (WCF).
3. Windows Server 2016 sigue permitiendo la integración de los roles Active Directory
Domain services y DNS Server, ello conlleva a que el servidor DNS que contiene
una zona integrada en Active Directory puede recibir actualizaciones dinámicas
enviados por los clientes para que no exista ningún punto único de fallo.
4. Se puede implementar múltiples sitios web con la misma dirección IP del servidor y
el mismo número de puerto; para ello, cada sitio web debe tener un nombre de
encabezado de host.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://www.youtube.com/watch?v=kPs-We3sPwQ
o https://technet.microsoft.com/es-es/library/hh831725.aspx
o https://technet.microsoft.com/es-es/library/hh831667.aspx
o https://waytoit.wordpress.com/2014/01/30/iis-8-5-ii-configurando-sites
Servidor FTP
Un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con él
mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las
páginas Web; sólo envía y recibe los archivos a los equipos remotos.
Servidor FTP de Windows Server 2016 trabaja usando el protocolo FTP, que forma
parte de la pila TCP/IP, diseñada para transferir archivos entre dos host en Internet.
Ambos equipos deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP
y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP
(encargado de ejecutar el servicio FTP).
Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del
servidor FTP, copiar o enviar archivos al servidor FTP.
Los Servidores FTP anónimos le permiten al usuario ingresar al servidor FTP sin tener
una cuenta creada en el servidor, ni contraseña que lo identifiquen. Usualmente, el
nombre de usuario para conectarse de forma anónima es "anonymous". Es una forma
cómoda de que múltiples usuarios puedan acceder a los archivos del FTP, sin que el
administrador deba crear cuentas para cada uno.
El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir
archivos hacia el servidor para luego, hacerlos públicos o privados. Para el acceso,
requiere de un usuario y contraseña.
Por ejemplo, si quiere actualizar páginas webs de un sitio web, habría que enviarlas
usando el servicio FTP. Pero, no nos gustaría que cualquiera pudiese acceder a ellas
para cambiarlas o eliminarlas.
Este modo autentifica a los usuarios contra cuentas locales o de dominio para que
puedan tener acceso al directorio principal que coincide con su nombre de usuario.
Todos los directorios particulares de los usuarios se encuentran debajo de un
directorio raíz único FTP donde se coloca y donde se limita cada usuario a su
directorio particular. A los usuarios no se les permite desplazarse fuera de éste.
Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de
usuario contra un contenedor correspondiente del Directorio Activo, se requiere
grandes cantidades de tiempo y de procesamiento.
Este Servicio FTP incorpora nuevas características que permiten a los administradores
publicar el contenido mucho con mayor seguridad. Una de las características de FTP
sobre Secure Sockets Layer (SSL) es que permite sesiones encriptadas entre el
cliente FTP y el Servidor.
5
Es la sigla en inglés de Secure Sockets Layer (en español capa de conexión segura). Es un
protocolo criptográfico que proporciona autenticación y privacidad sobre internet.
Para la implementación del Servidor FTP, se debe tener instalado primero el rol Web
Server (IIS)6. Luego, se tiene que agregar a este rol las funcionalidades de FTP tal
como se detalla a continuacion en los pasos siguientes.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6
Para recordar como fue la instalación de este rol puede consultar la sección 1.1.1.1
5. Del listado de roles de la ventana Select server roles, desglose el rol ya instalado
Web Server (IIS) y dentro de ella, seleccione la funcionalidad FTP Server (ello
incluye las características de FTP Service y FTP Extensibility), luego, haga clic en
Next.
Internet Firewall
Cliente FTP
Nombre: CLIENTE Controlador de Dominio
Dirección IP: 192.168.1.50 Servidor DNS
Máscara: 255.255.255.0 Servidor Web
Puerta de Enlace: 192.168.1.100 Servidor FTP
Nombre: SERVER_A
Dirección IP: 192.168.1.100
Máscara: 255.255.255.0
Dominio: cibertec.com
Sitio FTP: Sitio FTP 1
1.2.3.2 Creación de los usuarios del dominio que accederán al servicio FTP
2. Verifique que se ha creado de forma exitosa dichos usuarios; para ello, abra Server
Manager y en la pestaña Tools haga doble clic a la opción Active Directory Users
and Computers.
Como se desea crear directorios particulares para cada usuario ejecute los siguientes
pasos:
1. En This PC del SERVER_A, haga doble clic a unidad Local Disk (C:) y dentro de
ella, cree una carpeta llamada FTP Raiz.
2. Dentro de la carpeta FTP Raiz, cree otra carpeta llamada Usuarios Dominio y en
ella, una carpeta para cada usuario con los nombres de scamacho y sdiaz.
1. En la pestaña Tools del Server Manager, haga doble clic a la opción Internet
Information Services (IIS) Manager.
4. En la ventana Specify Friendly Name, escriba en Specify a friendly name for the
certificate el nombre del certificado digital el cual es srv-nps-01 y luego, haga clic
en OK.
1. En la pestaña Tools del Server Manager, haga doble clic a la opción Internet
Information Services (IIS) Manager.
3. En la ventana Site Information, escriba en FTP site name el nombre de Sitio FTP
1 y ubique el directorio C:\FTP Raiz en Physical path, luego, haga clic en Next.
6. Luego, en la ventana Sitio FTP 1 Home, haga doble clic en FTP Messages.
2. Luego, en la ventana FTP User Isolation, escoja la opción FTP home directory
configured in Active Directory el cual permite aislar las sesiones de nuestros
usuarios FTP en el directorio particular configurado en los valores de cuenta de
Active Directory para cada usuario FTP (el usuario únicamente ve la ubicación raíz
de FTP que le corresponde y no puede navegar al directorio superior). Después,
haga clic en Set.
7
Hasta la versión de Windows Server 2008 se podía agregar estas propiedades mediante las
siguientes líneas de comando:
Iissftp.vbs /SetADProp Nombre de Usuario FTPRoot Ruta de directorio físico FTP de raíz
Iissftp.vbs /SetADProp Nombre de Usuario FTPDir Nombre de la carpeta del usuario
Para ello, haga uso del ADSI Edit; en caso contrario, se negará el acceso a cada
usuario.
5. Ahora, abra Server Manager y en la pestaña Tools, haga doble clic a la opción
ADSI Edit.
6. En la ventana ADSI Edit, seleccione la pestaña Action y haga clic en Connect to.
Existen diversas formas de verificar que nuestro servicio FTP esté funcionando
correctamente, todas ellas serán descritas a continuación.
2. Luego, brinde las credenciales del usuario scamacho, por lo que en Usuario
<192.168.1.100:<none>>, escriba scamacho y en Contraseña, escriba
P@ssw0rd (tenga en cuenta que al escribir la contraseña esta no se visualiza)
3. Luego del mensaje de bienvenida, ejecute el comando8 dir para poder visualizar el
directorio del usuario.
8
Para poder conocer los comandos FTP e interactuar con ellos visite la siguiente página web
https://technet.microsoft.com/es-es/library/ff687787(v=ws.10).aspx
En esta prueba, se hará uso de un software libre como es el FileZilla Client9 cuya
última versión estable a la fecha es 3.15.0.1.
1. Para la instalación del software en el equipo CLIENTE, haga clic derecho sobre
FileZilla_3.15.0.1_win64-setup y seleccione la opción Ejecutar como
administrador.
9
Es un software gratuito para cliente FTP que goza de una multiplataforma rápida y confiable,
además, proporciona una interfaz gráfica al usuario el cual es fácil de interactuar. Si desea
descargar la ultima versión visite la página web https://filezilla-project.org/download.php
7. Por último, en la ventana Completing the FileZilla Client 3.15.0.1 Setup haga clic
en Finish.
8. Luego, en el programa FileZilla abra Gestor de Sitios haciendo clic sobre el icono
que se encuentra debajo de la pestaña Archivo.
10. Luego, renombre el Nuevo sitio por FTP-scamacho y configure los siguientes
datos:
13. Ahora puede hacer uso del servicio sin ningún problema, por ejemplo en Sitio
remoto, escoja un archivo de nuestra elección y sobre este haga clic derecho y
seleccione la opción Descargar.
14. Puede verificar que la descarga ha sido exitosa, pues el archivo se encuentra en el
folder Descargas del usuario scamacho.
Del mismo modo, realice las mismas pruebas para el usuario sdiaz.
Resumen
1. El servidor FTP permite que los usuarios puedan transmitir de forma rápida
información a través de la Internet.
6. El servidor FTP sobre SSL sólo soporta clientes FTP de entorno gráfico.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://technet.microsoft.com/es-es/library/hh831655.aspx#Step1
o https://technet.microsoft.com/es-es/library/hh831729.aspx
o https://technet.microsoft.com/es-es/library/hh831662.aspx
1.3.1.1 Enrutamiento
Si se configura el servicio RRAS para que actúe como un servidor de acceso remoto,
se podrá conectar trabajadores remotos o móviles a las redes de la organización.
Tenga en cuenta que los usuarios remotos pueden trabajar como si sus equipos
estuvieran conectados directamente a la red.
10
Siglas en inglés de Routing and Remote Access Service
11
La información de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP más comunes utilizados en intranets son el Protocolo de información de
enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso más corta primero
(OSPF, Open Shortest Path First).
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de dirección de red
192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP) representados por el SERVER_A
Este rol será instalado en el SERVER_B por lo que se ejecutarán los siguientes pasos:
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
5. En la ventana Select server roles, seleccione el rol Remote Access y haga clic en
Next.
10. También, en la ventana Select role service, seleccione Routing y haga clic en
Next.
11. En la ventana Web Server Role (IIS), haga clic en Next para instalar dicho rol al
SERVER_B (tenga en cuenta que los roles Remotes Access y web server (IIS)
trabajan en forma conjunta).
12. En la ventana Select role services, deje seleccionados los servicios que por
defecto serán instalados para el rol Web Server (IIS), luego, haga clic en Next.
14. Finalmente, luego de esperar algunos minutos haga clic en Close. De esa manera,
ya se tiene instalado de forma exitosa los roles Remote Access y Web Server
(IIS)
Nuestro servidor SERVER_B será configurado para que realice el trabajo de emular
como un router ulitizando el servicio de Remote Access. Para ello, ejecute los
siguientes pasos:
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga doble clic a la
opción Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre el servidor
SERVER_B (local) y seleccione la opción Configure and Enable Routing and
Remote Access.
3. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard haga clic en Next.
7. Por último, haga clic en el boton Start service para iniciar el servicio.
2. Luego, haga clic derecho sobre RIP el cual está dentro de IPv4 y seleccione la
opción New Interface.
3. En la ventana New Interface for RIP Vesrion 2 for Internet Protocol, seleccione
la interface en el cual funcionará RIP, en nuestro caso escoja la interface LAN y
luego, haga clic en OK.
4. En la ventana RIP Properties – LAN Properties, deje las selecciones hechas por
defecto por el sistema y haga clic en Apply y después en OK.
2. De la misma forma que el paso 1, en nuestro servidor SERVER_A, abra CMD y haga
ping y tracert a nuestro equipo CLIENTE; para ello, ejecute los comandos ping
10.0.0.100 y tracert 10.0.0.100
1. En el CMD del servidor que trabaja como router (SERVER_B), ejecute el comando
route print.
Resumen
1. Un enrutador o router es un dispositivo intermedio que sirve para interconectar
redes. Gracias al servicio RRAS se puede lograr que un servidor emule el trabajo
de un router.
2. El servicio de enrutamiento y acceso remoto forma parte del rol Remote Access en
Windows Server 2016.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o http://www.cisco.com/c/es_mx/products/routers/index.html
o https://technet.microsoft.com/es-pe/library/dn636119.aspx
o https://technet.microsoft.com/es-es/library/dn614140.aspx
o https://technet.microsoft.com/es-pe/library/dd469784.aspx
UNIDAD
2
REDES PRIVADAS VIRTUALES
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Una red privada virtual (VPN, Virtual Private Network) es la extensión de una red
privada que incluye vínculos de redes compartidas o públicas como Internet. Con una
red privada virtual, se puede enviar datos entre dos host a través de una red
compartida o pública de forma que emula un vínculo privado punto a punto.
Las funciones de red privada virtual consisten en crear y configurar una misma red con
estas características. Para emular un vínculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento que
permite a los datos recorrer la red compartida o pública hasta alcanzar su destino.
Para emular un vínculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pública no se pueden descifrar si
no se dispone de las claves de cifrado. El vínculo en el que se encapsulan y cifran los
datos privados es una conexión de red privada virtual (VPN).
Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN
para establecer una conexión de acceso remoto al servidor de una organización
mediante la infraestructura que proporciona una red pública como Internet. Desde la
perspectiva del usuario, la red privada virtual es una conexión punto a punto entre el
equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La
infraestructura exacta de la red compartida o pública es irrelevante dado que,
lógicamente, parece como si los datos se enviarán a través de un vínculo privado
dedicado.
Figura 10: Conexión mediante VPN de dos sitios remotos a través de Internte
Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx
En la familia Microsoft Windows Server 2016 hay cuatro tipos de tecnología VPN
basadas en el Protocolo punto a punto (PPP):
PPTP utiliza métodos de autenticación PPP de nivel de usuario y cifrado punto a punto
de Microsoft (MPPE) para cifrar los datos.
SSTP es la nueva forma de túnel de VPN con características que permiten al tráfico
pasar a través de los firewalls que bloquean el tráfico PPTP y L2TP. SSTP brinda un
mecanismo para encapsular tráfico PPP sobre el canal SSL del protocolo HTTPS
Es importante referir, a pesar de que no será implementado en este manual, que el rol
Remote Access no solo brinda servicios de enrutamiento y VPN sino que adiciona el
servicio de DirectAccess12. Pese a que en Windows Server 2008 R2 el servicio VPN
no podía coexistir en el mismo servidor perimetral con DirectAccess por lo que se
debía de implementar y administrar de forma separada de DirectAccess. Hoy en dia
esta situación cambia pues en Windows Server 2016 dichos servicios se encuentran
unificados en un nuevo rol de servidor permitiendo la administración configuración y
supervisión de los mismos.
SERVER_B será el servidor VPN, quien será unido al dominio cibertec.com para que
use la base de datos de cuenta del dominio. Se contará con dos áreas de red
(EXTERNA e INTERNA) por lo que este equipo tendrá dos interfaces de red, donde
una de ellas estará conectado remotamente por medio de internet a los clientes y la
otra a los servidores.
La red EXTERNA cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los
usuarios desde ubicaciones remotas representados por el equipo CLIENTE. La red
12
Es una característica de acceso remoto que permite conectarse a los recursos de la red
corporativa sin necesidad de establecer conexiones de red privada virtual (VPN). DirectAccess
establece una conectividad bidireccional con una red interna cada vez que un equipo con
DirectAccess habilitado se conecta a Internet. Los usuarios no tienen que preocuparse de
conectarse a la red interna y los administradores de TI pueden administrar los equipos remotos
fuera de la oficina, incluso cuando los equipos no están conectados a la red VPN.
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga doble clic a la
opción Remote Access Management.
5. En la ventana Routing and Remote Access, haga clic derecho sobre nuestro
servidor SERVER_B (local) y seleccione la opción Configure and Enable Routing
and Remote Access.
6. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard, haga clic en Next para continuar.
12. De forma inmediata, aparece una nueva ventana llamada New IPv4 Address
Range en el cual se asignarán 11 direcciones IP de la red 192.168.1.0/24 para los
clientes VPN. En el campo Start IP address, escriba por ejemplo la dirección IP
192.168.1.200 y en el campo End IP address, 192.168.1.210, luego, haga clic en
OK.
15. En la ventana Completing the Routing and Remote Access Server Setup
Wizard, haga clic en Finish.
13
El nombre RADIUS es el acrónimo de Remote Authentication Dial In User Services, es decir
estos servidores se encargan de la gestión de cuentas de usuarios para autenticar el acceso a
los proveedores de servico de Internet.
16. Por último, aparece un mensaje relacionado al uso de DHCP Relay Agent el cual
se omitirá, pues para esta implementación no se ha configurado el servicio
DHCP.Cierre la ventana haciendo clic en OK.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga doble clic a la
opción Active Directory Users and Computers.
5. Por último, realice la misma configuración de los pasos del 2 al 4 para el usuario
sdiaz.
7. Luego, para que se efectúen los cambios en el sistema, se debe reiniciar el equipo,
por lo que haga clic en OK.
2.1.3.5 Configuración del Cliente VPN con el uso del protocolo PPTP
11. En la ventana Conexiones de Red, haga clic derecho sobre la conexión Ciber
VPN 1 y seleccione la opción Conectar o desconectar.
12. Luego, haga clic en la conexión Ciber VPN 1 del panel derecho.
14. Ahora, inicie la sesión con el usuario scamacho cuya contraseña es P@ssw0rd,
luego, haga clic en Aceptar.
15. Ahora puede observar que la conexión Ciber VPN 1 se ha realizado de forma
exitosa.
1. Ahora abra Server Manager de SERVER_B y en la pestaña Tools, haga doble clic
a la opción Routing and Remote Access.
2.1.3.7 Configuración del Cliente VPN con el uso del protocolo L2TP/IPSec
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga doble clic a la
opción Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre SERVER_B
(local) y seleccione la opción Properties.
14
Sus siglas en ingles es PSK, es una clave secreta que previamente se comparte en ambas
partes (Servidor-Cliente) usando un canal seguro antes que se utilice.
12. En la ventana Conexiones de Red, haga clic derecho en la conexión Ciber VPN 2
y seleccione la opción Propiedades.
14. Luego, en Tipo de VPN, seleccione la opción Protocolo de túnel de nivel 2 con
IPsec (L2TP/IPsec) y haga clic en Configuración avanzada.
17. Luego, en la ventana Conexiones de Red, haga clic derecho sobre la conexión
Ciber VPN 2 y seleccione la opción Conectar o desconectar.
18. Después, haga clic en la conexión Ciber VPN 2 del panel derecho.
20. Inicie sesión con el usuario sdiaz cuya contraseña es, luego, haga clic en Aceptar.
21. Luego de esperar algunos segundos, puede observar que la conexión Ciber VPN 2
se ha realizado de forma exitosa.
Resumen
1. La implementación de una red VPN permite extender la red de la empresa de forma
segura y confiable.
2. El servicio VPN trabaja con dos tipos de conexiones, VPN de acceso remoto y VPN
de sitio a sitio.
3. VPN de acceso remoto esta diseñado para usuarios que trabajan en casa o se
encuentran de viaje y necesiten establecer una conexión al servidor de una
organización por una red publica como internet.
4. VPN de sitio a sitio permite establecer conexiones enrutadas con oficinas alejadas
geográficamente de una organización (sucursales) a través de internet. Funciona
como un vínculo de WAN dedicado.
5. Los 4 protocolos de túnel VPN soportados por Windows Server 2016 son: PPTP,
L2TP/IPSec, SSTP e IKEv2.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://msdn.microsoft.com/es-es/library/jj635995.aspx
o https://technet.microsoft.com/es-es/library/hh831416.aspx
o https://technet.microsoft.com/es-pe/library/ff687723(v=ws.10).aspx
UNIDAD
3
FUNDAMENTOS DE SEGURIDAD
DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Microsoft Update es un sitio web que mantiene sus sistemas actualizados. Es usado
para obtener las actualizaciones de los sistemas operativos, las aplicaciones de
Windows, los controladores de los dispositivos y softwares. Los nuevos contenidos son
agregados regularmente a este sitio web por lo que siempre se puede obtener las
actualizaciones más recientes para proteger a los servidores y las computadoras
clientes de la red.
Las categorías de las actualizaciones para los sistemas operativos de Windows son
las siguientes:
Actualizaciones críticas
Soluciona problemas de seguridad y otras actualizaciones importantes para mantener
nuestras computadoras y redes de forma segura.
Descargas recomendadas
Contiene los últimos service packs de Windows y Microsoft Internet Explorer y otras
actualizaciones importantes.
Herramientas de Windows
Son utilidades y otras herramientas qué son brindadas para mejorar el rendimiento y
facilitar las actualizaciones.
Se puede implementar el servicio WSUS en varios escenarios según sea el caso mas
apropiado para la organización.
Los administradores pueden implementar varios servidores que ejecuten WSUS y que
sincronicen todo el contenido de la intranet de la organización. En la figura siguiente,
sólo hay un servidor expuesto a Internet. En esta configuración, éste es el único
servidor que descarga actualizaciones desde Microsoft Update. Este servidor está
establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a
través de una red, geográficamente, dispersa para ofrecer la mejor conectividad
posible a todos los equipos cliente.
Si en la red participan usuarios móviles que inician sesión desde distintas ubicaciones,
se puede configurar WSUS para permitir que estos usuarios actualicen sus equipos
cliente desde el servidor WSUS que tengan geográficamente más cerca. La figura 17
muestra un servidor WSUS implementado en cada región y cada región es una subred
DNS.Todos los equipos cliente se dirigen al mismo servidor WSUS, que se resuelve
en cada subred como el servidor WSUS físico más cercano.
Sincronización
Sincronización programada
Fuente de actualización
El administrador puede sincronizar el contenido del servidor WSUS desde el sitio web
de Microsoft Update o desde otra instalación WSUS. La fuente de actualización
dependerá de cómo se haya planeado la implementación de WSUS. Un servidor
WSUS independiente sincronizará el contenido desde el sitio web de Microsoft Update,
mientras que el servidor WSUS de una oficina sucursal sincronizará su contenido
desde el servidor WSUS de la oficina principal.
Idioma de actualización
Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite implementar
etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de
computadoras son ideales para testear las actualizaciones en computadoras
específicas antes de distribuir dichas actualizaciones a toda la organización.
Computadoras clientes
Todas las nuevas computadoras son agregadas, de forma automática, a los grupos All
Computers group y Unassigned Computers Group. El grupo All Computers group
brinda una forma conveniente para aplicar actualizaciones a cada computadora
usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver
que computadoras quizás sean nuevas usando el servidor WSUS y necesiten ser
agregadas a un grupo. Después que las computadoras son agregadas a un grupo
creado por el administrador, ellas ya no formarán parte del grupo Unassigned
Computers Group.
Aprobaciones de actualizaciones
Detección
Instalación
Eliminación
Si una actualización causa problemas después de ser instalada, esta puede ser
removida por medio de la eliminación. Ésto es, particularmente importante si se ha
automatizado la instalación para ciertas clasificaciones de actualizaciones.
Declinar actualizaciones
Aprobaciones automáticas
El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas
organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar
actualizaciones críticas y de seguridad, de forma inmediata, antes que esperar que el
proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen
ventajas de las fallas.
1. Previamente se creará una carpeta llamada WSUS en Local Disk (D:) del servidor
SERVER_B, dicha carpeta será usada para el almacenamiento de las
actualizaciones de modo que los equipos clientes las descarguen de forma rápida.
2. Abra el Server Manager del SERVER_B y haga clic en Add roles and features.
3. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
7. Inmediatamente aparece la ventana Add features that are required for Windows
Server Update Services? indicando que para poder instalar Windows Server
Update Services se debe adicionar algunas características, por lo que haga clic en
el botón Add Features.
10. Luego, en la ventana Windows Server Update Services, haga click en Next.
11. En la ventana Select role services, seleccione los servicios WID Database y
WSUS Services y haga clic en Next.
14. Finalmente, luego, de esperar algunos minutos haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Windows Server Update
Services.
Esta sección tiene como objetivo implementar un escenario simple de WSUS. En este
escenario, se cuenta con el servidor SERVER_B que emulará el trabajo de un router y
será el único servidor WSUS. Se contará con tres áreas de red (LAN, WAN e
INTERNET) por lo que este equipo tendrá tres interfaces de red, donde una de ellas
estará conectado a los clientes, la otra a los servidores y el último estará conectado a
internet para acceder al sitio web Microsoft Update.
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web y FTP y WSUS representados por el equipo CLIENTE. La red WAN de dirección
de red 192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador
de dominio, servidor DNS, servidor Web, servidor FTP) representados por el
SERVER_A. La red de INTERNET cuya dirección será proporcionado por un
proveedor de internet.
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga clic a la opción
Windows Server Update Services.
8. En la ventana Specify Proxy Server, haga clic en Next puesto que no se cuenta
con un servidor proxy en el dominio.
11. En la ventana Choose Products, seleccione los productos que desea actualizar,
como por ejemplo Windows 8.1 luego, haga clic en Next.
14. En la ventana Finished, deje la sincronización para después y haga clic en Next.
16. Por último, se creará el grupo de equipos Finanzas; para ello, en la consola de
administración de WSUS, haga clic derecho sobre All Computers y seleccione la
opción Add Computer Group.
17. En la ventana Add Computer Group, escriba Finanzas en Name y luego, haga
clic en el botón Add.
A continuación, se creará un GPO15 con el nombre WSUS PC Clients para los clientes
WSUS; para ello, ejecute los siguientes pasos en SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Group Policy Management.
15
Siglas en inglés de Group Policy Object (un objeto de directiva de grupo) es un conjunto de
una o más políticas para la seguridad del sistema
4. Luego, haga clic derecho sobre la GPO recién creada WSUS PC Clients y
seleccione la opción Edit.
6. Luego, dentro de la carpeta Windows Update, haga clic derecho sobre la política
Configure Automatic Updates y seleccione Edit.
8. Ahora haga clic derecho sobre la política Specify intranet Microsoft Update
service location y seleccione Edit.
10. Finalmente, haga clic derecho sobre la política Enable cliente-side targeting y
seleccione Edit.
Prueba de sincronización
En este paso, se aprueba la actualización de los equipos cliente de prueba del grupo
de prueba. Los equipos del grupo se comprobarán con el servidor WSUS durante las
24 horas siguientes. Transcurrido este período de tiempo, puede utilizar la
característica de generación de informes de WSUS para determinar si esas
actualizaciones se implementaron en los equipos. Si la comprobación es correcta,
puede aprobar la misma actualización para el resto de los equipos de la organización.
3. Para aprobar una actualización, haga clic derecho sobre la actualización elegida y
seleccione Approve.
Resumen
1. WSUS se encarga de administrar y distribuir actualizaciones de software que
resuelven casos de vulnerabilidad de seguridad y proporciona un soporte de
estabilidad a la plataforma Windows
2. Microsoft Update es un sitio web de la corporación Microsoft que aloja todas las
actualizaciones disponibles y que interarctua con el servidor WSUS
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://technet.microsoft.com/es-es/windowsserver/bb332157.aspx
o https://technet.microsoft.com/es-es/library/hh852346.aspx
o https://technet.microsoft.com/es-es/library/hh852340.aspx
o https://technet.microsoft.com/es-es/library/hh852345.aspx
o https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2
Durante los últimos años, los servidores Web se han convertido en una excelente
fuente de diversión para personas maliciosas: cualquier empresa que se aprecie,
desde las más pequeñas a las más grandes multinacionales tiene un sitio web en la
que al menos trata de vender su imagen corporativa.
La mayor parte de estos ataques tiene éxito gracias a una configuración incorrecta del
servidor o a errores de diseño del mismo: si se trata de grandes empresas, los
servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga,
sistemas propietarios de actualización de contenidos, etc) y difíciles de administrar,
correctamente, mientras que si la empresa es pequeña es muy posible que haya
elegido un servidor Web simple en su instalación y administración pero en el cual es
muy difícil garantizar una mínima seguridad.
Sea por cualquier motivo, la cuestión es que cada día es más sencillo para una
persona maliciosa ejecutar órdenes de forma remota en una máquina o al menos
modificar contenidos de forma no autorizada gracias a los servidores Web que un
sistema pueda albergar.
Hoy en día, las conexiones a servidores Web son sin duda las más extendidas entre
usuarios de Internet, hasta el punto de que muchas personas piensan que este
servicio (http, comúnmente en el puerto 80 del protocolo TCP) es el único que existe
en la red. Lo que en un principio se diseñó para que unos cuantos físicos
intercambiaran y consultaran artículos, fácilmente en la actualidad mueve a diario
millones de dólares y es uno de los pilares fundamentales de cualquier empresa.
Seguridad en el servidor
Una encuesta de Ernst & Young encontró que cuatro de cada cinco organizaciones
grandes, con más de 2.500 empleados ejecuta aplicaciones críticas en redes de áreas
local LANs. Dichas LANs, y la información vital que albergan, están cada vez más
expuestas a la amenaza de ataques externos perpetrados a través del acceso que
proporcionan los servidores web. De un total de 61 organizaciones estudiadas, se
encontraron 142 accesos no autorizados y decenas de incidentes relacionados con
Hackers en los últimos tres meses.
Seguridad en la red
Seguridad en el cliente
En Windows Server 2016, los Servicios de certificados de Active Directory (AD CS)
ofrecen nuevas funcionalidades y caracteristicas en comparación con las versiones
anteriores.
Entidad de certificación
Inscripción web de entidad de certificación
Respondedor en línea
Servicio de inscripción de dispositivos de red
Servicio Web de directiva de inscripción de certificados
Servicio Web de inscripción de certificados
16
Una infraestructura de clave pública (PKI) es un sistema de certificados digitales, entidades
de certificación (CA) y autoridades de registro que comprueban y autentican la validez de cada
entidad implicada en una transacción electrónica mediante el uso de la criptografía de clave
pública.
Instalar una propia Autoridad Certificadora de tipo privada también tiene ventajas y
desventajas. Algunos piensan que en este caso es gratis, y nada más alejado, hay que
instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya
que si se comprometiera la seguridad de una Autoridad Certificadora estarían
comprometeidos todos los certificados por ella otorgados
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6. Inmediatamente aparecerá la ventana Add features that are required for Active
Directory Certificate Services? indicando que para poder instalar Active Directory
Certificate Services se debe adicionar algunas características, por lo que haga clic
en el botón Add Features.
12. Inmediatamente, aparecerá la ventana Add features that are required for
Certification Authority Web Enrollment? que nos indica que para poder instalar
Certification Authority Web Enrollment se debe adicionar algunas características.
Haga clic en el botón Add Features.
15. Finalmente, luego, de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Active Directory Certificate
Services.
4. En la ventana Setup Type, seleccione la opción Standalone CA. Luego, haga clic
en Next.
6. En la ventana Private Key, seleccione la opción Create a new private key para la
creación de una nueva clave privada. Luego, haga clic en Next.
8. En CA Name, mantenga por defecto los campos escritos. Luego, haga clic en Next.
12. Finalmente, luego de esperar algunos minutos haga clic en Close, y de esa
manera, ya hemos terminado de forma exitosa la configuración de Active Directory
Certificate Services.
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de dirección de red
192.168.1.0/24 es el lugar donde se alojarán los servidores (controlador de dominio,
servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por el
SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Internet Information Services (IIS) Manager.
7. Luego, abra el Server Manager del SERVER_A y en la pestaña Tools, haga clic a
la opción Certification Authority.
10. Ahora para ver el estado de una solicitud de certificado pendiente, vuelva a visitar
la dirección web http://server_a/certsrv, luego, en la ventana Welcome de
Microsoft Active Directory Certificate services –SERVER_A-CA, haga clic en la
tarea View the status of a pending certificate request.
11. En la ventana View the Status of a Pending Certificate Request haga clic en
Saved-Request Certificate (2/22/2016 12:09:00 PM)
13. Luego de la descarga, abra nuestro certificado llamado certnew haciendo clic en el
botón Open de la ventana Open File – Security Warning.
17. Luego, en la ventana Completing the Certificate Import Wizard, haga clic en
Finish.
18. Luego, aparece un mensaje que nos indica que la importación del certificado fue
exitoso por lo que haga clic en OK.
1. Ahora, abra el Server Manager del SERVER_A y en la pestaña Tools, haga clic a
la opción Internet Information Services (IIS) Manager.
3.2.3.5 Enlace del certificado digital al sitio web por defecto de cibertec.com
1. Ahora. abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la
opción Internet Information Services (IIS) Manager.
6. Luego, en la ventana Default Web Site Home, haga clic en la opción SSL
Settings.
2. Luego, omita el mensaje que aparece y haga clic en Vaya a este sitio web (no
recomendado).
3. Luego, en la parte superior del sitio web, haga clic en Error de certificados
ubicado en la barra de direcciones.
5. Ahora, puede observar la información general del certificado, luego, haga clic en la
pestaña superior Ruta de certificación.
6. Finalmente, se observa, tal como dice en el Estado del certificado, que el certificado
es válido y ha sido emitido por la Autoridad Certificadora cibertec-SERVER_A-CA.
Resumen
1. El rol Servicios de certificados de Active Directorio se encarga de brindar servicio
personalizados para la emisión y administración de certificados de infraestructura
de clave pública (PKI).
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://technet.microsoft.com/es-es/library/cc732625.aspx
o https://technet.microsoft.com/es-es/library/cc725593.aspx
o https://technet.microsoft.com/es-es/library/dn473011
o https://technet.microsoft.com/es-es/library/cc731564(v=ws.10).aspx
UNIDAD
4
ADMINISTRACIÓN AVANZADA
DE DIRECTORIO ACTIVO
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Server Core para Windows Server 2016 proporciona una instalación mínima del
sistema operativo. Esto reduce los requerimientos de espacio de disco y convierte a
Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos
de instalación desatendida pueden ser usados para acelerar la implementación de
Windows Server Core 2016. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Los beneficios que brinda el uso de Server Core son las siguientes:
Para instalar y configurar los roles que brinda Server Core, se debe implementar
archivos desatendidos. Server Core brinda la plataforma más estable, fácil y segura
para implementar los roles. Los siguientes roles disponibles para esta versión son los
siguientes:
Conversión de una instalación Server Core en una instalación Servidor con GUI
La instalación en Server Core nos permite instalar Windows Server 2016 sin una
interfaz gráfica. Pese a ello, una novedad para esta versión es que la renovada
PowerShell y las mejoras introducidas en el sistema operativo nos permiten "mezclar"
lo mejor de los dos mundos, instalando solo algunas características de administración
gráfica en nuestro Server Core o dejando solo una interfaz de línea de comandos que
reduce los recursos consumidos y la superficie de ataque del equipo.
Para convertir a una instalación Servidor con una GUI con Windows PowerShell, siga
los pasos del siguiente procedimiento.
1. Determine el número de índice de una imagen de Servidor con una GUI (por
ejemplo,SERVERSTANDARD noSERVERDATACENTERCORE) con
2. Ejecute
3. O bien, si desea usar Windows Update como el origen en lugar de un archivo WIM,
use este cmdlet de Windows PowerShell:
Su función es permitir el acceso remoto de otros nodos a los archivos que almacena o
sobre los que tiene acceso.
Esta sección tiene como objetivo implementar un escenario donde el Server Core se
convierta en un Servidor de Archivos. En este escenario, se cuenta con el SERVER_B
que emulará el trabajo de un router. Se contará con dos áreas de red (LAN y WAN)
por lo que este equipo tendrá dos interfaces de red, donde una de ellas estará
conectado a los clientes y la otra a los servidores.
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de dirección de red
192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por
el SERVER_A y en otro equipo, el servidor de Archivos representado por el Server
Core.
Figura 20: Arquitectura de Red del Server Core como Servidor de Archivos
1. Para conocer el nombre actual del servidor mediante línea de comando en el CMD,
ejecute lo siguiente:
C:\Users\Administrator>cd C:\Windows\system32
C:\Windows\System32>hostname
C:\Windows\System32>cd C:\Windows\system32
C:\Windows\System32>hostname
C:\Windows\System32>ipconfig /all
Luego, después, del mensaje Type the password associated with the domain
user escriba la contraseña del administrador del dominio el cual es P@ssword
(tenga en cuenta que al momento de escribirla esta no será visible)
C:\Users\Administrator.CIBERTEC>cd ..
C:\Users>cd ..
C:\>md Compartida
C:\> cd Compartida
C:\Compartida>md Finanzas
C:\Compartida>md Contabilidad
C:\Compartida>cd Contabilidad
C:\Compartida\Contabilidad>copy con conta01.txt
4. Para corroborar que el usuario scamacho, tiene control total. Sobre ella, cree un
archivo de texto llamado PRUEBA.
8. Finalmente, para corroborar que el usuario sdiaz, tiene permisos de solo lectura.
Sobre ella, intente eliminar (sin éxito alguno) el archivo de texto llamado conta01.
Resumen
1. Server Core es el escenario ideal para oficinas remotas ya que proporciona una
instalación minima del sitema operativo, también reduce los requerimientos de
espacio de disco y reduce oportunidades de ataque desde la red.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://msdn.microsoft.com/en-us/library/hh846325(v=vs.85).aspx
o https://windowserver.wordpress.com/2013/11/20/windows-server-2012-r2-
cambiar-entre-server-core-min-shell-server-with-gui-y-desktop-experience/
o https://technet.microsoft.com/es-es/library/jj574158.aspx
o https://technet.microsoft.com/es-es/library/hh831786.aspx
RODCs almacena copias de información de sólo lectura del directorio activo usando
replicación unidireccional para el directorio activo del sistema de replicación de
archivo.
El primer es evidente por su nombre que incluye “Read Only” (Sólo Lectura), lo cual
implica que no se pueden hacer cambios en la copia de la base de Active Directory
local al mismo.
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos
cambios nunca se propagarán al resto, pues un RODC tiene sólo replicación entrante;
nunca replicarán otros Controladores de Dominio desde un RODC.
Otra característica particular, es que no tiene replicadas las contraseñas de todos los
usuarios, tiene solamente las que el administrador específicamente permita que se
repliquen.
Los controladores de dominio de sólo de lectura son ideales para ser ubicardos en
lugares donde exista un alto riesgo de exposición a ataques externos. Esto,
típicamente, incluye los límites de la red perimetral, conocida como DMZ, o algún
ambiente donde la seguridad es muy baja son los lugares más adecuados para
implementar un RODC.
Los servidores de aplicación, como son Internet Information Services (IIS) y servidores
de mensajería como lo es Microsoft Exchange, algunas veces están ubicados en el
límite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el
servicio del directorio para autentificación, el servidor Exchange siempre requiere del
Directorio Activo, pero blindar el acceso de estos servidores a los controladores de
escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.
Figura 22: Arquitectura de Red del Server Core como Servidor RODC
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Active Directory Sites and Services.
4. Luego, para asignar una dirección de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opción New Subnet.
6. Luego, para la creación del sitio TRUJILLO, haga clic derecho sobre la carpeta
Sites y seleccione la opción New Site.
9. Luego, para asignar una dirección de red al nuevo sitio creado (TRUJILLO), haga
clic derecho sobre la carpeta Subnet y seleccione la opción New Subnet.
11. Luego, para renombrar el objeto de vínculo de sitios primero, despliegue la carpeta
Inter-Site Transports y haga clic en la carpeta IP. Después, haga clic derecho
sobre DEFAULTIPSITELINK y seleccione la opción Rename.
En esta sección, el asistente registrará todos los datos del RODC que se van a
almacenar en la base de datos distribuida de ActiveDirectory, incluido el nombre de la
cuenta del controlador de dominio de sólo lectura del RODC y el sitio en el que se
ubicará. Esta fase se debe realizarla con un miembro del grupo Admins. del dominio
cibertec.com. Tenga en cuenta que el administrador que crea la cuenta RODC también
puede especificar en ese momento qué usuarios o grupos pueden completar la
siguiente fase de la instalación.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Active Directory Users and Computers.
14. Por último, para verificar que la creación de la cuenta para RODC en AD DS ha
sido exitosa abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto RODC.
Tenga en cuenta que el servidor que será el RODC no debe unirse al dominio antes de
intentar asociarlo a la cuenta RODC. Como parte de la instalación, el asistente detecta
de forma automática si el nombre del servidor coincide con los nombres de las cuentas
RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un
nombre de cuenta coincidente, solicita al usuario que la use para completar la
instalación del RODC.
Para instalar un RODC en una instalación Server Core de Windows Server 2016, se
debe realizar una instalación desatendida de AD DS. En el procedimiento que se
describe a continuación se incluyen los parámetros que se pueden especificar en el
archivo de respuesta durante una instalación desatendida. También puede especificar
estos parámetros en la línea de comandos si usa el comando dcpromo /unattend.
[DCInstall]
CriticalReplicationOnly=NO
ReplicaDomainDNSName=cibertec.com
userDomain=cibertec.com
userName=cibertec\Administrator
Password=P@ssw0rd
DatabasePath=c:\windows\ntds
LogPath=c:\windows\ntds
SYSVOLPath=c:\windows\SYSVOL
safemodeAdminPassword=P@ssw0rd
RebootOnCompletion=Yes
C:\Windows\System32>dcpromo /useexistingaccount:attach
/unattend:c:\Windows\System32\rodc.txt
2. En el escritorio del equipo CLIENTE TRUJ, haga clic derecho sobre Este equipo y
seleccione la opción Propiedades.
8. Luego, abra Server Manager del SERVER_B y en la pestaña Tools, haga doble
clic a la opción Active Directory Users and Computers.
Figura 23: Arquitectura de Red del Server Core como controlador de dominio secundario
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Active Directory Sites and Services.
4. Luego, para asignar una dirección de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opción New Subnet.
6. Para la creación de un nuevo vínculo de sitio, haga clic derecho sobre la carpeta IP
ubicada dentro de la carpeta Sites y seleccione la opción New Site Link.
8. Luego, para la creación del sitio AREQUIPA, haga clic derecho sobre la carpeta
Sites y seleccione la opción New Site.
11. Luego, para asignar una dirección de red al nuevo sitio creado (AREQUIPA), haga
clic derecho sobre la carpeta Subnet y seleccione la opción New Subnet.
13. Luego, haga clic en la carpeta IP. Después, haga clic derecho sobre el vinculo de
sitio LIMA-AREQUIPA y seleccione la opción Properties.
14. Por último, en la ventana LIMA-AREQUIPA Properties, escoja los sitios LIMA y
AREQUIPA para este vinculo y haga clic en Apply y luego, en OK.
2. En la ventana Task Manager, haga clic en File y seleccione la opción Run new
task.
10. Luego, en la consulta Do you want to continue with this operation?, escriba Y.
La columna Install State nos muestra la disponibilidad del componente, que puede
ser:
Puede observar que el componente que se desea está marcado como Installed, o
sea que el rol AD DS se encuentra instalado y activo.
13. Por ultimo, para verificar que la implementación del servidor SERVER_CORE ha
sido exitosa, abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto SERVER_CORE.
17
La replicación sirve para que el servicio de directorio Active Directory® mantenga réplicas de
los datos de directorio en múltiples controladores de dominio y, de este modo, se garantiza la
disponibilidad y el rendimiento del directorio para todos los usuarios.
1. En el CMD del servidor SERVER_CORE ejecute el comando net user /add ntorres
P@ssw0rd
Por último, abra la consola de Active Directory Users and Computers y observe
que figura en la carpeta Users el usuario ntorres, por lo que se tiene que la
replicación entre ambos controladores ha sido exitosa.
Resumen
1. El controlador de dominio de solo lectura (RODC) está diseñado para sitios donde
no se puede garantizar una seguridad total.
2. Entre las características de RODC puede precisar el hecho que no se pueden hacer
cambios en la copia de la base de Active Directory local al mismo debido a que
RODC solo tiene replicación entrante, otra caraterística es que se puede delegar la
administración e instalación de este Controlador de Dominio en particular a un
usuario normal.
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o https://technet.microsoft.com/es-es/library/cc755058(v=ws.10).aspx
o https://technet.microsoft.com/es-
es/library/cc753223(v=ws.10).aspx#bkmk_unireplication
o https://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx
o https://technet.microsoft.com/es-pe/library/jj574152.aspx
o https://technet.microsoft.com/es-
es/library/cc754629(v=ws.10).aspx#bkmk_installSrvFound
UNIDAD
5
SERVICIOS DE ESCRITORIO
REMOTO Y VIRTUALIZACIÓN
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
RemoteApp permite que los programas a los que se obtiene acceso de forma remota
mediante Servicios de Escritorio remoto aparezcan como si se ejecutaran en el equipo
local del usuario final. Estos programas se conocen como Programas RemoteApp. En
lugar de presentarse al usuario en el escritorio del servidor de Host de sesión de
Escritorio remoto, el Programa RemoteApp se integra en el escritorio del cliente.
En Windows Server 2016, el rol RDS consta de los siguientes servicios de rol:
RD Virtualization Host
El Host de virtualización de Escritorio remoto (Host de virtualización de RD) se integra
con Hyper-V para implementar colecciones de escritorios virtuales personales o
agrupados dentro de la organización.
RD Session Host
Host de sesión de Escritorio remoto permite a un servidor hospedar programas
RemoteApp o escritorios basados en sesión. Los usuarios pueden conectarse a
servidores host de sesión de Escritorio remoto de una colección de sesiones para
ejecutar programas, guardar archivos y usar recursos de esos servidores.
RD Connection Broker
Agente de conexión a Escritorio remoto permite a los usuarios volver a conectarse a
sus escritorios virtuales, programas RemoteApp y escritorios basados en sesión
existentes. Tambien, permite distribuir la carga uniformemente entre los servidores
host de sesión de Escritorio remoto de una colección de sesiones o de los escritorios
virtuales agrupados de una colección de escritorios virtuales agrupados. Por último,
este agente proporciona acceso a los escritorios virtuales de una colección de
escritorios virtuales.
RD Web Access
18
Servicios de Escritorio remoto en español
Acceso web de Escritorio remoto permite a los usuarios obtener acceso a Conexión de
RemoteApp y Escritorio mediante el menú Inicio en un equipo que ejecute Windows 10
o Windows 8, o a través de un explorador web. Conexión de RemoteApp y Escritorio
proporciona una vista personalizada de los programas RemoteApp y los escritorios
basados en sesión de una colección de sesiones, y los programas RemoteApp y los
escritorios virtuales de una colección de escritorios virtuales.
RD Licensing
Administración de licencias de Escritorio remoto administra las licencias necesarias
para conectarse a un servidor host de sesión de Escritorio remoto o a un escritorio
virtual. Se utiliza Administración de licencias de Escritorio remoto para instalar y emitir
licencias, y para realizar un seguimiento de su disponibilidad.
RD Gateway
Puerta de enlace de Escritorio remoto permite a los usuarios autorizados conectarse a
escritorios virtuales, programas RemoteApp y escritorios basados en sesión de una
red corporativa interna desde cualquier dispositivo conectado a Internet.
Esta sección tiene como objetivo implementar un escenario donde podamos contar
con los Servicios de Escritorio remoto (su implementación será del tipo Quick Start).
En este escenario, se cuenta con el SERVER_B que emulará el trabajo de un router.
Contaremos con dos áreas de red (LAN y WAN) por lo que este equipo tendrá dos
interfaces de red, donde una de ellas estará conectado a los clientes y la otra a los
servidores.
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web, FTP y RDS representados por el equipo CLIENTE. La red WAN de dirección de
red 192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP, Servidor CA y Servidor RDS)
representados por el SERVER_A.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.
2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
6. En la ventana Select a server, se indica que la opción Quick Start instalará los
servicios de rol RD Connection Broker, RD Web Access y RD Session Host enel
mismo servidor (SERVER_A). Luego, haga clic en Next.
10. Luego de que ha concluido la instalación, haga clic en Close, y de esa manera, ya
se tiene instalado de forma exitosa el rol Remote Desktop Services.
1. Abra Server Manager del SERVER_A y haga clic en Remote Desktop Services
ubicado en el panel de la izquierda de la administración.
6. Finalmente, puede observar todas las aplicaciones publicadas con las que se
cuentan y que son visibles en RD Web Access.
Resumen
1. Remote Desktop Services (RDS) , conocido como Servicios de Terminal Server en
la plataforma Windows Server 2016 y versiones anteriores, es un rol que
proporciona tecnologías para permitir a los usuarios conectarse a escritorios
virtuales, programas Remote App y escritorios basados en sesión.