Manual 2018-I 03 ASO (1938) PDF

Administración de
Sistemas
Operativos
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS 2
CARRERA DE REDES Y COMUNICACIONES CIBERTEC

Índice
Presentación 5
Red de contenidos 7
Unidad de Aprendizaje 1
SERVICIOS FTP Y RRAS 9
1.1 Tema 1 : Servicio de múltiples websites 11
1.1.1 : Fundamentos del rol Web Server (IIS) 11
1.1.2 : Fundamentos del rol DNS Server 17
1.1.3 : Implementación de múltiples websites 24
1.2 Tema 2 : Servicio FTP 38

1.2.1 : Fundamentos del servicio FTP 38
1.2.2 : Configuración del Servidor FTP 40
1.2.3 : Implementación del servicio FTP autenticado con aislamiento 44
de usuarios del dominio
1.3 Tema 3 : Servicio RRAS 73

1.3.1 : Fundamentos del servicio RRAS 73
1.3.2 : Escenarios de enrutamiento 74
1.3.3 : Implementación del servicio RRAS para enrutamiento 75
REDES PRIVADAS VIRTUALES 95
2.1 Tema 4 : Servicio VPN 97
2.1.1 : Fundamentos del servicio VPN 97
2.1.2 : Configuración del Servidor VPN 99
2.1.3 : Implementación del servicio VPN para clientes remotos 99
FUNDAMENTOS DE SEGURIDAD DE RED 133
3.1 Tema 5 : Administración de Windows Server Update Services 135
3.1.1 : Fundamentos de WSUS 135
3.1.2 : Configuración del Servidor WSUS 142
3.1.3 : Implementación y gestión de WSUS 149
3.2 Tema 6 : Asegurando el Servidor WEB 173

3.2.1 : Fundamentos de los Servicios de Certificados de Active 173
Directory
3.2.2 : Configuración del Servidor Autoridad Certificadora 176
3.2.3 : Implementación de certificación digital emitida por la Autoridad 189
Certificadora para el servicio WEB
ADMINISTRACIÓN AVANZADA DE DIRECTORIO ACTIVO 209
4.1 Tema 7 : Introducción a Windows Server Core 211
4.1.1 : Fundamentos de Windows Server Core 211
4.1.2 : Fundamentos de Servidor de Archivos 212
4.1.3 : Implementación de Server Core como Servidor de Archivos 212
4.2 Tema 8 : Servidor RODC 229

4.2.1 : Fundamentos del Servidor RODC 229
4.2.2 : Implementación del Server Core como Servidor RODC 230
CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.3 : Implementación del Server Core como segundo controlador de 250

dominio
SERVICIOS DE ESCRITORIO REMOTO Y VIRTUALIZACIÓN 269
5.1 Tema 9 : Remote Desktop Services 271
5.1.1 : Fundamentos de Remote Desktop Services 271
5.1.2 : Implementación de Remote Desktop Services 272

Presentación
Administración de Sistemas Operativos es un curso que pertenece a la línea de
infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un
conjunto de conocimientos teóricos y prácticos que permite a los alumnos administrar
la plataforma Windows Server 2016.
El manual para el curso ha sido diseñado bajo la modalidad de unidades de

aprendizaje, las que se desarrollan durante semanas determinadas. Cada una de las
unidades tiene los logros que debe alcanzar; el tema tratado, el cual será ampliamente
desarrollado; y los contenidos que debe desarrollar, es decir, los subtemas. Por último,
encontrará, las actividades que deberá desarrollar en cada sesión, las cuales le
permitirán reforzar lo aprendido en la clase.
El curso es eminentemente práctico: construido como un instrumento de trabajo. Por

ello, la participación activa de los alumnos es fundamental durante el desarrollo de
este curso, a fin de obtener la experiencia, práctica y suficiencia teórica que se
necesita para un eficiente desenvolvimiento profesional. Por lo mismo, contará con el
apoyo y guía del profesor, quien lo acompañará en el desarrollo del presente manual.


Red de contenidos
UNIDAD 1
Servicios FTP y RRAS
SISTEMAS OPERATIVOS
ADMINISTRACIÓN DE
UNIDAD 2
Redes Privadas Virtuales
UNIDAD 3
Fundamentos de seguridad de
red
UNIDAD 4
Administración avanzada de
Directorio Activo
UNIDAD 5
Servicios de Escritorio Remoto y
Virtualización


UNIDAD
1
SERVICIOS FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, el alumno mediante el uso adecuado del sistema
operativo Windows Server 2016 implementa y configura los servicios de
múltiples websites, FTP y RRAS para transferir archivos entre redes de área
local (LAN) y redes de área extensa (WAN), y emular un router físico con el
Servidor Windows Server 2016.
TEMARIO
1.1 Tema 1 : Servicio de múltiples websites

1.1.1 : Fundamentos del rol Web Server (IIS)
1.1.2 : Fundamentos del rol DNS Server
1.1.3 : Implementación de múltiples websites
1.2 Tema 2 : Servicio FTP

1.2.1 : Fundamentos del servicio FTP
1.2.2 : Configuración del Servidor FTP
1.2.3 : Implementación del servicio FTP autenticado con aislamiento
de usuarios del dominio
1.3 Tema 3 : Servicio RRAS

1.3.1 : Fundamentos del servicio RRAS
1.3.2 : Escenarios de enrutamiento
1.3.3 : Implementación del servicio RRAS para enrutamiento
ACTIVIDADES PROPUESTAS
 Los alumnos implementan diversos sitios web con la misma dirección IP
del Servidor Web.
 Los alumnos implementan un sitio FTP autenticado con aislamiento de
usuarios del dominio.
 Los alumnos configuran el Servidor RRAS para que emule como un
router entre una red local y extensa.


1.1. SERVICIO DE MÚLTIPLES WEBSITES

1.1.1. Fundamentos del rol Web Server (IIS)
El rol Web Server (IIS) del sistema operativo Windows Server 2016 brinda una
plataforma segura y fácil de administrar donde se pueden alojar sitios web1, servicios y
aplicaciones de manera confiable. En la actualidad, este rol trabaja con la versión IIS2
8.5, este software permite que se puedan compartir información en distintos
escenarios, ya sea con usuarios en Internet, en una intranet o en una extranet; por lo
que es una plataforma web unificada que integra distintos tipos de páginas por
ejemplo: Active Server Pages (ASP), ASP.NET, PHP, servicios de FTP y Windows
Communication Foundation (WCF).
Dentro de las ventajas de utilizar IIS 8.5 es el hecho de que se puede implementar y
ejecutar aplicaciones web de ASP.NET, ASP clásico y PHP en el mismo servidor de
forma sencilla, otro es el refuerzo de la seguridad web que se debe gracias a una
superficie reducida del servidor y el aislamiento automático de aplicaciones.
1.1.1.1 Instalación del rol Web Server (IIS)
Para la instalación de este rol, se cuenta con un servidor llamado SERVER_A y en

ella, se realizarán los siguientes pasos
1. Inicie Server Manager y haga clic en Add roles and features.
1
En inglés website, es un conglomerado de documentos (páginas web) organizados
jerarquicamente y que están relacionadas a un dominio de internet. Un sitio puede contener
una combinación de graficos, textos, audios, videos u otros materiales.
2
Internet Information Services (IIS) es el software de servidor web incluido con Windows que
permite la implementación de sitios web tanto local como remotamente.

2. En la nueva ventana que aparece llamada Before you begin, haga clic en Next.
3. En la ventana Select installation type, seleccione la opción Role-based or

feature-based installation; ello permite que la instalación de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.
4. Ahora en la ventana Select destination server, seleccione la opción Select a

server from the server pool; ello indica que se está eligiendo a nuestro servidor

SERVER_A para que en él se instalen los roles y características. Luego, haga clic
en Next.
5. En la ventana Select server roles, seleccione el rol Web Server (IIS).
6. Inmediatamente, aparece la ventana Add features that are required for Web
Server (IIS)? que indica que para poder implementar el rol Web Server (IIS) se

debe adicionar algunas características que aun no han sido instaladas; por ello,
haga clic en el botón Add Features.
7. Luego, haga clic en Next.
8. En la ventana Select features, las características básicas y necesarias han sido

seleccionadas por defecto por el sistema; por ello, haga clic en Next. En la próxima
ventana Web Server Role (IIS), haga clic en Next.

9. En la ventana Select role services, los servicios básicos para el rol Web Server
(IIS) son seleccionados por defecto por el sistema. Haga clic en Next.
10. En la ventana Confirm installation selections, se muestra un resumen de las

características que se han seleccionado para la instalación de nuestro rol. Luego,
haga clic en Install.

11. Finalmente, luego de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa nuestro rol Web Server (IIS).

1.1.2. Fundamentos del rol DNS Server
Las siglas DNS significan Sistema de Nombres de Dominio, dicho sistema se encarga
de la asignación de nombres a equipos y servicios de red que se organizan en una
jerarquía de dominios. El servicio DNS registra la relación que existe entre cada
nombre de dominio y su dirección IP correspondiente.
Por ejemplo, cuando un usuario desea visitar algún sitio web, lo hace mediante
nombres debido a que es más fácil de recordar y de escribir (google.com,
cibertec.edu.pe, microsoft.com, etc), todos ellos se conocen como nombres de
dominio. En cambio, las computadoras identifican los sitios web y se conectan a ellos
mediante un formato numérico que se conocen como direcciones IP, algo similares a
la numeración telefónica, pero mucho más estructurado.
Es decir, si un usuario escribe una dirección o nombre de dominio en la barra de

direcciones del navegador o simplemente hace clic en un enlace de algún sitio web, el
navegador se conecta con el servidor DNS que le corresponde a una conexión de
internet y le consulta cuál es la dirección IP del sitio solicitado. En caso de que el
requerimiento se encuentre en la base de datos del servidor DNS, este le brinda el
dato solicitado y es entonces cuando el navegador puede acceder a dicho sitio web.
En resumen, cuando un usuario escriba un nombre de dominio en una aplicación, los

servicios de DNS pueden traducir el nombre a otra información como una dirección IP.
Entre las principales funciones que presenta este servicio, puede indicar las
siguientes:
 Resolución de nombres: Es el mecanismo que convierte un nombre de host en la

dirección IP que le corresponde. Por ejemplo, al nombre de dominio google.com le
corresponde la dirección IP 216.58.219
 Resolución inversa de direcciones: Es el mecanismo inverso al anterior, es decir de

una dirección IP obtiene el nombre de host correspondiente.
 Resolución de servidores de correo: Este mecanismo obtiene a partir de un

nombre de dominio (por ejemplo gmail.com) el servidor a través del cual debe
realizarle la entrega del correo electrónico.
1.1.2.1 Principales servidores DNS de internet
Existen 13 servidores DNS raíz en todo internet, ellos almacenan la información de los
servidores para cada una de las zonas de más alto nivel. Los servidores DNS raíz se
identifican con las primeras letras del alfabeto, sus nombres son de la forma letra.root-
servers.net (donde letra va desde la A hasta la M) y varios de ellos se encuentran
divididos físicamente y dispersos geográficamente por todo el mundo.
Ahora no precisamente existen únicamente 13 servidores físicos, ya que cada

operador utiliza equipos informáticos redundantes para ofrecer un servicio fiable.
Además, diez servidores se encuentran originalmente en los Estados Unidos y algunos
son operados vía anycast3 y los tres restantes se encuentran originalmente en
Estocolmo, Amsterdam y Tokio.
3
Es una técnica de enrutamineto que proporciona un mayor rendimiento y una mayor
tolerancia a fallos.

Figura 1: Distribución mundial de los servidores DNS raíz

Fuente- Tomado de http://root-servers.org/
1.1.2.2 Integración de los roles DNS Server y Active Directory Domain Services
En Windows Server 2016, el rol DNS Server sigue combinando la compatibildad de

protocolos DNS estándar con las ventajas de la integración de Active Directory Domain
Services4 (AD DS) y otras características de seguridad de red de Windows.
Se debe tener en cuenta que los servicios del rol AD DS y del rol DNS Server pueden
instalarse de forma independiente o juntos. Pero, es preciso mencionar que los
servicios del rol de AD DS son obligatorios si el DNS Server hospedará zonas DNS
integradas con Active Directory.
El proceso de integración es el siguiente, al instalar el rol AD DS en un servidor este

se promociona al rol de un controlador de dominio. Como parte de este proceso, se le
solicita que especifique un nombre de dominio DNS para el dominio AD DS al que se
esta uniendo, luego, se le ofrece la opción de instalar el rol DNS Server. Dicha opción
es necesaria para buscar este servidor u otros controladores de dominio para los
miembros de un dominio de AD DS.
Ahora bien, dentro de las ventajas que se podrían mencionar referente a esta
integración son las siguientes:
 DNS incluye la replicación de datos con varios maestros y una seguridad mejorada
basada en las capacidades de AD DS. Cualquier servidor DNS que contiene una
zona integrada en Active Directory puede recibir actualizaciones dinámicas
enviados por los clientes, esto garantiza que no exista ningún punto único de fallo,
como el caso de las áreas en base a un modelo estándar.
 Cuando se agrega una nueva zona a un dominio de AD DS, esta se replica y se

sincroniza con los nuevos controladores de dominio de forma automática.
 La integración del almacenamiento de las bases de datos de la zona DNS en AD

DS le permite simplificar el planeamiento de la replicación de la base de datos en
la red.
4
En español Servicios de Dominio de Directorio Activo, dicho rol proporciona una base de
datos que almacena y administra información acerca de los recursos de la red, también permite
la organización jerarquica de los elementos de una red (usuarios, equipos y otros dispositivos).

 La replicación integrada en Active Directory supera en rapidez y eficacia a la

replicación de DNS estándar.
1.2.2.3 Creación de un alias de DNS
Como escenario se cuenta con un servidor cuyo nombre es SERVER_A. En este

equipo, se ha implemetado el rol de Active Drectory Domain Services con nombre de
dominio cibertec.com y a dicho rol se ha integrado el DNS Server.
Para la creación de un alias de DNS, se debe ejecutar los siguientes pasos.
1. Abra Server Manager y en la pestaña Tools, haga doble clic a la opción DNS.
2. Inmediatamente, aparece una nueva ventana llamada DNS Manager, luego,

despliegue el icono del SERVER_A, dentro de él en la zona de búsqueda directa y
en la carpeta Forward Lookup Zones, haga clic derecho en la carpeta
cibertec.com y seleccione la opción New Alias (CNAME).

3. En la ventana New Resource Record, escriba www en Alias name (uses parent
domain if left blank) como nombre de alias, luego, haga clic en Browse.
4. En la ventana Browse seleccione el nombre del equipo (SERVER_A) y haga clic en

OK.
5. Luego, seleccione la carpeta Forward Lookup Zones y haga clic en OK.

6. Luego, seleccione la carpeta cibertec.com y haga clic en OK.
7. Por último, seleccione el servidor server_a y haga clic en OK.

8. Ahora puede visualizar la configuración completa contando con el nombre de alias y

el nombre del dominio completo (nombre de máquina seguido del nombre del
subdominio y dominio). Luego, haga clic en OK.
9. En el nuevo registro, puede observar en el servidor dentro de la zona de búsqueda

directa que se han usado como contenedor para dicha alias.

10. Finalmente, desde el equipo de un cliente puede comprobar ingresando a un

navegador de internet y escriba en la barra de url www.cibertec.com

1.1.3. Implementación de múltiples websites
El rol Web Server (IIS) permite implementar varios sitios web en un solo servidor; para
ello, se cuenta con tres distintas formas de hacerlo:
 Que cada sitio web tenga una dirección IP distinta
 Que todos los sitios web tengan la misma dirección IP, pero distintos números de
puertos
 Que cada sitio web tenga un nombre de encabezado de host. De de esta manera,
todos los sitios web pueden utilizar la misma dirección IP y el mismo número de
puerto
En esta sección, se implementará el último caso. Se elaborarán tres sitios web

(sitio1.cibertec.com, sitio2.cibertec.com y sitio3.asor.local); para ello, se cuenta con un
servidor llamado SERVER_A (en el ya se encuentran instalados los roles de Active
Directory Domain Services con nombre de dominio cibertec.com, Web Server (IIS) y
DNS Server). También, se cuenta con un cliente web para la verificación del servicio.
Dirección IP Puerto TCP Nombre de encabezado de host

192.168.1.100 80 sitio1.cibertec.com
192.168.1.101 80 sitio2.cibertec.com
192.168.1.102 80 sitio3.asor.local
Tabla 1: Detalle de los sitios web
Internet Firewall
Cliente Web Controlador de Dominio

Nombre: CLIENTE Servidor DNS
Dirección IP: 192.168.1.50 Servidor Web
Máscara: 255.255.255.0 Nombre: SERVER_A
Puerta de Enlace: 192.168.1.100 Dirección IP: 192.168.1.100
Máscara: 255.255.255.0
Dominio: cibertec.com
Sitios Web: sitio1.cibertec.com
sitio2.cibertec.com
sitio3.asor.local
Figura 2: Arquitectura de Red del Servicio Web

1.1.3.1 Configuración de direccionamiento de red para los equipos
1. En el equipo CLIENTE, seleccione el Panel de control/Redes e internet/Centro

de redes y recursos compartidos/Cambiar configuración del adaptador. Luego,
haga clic derecho sobre el adaptador Ethernet (renombrado como LAN) y
seleccione Propiedades. Después, haga clic en Protocolo de Internet versión 4
(TCP/IPv4) y configure el direccionamiento IP tal como se indica en la siguiente
imagen:
2. En el servicor SERVER_A, seleccione Control Panel/Network and

internet/Network and Sharing Center/Change adapter settings. Luego, haga clic
derecho sobre el adaptador Ethernet (renombrado como LAN) y seleccione
Properties. Después, haga clic en Internet Protocol Versión 4 (TCP/IPv4) y
configure el direccionamiento IP tal como se indica en la siguiente image:

1.1.3.2 Creación de las carpetas que alojarán los códigos html
1. En el SERVER_A, haga clic en el boton Start y en This PC, luego, haga doble clic
en Local Disk (C:) y en la carpeta inetpub (esta carpeta fue creada por el rol IIS).
Dentro de esta última, cree una carpeta llamada WebSites y dentro de ella otras
tres más llamadas sitio1, sitio2, sitio3. En cada uno de estos sitios,
almacenaremos los archivos index con su respectiva imagen de ser necesario.
2. Por ejemplo para la creación del código fuente del sitio1, abra un bloc de notas y
escriba los siguientes comandos:
<html>
<head>
<title> Sitio 1 </title>
</head>
<body bgcolor="#d6d7c9" text="#000000">
<H1 align="center" >Bienvenidos al Sitio 1 </H1>
<HR>
<p> Estimado usuario le damos una cordial bienvenida a nuestra página web
Sitio 1 </p>
<img src="s1.png">
</body>
</html>
Luego, guarde el archivo con el nombre index.html con el tipo All Files.
1.1.3.3 Creación de los nombres de encabezados de host para cada sitio web
De los tres nuevos sitios web llamados sitio1.cibertec.com, sitio2.cibertec.com y

sitio3.asor.local, en los dos primeros se crearán los registros dentro de la zona
primaria perteneciente al dominio de nuestro DNS llamada cibertec.com. Para el caso
del tercero, se tendrá que crear en primer lugar la zona primaria y posteriormente,
repetir la acción.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga doble clic a la
opción DNS.

2. En la ventana DNS Manager, despliegue SERVER_A y dentro de el despliegue la

carpeta Forward Lookup Zones. Luego, haga clic derecho sobre la carpeta
cibertec.com y seleccione la opción New Host (A or AAAA).
3. En la nueva ventana que aparece New Host, escriba en el primer renglón en

blanco, el nombre de sitio1 y en el tercer renglón, la dirección IP 192.168.1.1.100;
luego, haga clic en Add Host.

4. Inmediatamente, aparecerá una nueva ventana en la que nos indica que nuestro
nuevo host ha sido creado de forma exitosa, luego, haga clic en OK
5. De forma similar, se creará un nuevo encabezado de host para el sitio2.
6. Para la creación de una nueva zona primaria, haga clic derecho sobre la carpeta
Forward Lookup Zones y elija la opción New Zone.

7. En la ventana Welcome to the New Zone Wizard, haga clic en Next para
continuar.
8. Luego, en la ventana Zone Type, seleccione la opción Primary zone y haga clic en
Next.
9. En la ventana Active Directory Zone Replication Scope, seleccione la opción To

all DNS servers running on domain controllers in this domain: cibertec.com y
haga clic en Next.

10. En la ventana Zone Name, escriba en el renglón en blanco el nombre de la nueva

zona primaria que se está creando el cual es asor.local, después haga clic en
Next.
11. En la ventana Dynamic Update, seleccione la opción Allow only secure dynamic
updates (recommended for Active Directory) y haga clic en Next.

12. Luego de completar de forma exitosa la creación de la nueva zona, haga clic en
Finish.
13. Finalmente, en la nueva zona asor.local cree un nuevo encabezado de host para
el sitio3 con la dirección IP 192.168.1.100.

1.1.3.4 Creación de los sitios web
En esta etapa, se crearán los 3 sitios web; para ello, ejecute los siguientes pasos:
opción Internet Information Services (IIS) Manager.
2. Luego, en la ventana Internet Information Services (IIS) Manager, desglose el

icono que representa al servidor (SERVER_A) y haga clic derecho sobre la carpeta
Sites y seleccione la opción Add Website.

3. En la ventana Add Website escriba los siguientes parámetros:
Site name: sitio1

Physical path: C:\inetpub\WebSites\sitio1
IP address: 192.168.1.100
Host name: sitio1.cibertec.com
Luego, haga clic en OK.
4. Para la creación de los dos sitios web restantes, repita los pasos 2 y 3, pero para
este último, donde dice Host name, se debe escribir sitio3.asor.local por
pertenecer a otra zona principal ya que la zona cibertec.com fue creado por
defecto por nuestro dominio.

5. En la carpeta Sites, puede observar la creación de los 3 sitios web.

1.1.3.5 Verificación del correcto funcionamiento de la implementación de los

múltiples Websites
1. En el equipo del cliente web, abra un navegador de internet y visite los 3 sitios web
ya configurados; para ello, escriba en la barra de direcciones
http://sitio1.cibertec.com, http://sitio2.cibertec.com y http://sitio3.asor.local
2. Además, utilice el comando nslookup para comprobar que nuestro DNS está
resolviendo correctamente los nombres y las IPs. Para ello, abra CMD del Cliente y
ejecute nslookup sitio1.cibertec.com

Finalmente, realice las demas pruebas para los sitios web restantes.

Resumen
1. Web Server (IIS) de Windows Server 2016 es una plataforma web unificada que
integra distintos tipos de páginas tales como Active Server Pages (ASP),
ASP.NET, PHP, servicios de FTP y Windows Communication Foundation (WCF).
2. DNS Server puede almacenar múltiples zonas primarias.
3. Windows Server 2016 sigue permitiendo la integración de los roles Active Directory
Domain services y DNS Server, ello conlleva a que el servidor DNS que contiene
una zona integrada en Active Directory puede recibir actualizaciones dinámicas
enviados por los clientes para que no exista ningún punto único de fallo.
4. Se puede implementar múltiples sitios web con la misma dirección IP del servidor y
el mismo número de puerto; para ello, cada sitio web debe tener un nombre de
encabezado de host.
Pueden revisar los siguientes enlaces para ampliar los conceptos vistos en esta
unidad:
o https://www.youtube.com/watch?v=kPs-We3sPwQ
o https://technet.microsoft.com/es-es/library/hh831725.aspx
o https://waytoit.wordpress.com/2014/01/30/iis-8-5-ii-configurando-sites

1.2. SERVICIO FTP

1.2.1. Fundamentos del servicio FTP
El servicio FTP se encarga de la transferencia de archivos entre sistemas

interconectados o enlazados en la internet, el cual está basado en una arquitectura
cliente-servidor. Desde un equipo cliente, se puede conectar a un servidor para la
descarga o subida de archivos, este trabajo se realiza de forma independiente del
sistema operativo que se está utlizando en cada equipo.
Figura 3: Servicio FTP

Fuente.- Tomado de http://univirtual.unicauca.edu.co/moodle/file.php/24/material/Otros/multimedia/serv_internet.htm
Servidor FTP
Un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con él
mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las
páginas Web; sólo envía y recibe los archivos a los equipos remotos.
Servidor FTP de Windows Server 2016 trabaja usando el protocolo FTP, que forma
parte de la pila TCP/IP, diseñada para transferir archivos entre dos host en Internet.
Ambos equipos deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP
y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP
(encargado de ejecutar el servicio FTP).
Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del
servidor FTP, copiar o enviar archivos al servidor FTP.
Se puede configurar Internet Information Services (IIS) para funcionar como un

servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos
desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que actúe como
un servidor FTP si está alojando sitios Web en el equipo y desea que usuarios remotos
puedan actualizar el contenido de sus sitios webs.
Tipos de Acceso al servidor FTP
 Servidor FTP anónimo
Los Servidores FTP anónimos le permiten al usuario ingresar al servidor FTP sin tener
una cuenta creada en el servidor, ni contraseña que lo identifiquen. Usualmente, el
nombre de usuario para conectarse de forma anónima es "anonymous". Es una forma
cómoda de que múltiples usuarios puedan acceder a los archivos del FTP, sin que el
administrador deba crear cuentas para cada uno.

En general, entrar a un servidor FTP de forma anónima tiene ciertas limitaciones

(menos privilegios) que un usuario normal. Por ejemplo, sólo se pueden descargar
archivos, y no se puede subir o modificar éstos.
 Servidor FTP autenticado
El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir
archivos hacia el servidor para luego, hacerlos públicos o privados. Para el acceso,
requiere de un usuario y contraseña.
Por ejemplo, si quiere actualizar páginas webs de un sitio web, habría que enviarlas
usando el servicio FTP. Pero, no nos gustaría que cualquiera pudiese acceder a ellas
para cambiarlas o eliminarlas.
Tipos de modo del sitio FTP
IIS introduce 3 modos para el sitio FTP:
 Modo de usuario sin aislamiento
No aísla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en

todas las versiones anteriores de IIS.
 Modo de usuario con aislamiento
Este modo autentifica a los usuarios contra cuentas locales o de dominio para que
puedan tener acceso al directorio principal que coincide con su nombre de usuario.
Todos los directorios particulares de los usuarios se encuentran debajo de un
directorio raíz único FTP donde se coloca y donde se limita cada usuario a su
directorio particular. A los usuarios no se les permite desplazarse fuera de éste.
 Modo de usuario con aislamiento integrado con el Directorio Activo
Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de
usuario contra un contenedor correspondiente del Directorio Activo, se requiere
grandes cantidades de tiempo y de procesamiento.
Servidor FTP sobre SSL5
Este Servicio FTP incorpora nuevas características que permiten a los administradores
publicar el contenido mucho con mayor seguridad. Una de las características de FTP
sobre Secure Sockets Layer (SSL) es que permite sesiones encriptadas entre el
cliente FTP y el Servidor.
5
Es la sigla en inglés de Secure Sockets Layer (en español capa de conexión segura). Es un
protocolo criptográfico que proporciona autenticación y privacidad sobre internet.

1.2.2. Configuración del Servidor FTP
Para la configuración de este escenario, el servidor SERVER_A será configurado

como un servidor FTP autenticado y el equipo CLIENTE será configurado como un
cliente FTP.
Instalación de un servicio FTP en un servidor WEB IIS existente
Para la implementación del Servidor FTP, se debe tener instalado primero el rol Web
Server (IIS)6. Luego, se tiene que agregar a este rol las funcionalidades de FTP tal
como se detalla a continuacion en los pasos siguientes.
1. Inicie Server Manager del SERVER_A y haga clic en Add roles and features.

feature-based installation, ello permite que la instalación de roles y caracteristicas
se implementen en el servidor. Luego, haga clic en Next.
6
Para recordar como fue la instalación de este rol puede consultar la sección 1.1.1.1


server from the server pool, ello indica que se está eligiendo a nuestro servidor
SERVER_A para que en ella, se instalen los roles y características. Luego, haga
clic en Next.
5. Del listado de roles de la ventana Select server roles, desglose el rol ya instalado
Web Server (IIS) y dentro de ella, seleccione la funcionalidad FTP Server (ello
incluye las características de FTP Service y FTP Extensibility), luego, haga clic en
Next.

6. En la ventana Select features, haga clic en Next.
7. En la ventana Corfirm installation selections, se muestra un resumen de lo que

se ha seleccionado para la instalación, luego, haga clic en Install.

8. Después, de esperar algunos minutos al finalizar la instalación, haga clic en Close,

y de esa manera ya se tiene instalado de forma exitosa la funcionalidad de FTP
Server en el rol Web Server (IIS).

1.2.3. Implementación del servicio FTP autenticado con aislamiento de

usuarios del dominio
En este nuevo escenario, se agregará en el servidor SERVER_A el servcio FTP

autenticado con el modo de usuario con aislamiento integrado con el Directorio Activo
del dominio cibertec.com.
Internet Firewall
Cliente FTP
Nombre: CLIENTE Controlador de Dominio
Dirección IP: 192.168.1.50 Servidor DNS
Máscara: 255.255.255.0 Servidor Web
Puerta de Enlace: 192.168.1.100 Servidor FTP
Nombre: SERVER_A
Dirección IP: 192.168.1.100
Máscara: 255.255.255.0
Dominio: cibertec.com
Sitio FTP: Sitio FTP 1
Figura 4: Arquitectura de Red del Servicio FTP
1. En el equipo CLIENTE, elija el Panel de control/Redes e internet/Centro de

redes y recursos compartidos/Cambiar configuración del adaptador. Luego,
imagen:
2. En el servidor SERVER_A, elija Control Panel/Network and internet/Network and

Sharing Center/Change adapter settings. Luego, haga clic derecho sobre el
adaptador Ethernet (renombrado como LAN) y seleccione Properties. Después,
haga clic en Internet Protocol Versión 4 (TCP/IPv4) y configure el
direccionamiento IP tal como se indica en la siguiente imagen:

1.2.3.2 Creación de los usuarios del dominio que accederán al servicio FTP
A continuación, se crearán los usuarios scamacho y sdiaz pertenecientes al dominio

cibertec.com para que usen nuestro servicio FTP.
1. En el cmd del servidor SERVER_A, ejecute los siguientes comados:
net user /add scamacho P@ssw0rd

net user /add sdiaz P@ssw0rd
2. Verifique que se ha creado de forma exitosa dichos usuarios; para ello, abra Server
Manager y en la pestaña Tools haga doble clic a la opción Active Directory Users
and Computers.

3. Luego, en la ventana Active Directory Users and Computers despliegue

cibertec.com y haga clic en la carpeta Users donde puede visualizar los objetos de
los usuarios scamacho y sdiaz.
1.2.3.3 Creación del directorio físico para los usuarios FTP
Como se desea crear directorios particulares para cada usuario ejecute los siguientes
pasos:
1. En This PC del SERVER_A, haga doble clic a unidad Local Disk (C:) y dentro de
ella, cree una carpeta llamada FTP Raiz.

2. Dentro de la carpeta FTP Raiz, cree otra carpeta llamada Usuarios Dominio y en
ella, una carpeta para cada usuario con los nombres de scamacho y sdiaz.
3. Es necesario alojar archivos de diversos tipos en la carpeta de cada usuario para

las pruebas de verificación que más adelante se realizarán.

1.2.3.4 Creación del certificado-autofirmado SSL
1. En la pestaña Tools del Server Manager, haga doble clic a la opción Internet
Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, haga clic en

SERVER_A y doble clic en Server Certificates.

3. Luego, seleccione la opción Create Self-Signed Certificate del menú Actions.
4. En la ventana Specify Friendly Name, escriba en Specify a friendly name for the
certificate el nombre del certificado digital el cual es srv-nps-01 y luego, haga clic
en OK.
5. Finalmente, puede visualizar la creación de nuestro certificado digital.

1.2.3.5 Creación del sitio FTP con SSL
1. En la pestaña Tools del Server Manager, haga doble clic a la opción Internet
Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, despliegue el servidor

SERVER_A, luego, haga clic derecho sobre carpeta Sites y seleccione la opción
Add FTP Site para crear nuesto sitio FTP.

3. En la ventana Site Information, escriba en FTP site name el nombre de Sitio FTP
1 y ubique el directorio C:\FTP Raiz en Physical path, luego, haga clic en Next.
4. En la ventana Binding and SSL Settings, escriba la dirección IP 192.168.1.100 en

IP Address (el puerto por defecto es 21), además, en SSL escojemos la opción
Allow SSL y en SSL Certificate seleccione nuestro certificado srv-nps-01. Luego,
haga clic en Next para continuar.
5. Luego, en la ventana Authentication and Authorization Information, seleccione

Basic en Authentication mientras que en Authorization se permite el acceso a los
usuarios FTP por lo que en Allow acces to, seleccione Specified users y en el
siguiente renglón, escriba scamacho, sdiaz. Ambos usuarios tendrán los permisos
de escritura y lectura por lo que en Permissions, haga check en Read y Write,
luego, haga clic en Finish.

6. Luego, en la ventana Sitio FTP 1 Home, haga doble clic en FTP Messages.
7. En la ventana FTP Messages, seleccione la opción Support user variables in

messages en Message Behavior el cual permite que se muestren las variables del
usuario en los mensajes FTP como por ejemplo el numero de bytes enviados del
servidor al cliente, el nombre de la cuenta del usuario que ha iniciado la sesión, etc.
Ademas, en la parte de Banner de Message Text puede escribir ========Sitio

FTP 1========, y en Welcome un mensaje de bienvenida como por ejemplo
Estimado(a) usuario sea bienvenido a nuestro servicio FTP; asi como en Exit
puede escribir Gracias por usar este servicio. Finalmente haga clic en Apply del
menú Actions

1.2.3.6 Aislamiento de usuarios integrado con el Directorio Activo
Para la configuración de aislamiento de usuarios integrado con el Directorio Activo,

relice los siguientes pasos
1. Seleccione el Sitio FTP 1 de la carpeta Sites de Internet Information Services (II)

Manager y en el panel de la derecha haga doble clic en FTP User Isolation
2. Luego, en la ventana FTP User Isolation, escoja la opción FTP home directory
configured in Active Directory el cual permite aislar las sesiones de nuestros
usuarios FTP en el directorio particular configurado en los valores de cuenta de
Active Directory para cada usuario FTP (el usuario únicamente ve la ubicación raíz
de FTP que le corresponde y no puede navegar al directorio superior). Después,
haga clic en Set.

3. En ventana Set Credentials, escriba las credenciales del usuario Administrator

(recuerde que la constraseña es P@ssw0rd), luego, haga clic en OK.
4. Luego, haga clic en Apply del menú Actions.
Ahora, se debe asignar a cada cuenta de usuario FTP en Active Directory un

determinado directorio principal. Por ello, se debe agregar las propiedades7 msIIS-
7
Hasta la versión de Windows Server 2008 se podía agregar estas propiedades mediante las
siguientes líneas de comando:
Iissftp.vbs /SetADProp Nombre de Usuario FTPRoot Ruta de directorio físico FTP de raíz
Iissftp.vbs /SetADProp Nombre de Usuario FTPDir Nombre de la carpeta del usuario

FTPRoot y msIIS-FTPDir (juntos determinan el directorio de inicio del usuario FTP) a la

cuenta de cada usuario.
Para ello, haga uso del ADSI Edit; en caso contrario, se negará el acceso a cada
usuario.
5. Ahora, abra Server Manager y en la pestaña Tools, haga doble clic a la opción
ADSI Edit.
6. En la ventana ADSI Edit, seleccione la pestaña Action y haga clic en Connect to.
7. En la ventana Connection Settings, escriba en Name el nombre del dominio el

cual es cibertec.com. Después, haga clic en OK.

8. Ahora, haga doble clic de forma seguida en cibertec.com, en la carpeta

DC=cibertec, DC=com, y en la carpeta CN=Users.
9. Dentro de la carpeta CN=Users, haga clic derecho sobre la carpeta CN=scamacho

y escoja la opción Properties.

10. En la ventana CN=scamacho Properties, seleccione msIIS-FTPDir de la pestaña

Attribute Editor y haga clic en el botón Edit.
11. En la ventana String Attribute Editor escriba en Value la carpeta asignada a

nuestro usuario FTP, el cual es \scamacho y haga clic en OK

12. Ahora, en la ventana CN=scamacho Properties, seleccione msIIS-FTPRoot de la

pestaña Attribute Editor y haga clic en el botón Edit.
13. En la ventana String Attribute Editor, escriba en Value el directorio de raíz de

nuestro sitio FTP para el usuario scamacho, el cual es C:\FTP Raiz\Usuarios
Dominio y haga clic en OK.
14. Después, en la ventana CN=scamacho Properties, haga clic en Apply y luego, en

OK.

15. Por último, agregue las propiedades msIIS-FTPRoot y msIIS-FTPDir al usuario

sdiaz por lo que deberá repetir los pasos del 9 al 14.
1.2.3.7 Verificación del correcto funcionamiento de la implementación del

servicio FTP autenticado con aislamiento de usuarios del dominio
Existen diversas formas de verificar que nuestro servicio FTP esté funcionando
correctamente, todas ellas serán descritas a continuación.
Prueba mediante el uso de un navegador de internet
1. En el equipo CLIENTE, abra un navegador de internet y en la barra de direcciones,

escriba la dirección ftp://192.168.1.100
2. En la ventana Internet Explorer, escriba las credenciales del usuario scamacho

(Nombre de usuario: scamacho, Contraseña: P@ssw0rd). Luego, haga clic en
Iniciar sesión.

3. Luego, puede hacer uso del servicio sin ningun problema
Prueba mediante el uso del simbolo del sistema
1. En el equipo CLIENTE, abra la consola del CMD y ejecute el comando ftp

192.168.1.100
2. Luego, brinde las credenciales del usuario scamacho, por lo que en Usuario
<192.168.1.100:<none>>, escriba scamacho y en Contraseña, escriba
P@ssw0rd (tenga en cuenta que al escribir la contraseña esta no se visualiza)

3. Luego del mensaje de bienvenida, ejecute el comando8 dir para poder visualizar el
directorio del usuario.
4. Luego, para finalizar la sesión FTP, ejecute el comado bye.
8
Para poder conocer los comandos FTP e interactuar con ellos visite la siguiente página web
https://technet.microsoft.com/es-es/library/ff687787(v=ws.10).aspx

Prueba mediante el uso de ubicación de red
1. En el equipo CLIENTE, presione el botón Inicio y seleccione Este Equipo, luego,

sobre este último, haga clic derecho y seleccione la opción Agregar una ubicación
de red.
2. En la ventana Éste es el Asistente para agregar ubicaciones de red, haga clic en

Siguiente.
3. En la ventana ¿Dónde desea crear esta ubicación de red?, haga clic en

Siguiente.

4. En la ventana Especifique la ubicación de su sitio web, escriba en Dirección de

red o internet la dirección ftp://192.168.1.100 y haga clic en Siguiente.
5. En la ventana Especifique un nombre de usuario y contraseña si se requiere,

quite la selección en Iniciar sesión de forma anónima y en Nombre de usuario,
escriba scamacho, luego, haga clic en Siguiente.

6. En la ventana ¿Qué nombre le desea dar a esta ubicación?, escriba en Escriba

un nombre para esta ubicación de red el de FTP-scamacho, luego, haga clic en
Siguente.
7. Luego, en la ventana Finalización del Asistente para agregar ubicaciones de

red, haga clic en Finalizar.

8. Finalmente, en la ventana Iniciar sesión como, escriba las credenciales del

usuario scamacho (Usuario: scamacho, Contraseña: P@ssw0rd) y haga clic en
Iniciar sesión.
9. Luego, puede hacer uso del servicio sin ningún problema.

Prueba mediante el uso de un Programa de Aplicación
En esta prueba, se hará uso de un software libre como es el FileZilla Client9 cuya
última versión estable a la fecha es 3.15.0.1.
1. Para la instalación del software en el equipo CLIENTE, haga clic derecho sobre
FileZilla_3.15.0.1_win64-setup y seleccione la opción Ejecutar como
administrador.
2. En la ventana License Agreement, haga clic en I Agree.
3. En la ventana Choose Installation Options, seleccione la opción Anyone who

uses this computer y haga clic en Next.
9
Es un software gratuito para cliente FTP que goza de una multiplataforma rápida y confiable,
además, proporciona una interfaz gráfica al usuario el cual es fácil de interactuar. Si desea
descargar la ultima versión visite la página web https://filezilla-project.org/download.php

4. En la ventana Choose Components, seleccione todas las opciones en Select

components to install y haga clic en Next.
5. En la ventana Choose Install Location, deje la ruta por defecto en Destination

Folder y solamente haga clic en Next.

6. Luego, en la ventana Choose Start Menu Folder haga clic en Install.
7. Por último, en la ventana Completing the FileZilla Client 3.15.0.1 Setup haga clic
en Finish.

8. Luego, en el programa FileZilla abra Gestor de Sitios haciendo clic sobre el icono
que se encuentra debajo de la pestaña Archivo.
9. En la ventana Gestor de Sitios, haga clic en el botón Nuevo sitio.

10. Luego, renombre el Nuevo sitio por FTP-scamacho y configure los siguientes
datos:
Servidor: 192.168.1.100 Puerto: 21

Protocolo: FTP-Protocolo de Transferencia de Archivos
Cifrado: Requiere FTP explícito sobre TLS
Modo de acceso: Normal
Usuario: scamacho
Contraseña: P@ssw0rd
11. Después, haga clic en Conectar
12. Luego de observar el certificado emitido, haga clic en Aceptar.
13. Ahora puede hacer uso del servicio sin ningún problema, por ejemplo en Sitio
remoto, escoja un archivo de nuestra elección y sobre este haga clic derecho y
seleccione la opción Descargar.

14. Puede verificar que la descarga ha sido exitosa, pues el archivo se encuentra en el
folder Descargas del usuario scamacho.
Del mismo modo, realice las mismas pruebas para el usuario sdiaz.

Resumen
1. El servidor FTP permite que los usuarios puedan transmitir de forma rápida
información a través de la Internet.
2. El servidor FTP anónimo solo permite la descarga de archivos.
3. El servidor FTP autenticado permite la descarga y envio de archivos.
4. El servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de

usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con
aislamiento integrado al Directorio Activo.
5. Los clientes FTPs pueden ser de modo gráfico o texto.
6. El servidor FTP sobre SSL sólo soporta clientes FTP de entorno gráfico.
unidad:
o https://technet.microsoft.com/es-es/library/hh831655.aspx#Step1

1.3 SERVICIO RRAS

1.3.1 Fundamentos del servicio RRAS
El Servicio de enrutamiento y acceso remoto (RRAS10) recibe su nombre debido a que

proporciona dos servicios principales de red las cuales son enrutamiento y acceso
remoto.
1.3.1.1 Enrutamiento
Un enrutador o router es un dispositivo intermedio que administra el flujo de datos

entre segmentos de red o subredes. El enrutador se encarga de direccionar los
paquetes entrantes y salientes basándose en la información sobre el estado de sus
propias interfaces de red y una lista de posibles orígenes y destinos del tráfico de red.
Al proyectar el tráfico de red y las necesidades de enrutamiento según el número y los
tipos de dispositivos de hardware y aplicaciones usados en el entorno, es posible
decidir mejor si se va a usar un enrutador de hardware dedicado, un enrutador basado
en software o una combinación de ambos. Normalmente, los enrutadores de hardware
dedicados controlan mejor las demandas de enrutamiento más complejas, mientras
que los enrutadores basados en software, que no resultan tan caros, controlan cargas
de enrutamiento más ligeras.
Para trabajar en un entorno de red pequeña y segmentada con un tráfico relativamente

ligero es recomendable utilizar una solución de enrutamiento basada en software,
como RRAS en esta versión de Windows. En cambio, los entornos de red
empresariales con un gran número de segmentos de red y una amplia gama de
requisitos de rendimiento pueden necesitar una variedad de enrutadores basados en
hardware para realizar distintos roles en la red.
1.3.1.2 Acceso remoto
Si se configura el servicio RRAS para que actúe como un servidor de acceso remoto,
se podrá conectar trabajadores remotos o móviles a las redes de la organización.
Tenga en cuenta que los usuarios remotos pueden trabajar como si sus equipos
estuvieran conectados directamente a la red.
Todos los servicios que suelen estar a disposición de un usuario conectado

directamente (incluso el uso compartido de archivos e impresoras, el acceso al
servidor web y la mensajería) se habilitan por medio de la conexión de acceso remoto.
Por ejemplo, en un servidor RRAS, los clientes pueden usar el Explorador de Windows
para realizar conexiones a una unidad y para conectarse a las impresoras. Dado que
las letras de unidad y los nombres de convención de nomenclatura universal (UNC)
son totalmente compatibles con el acceso remoto, la mayoría de las aplicaciones
comerciales y personalizadas funcionan sin necesidad de modificación. Abordaremos
más relacionado a este tema en la siguiente unidad de este manual.
10
Siglas en inglés de Routing and Remote Access Service

1.3.2 Escenarios de enrutamiento
El uso del servicio RRAS permite implementar tres escenarios de enrutamientos

típicos.
1.3.2.1 Escenario de enrutamiento simple
En la siguiente ilustración, se muestra una configuración de red simple con un servidor

RRAS que conecta dos segmentos de red de área local (LAN), las redes A y B. En
esta configuración, no se requiere un protocolo de enrutamiento porque el enrutador
está conectado a todas las redes a las que necesita enrutar paquetes.
Figura 5: Conexión enrutada entre dos segmento de área local (LAN)

Fuente.- Tomado de https://technet.microsoft.com/es-pe/library/dd469784.aspx
1.3.2.2 Escenario de varios enrutadores
En la siguiente ilustración, se muestra una configuración más compleja de

enrutadores. Esta vez se cuenta con tres redes (redes A, B y C) y dos enrutadores
(enrutadores 1 y 2). El enrutador 1 está en las redes A y B, mientras que el enrutador 2
está en las redes B y C. El enrutador 1 debe notificar al enrutador 2 que se puede
tener acceso a la red A a través del enrutador 1 y viceversa el enrutador 2 debe
notificar al enrutador 1 que se puede tener acceso a la red C a través del enrutador 2.
Esta información se comunica mediante un protocolo de enrutamiento11, como el
protocolo de información de enrutamiento (RIP versión 2) usado para IPv4.
Figura 6: Conexión enrutada entre tres redes

11
La información de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de
enrutamiento IP más comunes utilizados en intranets son el Protocolo de información de
enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso más corta primero
(OSPF, Open Shortest Path First).

El funcionamiento de este escenario es el siguiente: por ejemplo cuando un usuario de

la red A desea comunicarse con un usuario de la red C, el equipo del usuario de la red
A reenvía el paquete al enrutador 1. Luego, el enrutador 1 reenvía el paquete al
enrutador 2 y éste lo reenvía al equipo del usuario de la red C.
Si no se desea utilizar protocolos de enrutamiento, la otra opción seria establecer rutas

estáticas; para ello, un administrador de redes debe especificar rutas estáticas en las
tablas de enrutamiento del enrutador 1 y del enrutador 2. Tenga en cuenta que las
rutas estáticas no funcionan bien en redes de gran tamaño ni se recuperan después
de realizar cambios en la topología de la red.
1.3.2.3 Escenario de enrutamiento de marcado a petición
En la siguiente ilustración, se muestra una configuración de enrutamiento que usa

marcado a petición. Las redes A y B están separadas geográficamente y, por la
cantidad de tráfico que se transfiere entre las redes, no resulta económico una
concesión de vínculo de red de área extensa (WAN). El enrutador 1 y el enrutador 2
pueden conectarse a través de una línea telefónica analógica mediante un módem u
otro tipo de conectividad como ISDN (RDSI) en cada extremo. Cuando un equipo de la
red A inicia la comunicación con un equipo de la red B, el enrutador 1 establece una
conexión con el enrutador 2. La conexión se mantiene solo mientras se estén enviando
o recibiendo paquetes. Si la conexión está inactiva, el enrutador 1 se desconecta para
reducir los costos de conexión.
Figura 7: Conexión enrutada entre dos redes separadas geográficamente

1.3.3 Implementación del servicio RRAS para enrutamiento
El objetivo de esta sección es implementar un escenario de enrutamiento simple. En

este escenario, se cuente con un nuevo servidor llamado SERVER_B que emulará el
trabajo de un router. Se contará con dos áreas de red (LAN y WAN), por lo que este
equipo tendrá dos interfaces de red, donde una de ellas estará conectado a los
clientes y la otra a los servidores.
La red LAN cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los usuarios
Web y FTP representados por el equipo CLIENTE. La red WAN de dirección de red
192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP) representados por el SERVER_A

Figura 8: Arquitectura de Red del Servicio RRAS
1. En el equipo CLIENTE, elija Panel de control/Redes e internet/Centro de redes y

recursos compartidos/Cambiar configuración del adaptador. Luego, haga clic
Propiedades. Después, haga clic en Protocolo de Internet versión 4 (TCP/IPv4)
y configure el direccionamiento IP tal como se indica en la siguiente imagen:
2. En el servidor SERVER_B, seleccione Control Panel/Network and

configure el direccionamiento IP tal como se indica en la siguiente imagen:

3. Además, en el mismo servidor SERVER_B nos dirigimos a Control Panel/Network

and internet/Network and Sharing Center/Change adapter settings. Luego,
haga clic derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y
seleccione Properties. Después, haga clic en Internet Protocol Versión 4
imagen:

adaptador Ethernet (renombrado como WAN) y seleccione Properties. Después,

1.3.3.2 Instalación del rol Remote Access
Este rol será instalado en el SERVER_B por lo que se ejecutarán los siguientes pasos:
1. Inicie Server Manager y haga clic en Add roles and features


feature-based installation, ello permite la instalación de roles y caracteristicas
para la configuración de nuestro servidor. Luego, haga clic en Next.

server from the server pool, ello indica que se está eligiendo a nuestro servidor
SERVER_B para que en él se instalen los roles y características. Luego, haga clic
en Next.

5. En la ventana Select server roles, seleccione el rol Remote Access y haga clic en
Next.

seleccionadas por defecto por el sistema, por lo que haga clic en Next

7. Luego, en la ventana Remote Access, haga clic en Next.
8. En la ventana Select roles services, seleccione DirectAccess and VPN (RAS).
9. Inmediatamente, aparece la ventana Add features that are required for

DirectAccess and VPN (RAS)? que nos indica que para poder instalar
DirectAccess and VPN (RAS) se debe adicionar algunas características que aun
no han sido instaladas, por lo que haga clic en el botón Add Features.

10. También, en la ventana Select role service, seleccione Routing y haga clic en
Next.
11. En la ventana Web Server Role (IIS), haga clic en Next para instalar dicho rol al
SERVER_B (tenga en cuenta que los roles Remotes Access y web server (IIS)
trabajan en forma conjunta).

12. En la ventana Select role services, deje seleccionados los servicios que por
defecto serán instalados para el rol Web Server (IIS), luego, haga clic en Next.

características que se han seleccionado para la instalación de nuestro rol, luego,

14. Finalmente, luego de esperar algunos minutos haga clic en Close. De esa manera,
ya se tiene instalado de forma exitosa los roles Remote Access y Web Server
(IIS)

1.3.3.3 Configuración del Router
Nuestro servidor SERVER_B será configurado para que realice el trabajo de emular
como un router ulitizando el servicio de Remote Access. Para ello, ejecute los
siguientes pasos:
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga doble clic a la
opción Routing and Remote Access.
2. En la ventana Routing and Remote Access, haga clic derecho sobre el servidor
SERVER_B (local) y seleccione la opción Configure and Enable Routing and
Remote Access.
3. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard haga clic en Next.

4. En la ventana Configuration, seleccione la opción Custom configuration y haga

clic en Next.
5. En la ventana Custom Configuration, seleccione la opción LAN routing y haga

clic en Next.

6. En la ventana Completing the Routing and Remote Access Server Setup

Wizard, haga clic en Finish.
7. Por último, haga clic en el boton Start service para iniciar el servicio.

Agregando un protocolo de enrutamiento IP (opcional)
1. En la ventana Routing and Remote Access, despliegue el servidor SERVER_B

(local) y dentro de el despliegue IPv4. Luego, haga clic derecho sobre General y
seleccione New Routing Protocol.
En la ventana New Routing Protocol, seleccione RIP Version 2 for Internet

Protocol y haga clic en OK.
2. Luego, haga clic derecho sobre RIP el cual está dentro de IPv4 y seleccione la
opción New Interface.

3. En la ventana New Interface for RIP Vesrion 2 for Internet Protocol, seleccione
la interface en el cual funcionará RIP, en nuestro caso escoja la interface LAN y
luego, haga clic en OK.
4. En la ventana RIP Properties – LAN Properties, deje las selecciones hechas por
defecto por el sistema y haga clic en Apply y después en OK.

1.3.3.4 Verificación del correcto funcionamiento de la implemetanción del

servicio RRAS para enrutamiento
Pruebas de Conectividad mediante el uso de líneas de comando
En esta prueba, use los comandos ping y tracert.
1. En el equipo CLIENTE, abra CMD y haga ping y tracert a la dirección IP de nuestro

servidor SERVER_A. Para ello, ejecute los comandos ping 192.168.1.100 y tracert
192.168.1.100

2. De la misma forma que el paso 1, en nuestro servidor SERVER_A, abra CMD y haga
ping y tracert a nuestro equipo CLIENTE; para ello, ejecute los comandos ping
10.0.0.100 y tracert 10.0.0.100
Verificación de la tabla de enrutamiento
1. En el CMD del servidor que trabaja como router (SERVER_B), ejecute el comando
route print.


Resumen
1. Un enrutador o router es un dispositivo intermedio que sirve para interconectar
redes. Gracias al servicio RRAS se puede lograr que un servidor emule el trabajo
de un router.
2. El servicio de enrutamiento y acceso remoto forma parte del rol Remote Access en
Windows Server 2016.
3. Una solución de enrutamiento basado en software es ideal para el trabajo en un

pequeño entorno de red con un tráfico relativamente ligero.
4. Dentro de los escenarios de enrutamiento que se puede implementar se tiene el

escenario simple, el de varios enrutadores y el de marcado a petición
5. El servicio RRAS brinda protocolos de enrutamiento a través de redes LAN, y WAN
6. La implementación del servicio RRAS necesita como mínimo 2 interfaces de red
Puede revisar los siguientes enlaces para ampliar los conceptos vistos en esta unidad:
o http://www.cisco.com/c/es_mx/products/routers/index.html
o https://technet.microsoft.com/es-pe/library/dn636119.aspx
o https://technet.microsoft.com/es-es/library/dn614140.aspx
o https://technet.microsoft.com/es-pe/library/dd469784.aspx


UNIDAD
2
REDES PRIVADAS VIRTUALES
Al término de la unidad, el alumno implementa y administra redes virtuales

empleando la herramienta administrativa Routing and Remote Access.
TEMARIO
2.1.1 : Fundamentos del servicio VPN

2.1.2 : Configuración del Servidor VPN
2.1.3 : Implementación del servicio VPN para clientes remotos
 Los alumnos implementan un servicio VPN con el protocolo PPTP para

clientes remotos.
 Los alumnos implementan un servicio VPN con el protocolo L2TP para
clientes remotos.


2.1 SERVICIO VPN

2.1.1 Fundamentos del servicio VPN
Una red privada virtual (VPN, Virtual Private Network) es la extensión de una red
privada que incluye vínculos de redes compartidas o públicas como Internet. Con una
red privada virtual, se puede enviar datos entre dos host a través de una red
compartida o pública de forma que emula un vínculo privado punto a punto.
Las funciones de red privada virtual consisten en crear y configurar una misma red con
estas características. Para emular un vínculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento que
permite a los datos recorrer la red compartida o pública hasta alcanzar su destino.
Para emular un vínculo privado, los datos se cifran para asegurar la confidencialidad.
Los paquetes interceptados en la red compartida o pública no se pueden descifrar si
no se dispone de las claves de cifrado. El vínculo en el que se encapsulan y cifran los
datos privados es una conexión de red privada virtual (VPN).
La siguiente ilustración muestra el equivalente lógico de una conexión VPN.
Figura 9: Equivalencia lógica de una conexión VPN

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx

2.1.1.1 Tipos de conexiones VPN
Existen dos tipos de conexiones VPN:
 VPN de acceso remoto
Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN
para establecer una conexión de acceso remoto al servidor de una organización
mediante la infraestructura que proporciona una red pública como Internet. Desde la
perspectiva del usuario, la red privada virtual es una conexión punto a punto entre el
equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La
infraestructura exacta de la red compartida o pública es irrelevante dado que,
lógicamente, parece como si los datos se enviarán a través de un vínculo privado
dedicado.
 VPN de sitio a sitio
Las organizaciones también pueden utilizar conexiones VPN para establecer

conexiones enrutadas con oficinas alejadas, geográficamente, o con otras
organizaciones a través de una red pública como Internet al mismo tiempo que
realizan comunicaciones seguras. Una conexión VPN enrutada a través de Internet
funciona como un vínculo de WAN dedicado.
Figura 10: Conexión mediante VPN de dos sitios remotos a través de Internte
Fuente.- Tomado de https://technet.microsoft.com/es-es/library/dd469653.aspx
Gracias al acceso remoto y a las conexiones enrutadas, una organización puede

utilizar conexiones VPN para realizar conexiones a larga distancia, o líneas
concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP).
2.1.1.2 Protocolos de túnel VPN
En la familia Microsoft Windows Server 2016 hay cuatro tipos de tecnología VPN
basadas en el Protocolo punto a punto (PPP):
 Protocolo de túnel punto a punto (PPTP)
PPTP utiliza métodos de autenticación PPP de nivel de usuario y cifrado punto a punto
de Microsoft (MPPE) para cifrar los datos.
 Protocolo de túnel de capa 2 (L2TP) con seguridad de protocolo Internet

(IPSec)
L2TP utiliza métodos de autenticación PPP de nivel de usuario y certificados de nivel

de equipo con IPSec para cifrar los datos, o IPsec en modo túnel, en el que IPsec
proporciona encapsulación (sólo para el tráfico IP).

 Protocolo de túnel de socket seguro (SSTP)
SSTP es la nueva forma de túnel de VPN con características que permiten al tráfico
pasar a través de los firewalls que bloquean el tráfico PPTP y L2TP. SSTP brinda un
mecanismo para encapsular tráfico PPP sobre el canal SSL del protocolo HTTPS
 Intercambio de claves de internet (IKEv2)
IKEv2 permite el tráfico de múltiples protocolos que se codifiquen y luego,

encapsulados en una cabecera IPsec para ser enviados a través de una red IP privada
o una red Ip pública. IKEv2 supone una alternativa al intercambio manual de claves.
Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. Permite,
además, especificar el tiempo de vida de la sesión IPSEC, autenticación dinámica de
otras máquinas, etc
Es importante referir, a pesar de que no será implementado en este manual, que el rol
Remote Access no solo brinda servicios de enrutamiento y VPN sino que adiciona el
servicio de DirectAccess12. Pese a que en Windows Server 2008 R2 el servicio VPN
no podía coexistir en el mismo servidor perimetral con DirectAccess por lo que se
debía de implementar y administrar de forma separada de DirectAccess. Hoy en dia
esta situación cambia pues en Windows Server 2016 dichos servicios se encuentran
unificados en un nuevo rol de servidor permitiendo la administración configuración y
supervisión de los mismos.
2.1.2 Configuración del Servidor VPN
En este nuevo escenario, el servidor SERVER_B será configurado como un servidor

VPN mientras que el equipo CLIENTE será configurado como un cliente remoto VPN.
Se requiere de la instalación del rol Remote Access e implementar el servicio
DirectAccess and VPN (RAS); sin embargo, es preciso recordar que dichos servicios
ya fueron instalados de forma satisfactoria en el SERVER_B (se le invita a revisar la
sección 1.3.3.2 que está comprendido por las páginas del 81 al 88)
2.1.3 Implementación del servicio VPN para clientes remotos
En esta sección, implementaremos como tipo de conexión un VPN de acceso remoto,

además, trabajaremos con los protocolos de tuneles PPTP y L2TP/IPSec.
SERVER_B será el servidor VPN, quien será unido al dominio cibertec.com para que
use la base de datos de cuenta del dominio. Se contará con dos áreas de red
(EXTERNA e INTERNA) por lo que este equipo tendrá dos interfaces de red, donde
una de ellas estará conectado remotamente por medio de internet a los clientes y la
otra a los servidores.
La red EXTERNA cuya dirección de red es 10.0.0.0/8 es el lugar donde estarán los
usuarios desde ubicaciones remotas representados por el equipo CLIENTE. La red
12
Es una característica de acceso remoto que permite conectarse a los recursos de la red
corporativa sin necesidad de establecer conexiones de red privada virtual (VPN). DirectAccess
establece una conectividad bidireccional con una red interna cada vez que un equipo con
DirectAccess habilitado se conecta a Internet. Los usuarios no tienen que preocuparse de
conectarse a la red interna y los administradores de TI pueden administrar los equipos remotos
fuera de la oficina, incluso cuando los equipos no están conectados a la red VPN.

INTERNA de dirección de red 192.168.1.0/24 es el lugar donde se alojarán nuestros

servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP)
representados por el SERVER_A.
Figura 11: Arquitectura de Red del Servicio VPN
2.1.3.1Configuración de direccionamiento de red para los equipos
1. En el equipo CLIENTE, seleccione Panel de control/Redes e internet/Centro de

haga clic derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y
imagen:

derecho sobre el adaptador Ethernet (renombrado como EXTERNA) y seleccione

3. Además, en el mismo servidor SERVER_B, elija Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como INTERNA) y seleccione
4. En el servidor SERVER_A seleccione Control Panel/Network and

derecho sobre el adaptador Ethernet (renombrado como INTERNA) y seleccione

2.1.3.2 Configuración del servicio VPN
opción Remote Access Management.
2. En la ventana Remote Access Management Console, haga clic donde dice

DirectAccess and VPN.

3. Luego, haga clic en Run the Remote Access Setup wizard.
4. En la nueva ventana Configure Remote Access, seleccione la opción Deploy VPN

only.
5. En la ventana Routing and Remote Access, haga clic derecho sobre nuestro
servidor SERVER_B (local) y seleccione la opción Configure and Enable Routing
and Remote Access.

6. Luego, en la ventana Welcome to the Routing and Remote Access Server Setup
Wizard, haga clic en Next para continuar.
7. En la ventana de Configuration, seleccione la opción Remote Access (dial-up or

VPN) y haga clic en Next.

8. En la ventana Remote Access, seleccione la opción VPN y haga clic en Next.
9. Ahora en la ventana VPN Connection, seleccione la interfaz que conecta este

servidor con internet la cual es EXTERNA y luego, haga clic en Next.

10. En la ventana IP Address Assignment, seleccione la opción From a specified

range of addresses ya que se asignará un rango especifico de direcciones ip para
que los clientes remotos accedan a la red Interna. Luego, haga clic en Next.
11. En la ventana Address Range Assignment, haga clic en New.

12. De forma inmediata, aparece una nueva ventana llamada New IPv4 Address
Range en el cual se asignarán 11 direcciones IP de la red 192.168.1.0/24 para los
clientes VPN. En el campo Start IP address, escriba por ejemplo la dirección IP
192.168.1.200 y en el campo End IP address, 192.168.1.210, luego, haga clic en
OK.
13. Luego en la ventana Address Range Assignment, haga clic en Next.

14. En esta implementación, no se utilizará un servidor RADIUS13 por lo que en la

ventana Managing Multiple Remote Access Servers, escoja la opción No, use
Routing and Remote Access to authenticate connection requests. Luego,
haga clic en Next.
15. En la ventana Completing the Routing and Remote Access Server Setup
Wizard, haga clic en Finish.
13
El nombre RADIUS es el acrónimo de Remote Authentication Dial In User Services, es decir
estos servidores se encargan de la gestión de cuentas de usuarios para autenticar el acceso a
los proveedores de servico de Internet.

16. Por último, aparece un mensaje relacionado al uso de DHCP Relay Agent el cual
se omitirá, pues para esta implementación no se ha configurado el servicio
DHCP.Cierre la ventana haciendo clic en OK.
17. De esa manera, observe en SERVER_B / IPv4 / General de la ventana Routing

and Remote Access que las interfaces han sido creadas de forma exitosa.

2.1.3.3 Configuración de los permisos de acceso a los usuarios VPN
Ahora, se brindarán permisos a los usuarios scamacho y sdiaz de nuestro dominio

cibertec.com (implementado en el SERVER_A) para que sean nuestros usuarios VPN.
opción Active Directory Users and Computers.
2. En la ventana Active Directory users and Computers, haga clic derecho en el

usuario scamacho de la carpeta Users y seleccione la opción Properties.

3. En la ventana scamacho Properties, seleccione la pestaña Dial-in.
4. Luego, en el campo Network Access Permission de Dial-in, seleccione Allow

Access para permitir el acceso remoto al usuario scamacho y finalmente, haga clic
en Apply y luego, en OK.

5. Por último, realice la misma configuración de los pasos del 2 al 4 para el usuario
sdiaz.

2.1.3.4 Uniendo el servidor VPN (SERVER_B) al dominio cibertec.com
1. En la ventana Explorador del SERVER_B, haga clic derecho sobre This PC y

seleccione la opción Properties.
2. En la ventana System, haga clic en Change settings.
3. Ahora en la ventana System Properties, haga clic en el botón Change.

4. Luego, en la ventana Computer Name/Domain Changes, escriba en la opción

Domain de Member of el nombre del dominio cibertec.com y haga clic en OK.
5. En la ventana Windows Security, brinde las credencianles del administrador del

dominio cibertec.com por lo que en el primer casillero, escriba como usuario
Administrator y en el segundo la contraseña P@ssw0rd, luego, haga clic en OK.

6. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en OK.
7. Luego, para que se efectúen los cambios en el sistema, se debe reiniciar el equipo,
por lo que haga clic en OK.

2.1.3.5 Configuración del Cliente VPN con el uso del protocolo PPTP
1. En el Panel de control de nuestro equipo CLIENTE y seleccione la opción Ver el

estado y las tareas de red de la categoria Redes e Internet.
2. En la ventana Centro de redes y recursos compartidos, en la opción Cambiar la

configuración de red, haga clic en Configurar una nueva conexión o red.
3. En la ventana Elegir una opción de conexión, seleccione la opción Conectarse a

un área de trabajo y haga clic en Siguiente.

4. En la ventana ¿Cómo desea conectarse?, seleccione la opción Usar mi conexión

a Internet (VPN).
8. En la ventana ¿Desea configurar una conexión a Internet antes de continuar?,

seleccione la opción Configuraré más tarde una conexión a Internet.

9. En la ventana Escribe la dirección de Internet a la que se conectará, escriba la

dirección IP externa de nuestro servidor VPN y un nombre para la conexión, ingrese
los siguientes datos:
Dirección de Internet: 10.0.0.1
Nombre del destino: Ciber VPN 1
Luego, haga clic en Crear.
10. Luego, en la ventana Centro de redes y recursos compartidos de la categoría

Redes e Internet del Panel de control, haga clic en la opción Cambiar
configuración del adaptador.

11. En la ventana Conexiones de Red, haga clic derecho sobre la conexión Ciber
VPN 1 y seleccione la opción Conectar o desconectar.
12. Luego, haga clic en la conexión Ciber VPN 1 del panel derecho.
13. Y haga clic en el botón Conectar.

14. Ahora, inicie la sesión con el usuario scamacho cuya contraseña es P@ssw0rd,
luego, haga clic en Aceptar.
15. Ahora puede observar que la conexión Ciber VPN 1 se ha realizado de forma
exitosa.

2.1.3.6 Verificación del correcto funcionamiento de la implementación del

servicio VPN para clientes remotos
Pruebas de Conectividad mediante el uso de líneas de comando
En esta prueba, se usará los comandos ipconfig, ping y tracert
1. En el equipo CLIENTE, abra CMD y ejecute el comando ipconfig /all
2. Ahora, haga ping y tracert a la dirección IP de nuestro servidor SERVER_A

ejecutando los comandos ping 192.168.1.100 y tracert 192.168.1.100.

Prueba mediante el uso de la herramienta administrativa Routing and Remote

Access
1. Ahora abra Server Manager de SERVER_B y en la pestaña Tools, haga doble clic
a la opción Routing and Remote Access.
2. En SERVER_B (local) / IPv4 / General de la ventana Routing and Remote

Access, se puede contemplar la correcta transacción de bytes por la interfaz
Internal.

3. Y por último en SERVER_B (local) / Remote Access Clients, se puede observar

la conexión de los clientes VPN tal es el caso del usuario scamacho.
2.1.3.7 Configuración del Cliente VPN con el uso del protocolo L2TP/IPSec
opción Routing and Remote Access.

2. En la ventana Routing and Remote Access, haga clic derecho sobre SERVER_B
(local) y seleccione la opción Properties.
3. En la ventana SERVER_B (local) Properties, seleccione la pestaña Security.
Luego, seleccione Allow custom IPsec policy for L2TP/IKEv2 connection y en el

casillero Preshared Key14, escriba como clave 12345678. Después, haga clic en
Apply y luego, en OK.
14
Sus siglas en ingles es PSK, es una clave secreta que previamente se comparte en ambas
partes (Servidor-Cliente) usando un canal seguro antes que se utilice.

5. Ahora en el equipo CLIENTE y en su Panel de control, seleccione la opción Ver el

estado y las tareas de red de la categoria Redes e Internet.
6. En la ventana Centro de redes y recursos compartidos, elija la opción Cambiar

la configuración de red y haga clic en Configurar una nueva conexión o red.

7. En la ventana Configurar una conexión o red, seleccione la opción Conectarse a

un área de trabajo y haga clic en Siguiente.
8. En la ventana ¿Cómo desea conectarse?, Seleccione la opción Usar mi

conexión a Internet (VPN).

9. En la ventana ¿Desea configurar una conexión a Internet antes de continuar?,

seleccione la opción Configuraré más tarde una conexión a Internet.
10. En la ventana Escribe la dirección de Internet a la que se conectará, escriba la

dirección IP externa de nuestro servidor VPN y un nombre para la conexión por lo
que ingresamos los siguientes datos:
Dirección de Internet: 10.0.0.1
Nombre del destino: Ciber VPN 2
Luego, haga clic en Crear.
11. Luego, en la ventana Centro de redes y recursos compartidos de la categoría

Redes e Internet del Panel de control, haga clic en la opción Cambiar
configuración del adaptador.

12. En la ventana Conexiones de Red, haga clic derecho en la conexión Ciber VPN 2
y seleccione la opción Propiedades.
13. En la ventana Propiedades de Ciber VPN 2, seleccione la pestaña Seguridad.
14. Luego, en Tipo de VPN, seleccione la opción Protocolo de túnel de nivel 2 con
IPsec (L2TP/IPsec) y haga clic en Configuración avanzada.

15. Ahora en la ventana Propiedades avanzadas, seleccione la opción Usar clave

previamente compartida para autenticar y en Clave escriba nuestra contraseña
el cual es 12345678. Luego, haga clic en Aceptar.
16. Luego, en la ventana Propiedades de Ciber VPN 2, haga clic en en botón

Aceptar.

17. Luego, en la ventana Conexiones de Red, haga clic derecho sobre la conexión
Ciber VPN 2 y seleccione la opción Conectar o desconectar.
18. Después, haga clic en la conexión Ciber VPN 2 del panel derecho.
19. Y haga clic en el botón Conectar.

20. Inicie sesión con el usuario sdiaz cuya contraseña es, luego, haga clic en Aceptar.
21. Luego de esperar algunos segundos, puede observar que la conexión Ciber VPN 2
se ha realizado de forma exitosa.

Resumen
1. La implementación de una red VPN permite extender la red de la empresa de forma
segura y confiable.
2. El servicio VPN trabaja con dos tipos de conexiones, VPN de acceso remoto y VPN
de sitio a sitio.
3. VPN de acceso remoto esta diseñado para usuarios que trabajan en casa o se
encuentran de viaje y necesiten establecer una conexión al servidor de una
organización por una red publica como internet.
4. VPN de sitio a sitio permite establecer conexiones enrutadas con oficinas alejadas
geográficamente de una organización (sucursales) a través de internet. Funciona
como un vínculo de WAN dedicado.
5. Los 4 protocolos de túnel VPN soportados por Windows Server 2016 son: PPTP,
L2TP/IPSec, SSTP e IKEv2.
o https://msdn.microsoft.com/es-es/library/jj635995.aspx
o https://technet.microsoft.com/es-pe/library/ff687723(v=ws.10).aspx

UNIDAD
3
FUNDAMENTOS DE SEGURIDAD
DE RED
Al término de la unidad, el alumno implementa el acceso seguro a servicios

Web y envía actualizaciones automáticas a los equipos de la red mediante el
uso de certificados digitales y la herramienta administrativa Windows Server
Update Services.
TEMARIO
3.1 Tema 5 : Administración de Windows Server Update Services

3.1.1 : Fundamentos de WSUS
3.1.2 : Configuración del Servidor WSUS
3.1.3 : Implementación y gestión de WSUS
3.2 Tema 6 : Asegurando el Servidor WEB

3.2.1 : Fundamentos de los Servicios de Certificados de Active
Directory
3.2.2 : Configuración del Servidor Autoridad Certificadora
3.2.3 : Implementación de certificación digital emitida por la Autoridad
 Los alumnos implementan y gestionan el servicio WSUS.

 Los alumnos implementan certificados digitales para asegurar el servicio
WEB.


3.1 ADMINISTRACIÓN DE WINDOWS SERVER UPDATE

SERVICES
3.1.1 Fundamentos de WSUS
Windows Server Update Services (WSUS) es una herramienta para administrar y

distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de
seguridad y brinda estabilidad al sistema operativo Windows y sus versiones
modernas, como a otras aplicaciones de Microsoft.
Tradicionalmente, los administradores mantienen actualizado los sistemas por medio

de una frecuente verificación del web site Microsoft Update o el web site Security para
actualizaciones de software. Los administradores descargan manualmente las
actualizaciones disponibles, verifican las actualizaciones en ambientes de prueba y
luego, las distribuyen manualmente o usando la herramienta tradicional de distribución
de software. Por medio de WSUS, los administradores pueden realizar estas tareas
automáticamente.
¿Qué es Microsoft Update?
Microsoft Update es un sitio web que mantiene sus sistemas actualizados. Es usado
para obtener las actualizaciones de los sistemas operativos, las aplicaciones de
Windows, los controladores de los dispositivos y softwares. Los nuevos contenidos son
agregados regularmente a este sitio web por lo que siempre se puede obtener las
actualizaciones más recientes para proteger a los servidores y las computadoras
clientes de la red.
¿Qué son las actualizaciones?
Las actualizaciones pueden incluir arreglos en la seguridad, actualizaciones críticas, o

controladores críticos. Estas actualizaciones resuelven problemas conocidos de
seguridad y brinda estabilidad en los sistemas operativos de Windows. El sitio web de
Microsoft Update también tiene actualizaciones para aplicaciones tales como Microsoft
Office, Microsoft Exchange Server y Microsoft SQL Server.
Las categorías de las actualizaciones
Las categorías de las actualizaciones para los sistemas operativos de Windows son
las siguientes:
 Actualizaciones críticas
Soluciona problemas de seguridad y otras actualizaciones importantes para mantener
nuestras computadoras y redes de forma segura.
 Descargas recomendadas
Contiene los últimos service packs de Windows y Microsoft Internet Explorer y otras
actualizaciones importantes.
 Herramientas de Windows
Son utilidades y otras herramientas qué son brindadas para mejorar el rendimiento y
facilitar las actualizaciones.

¿Qué son las actualizaciones automáticas?
Una actualización automática (Automatic Updates) representa una opción configurable

en Windows que permite descargar e instalar actualizaciones al sistema operativo sin
ninguna intervención por parte del usuario. Las actualizaciones pueden ser
descargadas desde el sitio web Microsoft Update o desde un servidor WSUS. La
configuración de Automatic Updates puede ser controlado, de manera centralizada,
por el administrador
Escenarios para la implementación del servicio WSUS
Se puede implementar el servicio WSUS en varios escenarios según sea el caso mas
apropiado para la organización.
 Un solo servidor WSUS (red pequeña o sencilla)
En un escenario con un solo servidor WSUS, los administradores pueden configurar

un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el
contenido directamente con Microsoft Update y distribuye las actualizaciones entre los
equipos cliente, tal y como se muestra en la figura siguiente.
Figura 12: Implementación simple de WSUS

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2
 Varios servidores WSUS independientes
Los administradores pueden implementar varios servidores configurados de forma que

cada uno sea administrado, independientemente, y sincronice su contenido desde
Microsoft Update, tal como se muestra en la figura siguiente. El método de
implementación en este escenario sería apropiado en situaciones en las que los
diferentes segmentos de redes de área local (LAN) o redes de área extensa (WAN) se
administran como entidades separadas (por ejemplo, sucursales). También, sería
adecuada cuando un servidor que ejecuta WSUS se ha configurado para implementar

actualizaciones sólo en equipos cliente que ejecutan un sistema operativo determinado

(como, por ejemplo, Windows 8.1), mientras otro servidor se ha configurado para
implementar actualizaciones sólo en equipos cliente que ejecutan otros sistemas
operativos (como, por ejemplo, Windows 10).
Figura 13: Implementación de Servidores WSUS autónomos

 Varios servidores WSUS sincronizados internamente
Los administradores pueden implementar varios servidores que ejecuten WSUS y que
sincronicen todo el contenido de la intranet de la organización. En la figura siguiente,
sólo hay un servidor expuesto a Internet. En esta configuración, éste es el único
servidor que descarga actualizaciones desde Microsoft Update. Este servidor está
establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza
el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a
través de una red, geográficamente, dispersa para ofrecer la mejor conectividad
posible a todos los equipos cliente.
Figura 14: Implementación de varios Servidores WSUS


 Servidores WSUS en modo de réplica
Este modo también es denominado administración centralizada, funciona con un

servidor WSUS que precede en la cadena y que comparte actualizaciones, estados de
aprobación y grupos de equipos con los servidores que siguen en la cadena.Los
servidores de réplica heredan las aprobaciones de actualización y no pueden
administrarse al margen del servidor WSUS que los precede, es decir trabajan de un
modo jerarquico .La siguiente imagen muestra cómo se podrían implementar
servidores WSUS de réplica en un entorno de sucursal:
Figura 15: Implementación de Servidores WSUS en modo de réplica

 Servidores WSUS desconectados
Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet,

los administradores pueden configurar un servidor interno que ejecute WSUS, tal como
se muestra en la figura siguiente. En este ejemplo, se creó un servidor para conectarlo
a Internet; sin embargo, éste se encuentra aislado de la intranet. Después que
descargar, probar y aprobar las actualizaciones en este servidor, un administrador
podría, a continuación, exportar los metadatos y contenido de las actualizaciones a los
medios apropiados. Luego, desde estos medios, el administrador importaría los
metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS
dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma más
sencilla, éste podría escalarse a una implementación de cualquier tamaño.

Figura 16: Implementación de Servidores WSUS desconectados

 Servidores WSUS con equipos clientes móviles
Si en la red participan usuarios móviles que inician sesión desde distintas ubicaciones,
se puede configurar WSUS para permitir que estos usuarios actualicen sus equipos
cliente desde el servidor WSUS que tengan geográficamente más cerca. La figura 17
muestra un servidor WSUS implementado en cada región y cada región es una subred
DNS.Todos los equipos cliente se dirigen al mismo servidor WSUS, que se resuelve
en cada subred como el servidor WSUS físico más cercano.
Figura 17: Implementación de Servidores WSUS con equipos clientes móviles

Sincronización
Los servidores que ejecutan WSUS son actualizados en un proceso llamado

sincronización. Este proceso compara el software del servidor WSUS con las últimas
actualizaciones liberadas del sitio web Microsoft Update. Los administradores pueden
configurar este proceso automáticamente, o de forma manual.
 Sincronización programada
La configuración por defecto para la sincronización programada es manual. Esto

significa que el administrador tiene que escoger manualmente descargar las
actualizaciones nuevas para el servidor WSUS. Éste es apropiado, únicamente, para
los servidores WSUS desconectados. Para otros servidores WSUS, la sincronización
debería ser programada. La programación diaria permite al servidor WSUS tener las
últimas actualizaciones. Después de la sincronización el administrador aún tiene que
aprobar las actualizaciones antes que sean distribuidas a los clientes.

 Clasificación de productos y actualizaciones
El administrador puede seleccioner productos específicos y clasificar las

actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las
actualizaciones críticas y las actualizaciones de seguridad.
 Fuente de actualización
El administrador puede sincronizar el contenido del servidor WSUS desde el sitio web
de Microsoft Update o desde otra instalación WSUS. La fuente de actualización
dependerá de cómo se haya planeado la implementación de WSUS. Un servidor
WSUS independiente sincronizará el contenido desde el sitio web de Microsoft Update,
mientras que el servidor WSUS de una oficina sucursal sincronizará su contenido
desde el servidor WSUS de la oficina principal.
 Idioma de actualización
El administrador puede indicar las actualizaciones que son descargadas basadas en el

idioma de la actualización. Esto reduce el uso del ancho de banda para la descargada
y reduce el espacio de disco requerido para almacenar las actualizaciones. La
configuración, por defecto, descarga las actualizaciones en todos los idiomas.
Administración de los grupos de computadoras
Los grupos de computadoras son usados por WSUS para controlar que
actualizaciones son aplicadas, y a que computadoras. Esto permite implementar
etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de
computadoras son ideales para testear las actualizaciones en computadoras
específicas antes de distribuir dichas actualizaciones a toda la organización.
 Computadoras clientes
Las computadoras clientes están listas en la página computers de la consola de

administración. Estas computadoras son agregadas automáticamente a esta página
después se contacta con el servidor WSUS. Una computadora nunca es removida de
manera automática desde el servidor WSUS. Si se reconfigura una computadora para
usar otro Servidor WSUS, se tendrá que remover manualmente la computadora desde
el servidor WSUS original.
 Grupos de computadoras por defecto
Todas las nuevas computadoras son agregadas, de forma automática, a los grupos All
Computers group y Unassigned Computers Group. El grupo All Computers group
brinda una forma conveniente para aplicar actualizaciones a cada computadora
usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver
que computadoras quizás sean nuevas usando el servidor WSUS y necesiten ser
agregadas a un grupo. Después que las computadoras son agregadas a un grupo
creado por el administrador, ellas ya no formarán parte del grupo Unassigned
Computers Group.
 Agregar computadoras a los grupos de éstas
Las computadoras pueden ser agregadas manualmente o automáticamente a los

grupos. Para agregar de forma manual las computadoras a los grupos, se usa la

consola WSUS Administration. Para agregar las computadoras automáticamente, se

debe usar la política de grupo Client-side targeting.
Aprobaciones de actualizaciones
Después que las actualizaciones han sido sincronizadas al servidor WSUS, el

administrador tendrá que aprobarlas para inicializar la implementación.
 Aprobar una actualización
El administrador puede aprobar la instalación de una actualización, detectar, eliminar,

o declinar. Cuando apruebe una actualización específica la configuración por defecto
aprobada en el grupo All Computers group, y algunas configuraciones necesarias
por cada grupo de computadora en la ventana aprobar actualizaciones. Sino se
aprueba una actualización, el estatus de aprobación se mantiene como no aprobar y el
servidor WSUS no va realizar ninguna acción para la actualización. La excepción para
esto son las actualizaciones críticas y de seguridad que son aprobadas
automáticamente por defecto.
 Detección
Cuando aprueba una actualización para detección, la actualización no es instalada. En

vez que WSUS verifique si la actualización es compatible o necesaria con un grupo de
computadoras. La detección ocurre en una hora programada. Después de la detección
puede ver cómo algunas computadoras no tienen la actualización instalada y es
necesitada. El número requerido para una actualización es 0, luego, todas las
computadoras clientes son actualizadas.
 Instalación
La opción aprobar instalación ejecuta la actualización al grupo de computadoras

seleccionedas. En la instalación por defecto de WSUS, las actualizaciones no son
descargadas al servidor WSUS hasta que sean aprobadas para la instalación. Cuando
una actualización está aprobada para ser instalada, puede configurar un plazo. La
fecha especificada en el plazo obliga la instalación de la actualización en las
computadoras clientes.
 Eliminación
Si una actualización causa problemas después de ser instalada, esta puede ser
removida por medio de la eliminación. Ésto es, particularmente importante si se ha
automatizado la instalación para ciertas clasificaciones de actualizaciones.
 Declinar actualizaciones
Como administrador puedes declinar cualquier actualización que no sea relevante.

Una actualización declinada es removida de la lista disponible de actualizaciones.
 Aprobaciones automáticas
El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas
organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar
actualizaciones críticas y de seguridad, de forma inmediata, antes que esperar que el

proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen
ventajas de las fallas.
3.1.2 Configuración del Servidor WSUS
Para la configuración de este escenario, se cuenta con un solo servidor WSUS. El

servidor SERVER_B será el servidor WSUS.
1. Previamente se creará una carpeta llamada WSUS en Local Disk (D:) del servidor
SERVER_B, dicha carpeta será usada para el almacenamiento de las
actualizaciones de modo que los equipos clientes las descarguen de forma rápida.
2. Abra el Server Manager del SERVER_B y haga clic en Add roles and features.



server from the server pool, ello indica que se esta eligiendo al servidor
SERVER_B para que en el se instalen los roles y características. Luego, haga clic
en Next.

6. En la ventana Select server roles seleccione el rol Windows Server Update

Services y haga clic en Next
7. Inmediatamente aparece la ventana Add features that are required for Windows
Server Update Services? indicando que para poder instalar Windows Server
Update Services se debe adicionar algunas características, por lo que haga clic en
el botón Add Features.


seleccionadas por defecto por el sistema por lo que haga clic en Next.

10. Luego, en la ventana Windows Server Update Services, haga click en Next.
11. En la ventana Select role services, seleccione los servicios WID Database y
WSUS Services y haga clic en Next.

12. En la ventana Content location selection, seleccione Store updates in the

following location y escriba la ubicación donde se guardarán las actualizaciones
el cual es D:\WSUS, luego, haga clic en Next.


14. Finalmente, luego, de esperar algunos minutos haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Windows Server Update
Services.

3.1.3 Implementación y gestión de WSUS
Esta sección tiene como objetivo implementar un escenario simple de WSUS. En este
escenario, se cuenta con el servidor SERVER_B que emulará el trabajo de un router y
será el único servidor WSUS. Se contará con tres áreas de red (LAN, WAN e
INTERNET) por lo que este equipo tendrá tres interfaces de red, donde una de ellas
estará conectado a los clientes, la otra a los servidores y el último estará conectado a
internet para acceder al sitio web Microsoft Update.
Web y FTP y WSUS representados por el equipo CLIENTE. La red WAN de dirección
de red 192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador
de dominio, servidor DNS, servidor Web, servidor FTP) representados por el
SERVER_A. La red de INTERNET cuya dirección será proporcionado por un
proveedor de internet.
Figura 18: Arquitectura de Red de WSUS
1. En el equipo CLIENTE, seleccione a Panel de control/Redes e internet/Centro de

imagen:


3. Además, en el mismo servidor SERVER_B, seleccione Control Panel/Network

imagen:

4. En el servidor SERVER_A, seleccione Control Panel/Network and

derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione

3.1.3.2 Configuración de WSUS
1. Abra Server Manager del SERVER_B y en la pestaña Tools, haga clic a la opción
Windows Server Update Services.
2. En la ventana Complete WSUS Installation, haga clic en Run y deberá esperar

algunos segundos.
3. Luego, haga clic en Close.
4. En la ventana Update Services, despliegue SERVER_B luego, haga clic en

Options y seleccione WSUS Server Configration Wizard.

5. En la ventana Before You Begin, puede encontrar algunas indicaciones antes de

iniciar el asistente de configuración, luego, de leerlas haga clic en Next.
6. En la ventana Join the Microsoft Update Improvement Program, la corporación

Microsoft nos realiza la consulta si deseamos participar en el programa de mejora
de Microsoft Update, como esto es opcional desseleccione la opción Yes, I would
like to join the Microsoft Update Improvement Program para decirles que no.
Luego, haga clic en Next.

7. En vista que en el dominio solo se cuenta con un solo servidor WSUS la

sincronización se realizará directamente desde Microsoft Update por lo que en la
ventana Choose Upstream Server, seleccione la opción Synchronize from
Microsoft Update y haga clic en Next.
8. En la ventana Specify Proxy Server, haga clic en Next puesto que no se cuenta
con un servidor proxy en el dominio.

9. En la ventana Connect to Upstream Server, haga clic en el botón Start

Connecting para descargar la información de actualización de Micrososft Update,
luego, de esperar algunos minutos haga clic en Next.
10. En la ventana Choose Languages, seleccione los idiomas English y Spanish en

las que nuestro servidor descargará actualizaciones, luego, haga clic en Next.

11. En la ventana Choose Products, seleccione los productos que desea actualizar,
como por ejemplo Windows 8.1 luego, haga clic en Next.
12. En la ventana Choose Classifications, seleccione Critical Updates, Definition

Updates y Security Updates después haga clic en Next.

13. En la ventana Set Sync Schedule, seleccione Synchronize manually después

haga clic en Next.
14. En la ventana Finished, deje la sincronización para después y haga clic en Next.

15. En la ventana What’s Next, haga clic en Finish.
16. Por último, se creará el grupo de equipos Finanzas; para ello, en la consola de
administración de WSUS, haga clic derecho sobre All Computers y seleccione la
opción Add Computer Group.

17. En la ventana Add Computer Group, escriba Finanzas en Name y luego, haga
clic en el botón Add.

3.1.3.3 Configuración de GPO para los clientes WSUS
A continuación, se creará un GPO15 con el nombre WSUS PC Clients para los clientes
WSUS; para ello, ejecute los siguientes pasos en SERVER_A.
1. Abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la opción
Group Policy Management.
2. En la ventana Group Policy Management, despliegue Forest: Cibertec.com,

luego, Domains y en cibertec.com, haga clic derecho y seleccione la opción
Create a GPO in this domain, and Link it here.
15
Siglas en inglés de Group Policy Object (un objeto de directiva de grupo) es un conjunto de
una o más políticas para la seguridad del sistema

3. En la ventana New GPO, escriba en Name el nombre de WSUS PC Clients y haga

clic en OK.
4. Luego, haga clic derecho sobre la GPO recién creada WSUS PC Clients y
seleccione la opción Edit.
5. En la ventana Group Policy Management Editor, despliegue la carpeta Policies

de Computer Configuration y luego, despliegue la carpeta Administrative
Templates y dentro de ella Windows Components.

6. Luego, dentro de la carpeta Windows Update, haga clic derecho sobre la política
Configure Automatic Updates y seleccione Edit.
7. En la ventana Configure Automatic Updates, seleccione Enabled, luego,

seleccione Auto download and Schedule the installation, después programe en
Scheduled install days la opción 0 – Every day y en Scheduled install time
18:00. Luego, damos clic en Apply y en Ok.
8. Ahora haga clic derecho sobre la política Specify intranet Microsoft Update
service location y seleccione Edit.

9. En la ventana Specify intranet Microsoft Update service location, seleccione

Enabled, luego, en Set the intranet update service for detecting updates y en
Set the intranet statistics server escriba http://server_b (nombre de nuestro
servidor WSUS). Luego, damos clic en Apply y en Ok.
10. Finalmente, haga clic derecho sobre la política Enable cliente-side targeting y
seleccione Edit.

11. En la ventana Enable client-side targeting, seleccione Enabled, luego, en Target

group name for this computer, escriba el nombre del grupo de computadoras
(Finanzas) al que pertenecerá los equipos. Luego, haga clic en Apply y en Ok.
12. Por último, cierre la ventana Group Pilicy Management Editor.

3.1.3.4 Verificación del correcto funcionamiento de la implemetanción y gestión

de WSUS
Prueba de sincronización
Para obtener actualizaciones, se debe sincronizar el servidor WSUS. Para la

sincronización, el servidor WSUS se pone en contacto con Microsoft Update. Una vez
establecido el contacto, WSUS determina si hay actualizaciones nuevas disponibles
desde la última vez que se sincronizó. Debido a que es la primera vez que se
sincronizará el servidor WSUS, todas las actualizaciones están disponibles y listas
para que sean aprobados para su instalación.
1. En la consola de WSUS, seleccione Synchronizations y haga clic en Synchronize

Now del menú Actions. Luego, de esperar varios minutos se puede observar que
la sincronización ha sido exitosa.
2. En Updates, se observa un resumen del estadop de todas las actualizaciones.

Aprobación e implementación de actualizaciones
En este paso, se aprueba la actualización de los equipos cliente de prueba del grupo
de prueba. Los equipos del grupo se comprobarán con el servidor WSUS durante las
24 horas siguientes. Transcurrido este período de tiempo, puede utilizar la
característica de generación de informes de WSUS para determinar si esas
actualizaciones se implementaron en los equipos. Si la comprobación es correcta,
puede aprobar la misma actualización para el resto de los equipos de la organización.
1. En la consola de WSUS, seleccione SERVER_B y dentro de la sección To Do haga

clic en 690 security updates are waiting to be approved.
2. Luego, dentro de Security Updates, seleccione Approved en Approval y Needed

en Status.

3. Para aprobar una actualización, haga clic derecho sobre la actualización elegida y
seleccione Approve.
4. Luego, apruebe la instalación de la actualización elegida sobre un grupo de

equipos. Para ello, en la ventana Approve Updates haga clic derecho sobre el
grupo de equipos Finanzas y seleccione la opción Approved for Install.

5. Luego, haga clic en OK.
6. Después, de esperar algunos minutos puede observar que la aprobación se ha

completado sin errores de forma exitosa. Para terminar, haga clic en Close.

Uso del Catálogo de Microsoft Update
El Catálogo de Microsoft Update es un servicio de Microsoft que proporciona una lista

de las actualizaciones de software que pueden ser distribuidos a través de una red
corporativa. El uso del Catálogo de Microsoft Update puede llegar a ser un lugar de
ventanilla única para encontrar las actualizaciones de software de Microsoft, los
controladores y las revisiones
1. Abra la consola de WSUS y en la sección Resources de SERVER_B, haga clic en

Microsoft Update Catalog.
2. En el sitio web de Microsoft Update Catalog, escriba windows 2016 en Search.
3. Luego, como resultado de la búsqueda figuran varias actualizaciones relacionados

a Windows Server 2016. Escoja una de nuestra elección y haga clic en Add.

4. Luego, importe directamente la actualización escogida en WSUS; haga clic en

Import.
5. Finalmente luego, de esperar algunos minutos se puede observar que la

actualización elegida ha sido importada satisfactoriamente en el servidor WSUS.
Para terminar haga clic en Close.


Resumen
1. WSUS se encarga de administrar y distribuir actualizaciones de software que
resuelven casos de vulnerabilidad de seguridad y proporciona un soporte de
estabilidad a la plataforma Windows
2. Microsoft Update es un sitio web de la corporación Microsoft que aloja todas las
actualizaciones disponibles y que interarctua con el servidor WSUS
3. Existen diversos escenarios para la implementación de WSUS: con un solo

servidor WSUS, varios servidores WSUS independientes, varios servidores WSUS
sincronizados internamente, servidores WSUS en modo réplica, servidores WSUS
desconectados, etc
4. La sincronización es un proceso que se puede configurar de forma manual o de

modo automático y se encarga de comparar el software del servidor WSUS con las
últimas actualizaciones liberadas de Microsoft Update
unidad:
o https://technet.microsoft.com/es-es/windowsserver/bb332157.aspx
o https://technet.microsoft.com/es-es/library/hh852344.aspx#BKMK_1.2

3.2 ASEGURANDO EL SERVIDOR WEB

3.2.1 Fundamentos de los Servicios de Certificados de Active Directory
Durante los últimos años, los servidores Web se han convertido en una excelente
fuente de diversión para personas maliciosas: cualquier empresa que se aprecie,
desde las más pequeñas a las más grandes multinacionales tiene un sitio web en la
que al menos trata de vender su imagen corporativa.
La mayor parte de estos ataques tiene éxito gracias a una configuración incorrecta del
servidor o a errores de diseño del mismo: si se trata de grandes empresas, los
servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga,
sistemas propietarios de actualización de contenidos, etc) y difíciles de administrar,
correctamente, mientras que si la empresa es pequeña es muy posible que haya
elegido un servidor Web simple en su instalación y administración pero en el cual es
muy difícil garantizar una mínima seguridad.
Sea por cualquier motivo, la cuestión es que cada día es más sencillo para una
persona maliciosa ejecutar órdenes de forma remota en una máquina o al menos
modificar contenidos de forma no autorizada gracias a los servidores Web que un
sistema pueda albergar.
Hoy en día, las conexiones a servidores Web son sin duda las más extendidas entre
usuarios de Internet, hasta el punto de que muchas personas piensan que este
servicio (http, comúnmente en el puerto 80 del protocolo TCP) es el único que existe
en la red. Lo que en un principio se diseñó para que unos cuantos físicos
intercambiaran y consultaran artículos, fácilmente en la actualidad mueve a diario
millones de dólares y es uno de los pilares fundamentales de cualquier empresa.
Los problemas de seguridad relacionados con el protocolo http se dividen en tres

grandes grupos en función de los datos a los que pueden afectar:
 Seguridad en el servidor
Es necesario garantizar que la información almacenada en el servidor no pueda ser

modificada sin autorización, que permanezca disponible y que sólo pueda ser
accedida por los usuarios a los que les esté legítimamente permitido.
Una encuesta de Ernst & Young encontró que cuatro de cada cinco organizaciones
grandes, con más de 2.500 empleados ejecuta aplicaciones críticas en redes de áreas
local LANs. Dichas LANs, y la información vital que albergan, están cada vez más
expuestas a la amenaza de ataques externos perpetrados a través del acceso que
proporcionan los servidores web. De un total de 61 organizaciones estudiadas, se
encontraron 142 accesos no autorizados y decenas de incidentes relacionados con
Hackers en los últimos tres meses.
 Seguridad en la red
Cuando un usuario se conecta a un servidor Web se produce un intercambio de

información entre ambos, por lo que es vital garantizar que los datos que recibe el
cliente desde el servidor sean los mismos que se están enviando (esto es, que no
sufran modificaciones de terceros) y también, garantizar que la información que el
usuario envía hacia el servidor no sea capturada, por un atacante. Esto es
especialmente importante si la información en tránsito es secreta, como en el caso de

las contraseñas que el usuario teclea para autenticarse en el servidor, o en el

comercio electrónico y el intercambio de números de tarjetas de crédito.
 Seguridad en el cliente
Por último es necesario garantizar al usuario que lo que descarga de un servidor no va

a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o
programas con virus, si simplemente, el navegador del usuario “se cuelga” al acceder
al visitar las páginas de una organización, con seguridad, esa persona dejará de
visitarlas con la consecuente pérdida de imagen y posiblemente de un futuro cliente
para esa entidad.
La protección del servidor en cada uno de los aspectos mencionados es

responsabilidad del administrador del sistema y si bien no se puede considerar al
servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden
proveer una protección suficiente en la mayoría de los casos.
3.2.1.1 Servicios de certificados de Active Directory
En Windows Server 2016, los Servicios de certificados de Active Directory (AD CS)
ofrecen nuevas funcionalidades y caracteristicas en comparación con las versiones
anteriores.
Este rol nos proporciona servicios personalizables para la emisión y administración de

certificados de infraestructura de clave pública (PKI16) que frecuentemente utilizamos
en sistemas de seguridad de software que emplean tecnologías de clave públicas.
La función de servidor de AD CS incluye seis servicios:
 Entidad de certificación
 Inscripción web de entidad de certificación
 Respondedor en línea
 Servicio de inscripción de dispositivos de red
 Servicio Web de directiva de inscripción de certificados
 Servicio Web de inscripción de certificados
Dichos servicios proporcionan nuevas funcionalidades para la versión de Windows

Server 2016 de AD CS, entre ellas puede mencionar las siguientes:
 Integración con el administrador del servidor

 Capacidades de implementación y administración de Windows PowerShell ®
 Todos los servicios de rol de AD CS se pueden instalar en cualquier versión de
Windows Server 2016
 Todos los servicios de rol de AD CS se pueden ejecutar en Server Core
 Aplicación de renovación de certificado con la misma clave
 Soporte para nombres de dominio internacionales
 Mayor seguridad habilitada de forma predeterminada en el servicio de rol de CA
16
Una infraestructura de clave pública (PKI) es un sistema de certificados digitales, entidades
de certificación (CA) y autoridades de registro que comprueban y autentican la validez de cada
entidad implicada en una transacción electrónica mediante el uso de la criptografía de clave
pública.

3.2.1.2 ¿Qué es una Autoridad Certificadora (CA)?
Una Autoridad Certificadora o también llamada entidad emisora de certificados es un

servidor de confianza que tiene instalado el rol de AD CS el cual se encarga de
aceptar solicitudes de certificado, asi como el de emitir, revocar y administrar
certificados. Una CA verifica la información del usuario y luego, emite un certificado
con una credencial de seguridad junto a una PKI (Infraestructura de clave pública)
Existen básicamente dos tipos de Autoridades certificadoras:
 Autoridades Certificadoras comerciales
Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas

en el tema, por lo cual si optamos por comprarle los certificados digitales que
necesitemos tenemos la tranquilidad que el tema está manejado por “gente que sabe”,
pero también tiene sus posibles inconvenientes (no siempre es económico y estamos
sujetos a los requisitos que se imponen para el otorgamiento de los certificados). Pero
de todas formas, tienen una gran ventaja si están asociadas con el programa de
actualizaciones de Microsoft, ya que cualquier sistema Windows reconocerá los
certificados como válidos. Son la solución requerida si los certificados deben ser
validados por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.
 Autoridades Certificadoras privadas
Instalar una propia Autoridad Certificadora de tipo privada también tiene ventajas y
desventajas. Algunos piensan que en este caso es gratis, y nada más alejado, hay que
instalar y mantener la misma, inclusive tomando medidas adicionales de seguridad, ya
que si se comprometiera la seguridad de una Autoridad Certificadora estarían
comprometeidos todos los certificados por ella otorgados
Las ventajas pasan por la flexibilidad que se tendria de acuerdo a nuestras

necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la
integramos con Active Directoy. Sin embargo, se debe tener en cuenta que los
certificados no serán reconocidos externamente, salvo si se realiza una configuración
especial que no se detallará en esta sección
Respecto a la seguridad sobre la Autoridad Certificadora, una de las mejores opciones

es mantenerla en un equipo fuera de la red, o inclusive apagada, esto mejora
enormemente la seguridad sobre la misma. Sin embargo, por otro lado, si quiere
automatizar lo máximo posible la obtención y renovación de los certificados esto lo
puede lograr integrándola en Active Directoy, lo cual por supuesto requiere que esté
funcionando sobre un servidor miembro de un dominio, y por lo tanto, no puede estar,
ni fuera de la red ni apagada
La solución recomendable es contar dos Autoridades Certificadoras. La primera, una

Autoridad Certificadora Raíz que será de tipo “standalone” sobre un servidor en grupo
de trabajo lo que nos permitirá mantenerla “offline”. Esta entidad se autofirma los
certificados y se encarga de otorgar certificados a la otra Autoridad Certificadora que
mantendremos en la red.
La segunda Autoridad Certificadora, cuya identidad se encuentra certificada por la

anterior esta integrada en Active Directory (Enterprise Certification Authority), lo que
nos permitirá automatizar la distribución e implementación de todos los certificados
digitales, básicamente a través de Directivas de Grupo (GPOs).

3.2.2 Configuración del Servidor Autoridad Certificadora
Para la configuración de este nuevo escenario, el servidor SERVER_A será

configurado como una Autoridad Certificadora del tipo Standalone para la red
corporativa. Dentro de este servidor, se instalarán los servicios del rol AD CS: Entidad
de certificación e Inscripción web de entidad de certificación Todo este proceso consta
de dos partes que se detallan a continuación.
3.2.2.1 Instalación del rol Active Directory Certificate Services



server from the server pool, ello indica que se está eligiendo al servidor
SERVER_A para que en él se instalen los roles y características. Luego, haga clic
en Next.
5. En la ventana Select server roles, seleccione el rol Active Directory Certificate

Services.

6. Inmediatamente aparecerá la ventana Add features that are required for Active
Directory Certificate Services? indicando que para poder instalar Active Directory
Certificate Services se debe adicionar algunas características, por lo que haga clic
en el botón Add Features.


seleccionadas por defecto por el sistema por lo que haga clic en Next.
9. Luego, en la ventana Active Directory Certificate Services, haga clic en Next .

10. En la ventana Select role services, seleccione primero el servicio Certification

Authority.
11. Luego, seleccioneel servicio Certification Authority Web Enrollment

12. Inmediatamente, aparecerá la ventana Add features that are required for
Certification Authority Web Enrollment? que nos indica que para poder instalar
Certification Authority Web Enrollment se debe adicionar algunas características.
Haga clic en el botón Add Features.


15. Finalmente, luego, de esperar algunos minutos, haga clic en Close. De esa
manera, ya se tiene instalado de forma exitosa el rol Active Directory Certificate
Services.

3.2.2.2 Configuración del rol Active Directory Certificate Services
Para configurar los servicios Certification Authority y Certification Authority Web

Enrollment de AD CS, ejecute los siguientes pasos
1. En el Server Manager del SERVER_A, haga clic en el icono de notificación el cual

es el signo de exclamación cerca de la bandera y haga clic en Configure Active
Directory Certificate Services on the destination server.
2. En la ventana Credentials, haga clic en Next.

3. En la ventana Role Services, seleccione los roles Certification Authority y

Certification Authority Web Enrollment, luego, haga clic en Next.
4. En la ventana Setup Type, seleccione la opción Standalone CA. Luego, haga clic
en Next.

5. En la ventana CA Type, seleccione Root CA ya que nuestro servidor se sitúa en la

parte superior de la jerarquía de infraestructura de clave pública (PKI). Luego, haga
clic en Next.
6. En la ventana Private Key, seleccione la opción Create a new private key para la
creación de una nueva clave privada. Luego, haga clic en Next.

7. En la ventana Cryptography for CA, mantenga las opciones que ya se encuentran

seleccionadas, pero en Key length, seleccione 1024. Luego, haga clic en Next.
8. En CA Name, mantenga por defecto los campos escritos. Luego, haga clic en Next.

9. En la ventana Validity Period, seleccione 5 Years como tiempo de validez de

nuestra CA, luego, haga clic en Next.
10. En la ventana CA Database, haga clic en Next.

11. En la ventana Confirmation, haga clic en Configure.
12. Finalmente, luego de esperar algunos minutos haga clic en Close, y de esa
manera, ya hemos terminado de forma exitosa la configuración de Active Directory
Certificate Services.

3.2.3 Implementación de certificado digital emitida por la Autoridad

El objetivo de esta sección es implementar un escenario donde se emitan y revoquen

certificados digitales por una Autoridad Certificadora Raíz. En este escenario, se
cuenta con el SERVER_B que emulará el trabajo de un router. Se contará con dos
áreas de red (LAN y WAN), por lo que este equipo tendrá dos interfaces de red, donde
una de ellas estará conectado a los clientes y la otra a los servidores.
192.168.1.0/24 es el lugar donde se alojarán los servidores (controlador de dominio,
servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por el
SERVER_A.
Figura 19: Arquitectura de Red de los Servicios de certificados de Active Drectory


imagen:
2. En el servidor SERVER_B, elija Control Panel/Network and internet/Network and



imagen:


3.2.3.2 Solicitud de certificados digitales
Internet Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, seleccione

SERVER_A y haga doble clic en Server Certificates.
3. En la ventana Server Certificates, haga clic en la opción Create Certificate

Request del menú Actions.

4. En la ventana Distinguished Name Properties de Request Certificate, escriba los

campos tal como se detalla en la imagen y haga clic en Next.
5. En la ventana Cryptographic Service Provider Properties, seleccione las

opciones Microsoft RSA SChannel Cryptographic Provider en Cryptographic
service provider y 1024 en Bit length. Luego, haga clic en Next.

6. En la ventana File Name, escriba C:\Users\Administrator\Desktop\cert-01.txt

como el nombre de archivo de la solicitud de certificado, luego, haga clic en Finish.
7. Ahora en el escritorio del servidor SERVER_A, puede visualizar la solicitud de

certificado llamado cert-01.

3.2.3.3 Emisión de certificados digitales por la Autoridad Certificadora
1. En el SERVER_A, abra un navegador de internet e ingrese a la dirección web

http://server_a/certsrv, luego, en la ventana Welcome de Microsoft Active
Directory Certificate services –SERVER_A-CA, haga clic en la tarea Request a
certificate.
2. En la ventana Request a Certificate, haga clic en advanced certificate request

para presentar una solicitud de certificado avanzada.
3. En la ventana Advanced Certificate Request, haga clic en la opción Submit a

certificate request by using a base-64-encoded CMC or PKCS #10 file, or
submit a renewal request by using a base-64-encoded PKCS #7 file.

4. A la par, abra archivo cert-01.txt ubicado en el escritorio del SERVER_A y

seleccione los códigos que se muestan en la imagen, luego, haga clic derecho
sobre lo seleccionado para hacer clic en Copy.
5. Regresando a la ventana Submit a Certificate Request or Rewal Request, pegue

los códigos seleccionados en la ventana Saved Request. Luego, haga clic en
Submit.
6. Luego, se visualiza un mensaje que indica que nuestra solicitud de certificado ha

sido bien recibida, pero se debe esperar hasta que el administrador emita el
certificado solicitado. Además, la ID de la solicitud es el número 2.

7. Luego, abra el Server Manager del SERVER_A y en la pestaña Tools, haga clic a
la opción Certification Authority.
8. En la consola de Certification Authority, despliegue cibertec-SERVER_A-CA y

haga clic en la carpeta Pending Request. Luego, para emitir el certificado
solicitado, haga clic derecho sobre el certificado de Request ID 2 y en All Tasks,
seleccione la opción Issue.

9. Para visualizar que el certificado solicitado ha sido emitido por la Autoridad

Certificadora, ingrese a la carpeta Issued Certificates.
10. Ahora para ver el estado de una solicitud de certificado pendiente, vuelva a visitar
la dirección web http://server_a/certsrv, luego, en la ventana Welcome de
Microsoft Active Directory Certificate services –SERVER_A-CA, haga clic en la
tarea View the status of a pending certificate request.
11. En la ventana View the Status of a Pending Certificate Request haga clic en
Saved-Request Certificate (2/22/2016 12:09:00 PM)

12. En la ventana Certificate Issued, aparece un mensaje donde indica que el

certificado solicitado ha sido emitido nuestro uso. Luego, para la descarga de
nuestro certificado haga clic en Download certificate.
13. Luego de la descarga, abra nuestro certificado llamado certnew haciendo clic en el
botón Open de la ventana Open File – Security Warning.
14. Luego, en la ventana Certificate, haga clic en el botón Install Certificate.
15. En la ventana Welcome to the Certificate Import Wizard, deje seleccionado la

opción Current User de Store Location y para continuar, haga clic en Next.

16. En la ventana Certificate Store, seleccione la opción Automatically select the

certificate store base on the type of certificate, luego haga clic en Next.
17. Luego, en la ventana Completing the Certificate Import Wizard, haga clic en
Finish.

18. Luego, aparece un mensaje que nos indica que la importación del certificado fue
exitoso por lo que haga clic en OK.
19. Y por último, en la ventana Certificate, haga clic en OK.
3.2.3.4 Intalación del certificado digital en el Servidor Web
1. Ahora, abra el Server Manager del SERVER_A y en la pestaña Tools, haga clic a
la opción Internet Information Services (IIS) Manager.
2. En la ventana Internet Information Services (IIS) Manager, seleccione

SERVER_A y haga doble clic en Server Certificates.

3. En la ventana Server Certificates, haga clic en la opción Complete Certificate

Request del menú Actions.
4. En la ventana Specify Certificate Authority Response, escriba

C:\Users\Administrator\Desktop\certnew.cer (ubicación del certificado digital) en
File name containig the certification authority’s response y cert-01 en Friendly
name. Luego, haga clic en OK.

5. Con ello, hemos completado la solicitud de certificado.
3.2.3.5 Enlace del certificado digital al sitio web por defecto de cibertec.com
1. Ahora. abra Server Manager del SERVER_A y en la pestaña Tools, haga clic a la
opción Internet Information Services (IIS) Manager.

2. En la ventana Internet Information Services (IIS) Manager, despliegue

SERVER_A e ingrese al sitio web por defecto; para ello, despliegue la carpeta
Sites y haga clic en Default Web Site. Luego, en la ventana Defaul Web Site
Home haga clic en la opción Bindings de Edit Site del menú Actions.
3. En la ventana Site Bindings, haga clic en el botón Add.
4. En la ventana Add Site Binding, seleccione los siguientes parámetros:

Type: https, IP address: 192.168.1.100, Port:443, SSL certificate: cert-01.
Luego, haga clic en OK.
5. Luego, haga clic en Close para cerrar la ventana Site Bindings.

6. Luego, en la ventana Default Web Site Home, haga clic en la opción SSL
Settings.
7. En la ventana SSL Settings, seleccione la opción Require SSL y haga clic en

Apply del menú Actions. Finalmente, cierre la herramienta Internet Information
Services (IIS) Manager.

3.2.3.6 Verificación del correcto funcionamiento de la implemetanción de

certificado digital emitida por la Autoridad Certificadora para el servicio
WEB
1. En el equipo CLIENTE, abra un navegador de internet e ingrese el sitio web por

defecto del dominio cibertec.com, el cual es https://www.cibertec.com
2. Luego, omita el mensaje que aparece y haga clic en Vaya a este sitio web (no
recomendado).
3. Luego, en la parte superior del sitio web, haga clic en Error de certificados
ubicado en la barra de direcciones.
4. En la ventana Dirección, no coincidente omita el mensaje que se presenta y haga

clic en Ver certificados.

5. Ahora, puede observar la información general del certificado, luego, haga clic en la
pestaña superior Ruta de certificación.
6. Finalmente, se observa, tal como dice en el Estado del certificado, que el certificado
es válido y ha sido emitido por la Autoridad Certificadora cibertec-SERVER_A-CA.

Resumen
1. El rol Servicios de certificados de Active Directorio se encarga de brindar servicio
personalizados para la emisión y administración de certificados de infraestructura
de clave pública (PKI).
2. Una Autoridad Certificadora (CA) es la entidad encargada de aceptar solicitudes de

certificado, asi como el de emitir, revocar y administrar certificados.
3. Existen dos tipos de Autoridades Certificadoras: Las comerciales que en su mayoría

están asociadas con el programa de actualizaciones de Microsoft y las otras son las
privadas que se encargan de atender las necesidades internas de la compañía que
lo implementa.
4. Por seguridad, se recomienda contar con dos Autoridades Certificadoras, la primera

(Autoridad Certificadora Raiz del tipo standalone) desconectada fuera de la red que
autofirma los certificados encargada de otorgar certificados a la otra que
mantendremos en la red.
o https://technet.microsoft.com/es-es/library/cc732625.aspx
o https://technet.microsoft.com/es-es/library/cc725593.aspx
o https://technet.microsoft.com/es-es/library/dn473011
o https://technet.microsoft.com/es-es/library/cc731564(v=ws.10).aspx

UNIDAD
4
ADMINISTRACIÓN AVANZADA
DE DIRECTORIO ACTIVO
Al término de la unidad, el alumno, configura Windows Server Core y el

Servidor RODC (Read-Only Domain Controller) para autenticar usuarios de
oficinas remotas sin poner en riesgo la seguridad del Active Directory.
TEMARIO
4.1 Tema 7 : Introducción a Windows Server Core

4.1.1 : Fundamentos de Windows Server Core
4.1.2 : Fundamentos de Servidor de Archivos
4.1.3 : Implementación de Server Core como Servidor de Archivos
4.2 Tema 8 : Servidor RODC

4.2.1 : Fundamentos del Servidor RODC
4.2.2 : Implementación del Server Core como Servidor RODC
4.2.3 : Implementación del Server Core como segundo controlador de
dominio
 Los alumnos implementan el Server Core como Servidor de Archivos.

 Los alumnos implementan el Server Core como Servidor RODC.
 Los alumnos implementan el Server Core como segundo controlador de
dominio.


4.1 INTRODUCCIÓN A WINDOWS SERVER CORE

4.1.1 Fundamentos de Windows Server Core
Server Core para Windows Server 2016 proporciona una instalación mínima del
sistema operativo. Esto reduce los requerimientos de espacio de disco y convierte a
Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos
de instalación desatendida pueden ser usados para acelerar la implementación de
Windows Server Core 2016. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Al empezar la instalación de Windows Server 2016, los administradores pueden elegir

la instalación del servidor con la funcionalidad única de Windows Server Core 2016.
Esto limita los roles que pueden funcionar en el servidor, pero puede mejorar la
seguridad y reduce la administración. Este tipo de instalación es llamada la instalación
de Server Core.
Los beneficios que brinda el uso de Server Core son las siguientes:
 Server Core requiere menos mantenimiento de software, así como la instalación de

actualizaciones.
 Server Core tiene menos ataques desde la red.
 Administrar Server Core es mucho más fácil.
 Server Core usa menos espacio de disco para la instalación.
Roles de Server Core
Para instalar y configurar los roles que brinda Server Core, se debe implementar
archivos desatendidos. Server Core brinda la plataforma más estable, fácil y segura
para implementar los roles. Los siguientes roles disponibles para esta versión son los
siguientes:
 Servicio de certificados de Active Directory

 Servicios de dominio de Active Directory
 Servidor DHCP
 Servidor DNS
 Servicios de archivo (incluido Administrador de recursos del servidor de archivos)
 Active Directory Lightweight Directory Services (AD LDS)
 Hyper-V
 Servicios de impresión y documentos
 Servicios de multimedia de transmission por secuencias
 Servidor web (incluido un subconjunto de ASP.NET)
 Servidor Windows Server Update
 Servidor de Active Directory Rigths Management
 Enrutamiento y acceso remoto
Conversión de una instalación Server Core en una instalación Servidor con GUI
La instalación en Server Core nos permite instalar Windows Server 2016 sin una
interfaz gráfica. Pese a ello, una novedad para esta versión es que la renovada
PowerShell y las mejoras introducidas en el sistema operativo nos permiten "mezclar"
lo mejor de los dos mundos, instalando solo algunas características de administración

gráfica en nuestro Server Core o dejando solo una interfaz de línea de comandos que
reduce los recursos consumidos y la superficie de ataque del equipo.
Mientras que en versiones anteriores se debía decidir si se quería una "versión

completa" o una versión "Server Core" en el despligue del servidor, Windows Server
2016 nos permite instalar y desinstalar esta interfaz gráfica como una característica
más de Windows, lo que nos permite, por ejemplo, desplegar el servidor con GUI,
hacer la primera configuración del mismo a golpe de ratón y, cuando estemos
satisfechos con el resultado, desinstalar la interfaz gráfica para obtener así los
beneficios de Server Core.
Para convertir a una instalación Servidor con una GUI con Windows PowerShell, siga
los pasos del siguiente procedimiento.
1. Determine el número de índice de una imagen de Servidor con una GUI (por
ejemplo,SERVERSTANDARD noSERVERDATACENTERCORE) con
Get-WindowsImage -ImagePath <path to wim>\install.wim.
2. Ejecute
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart –

Source c:\mountdir\windows\winsxs
3. O bien, si desea usar Windows Update como el origen en lugar de un archivo WIM,
use este cmdlet de Windows PowerShell:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell –Restart
4.1.2 Fundamentos de Servidor de Archivos
Un Servidor de Archivos es un tipo de servidor que almacena y distribuye diferentes

tipos de archivos informáticos entre los clientes de una red corporativa.
Su función es permitir el acceso remoto de otros nodos a los archivos que almacena o
sobre los que tiene acceso.
Desde el punto de vista del cliente de un servidor de archivos, la localización de los

archivos compartidos es transparente, es decir, en la práctica no hay diferencias
perceptibles si un archivo está almacenado en un servidor de archivos remoto o en el
disco de la propia máquina.
4.1.3. Implementación de Server Core como Servidor de Archivos
Esta sección tiene como objetivo implementar un escenario donde el Server Core se
convierta en un Servidor de Archivos. En este escenario, se cuenta con el SERVER_B
que emulará el trabajo de un router. Se contará con dos áreas de red (LAN y WAN)
por lo que este equipo tendrá dos interfaces de red, donde una de ellas estará
conectado a los clientes y la otra a los servidores.

dominio, servidor DNS, servidor Web, servidor FTP y Servidor CA) representados por
el SERVER_A y en otro equipo, el servidor de Archivos representado por el Server
Core.
Figura 20: Arquitectura de Red del Server Core como Servidor de Archivos
Configuración de direccionamiento de red para los equipos

imagen:



3. Además, en el mismo servidor SERVER_B, ingrese Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como WAN) y seleccione

derecho sobre el adaptador Ethernet (renombrado como WAN) y seleccione

Cambiando de nombre de host al servidor Server Core
1. Para conocer el nombre actual del servidor mediante línea de comando en el CMD,
ejecute lo siguiente:
C:\Users\Administrator>cd C:\Windows\system32
C:\Windows\System32>hostname
El comando hostname nos permite conocer el nombre actual de nuestro servidor el

cual precisamos para ejecutar nuestro próximo comando. En nuestro caso el servidor
se llama WIN-S7FL1G5HO5E.
2. Luego, para cambiar de nombre al servidor por el de SERVER_CORE, ejecute el

siguiente comando:
C:\Windows\System32>netdom renamecomputer WIN-S7FL1G5HO5E

/newname:SERVER_CORE

3. Luego en la consulta Do you want to proceed <Y or N>?, escriba Y y presione la

tecla ENTER.
Con la ejecución de este comando, estará cambiando el nombre de nuestro servidor

por el nuevo SERVER_CORE.
4. Luego, ejecute el comando C:\Windows\System32>shutdown –r –t 0 para

reiniciar nuestro servidor.

5. Luego de reiniciar el equipo, puede comprobar que el cambio de nombre de host

ha sido exitoso; para ello, vuelva a ejecutar el comando.
C:\Windows\System32>cd C:\Windows\system32
C:\Windows\System32>hostname
Configuración del direccionamiento IP y DNS del servidor SERVER_CORE
1. Para visualizar la interfaces de red con la que se cuenta ejecute el comando:
C:\Windows\System32>netsh interface ipv4 show interfaces
Se puede visualizar que el nombre de nuestra interfaz es Ethernet.
2. Luego, para configurar el siguiente direccionamiento IP:
Dirección IP Máscara Puerta de Enlace DNS
192.168.1.90 255.255.255.0 192.168.1.1 192.168.1.100
Se debe ejecutar el siguiente commando:

C:\Windows\System32>netsh interface ipv4 set address “Ethernet” static

192.168.1.90 255.255.255.0 192.168.1.1
3. Para la configuración del DNS se debe ejecutar el siguiente commando
C:\Windows\System32>netsh interface ipv4 set dns “Ethernet” static

192.168.1.100
4. Para verificar que la configuración del direccionamiento IP es el correcto, ejecute el

comado:
C:\Windows\System32>ipconfig /all

5. Finalmente, deshabilite los servicios de firewall en SERVER_CORE; para ello,

ejecute el siguiente comando:
C:\Windows\System32>netsh advfirewall set allprofiles state off
Integración del servidor SERVER_CORE al dominio cibertec.com
 Para unir el SERVER_CORE al dominio, ejecute el siguiente comando:
C:\Windows\System32>netdom join %computername% /domain:cibertec.com

/userd:administrator /passwordd:*

 Luego, después, del mensaje Type the password associated with the domain
user escriba la contraseña del administrador del dominio el cual es P@ssword
(tenga en cuenta que al momento de escribirla esta no será visible)
 Luego, ejecute el comando C:\Windows\System32>shutdown –r –t 0 para

reiniciar el servidor y de ese modo se apliquen los cambios realizados.
 Finalmente, observe que el servidor SERVER_CORE se ha unido al dominio de

forma satisfactoria.

Compartir un directorio en la red cibertec.com
1. En la unidad C de SERVER_CORE, se creará una carpeta llamada Compartida y

dentro de ella dos carpetas: Finanzas y Contabilidad. Para ello, ejecute los
siguientes comandos:
C:\Users\Administrator.CIBERTEC>cd ..
C:\Users>cd ..
C:\>md Compartida
C:\> cd Compartida
C:\Compartida>md Finanzas
C:\Compartida>md Contabilidad

2. Además, dentro de la carpeta Contabilidad, se creará un archivo de texto llamado

conta01.txt para ello, ejecute el comando:
C:\Compartida>cd Contabilidad
C:\Compartida\Contabilidad>copy con conta01.txt
3. Luego, si ejecuta el comando C:\>net share, se mostrará información acerca de

todos los recursos compartidos en el equipo local. Para cada recurso, se muestran
los nombres de dispositivo y un comentario descriptivo.
4. Luego, comparta la carpeta Finanzas para el usuario scamacho con el privilegio de

control total sobre dicha carpeta; para ello, ejecute el siguiente comando:

C:\>net share Finanzas=C:/Compartida/Finanzas /user:5 /grant:scamacho,full
5. Finalmente comparta la carpeta Contabilidad para el usuario sdiaz con el privilegio

de solo lectura sobre dicha carpeta; para ello, ejecute el siguiente comando:
C:\>net share Contabilidad=C:/Compartida/Contabilidad /user:5 /grant:sdiaz,read

Verificación del correcto funcionamiento del Server Core como un Servidor de

Archivos
1. En el equipo CLIENTE, inicie sesión con el usuario scamacho.
2. Luego, de iniciar sesión escriba las teclas y en la ventana.
Ejecute escriba \\192.168.1.90 en Abrir, luego, haga clic en el botón Aceptar.
3. Luego, haga clic en la carpeta compartida llamada Finanzas.
4. Para corroborar que el usuario scamacho, tiene control total. Sobre ella, cree un
archivo de texto llamado PRUEBA.

5. Ahora, inicie sesión con el usuario sdiaz.
6. Luego, inicie sesión escriba las teclas y en la ventana.

Ejecutar escriba \\192.168.1.90 en Abrir, luego, haga clic en el botón Aceptar.
7. Luego, haga clic en la carpeta compartida llamada Contabilidad.
8. Finalmente, para corroborar que el usuario sdiaz, tiene permisos de solo lectura.
Sobre ella, intente eliminar (sin éxito alguno) el archivo de texto llamado conta01.


Resumen
1. Server Core es el escenario ideal para oficinas remotas ya que proporciona una
instalación minima del sitema operativo, también reduce los requerimientos de
espacio de disco y reduce oportunidades de ataque desde la red.
2. En la versión Windows Server Core 2016, se puede interactuar pasando de una

interfaz de línea de comandos a una interfaz grafica y viceversa mediante el uso de
Windows PowerShell.
3. Un Servidor de Archivos se encarga de almacenar y distribuir diferentes tipos de

archivos informáticos entre los clientes de una red corporativa.
unidad:
o https://msdn.microsoft.com/en-us/library/hh846325(v=vs.85).aspx
o https://windowserver.wordpress.com/2013/11/20/windows-server-2012-r2-
cambiar-entre-server-core-min-shell-server-with-gui-y-desktop-experience/
o https://technet.microsoft.com/es-es/library/jj574158.aspx

4.2 SERVIDOR RODC

4.2.1 Fundamentos del Servidor RODC
Para mejorar el tiempo de respuesta de autentificación, algunas veces es deseable

ubicar un controlador de dominio en las oficinas sucursales o en las redes que están
en el límite del sitio. Las oficinas sucursales o las redes que están en el límite del sitio
algunas veces carecen de seguridad. El controlador de dominio de solo lectura, en
inglés Read-Only Domain Controller (RODC) está diseñado para escenarios donde un
controlador de dominio necesita ser ubicado en un ambiente con baja seguridad. Un
RODC no almacena ninguna contraseña por defecto. Si el RODC está comprometido,
la intrusión en la red usando la información obtenida desde el RODC es,
significativamente, pequeña. Debido que las oficinas sucursales algunas veces tienen
pocos controles de acceso, RODC puede ser una elección más segura para ubicar un
controlador de dominio en las oficinas sucursales.
Figura 21: Perimetros de red con controladores de dominio

Fuente.- Tomado de https://technet.microsoft.com/es-es/library/cc753348(v=ws.10).aspx
RODCs almacena copias de información de sólo lectura del directorio activo usando
replicación unidireccional para el directorio activo del sistema de replicación de
archivo.
Caracteristicas del uso de RODC
El primer es evidente por su nombre que incluye “Read Only” (Sólo Lectura), lo cual
implica que no se pueden hacer cambios en la copia de la base de Active Directory
local al mismo.
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos
cambios nunca se propagarán al resto, pues un RODC tiene sólo replicación entrante;
nunca replicarán otros Controladores de Dominio desde un RODC.
Otra característica particular, es que no tiene replicadas las contraseñas de todos los
usuarios, tiene solamente las que el administrador específicamente permita que se
repliquen.

Y la última característica principal, es que se puede delegar la administración e

instalación de este Controlador de Dominio en particular a un usuario normal. Si fuera
un Controlador de Dominio normal la única forma sería teniendo un administrador de
Dominio, en este caso no es necesario
Base de Datos del directorio activo de solo lectura
Los controladores de dominio de sólo de lectura son ideales para ser ubicardos en
lugares donde exista un alto riesgo de exposición a ataques externos. Esto,
típicamente, incluye los límites de la red perimetral, conocida como DMZ, o algún
ambiente donde la seguridad es muy baja son los lugares más adecuados para
implementar un RODC.
Los servidores de aplicación, como son Internet Information Services (IIS) y servidores
de mensajería como lo es Microsoft Exchange, algunas veces están ubicados en el
límite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el
servicio del directorio para autentificación, el servidor Exchange siempre requiere del
Directorio Activo, pero blindar el acceso de estos servidores a los controladores de
escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos
escenarios.
Replicación Unidireccional del controlador de dominio de solo lectura
Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se

originan de manera local, no es necesario que los controladores de dominio grabables,
que son asociados de replicación, extraigan los cambios del RODC. Esto significa que
cualquier cambio o daño que un usuario malintencionado pueda realizar en las
ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.
4.2.2 Implementación del Server Core como Servidor RODC
El objetivo de esta sección es implementar un escenario donde el Server Core se

convierta en un Servidor RODC. En este escenario, se cuenta con el SERVER_B que
emulará el trabajo de un router. Contaremos con dos sitios de Active Directory (LIMA y
TRUJILLO) por lo que este equipo tendrá dos interfaces de red, donde una de ellas
estará conectado a la sede principal de la organización (LIMA) y la otra a la sede
sucursal (TRUJILLO).
La sucursal cuya dirección de red es 10.0.0.0/8 es el lugar donde estará el servidor

RODC y un equipo llamado CLIENTE TRUJ que deseará unirse al dominio. La sede
principal de dirección de red 192.168.1.0/24 es el lugar donde se alojarán nuestros
servidores (controlador de dominio, servidor DNS, servidor Web, servidor FTP y
servidor CA) representados por el SERVER_A.

Figura 22: Arquitectura de Red del Server Core como Servidor RODC
1. En el Servidor RODC, configure el direccionamiento IP tal como se indica en la

siguiente imagen:

10.0.0.90 255.0.0.0 10.0.0.1 192.168.1.100
Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del

Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuración del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las páginas 215 y 217 respectivamente.

derecho sobre el adaptador Ethernet (renombrado como TRUJILLO) y seleccione

3. Además, en el mismo servidor SERVER_B, elija Control Panel/Network and

derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y seleccione

derecho sobre el adaptador Ethernet (renombrado como LIMA) y seleccione

Configuración de los Sites en Active Directory
Active Directory Sites and Services.
2. Para renombrar el sitio principal, en la ventana Active Directory Sites and

Services, despliegue la carpeta Sites y dentro de la misma, haga clic derecho
sobre Default-First-Site-Name y seleccione la opción Rename.
3. Renombre el sitio principal como LIMA.

4. Luego, para asignar una dirección de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opción New Subnet.
5. En la ventana New Object – Subnet, escriba 192.168.1.0/24 en Prefix y en Select

a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

6. Luego, para la creación del sitio TRUJILLO, haga clic derecho sobre la carpeta
Sites y seleccione la opción New Site.
7. En la ventana New Object – Site, escriba TRUJILLO en Name y seleccione como

objeto de vínculo de sitios DEFAULTIPSITELINK, luego, haga clic en OK.

9. Luego, para asignar una dirección de red al nuevo sitio creado (TRUJILLO), haga
clic derecho sobre la carpeta Subnet y seleccione la opción New Subnet.

10. En la ventana New Object – Subnet, escriba 10.0.0.0/8 en Prefix y en Select a

site object for this prefix, seleccione TRUJILLO, luego, haga clic en OK.
11. Luego, para renombrar el objeto de vínculo de sitios primero, despliegue la carpeta
Inter-Site Transports y haga clic en la carpeta IP. Después, haga clic derecho
sobre DEFAULTIPSITELINK y seleccione la opción Rename.
12. Renombre el el objeto de vínculo de sitios como LIMA-TRUJILLO.

Creación de una cuenta para RODC en AD DS
En esta sección, el asistente registrará todos los datos del RODC que se van a
almacenar en la base de datos distribuida de ActiveDirectory, incluido el nombre de la
cuenta del controlador de dominio de sólo lectura del RODC y el sitio en el que se
ubicará. Esta fase se debe realizarla con un miembro del grupo Admins. del dominio
cibertec.com. Tenga en cuenta que el administrador que crea la cuenta RODC también
puede especificar en ese momento qué usuarios o grupos pueden completar la
siguiente fase de la instalación.
Active Directory Users and Computers.
2. En la ventana Active Directory Users and Computers, despliegue el objeto

cibertec.com y dentro de él haga clic derecho sobre la carpeta Domain
Controllers y seleccione la opción Pre-create Read-only Domain Controller
account.

3. En la ventana Welcome to the Active Directory Domain Services Installation

Wizard, seleccione Use advanced mode installation y haga clic en Next.
4. En la ventana Network Credentials, seleccione la opción My current logged onn

credentials (CIBERTEC\Administrator) en donde dice Specify the account
credentials to use to perform the installation, luego, haga clic en Next.

5. En la ventana Specify the Computer Name, escriba RODC en Computer name,

luego, haga clic en Next.
6. En la ventana Select a Site, seleccione TRUJILLO en Sites, luego, haga clic en

Next.

7. Luego de esperar algunos minutos, en la ventana Additional Domain Controller

Options, seleccione las opciones DNS Server y Global catalog y haga clic en
Next.
8. En la ventana Specify the Password Replication Policy, deje las configuraciones

por defecto y haga clic en Next.
9. En la ventana Delegation of RODC installation and Administration, haga clic en

Set.

10. En la ventana Select User or Group, escoja al usuario Administrator ( en la

practica real se debe asignar un usuario de la sucursal) y haga clic en OK.
11. Luego, para continuar haga clic en Next
12. En la ventana Summary, se vizualiza un resumen de todas las opciones elegidas

para la creación de la cuenta RODC, luego, haga clic en Next.

13. Luego, en la ventana Completing the Active Directory Domain Services

Installation Wizard culmine haciendo clic en Finish.
14. Por último, para verificar que la creación de la cuenta para RODC en AD DS ha
sido exitosa abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto RODC.

Instalación del servidor RODC en Server Core
Durante esta segunda fase, se instalará el rol AD DS en el servidor que se convertirá

en el RODC y se conecta al servidor a la cuenta de dominio previamente creada para
él. Durante esta fase, todos los datos de AD DS que residen localmente, como la base
de datos o los archivos de registro, se crean en el propio RODC.
Tenga en cuenta que el servidor que será el RODC no debe unirse al dominio antes de
intentar asociarlo a la cuenta RODC. Como parte de la instalación, el asistente detecta
de forma automática si el nombre del servidor coincide con los nombres de las cuentas
RODC creadas anticipadamente para el dominio. Cuando el asistente encuentra un
nombre de cuenta coincidente, solicita al usuario que la use para completar la
instalación del RODC.
Para instalar un RODC en una instalación Server Core de Windows Server 2016, se
debe realizar una instalación desatendida de AD DS. En el procedimiento que se
describe a continuación se incluyen los parámetros que se pueden especificar en el
archivo de respuesta durante una instalación desatendida. También puede especificar
estos parámetros en la línea de comandos si usa el comando dcpromo /unattend.
1. En el Servidor RODC, cree un archivo de instalación desatendita para la instalación

del rol AD DS; para ello, abra un bloc de notas ejecuando el comando
C:\Windows\System32>notepad en el CMD
2. Luego, copie en el archivo de texto los siguientes comandos:
[DCInstall]
CriticalReplicationOnly=NO
ReplicaDomainDNSName=cibertec.com
userDomain=cibertec.com
userName=cibertec\Administrator
Password=P@ssw0rd
DatabasePath=c:\windows\ntds
LogPath=c:\windows\ntds
SYSVOLPath=c:\windows\SYSVOL
safemodeAdminPassword=P@ssw0rd
RebootOnCompletion=Yes

3. Luego, guarde el archivo de texto con el nombre rodc.txt en el directorio

C:\Windows\System32.
4. Luego, en el CMD, ejecute el siguiente comando:
C:\Windows\System32>dcpromo /useexistingaccount:attach
/unattend:c:\Windows\System32\rodc.txt

5. Espere unos minutos.
6. Por último, en la consola de Active Directory Users and Computers del

SERVER_A, puede ver que el Servidor RODC ha sido instalado de forma exitosa.

Verificación del correcto funcionamiento del Server Core como un Servidor

RODC
1. Para esta prueba, una el equipo CLIENT-TRUJ al dominio cibertec.com usando

como dirección de DNS el IP del Servidor RODC; para ello, realice la siguiente
configuración de direccionamiento IP tal como se muestra en la imagen:
2. En el escritorio del equipo CLIENTE TRUJ, haga clic derecho sobre Este equipo y
seleccione la opción Propiedades.

3. En la ventana Sistema, haga clic en Cambiar configuración.
4. Ahora en la ventana Propiedades del sistema, haga clic en el botón Cambiar.

5. Luego, en la ventana Cambios en el dominio o el nombre del equipo, escriba en

la opción Dominio el nombre del dominio cibertec.com y haga clic en Aceptar.
6. En la ventana Seguridad de Windows, brinde las credencianles del administrador

del dominio cibertec.com por lo que en el primer casillero escriba como usuario
Administrator y en el segundo, la contraseña P@ssw0rd; luego, haga clic en
Aceptar.
7. Luego, en la ventana de bienvenida al dominio cibertec.com, haga clic en Aceptar,

luego, reinicie equipo para que se efectúen los cambios realizados en el sistema.
8. Luego, abra Server Manager del SERVER_B y en la pestaña Tools, haga doble
clic a la opción Active Directory Users and Computers.

9. Finalmente, en la ventana Active Directory Users and Computers puede

visualizar en la carpeta Computers al equipo CLIENTE TRUJ.
4.2.3 Implementación del Server Core como segundo controlador de

dominio
El objetivo de esta sección es implementar un escenario donde el Server Core se

convierta en un segundo controlador de dominio. En este escenario, se cuenta con el
SERVER_B que emulará el trabajo de un router. Contaremos en esta ocasión con dos
sitios de Active Directory (LIMA y AREQUIPA), por lo que este equipo tendrá dos
interfaces de red, donde una de ellas estará conectado a la sede principal de la
organización (LIMA) y la otra a la sede sucursal (AREQUIPA).
La sucursal cuya dirección de red es 10.0.0.0/8 es el lugar donde estará el Server

Core como un segundo controlador de dominio. La sede principal de dirección de red
dominio, servidor DNS, servidor Web, servidor FTP y servidor CA) representados por
el SERVER_A.

Figura 23: Arquitectura de Red del Server Core como controlador de dominio secundario
1. En el Server Core, configure el direccionamiento IP tal como se indica en la

siguiente imagen:

10.0.0.80 255.0.0.0 10.0.0.1 192.168.1.100
Para cambiar de nombre de host, configure IP y DNS y deshabilte el firewall del

Server Core, revise las secciones Cambiando de nombre de host al servidor
Server Core y Configuración del direccionamiento IP y DNS del servidor
SERVER_CORE que se encuentra en las páginas 215 y 217 respectivamente.

adaptador Ethernet (renombrado como AREQUIPA) y seleccione Properties.
Después, haga clic en Internet Protocol Versión 4 (TCP/IPv4) y configure el


haga clic derecho sobre el adaptador Ethernet 2 (renombrado como LIMA) y
imagen:

adaptador Ethernet (renombrado como LIMA) y seleccione Properties. Después,

Configuración de los Sites en Active Directory
Active Directory Sites and Services.
2. Para renombrar el sitio principal, en la ventana Active Directory Sites and

Services despliegue la carpeta Sites y dentro de la misma, haga clic derecho sobre
Default-First-Site-Name y seleccione la opción Rename.
3. Renombre el sitio principal como LIMA.

4. Luego, para asignar una dirección de red al sitio LIMA, haga clic derecho sobre la
carpeta Subnet y seleccione la opción New Subnet.
5. En la ventana New Object – Subnet, escriba 192.168.1.0/24 en Prefix y en Select

a site object for this prefix, seleccione LIMA, luego, haga clic en OK.

6. Para la creación de un nuevo vínculo de sitio, haga clic derecho sobre la carpeta IP
ubicada dentro de la carpeta Sites y seleccione la opción New Site Link.
7. En la ventana New Object – Site Link, escriba LIMA-AREQUIPA en Name y haga

clic en OK.

8. Luego, para la creación del sitio AREQUIPA, haga clic derecho sobre la carpeta
Sites y seleccione la opción New Site.
9. En la ventana New Object – Site, escriba AREQUIPA en Name y seleccione como

objeto de vinculo de sitios LIMA-AREQUIPA, luego, haga clic en OK.

11. Luego, para asignar una dirección de red al nuevo sitio creado (AREQUIPA), haga
clic derecho sobre la carpeta Subnet y seleccione la opción New Subnet.
12. En la ventana New Object – Subnet, escriba 10.0.0.0/8 en Prefix y en Select a

site object for this prefix, seleccione AREQUIPA, luego, haga clic en OK.

13. Luego, haga clic en la carpeta IP. Después, haga clic derecho sobre el vinculo de
sitio LIMA-AREQUIPA y seleccione la opción Properties.
14. Por último, en la ventana LIMA-AREQUIPA Properties, escoja los sitios LIMA y
AREQUIPA para este vinculo y haga clic en Apply y luego, en OK.

Instalación de un controlador de dominio secundario en Server Core
En esta sección, instalará el rol AD DS en el servidor SERVER_CORE mediante el uso

de linea de comandos de Windows PowerShell.
1. En el servidor SERVER_CORE, inserte Ctrl+Alt+Supr, luego, seleccione la opción

Task Manager.
2. En la ventana Task Manager, haga clic en File y seleccione la opción Run new
task.

3. En la ventana Create a new task escriba en Open el comando powershell.exe y

haga clic en OK
4. De esa manera, está listo para usar Windows PowerShell.
5. En Windows PowerShell, ejecute el comando: PS C:\Windows\system32>

Install-WindowsFeature –Name AD-Domain-Services –ComputerName
SERVER_CORE.

6. Luego, promocione el servidor SERVER_CORE como controlador de dominio

secundario para el sitio AREQUIPA; para ello, ejecute el comando:
PS C:\Windows\system32> Invoke-Command –ComputerName

SERVER_CORE –ScriptBlock {Import-Module ADDSDeployment;Install-
ADDSDomainController –NoGlobalCatalog:$False –
CreateDNSDelegation:$False –Credential (Get-Credential) –
CriticalReplicationOnly:$False –DatabasePath “C:\Windows\NTDS” –
DomainName “cibertec.com” –InstallDNS:$True –LogPath
“C:\Windows\NTDS” –NoRebootOnCompletion:$False –SiteName
“AREQUIPA” –SysVolPath “C:\Windows\SysVol” }
7. En la ventana Windows PowerShell Credential Reques, escriba las credenciales

del usuario Administrator (User name: cibertec\Administrator y Password:
P@ssw0rd)

8. Luego, en SafeModeAdministratorPassword, escriba la contraseña P@ssw0rd
9. Nuevamente en Confirm SafeModeAdministratorPassword, vuelva a escribir la

contraseña P@ssw0rd
10. Luego, en la consulta Do you want to continue with this operation?, escriba Y.

11. Espere un tiempo hasta que se concluya la instalación.
12. Luego, de reiniciado el equipo, ejecute en Windows PowerShell el comando PS

C:\Windows\system32> GET-WINDOWSFEATURE para ver el estado del rol AD
DS.
La columna Install State nos muestra la disponibilidad del componente, que puede
ser:
 Installed: El componente está instalado y activo

 Available: El componente no está instalado, pero sin embargo están disponibles en
la instalación los binarios necesarios si se desea agregarlo
 Removed: El componente no está instalado, y en este caso, no están disponibles
en la instalación los binarios necesarios. En caso de querer instalarlo, deberá
proveer una fuente externa.

Puede observar que el componente que se desea está marcado como Installed, o
sea que el rol AD DS se encuentra instalado y activo.
13. Por ultimo, para verificar que la implementación del servidor SERVER_CORE ha
sido exitosa, abra las consolas de Active Directory Sites and Services y Active
Directory Users and Computers y observe que figura el objeto SERVER_CORE.
Verificación del correcto funcionamiento del Server Core como un controlador

de dominio secundario
Cuando se cuenta con un controlador de dominio secundario que no es RODC la

replicación es bidireccional17, para comprobar ello, se creará un usuario en el servidor
SERVER_CORE y este objeto se replicará en el controlador de dominio principal.
17
La replicación sirve para que el servicio de directorio Active Directory® mantenga réplicas de
los datos de directorio en múltiples controladores de dominio y, de este modo, se garantiza la
disponibilidad y el rendimiento del directorio para todos los usuarios.

1. En el CMD del servidor SERVER_CORE ejecute el comando net user /add ntorres
P@ssw0rd
2. La replicación entre ambos controladores es de 15 minutos, pero si quiere puede

forzarlo. Para ello, en SERVER_A, abra la consola de Active Directory Sites and
Services; luego, haga clic en el objeto NTDS Settings de cada sitio. Después,
haga clic derecho sobre automatically generated y seleccione la opción Replicate
Now.
Primero replique de LIMA a AREQUIPA.
3. Después, replique de AREQUIPA a LIMA.

Por último, abra la consola de Active Directory Users and Computers y observe
que figura en la carpeta Users el usuario ntorres, por lo que se tiene que la
replicación entre ambos controladores ha sido exitosa.

Resumen
1. El controlador de dominio de solo lectura (RODC) está diseñado para sitios donde
no se puede garantizar una seguridad total.
2. Entre las características de RODC puede precisar el hecho que no se pueden hacer
cambios en la copia de la base de Active Directory local al mismo debido a que
RODC solo tiene replicación entrante, otra caraterística es que se puede delegar la
administración e instalación de este Controlador de Dominio en particular a un
usuario normal.
3. Las contraseñas no son almacenadas en el servidor RODC.
o https://technet.microsoft.com/es-
es/library/cc753223(v=ws.10).aspx#bkmk_unireplication
o https://technet.microsoft.com/es-pe/library/jj574152.aspx
o https://technet.microsoft.com/es-
es/library/cc754629(v=ws.10).aspx#bkmk_installSrvFound


UNIDAD
5
SERVICIOS DE ESCRITORIO
REMOTO Y VIRTUALIZACIÓN
Al término de la unidad, el alumno configura Remote Desktop Services (RDS)

para brindar acceso remoto a las aplicaciones e implementa la virtualización de
servidores mediante el rol Hyper-V.
TEMARIO
5.1 Tema 9 : Remote Desktop Services

5.1.1 : Fundamentos de Remote Desktop Services
5.1.2 : Implementación de Remote Desktop Services
 Los alumnos brindan acceso remoto a las aplicaciones mediante el uso de

RDS.


5.1. REMOTE DESKTOP SERVICES

5.1.1 Fundamentos de Remote Desktop Services
Remote Desktop Services (RDS)18, conocidos como Servicios de Terminal Server en

la plataforma Windows Server 2016 y versiones anteriores, es un rol que proporciona
tecnologías para permitir a los usuarios conectarse a escritorios virtuales, programas
Remote App y escritorios basados en sesión. Con RDS los usuarios pueden tener
acceso a conexiones remotas desde una red corporativa o desde internet.
¿Qué es Remote App?
RemoteApp permite que los programas a los que se obtiene acceso de forma remota
mediante Servicios de Escritorio remoto aparezcan como si se ejecutaran en el equipo
local del usuario final. Estos programas se conocen como Programas RemoteApp. En
lugar de presentarse al usuario en el escritorio del servidor de Host de sesión de
Escritorio remoto, el Programa RemoteApp se integra en el escritorio del cliente.
El Programa RemoteApp se ejecuta en su propia ventana ajustable, se puede arrastrar

de un monitor a otro y dispone de una entrada propia en la barra de tareas. Si un
usuario ejecuta más de un Programa RemoteApp en el mismo servidor de Host de
sesión de Escritorio remoto, elPrograma RemoteApp compartirá la misma sesión de
Servicios de Escritorio remoto.
Servicios que ofrece el rol Remote Desktop Services
En Windows Server 2016, el rol RDS consta de los siguientes servicios de rol:
 RD Virtualization Host
El Host de virtualización de Escritorio remoto (Host de virtualización de RD) se integra
con Hyper-V para implementar colecciones de escritorios virtuales personales o
agrupados dentro de la organización.
 RD Session Host
Host de sesión de Escritorio remoto permite a un servidor hospedar programas
RemoteApp o escritorios basados en sesión. Los usuarios pueden conectarse a
servidores host de sesión de Escritorio remoto de una colección de sesiones para
ejecutar programas, guardar archivos y usar recursos de esos servidores.
 RD Connection Broker
Agente de conexión a Escritorio remoto permite a los usuarios volver a conectarse a
sus escritorios virtuales, programas RemoteApp y escritorios basados en sesión
existentes. Tambien, permite distribuir la carga uniformemente entre los servidores
host de sesión de Escritorio remoto de una colección de sesiones o de los escritorios
virtuales agrupados de una colección de escritorios virtuales agrupados. Por último,
este agente proporciona acceso a los escritorios virtuales de una colección de
escritorios virtuales.
 RD Web Access
18
Servicios de Escritorio remoto en español

Acceso web de Escritorio remoto permite a los usuarios obtener acceso a Conexión de
RemoteApp y Escritorio mediante el menú Inicio en un equipo que ejecute Windows 10
o Windows 8, o a través de un explorador web. Conexión de RemoteApp y Escritorio
proporciona una vista personalizada de los programas RemoteApp y los escritorios
basados en sesión de una colección de sesiones, y los programas RemoteApp y los
escritorios virtuales de una colección de escritorios virtuales.
 RD Licensing
Administración de licencias de Escritorio remoto administra las licencias necesarias
para conectarse a un servidor host de sesión de Escritorio remoto o a un escritorio
virtual. Se utiliza Administración de licencias de Escritorio remoto para instalar y emitir
licencias, y para realizar un seguimiento de su disponibilidad.
 RD Gateway
Puerta de enlace de Escritorio remoto permite a los usuarios autorizados conectarse a
escritorios virtuales, programas RemoteApp y escritorios basados en sesión de una
red corporativa interna desde cualquier dispositivo conectado a Internet.
Tipos de implementación de RDS
Para implementar Remote Desktop Services, ahora se dispone de dos opciones

guiadas: Quick Start (Comienzo Rápido) y Standard Deployment (Implementación
Standard). El primero instala todos los servicios de rol necesarios de RDS en un
equipo para permitirle instalarlos y configurarlos en un entorno de prueba. Mientras
que el segundo permite implementar de manera flexible los servicios de rol de
Servicios de Escritorio remoto en diferentes servidores.
5.1.2 Implementación de Remote Desktop Services
Esta sección tiene como objetivo implementar un escenario donde podamos contar
con los Servicios de Escritorio remoto (su implementación será del tipo Quick Start).
En este escenario, se cuenta con el SERVER_B que emulará el trabajo de un router.
Contaremos con dos áreas de red (LAN y WAN) por lo que este equipo tendrá dos
interfaces de red, donde una de ellas estará conectado a los clientes y la otra a los
servidores.
Web, FTP y RDS representados por el equipo CLIENTE. La red WAN de dirección de
red 192.168.1.0/24 es el lugar donde se alojarán nuestros servidores (controlador de
dominio, servidor DNS, servidor Web, servidor FTP, Servidor CA y Servidor RDS)
representados por el SERVER_A.

Figura 24: Arquitectura de Red de RDS

imagen:



imagen:


Instalación del rol Remote Desktop Services (Quick Start)

3. En la ventana Select installation type, seleccione la opción Remote Desktop

Services intallation. Luego, haga clic en Next.
4. En la ventana Select deployment type, seleccione la opción Quick Start y haga

clic en Next.

5. En la ventana Select deployment scenario, nos permiten elegir si se hará una

implementación de escritorios con máquinas virtuales, o basada en sesiones. En
este caso, se elegirá la segunda opción Session-based desktop deployment y
haga clic en Next.
6. En la ventana Select a server, se indica que la opción Quick Start instalará los
servicios de rol RD Connection Broker, RD Web Access y RD Session Host enel
mismo servidor (SERVER_A). Luego, haga clic en Next.

7. En la ventana Corfirm selections, se muestra un resumen de lo que se ha

seleccionado para la instalación, habilite la opción Restart the destination server
automatically if required y luego, haga clic en Install.
8. Espere algunos minutos la instalación de los servicios requeridos.

9. Luego, se reinicia el equipo una vez y continúa la instalación.
10. Luego de que ha concluido la instalación, haga clic en Close, y de esa manera, ya
se tiene instalado de forma exitosa el rol Remote Desktop Services.

Publicación de un programa RemoteApp
1. Abra Server Manager del SERVER_A y haga clic en Remote Desktop Services
ubicado en el panel de la izquierda de la administración.
2. Luego, haga clic en QuickSessionCollections.

3. En la ventana Select RemoteApp programs, seleccione todas las aplicaciones

que se quieran publicar; por ejemplo, en este caso, seleccione la aplicación
Defragment and Optimize Drives. Luego, haga clic en Next.
4. Luego, en la ventana Confirmation, haga clic en Publish.

5. En la ventana Completion, se indica que la aplicación seleccionada ha sido

publicada de forma exitosa. Haga clic en Close.
6. Finalmente, puede observar todas las aplicaciones publicadas con las que se
cuentan y que son visibles en RD Web Access.


Resumen
1. Remote Desktop Services (RDS) , conocido como Servicios de Terminal Server en
la plataforma Windows Server 2016 y versiones anteriores, es un rol que
proporciona tecnologías para permitir a los usuarios conectarse a escritorios
virtuales, programas Remote App y escritorios basados en sesión.

Manual 2018-I 03 ASO (1938) PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual 2018-I 03 ASO (1938) PDF

Cargado por

Copyright:

Formatos disponibles

Administración de

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.2 Tema 2 : Servicio FTP 38

1.3 Tema 3 : Servicio RRAS 73

3.2 Tema 6 : Asegurando el Servidor WEB 173

4.2 Tema 8 : Servidor RODC 229

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4.2.3 : Implementación del Server Core como segundo controlador de 250

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

El manual para el curso ha sido diseñado bajo la modalidad de unidades de

El curso es eminentemente práctico: construido como un instrumento de trabajo. Por

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1 Tema 1 : Servicio de múltiples websites

1.2 Tema 2 : Servicio FTP

1.3 Tema 3 : Servicio RRAS

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1. SERVICIO DE MÚLTIPLES WEBSITES

1.1.1.1 Instalación del rol Web Server (IIS)

Para la instalación de este rol, se cuenta con un servidor llamado SERVER_A y en

1. Inicie Server Manager y haga clic en Add roles and features.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

3. En la ventana Select installation type, seleccione la opción Role-based or

4. Ahora en la ventana Select destination server, seleccione la opción Select a

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

5. En la ventana Select server roles, seleccione el rol Web Server (IIS).

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

7. Luego, haga clic en Next.

8. En la ventana Select features, las características básicas y necesarias han sido

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

10. En la ventana Confirm installation selections, se muestra un resumen de las

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

1.1.2. Fundamentos del rol DNS Server

Es decir, si un usuario escribe una dirección o nombre de dominio en la barra de

En resumen, cuando un usuario escriba un nombre de dominio en una aplicación, los

 Resolución de nombres: Es el mecanismo que convierte un nombre de host en la

 Resolución inversa de direcciones: Es el mecanismo inverso al anterior, es decir de

 Resolución de servidores de correo: Este mecanismo obtiene a partir de un

1.1.2.1 Principales servidores DNS de internet

Ahora no precisamente existen únicamente 13 servidores físicos, ya que cada

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

Figura 1: Distribución mundial de los servidores DNS raíz

En Windows Server 2016, el rol DNS Server sigue combinando la compatibildad de

El proceso de integración es el siguiente, al instalar el rol AD DS en un servidor este

 Cuando se agrega una nueva zona a un dominio de AD DS, esta se replica y se

 La integración del almacenamiento de las bases de datos de la zona DNS en AD

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

 La replicación integrada en Active Directory supera en rapidez y eficacia a la

Como escenario se cuenta con un servidor cuyo nombre es SERVER_A. En este

Para la creación de un alias de DNS, se debe ejecutar los siguientes pasos.

2. Inmediatamente, aparece una nueva ventana llamada DNS Manager, luego,

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

4. En la ventana Browse seleccione el nombre del equipo (SERVER_A) y haga clic en

5. Luego, seleccione la carpeta Forward Lookup Zones y haga clic en OK.

CARRERA DE REDES Y COMUNICACIONES CIBERTEC

6. Luego, seleccione la carpeta cibertec.com y haga clic en OK.

7. Por último, seleccione el servidor server_a y haga clic en OK.

CIBERTEC CARRERA DE REDES Y COMUNICACIONES

8. Ahora puede visualizar la configuración completa contando con el nombre de alias y