Windows Server 2008 - Guía Del Administrador PDF

A Dick y Pat Shepard.
Los mejores vecinos del mundo y amigos maravillosos.

Gracias Dick y Pat, por estar siempre ahí, sin importar la necesidad.
SOBRE EL AUTOR
Martin (Marty) Matthews ha usado equipos de cómputo durante más de 40 años, desde
algunos de los primeros sistemas mainframe, hasta los recientes equipos personales. Ha
sido programador, analista de sistemas, administrador, vicepresidente y presidente de una
firma de software. Como resultado, tiene conocimiento de primera mano no sólo de pro-
gramación y uso de equipos, sino de la manera para mejorar el uso de información que un
equipo puede producir.
Hace más de 25 años, Marty escribió su primer libro sobre equipos de cómputo, acerca de
cómo comprar minicomputadoras. Hace 23, Marty y su esposa, Carole, empezaron a escri-
bir libros como parte primordial de sus ocupaciones. En años pasados, han escrito más de
70 libros, incluidos algunos sobre edición de publicaciones de escritorio, publicación en
Web, Microsoft Office y sistemas operativos de Microsoft, desde MS-DOS hasta Windows
Server 2003 y Windows Vista. Entre sus libros recientemente publicados por McGraw-Hill
se incluyen Windows Server 2003: A Beginner’s Guide y varios volúmenes de la exitosa serie
QuickSteps, de la que es cofundador.
CONTENIDO
Agradecimientos xiii
Introducción xiv
Parte I
El entorno de Windows Server 2008
▼ 1 Exploración de Windows Server 2008 3

Razones para Windows Server 2008 4
Comparación de las ediciones de Windows Server 2008 5
Consideraciones de hardware 5
Implemente Windows Server 2008 7
Prepárese para Windows Server 2008 7
Instale Windows Server 2008 7
Configure Windows Server 2008 8
Red de Windows Server 2008 10
Comuníquese y use Internet con Windows Server 2008 11
Administre Windows Server 2008 12
Administración general del servidor 13
Administración del sistema de archivos 14
Administración de impresión 16
V
VI Windows Server 2008: Guía del Administrador
Administración de seguridad 17
Otras herramientas de administración del sistema 18
Parte II
Implementación de Windows Server 2008
▼ 2 Preparación para la instalación 21

Considere las necesidades de la instalación 22
Verifique los requisitos del sistema 22
Sobre los requisitos del sistema 23
Verifique la compatibilidad del sistema 24
Tome las decisiones correctas sobre la instalación 29
Decida si actualiza o hace una instalación limpia 31
Decida si recurre a un arranque dual 32
Decida sobre particiones 33
Decida cómo iniciar la instalación 35
Decida sobre las opciones Completa o Core 37
Instalación de componentes opcionales 38
Prepare la instalación 39
Cree copias de seguridad de todos los discos duros 40
Cree un inventario del software actual 40
Limpieza de archivos actuales 41
Actualice el hardware 41
Deshabilite el hardware y software conflictivos 41
Planee una migración a Windows Server 2008 43
▼ 3 Instalación de Windows Server 2008 45
Prepare Windows Server 2003 para la actualización 46
Actualice Windows Server 2003 a SP1 o SP2 46
Actualice el Active Directory 46
Escoja un método de instalación 48
Inicio de la instalación 48
Inicio de la instalación mediante arranque directo 48
Inicio desde una versión de Windows reciente 50
Ejecute la instalación 52
Ejecución de una actualización 53
Ejecute una instalación limpia iniciada desde una versión reciente
de Windows 56
Ejecute una instalación limpia iniciada al arranque 58
Configure un servidor 59
Inicialización y personalización 59
Explore su servidor 67
Instale funciones de servidor 70
▼ 4 Servicios de implementación de Windows 81
Instale y configure los servicios de implementación de Windows 83
Contenido VII
Instale los Servicios de implementación de Windows 83

Configure los Servicios de implementación de Windows 84
Pruebe y diagnostique los Servicios de implementación de Windows 89
Pruebe los Servicios de implementación de Windows 89
Detecte y solucione problemas de los Servicios de implementación de Windows 89
Parte III
Trabajo en red con Windows Server 2008
▼ 5 Entorno de red de Windows Server 2008 95

Trabajo en red 96
Esquemas de red 97
Tipos de redes 97
La tarea de la conexión en red 100
Tecnologías LAN 104
Hardware de redes 111
Tarjetas de red 112
Cableado 116
Dispositivos de interconexión 122
Topologías de red 129
Protocolos de trabajos en red 131
TCP/IP 131
▼ 6 Configuración y administración de una red 141
Configure los adaptadores de red 142
Revise el controlador del adaptador de red 143
Revise los recursos del adaptador de red 145
Instale funciones de red y configure protocolos 147
Instale funciones de red 147
Configure un protocolo de red 150
Pruebe la red 153
Revise el soporte de servidor y el direccionamiento de red 155
Direccionamiento de red 156
Implemente DHCP, DNS y WINS 157
El protocolo de configuración dinámica de host 157
Entienda qué es el sistema de nombre de dominio 160
Instale DNS y DHCP 161
Administre DHCP 166
Administre DNS 172
Configure el servicio de nombre de Internet de Windows 179
Configure cuentas de usuarios y permisos de grupo 183
▼ 7 Uso de Active Directory y dominios 187
El entorno de Active Directory 188
Integración con DNS 190
VIII Windows Server 2008: Guía del Administrador
Active Directory y dominios 191

Instale Active Directory 194
Remplace los controladores de dominio existentes 196
Entienda la estructura y configuración de Active Directory 200
Objetos de Active Directory 200
La estructura de Active Directory 203
Sitios 209
Replicación de Active Directory entre sitios 210
Replicación de sitio interno 211
Replicación de sitio a sitio 211
Detección y resolución de colisiones 213
Controladores de dominio de sólo lectura 214
Resumen de Active Directory 214
Parte IV
Comunicaciones e Internet
▼ 8 Comunicaciones y servicios de Internet 217

Configure y use conexiones telefónicas 218
Instale un módem 219
Establezca una conexión de marcado telefónico 222
Configure el servicio de acceso remoto 223
Agregue un servicio de enrutamiento y acceso remoto 223
Habilite y configure RAS 224
Configure puerto y directivas 227
Utilice el servicio de acceso remoto 228
Configure y dé mantenimiento al enrutador de Windows Server 2008 230
Configure el enrutador de Windows Server 2008 231
Dé mantenimiento al enrutador de Windows Server 2008 232
Configure una conexión compartida a Internet 234
Configure y use una conexión a Internet 235
Conexión a Internet 235
Encuentre información en Internet 239
Use las fichas 244
▼ 9 Servicios de información de Internet (IIS) versión 7 247
Explore el entorno de IIS 7 248
Características de IIS 7 249
Servicios de Internet en IIS 7 252
Configuración de un servidor Web 253
Instale IIS 7 253
Migre a IIS 7 258
Implemente la seguridad 261
Contenido IX
Personalice y mantenga IIS 7 263

Use el Administrador de Internet Information Services (IIS) 265
Administre servidores Web de forma remota 269
Cree sitios Web 273
Hospede varios sitios 274
Administración del sitio Web 276
Detección y resolución de problemas de IIS 279
Entienda y administre los servicios de Windows Media 289
Los Servicios de Windows Media 290
Administre Servicios de Windows Media 292
▼ 10 Red privada virtual 293
Protocolo de entunelamiento de punto a punto 295
Protocolo de entunelamiento de nivel dos 297
Protocolo de entunelamiento de conectores seguros 298
Prepare VPN 299
Revise el hardware de red y RAS 299
Configure la red 301
Configure un servicio de acceso remoto 303
Pruebe RAS 304
Configure un servidor VPN 306
Reconfigure RAS 306
Configure un servidor PPTP 308
Configure un servidor L2TP 308
Configure un servidor SSTP 316
Configure un cliente VPN 317
▼ 11 Terminal Services y Escritorio remoto 323
Terminal Services 324
Por qué utilizar Terminal Services 324
Modos y componentes de Terminal Services 325
Preparación de Terminal Services 326
Instalación de las funciones de Terminal Services 326
Configuración de Terminal Services 331
Administrador de Terminal Services 334
Use el modo de servidor de aplicaciones 335
Preparación de Terminal Services 335
Administre RemoteApp de TS 337
Distribuya un programa de RemoteApp 340
Uso de Conexión a Escritorio remoto con los programas de RemoteApp 343
Configuración y uso de Acceso Web de TS 347
Configure la Puerta de enlace de TS 349
Habilite el Agente de sesiones de TS 351
X Windows Server 2008: Guía del Administrador
Implemente el Administrador de licencias de TS 353

Licencias de Terminal Server 353
Instale el servicio de función Administrador de licencias de TS 354
Active un servidor de licencias de TS e instale licencias 356
Configure y habilite usuarios 358
Utilice el modo de administración remota 358
Habilite Conexión a Escritorio remoto 359
Administración mediante la Conexión a Escritorio remoto 359
Uso de la Conexión a Escritorio remoto 359
Ponga en funcionamiento una Conexión a Escritorio remoto 360
Parte V
Administración de Windows Server 2008
▼ 12 Administración del almacenamiento y los sistemas de archivos 367

Almacenamiento y sistemas de archivos 368
Tipos de almacenamiento 368
Sistemas de archivos 370
Administración del sistema de archivos 373
Servicios de archivo y administración de discos 373
Administración de almacenamiento y recursos compartidos 376
Administración de discos 383
Panel Administración de discos 384
Personalice el panel Administración de discos 385
Propiedades de unidad y volumen 386
Agregue o quite una unidad de disco 389
Particionamiento y formateo de unidades 391
Compresión de datos 395
Desfragmentación de unidad 398
Cuotas de disco 399
Cifrado de archivos y carpetas 400
Implemente la administración de volúmenes dinámicos 401
Convierta a almacenamiento dinámico 402
Cree volúmenes 403
Cree un volumen distribuido 403
Uso del sistema de archivos distribuido 404
Cree un sistema de archivos distribuido 405
Administración del Sistema de archivos distribuido 407
Instale y use otros servicios de archivo 412
Copias de seguridad de Windows Server 416
Tipos de copias de seguridad 416
Instale e inicie Copias de seguridad de Windows Server 417
Use Copias de seguridad de Windows Server 418
Utilice el Asistente para recuperar copias de seguridad 423
Contenido XI
Cree un disco de recuperación 425

Utilice un disco de recuperación 426
▼ 13 Configuración y administración de impresoras y faxes 427
El sistema de impresión de Windows Server 2008 428
Conceptos básicos de impresión 428
Requisitos básicos de impresión 429
Configuración básica de impresión 429
Agregue impresoras locales 430
Configuración de impresoras de red 432
Ajuste la configuración de la impresora 435
Configure impresoras 436
Configuración de impresión 440
Configure usuarios 441
Control de una cola de impresión 443
Ponga en pausa, reanude y reinicie una impresión 443
Cancele la impresión 445
Redireccione documentos 445
Cambie las propiedades de un documento 446
Administre las fuentes 447
Fuentes en Windows Server 2008 448
Agregue y elimine fuentes 450
Utilice fuentes 451
Configure y use servicios de impresión 452
Instale los servicios de impresión 452
Administre impresoras e impresión 453
Configure y use un servidor de fax 458
Instale Servidor de fax 458
Habilite f ax y escáner de Windows 458
Envíe y reciba faxes 461
Cree una portada de fax 466
Administre el envío de faxes en red 466
▼ 14 Administración de Windows Server 2008 471
Use el Panel de control 472
Reproducción automática 473
Programas predeterminados 474
Administrador de dispositivos 475
Centro de accesibilidad 476
Opciones de carpeta 477
Teclado 481
Mouse 481
Configuración regional y de idioma 482
Sistema 483
XII Windows Server 2008: Guía del Administrador
Barra de tareas y menú Inicio 485

Use el Administrador de tareas 486
Use la consola de administración de Microsoft 489
Cree una consola MMC 490
Utilice una consola MMC 493
Explore el Registro 494
Claves y subárboles 494
Claves, subclaves y subárboles 496
Entradas y tipos de datos 497
Trabaje con el proceso de arranque 498
Pasos en el proceso de arranque 498
Control del proceso de arranque 499
Corrija problemas de arranque 500
Use directivas de grupo 504
Cree y cambie directivas de grupo 504
Emplee perfiles de usuario 511
Cree perfiles de usuario local 511
Cree perfiles de usuario de roaming 512
Utilice perfiles de usuario obligatorios 516
Actualice Windows Server 2008 516
Actualizaciones manuales 517
Actualizaciones automáticas 517
▼ 15 Control de seguridad en Windows Server 2008 521
Autentifique al usuario 522
Autentificación de usuario de equipo local 523
Autentificación de usuario de red 524
Controle el acceso 538
Propiedad 538
Grupos 539
Permisos 544
Asegure los datos almacenados 551
Cifrado de archivos y carpetas 551
Use el cifrado de archivos y carpetas 553
Cifre un disco con BitLocker 556
El cifrado de clave privada y pública 561
Cifrado de clave privada 561
Cifrado de clave pública 562
Cifrado combinado de clave pública y privada 562
Claves de cifrado y certificados 563
Transmisión segura de datos 563
Implemente la seguridad en la transmisión de datos 563
▼ Índice 567
AGRADECIMIENTOS
S
on necesarias varias personas para crear un libro como éste. Las si-
guientes y otras que no conozco directamente, han hecho grandes
contribuciones al libro y posibilitado mi trabajo.
Jane Brownlow, editor ejecutivo, dio el apoyo y libertad necesarios. ¡Gracias, Jane!
John Cronan, editor técnico, corrigió muchos errores, aportó varios consejos y no-
tas y, en general, mejoró el libro. John también es un gran amigo. ¡Gracias, John!
Jan Jue, corrector de estilo, contribuyó a la legibilidad y claridad del libro, mientras
escuchaba mis consideraciones; fue estupendo trabajar con él. ¡Gracias, Jan!
Carole Matthews, mi compañera por más de 35 años, mi mejor amiga y socia en
nuestra aventura paternal, proporcionó el apoyo necesario, sin el que este libro no
habría sido posible. ¡Gracias, mi amor!
XIII
INTRODUCCIÓN
H
oy día, Windows Server 2008 es un sistema operativo de servidor com-
pletamente maduro. Lo que empezó como Windows NT y pasó por
una transición importante en Windows 2000 Server y Windows Server
2003 se convirtió en Windows Server 2008, un sistema operativo más com-
pleto, pleno en funciones y características. El resultado final es un sistema
operativo de servidor más confiable, fácil de instalar y escalable. Además,
goza de un servicio de directorio excelente, es de fácil manejo, ofrece mejor
seguridad y entrega un soporte Web excepcional.
El objetivo de presente libro es mostrar la manera de utilizar éstas y muchas otras carac-
terísticas, así como obtener los beneficios mencionados.
Cómo está organizado este libro

Windows Server 2008: Guía para el administrador está escrito de tal manera que muchas perso-
nas aprenderán con él. Comienza por la revisión de conceptos básicos y después utiliza un
método didáctico para aprender con ejercicios, para demostrar en la práctica las caracterís-
ticas principales del producto. En todo el libro se usan ejemplos detallados, explicaciones
claras con esquemas prácticos y capturas de pantalla, para ofrecer al lector la visión necesa-
ria para hacer uso óptimo y completo de Windows Server 2008. Windows Server 2008: Guía
para el administrador tiene cinco partes, de las cuales cada una ofrece un análisis completo de
los aspectos primordiales de Windows Server 2008.
XIV
Introducción XV
Parte I: El entorno de Windows Server 2008

En esta primera parte se presentan el entorno de Windows Server 2008 y las novedades in-
cluidas. En esta sección se establecen las bases para el resto del libro.
▼ Capítulo 1. Exploración de Windows Server 2008: brinda una revisión general de este
sistema y guía las exposiciones a fondo que se presentan en capítulos posteriores.
Parte II: Implementación de Windows Server 2008

En la segunda parte se cubre la planeación e implementación de Windows Server 2008 en
una organización. El propósito es ayudar a recorrer el proceso de planeación y realizar una
instalación detallada.
▼ Capítulo 2. Preparación para la instalación: se revisan todos los pasos que deben
darse antes de instalar Windows Server 2008, incluidas las posibles dificultades que
pueden evitarse.
■ Capítulo 3. Instalación de Windows Server 2008: recorre los pasos necesarios para
instalar el servidor desde diferentes puntos de partida, tanto actualizaciones como
instalaciones limpias.
▲ Capítulo 4. Servicios de implementación de Windows: describe cómo usar los Ser-
vicios de implementación de Windows para hacer una instalación automatizada de
Windows Server 2008.
Parte III: Trabajo en red con Windows Server 2008

En la tercera parte se dedican tres capítulos al trabajo en red, la función más importante de
▼ Capítulo 5. Entorno de red de Windows Server 2008: provee bases muy completas
para el trabajo en red, mediante la descripción de esquemas, hardware y protocolos
o estándares usados para conectarse y trabajar en red.
■ Capítulo 6. Configuración y administración de una red : describe cómo se configu-
ra una red y cómo se administra en Windows Server 2008.
▲ Capítulo 7. Uso de Active Directory y dominios: revisa el uso de los dominios en
Windows Server 2008 y la función central que Active Directory juega en la adminis-
tración de la red.
Parte IV: Comunicaciones e Internet

La cuarta parte del libro aborda las maneras en que usted y su organización pueden salir
de su LAN para conectarse con otros colegas o permitir que éstos se conecten con usted,
mediante Internet o comunicaciones directas.
▼ Capítulo 8. Comunicaciones y servicios de Internet: da una revisión general a las
comunicaciones y su configuración, incluido el uso de conexión de marcado tele-
fónico con el servicio de acceso remoto (RAS, Remote Access Service), además de
utilizar una conexión a Internet con Internet Explorer.
XVI Windows Server 2008: Guía del Administrador
■ Capítulo 9. Servicios de información de Internet (IIS) versión 7: describe Internet

Information Services (IIS), su instalación y administración.
■ Capítulo 10. Red privada virtual: explica las VPN, su funcionamiento, configura-
ción con PPTP, L2TP y SSTP y uso.
▲ Capítulo 11. Terminal Services y Escritorio remoto: describe Terminal Services,
objeto de importantes mejoras; también se describe cómo configurarlo, cómo se usa
el modo Servidor de aplicaciones, modo Administración remota y Conexión a Es-
critorio remoto.
Parte V: Administración de Windows Server 2008

El propósito de esta quinta parte es explorar las numerosas herramientas administrativas
disponibles en Windows Server 2008 y analizar cómo usarlas mejor.
▼ Capítulo 12. Administración del almacenamiento y los sistemas de archivos: se
concentra en el extenso conjunto de herramientas disponibles en Windows Server
2008 para manejar diferentes tipos de sistemas de almacenamiento, además de ar-
chivos y carpetas que contienen.
■ Capítulo 13. Configuración y administración de impresoras y faxes: describe lo que
constituye la impresión de Windows Server 2008 y los servicios de impresión que ofre-
ce, cómo se configuran y se administran; además del manejo de las fuentes que se
requieren para ello y, por último, el uso del Servidor de fax y envío de faxes.
■ Capítulo 14. Administración de Windows Server 2008: analiza las herramientas de
administración del sistema y usuario que no son parte de la instalación, trabajo en
red, administración de archivos e impresión.
▲ Capítulo 15. Control de seguridad en Windows Server 2008: describe cada una
de las exigencias de seguridad y funcionalidades de Windows Server 2008 a cargo de
éstas, además de la forma de implementarlas.
Convenciones manejadas en este libro

Windows Server 2008: Guía para el administrador utiliza varias convenciones diseñadas para
facilitar el seguimiento del libro.
▼ Negritas: se utilizan para texto que debe escribirse en el teclado.
■ Cursivas: se utilizan para una palabra o frase que se está definiendo o requiere espe-
cial énfasis.
■ Un tipo de letra de espacio fijo se usa para listas de comandos, produ-
cidos por Windows Server 2008 o tecleados por el usuario.
■
▲ Cuando deba teclear un comando, se le indicará que oprima la o las teclas. Si debe
escribir texto o números, se le indicará que así lo haga.
PARTE I
El entorno de
Windows Server
2008
01 MATTHEWS 01.indd 1 1/14/09 11:22:13 AM

01 MATTHEWS 01.indd 2 1/14/09 11:22:14 AM
CAPÍTULO 1
Exploración de
Windows Server
2008
01 MATTHEWS 01.indd 3 1/14/09 11:22:14 AM

4 Windows Server 2008: Guía del Administrador
W
indows Server 2008 es el sistema operativo más actual para servidores de
Microsoft en una red cliente/servidor. Se presenta en diferentes ediciones, que van
desde simples servidores Web hasta complejos servidores de centros de datos.
Cada edición incluye gran cantidad de tecnologías para Web y redes de área local. Todas
ellas ofrecen muchas características, sobre todo en áreas de administración y seguridad,
para habilitar conexión segura entre personas, sistemas y dispositivos, para intercambio
de información y recursos de cómputo. Estas características soportan la integración de
personas y computadoras en situaciones de trabajo conjunto en una sola organización, al
igual que entre varias organizaciones, para elevar el nivel de conectividad, colaboración e
interoperabilidad.
RAZONES PARA WINDOWS SERVER 2008

Windows Server 2008 representa una mejora significativa sobre Windows Server 2003 y,
particularmente, sobre Windows 2000 Server. Hay muchas razones para decir esto, pero
aquí están las principales:
▼ Es más fácil de configurar y administrar: Windows Server 2008 ha añadido el Servidor
del administrador para reemplazar herramientas de versiones previas de Windows
Server, con el fin de crear una interfaz unificada de administración para instalar,
configurar y controlar todas las funciones del servidor.
■ Ofrece mejor seguridad: Windows Server 2008 aumenta considerablemente la se-
guridad para proteger la red completa, a través de mejoras en autentificación del
usuario, control de acceso, seguridad de los datos almacenados, seguridad de
transmisión de datos y administración de seguridad.
■ Es un servidor Web más poderoso: Internet Information Services versión 7 (IIS 7) pro-
vee una plataforma completa, con nuevos y mejorados servicios Web para construir,
entregar y administrar aplicaciones Web con seguridad optimizada.
■ Ofrece acceso remoto más sencillo y seguro: Terminal Services en Windows Server 2008
incorpora dos nuevos módulos: Terminal Services Gateway y Terminal Services Re-
moteApps, para incrementar la seguridad con que los equipos remotos acceden a
la red de área local (LAN, Local Area Network), mejorando así la experiencia de
ejecución remota de una aplicación.
■ Progreso sustancial de la capacidad para personalizar un servidor: la selección de fun-
ciones en el Servidor del administrador permite especificar funciones, servicios de
funciones y características que desea instalar; ello reduce los componentes que re-
quieren recursos de la computadora y administración, susceptibles a un ataque.
▲ Proporciona un nuevo entorno de línea de comandos: PowerShell de Windows Server
2008 proporciona una mayor y más poderosa capacidad para configurar y controlar
el sistema operativo, sin emplear la interfaz gráfica de usuario (GUI). Esto da a Win-
dows Server 2008 la opción de instalar únicamente el núcleo del servidor sin GUI,
con sólo algunas de las funciones.
El propósito de este libro es mostrar el uso de estas características y otras más. En este
capítulo se echará un vistazo a Windows Server 2008, deteniéndose brevemente en sus
01 MATTHEWS 01.indd 4 1/14/09 11:22:14 AM

Capítulo 1: Exploración de Windows Server 2008 5
principales áreas, incluida una descripción de la función que desempeña y cómo se relaciona
con el resto del producto.
COMPARACIÓN DE LAS EDICIONES

DE WINDOWS SERVER 2008
Windows Server 2008 abarca cinco ediciones independientes que se venden por separado:
▼ Windows Server 2008 Standard Edition. Es un completo sistema operativo de
red para servidor que puede utilizarse en organizaciones de tamaño pequeño y
moderado; maneja casi todas las funciones y características de un servidor. Es una
actualización para Windows Server 2003 Standard Edition y Windows Server 2000.
Está disponible en instalaciones Server Core y completa para procesadores de 32
bits (llamado “x86”, por su origen con los chips de Intel 8086, 386 y 486) y 64 bits
(llamado “x64”, de acuerdo con los juegos de chip AMD).
■ Windows Server 2008 Enterprise Edition. Es un completo sistema operativo de
red para servidor, orientado a organizaciones más grandes, sobre todo las rela-
cionadas con el comercio electrónico. Además de las características en Standard
Edition, Enterprise Edition proporciona agrupación en clúster redundante y Ser-
vicios federados de Active Directory, así como escalabilidad y disponibilidad
mejoradas. Es una actualización para Windows Server 2003 Enterprise Edition y
Windows 2000 Advanced Server. Se encuentra disponible con opciones de insta-
lación Server Core y servidor completo, para procesadores de 32 y 64 bits.
■ Windows Server 2008 Datacenter Edition. Es un completo sistema operativo
de red orientado a organizaciones más grandes, sobre todo las relacionadas con
almacenamiento de datos y procesamiento de transacciones en línea. Brinda to-
das las capacidades de Enterprise Edition, con soporte para procesadores adicionales
y permisos ilimitados para uso de imágenes virtuales. Es una actualización de
Windows Server 2003 Datacenter Edition y Windows 2000 Datacenter Server. Se en-
cuentra disponible en las instalaciones Server Core y completa para procesadores
de 32 y 64 bits.
■ Windows Web Server 2008. Es un sistema operativo de servidor, limitado al alo-
jamiento de sitios Web y servicio de aplicaciones Web, instrumentadas con Internet
Information Services (IIS) para procesadores de 32 y 64 bits.
▲ Windows Server 2008 para sistemas Itanium. Es un sistema operativo de servi-
dor, limitado a los procesadores de 64 bits Itanium 2 de Intel. Sólo algunas de las
funciones de servidor están disponibles en esta plataforma, pero el servidor Web y
la entrega de aplicaciones están incluidos. Los detalles sobre la edición basada en
Itanium están fuera del alcance de este libro.
Consideraciones de hardware
Las consideraciones de hardware para ediciones de Windows Server 2008 tienen un conjunto
consistente de requisitos mínimos y recomendados, como se ilustra en la tabla 1-1, además
de una mezcla de valores máximos, como se muestra en la tabla 1-2.
01 MATTHEWS 01.indd 5 1/14/09 11:22:14 AM

Este libro se concentrará en Windows Server 2008 Standard Edition y tocará algunos
aspectos sobre Web Server y Enterprise Edition.
Componente de sistema Mínimo Recomendado

Velocidad de procesador x86 1 GHz 2 GHz
Velocidad de procesador x64 1.4 GHz 2 GHz
Memoria (RAM) 512 MB 2 GB
Espacio en disco 10 GB 40 GB
Periféricos DVD-ROM, monitor DVD-ROM, monitor
súper VGA, teclado súper VGA, teclado
y ratón y ratón
Tabla 1-1. Requisitos mínimos para todas las versiones de Windows Server 2008.
NOTA El significado de las abreviaturas en las tablas 1-1 y 1-2 es el que sigue: GHz
(gigahertz) es la medida de la velocidad del procesador en miles de millones de ciclos
por segundo; MB, GB y TB (megabyte, gigabyte y terabyte) son medidas de memoria
y espacio en disco en millones, miles de millones y billones de bytes (cada uno de los
cuales son ocho bits [un 0 o un 1], equivalentes, más o menos, a una letra); RAM (Random
Access Memory, memoria de acceso aleatorio) es la memoria primaria de estado sólido
del equipo; ROM (Read-Only Memory, memoria de sólo lectura) pueden ser dispositivos
de estado sólido en el equipo o CD (Compact Disc, disco compacto) o DVD (Digital Video
Disc, disco de video digital), dispositivos sin acceso de escritura para el usuario; VGA
(Video Graphics Array, arreglo de gráficos de video) es un tipo de pantalla de video.
Clúster de
Edición de Procesadores Memoria conmutación
Server 2008 Plataformas físicos máxima por error
Standard 32 bits 4 4 GB Ninguno
Standard 64 bits 4 32 GB Ninguno
Enterprise 32 bits 8 64 GB 8 nodos
Enterprise 64 bits 8 2 TB 16 nodos
Datacenter 32 bits 32 64 GB 8 nodos
Datacenter 64 bits 64 2 TB 16 nodos
Web Server 32 bits 4 4 GB Ninguno
Web Server 64 bits 4 32 GB Ninguno
Tabla 1-2. Máximos de hardware para las ediciones de Windows Server 2008.
01 MATTHEWS 01.indd 6 1/14/09 11:22:14 AM

En las secciones siguientes de este capítulo se ofrece un vistazo inicial a las áreas
principales de Windows Server 2008, que intervienen en las siguientes funciones:
▼ Implementación de Windows Server 2008

■ Trabajo en red de Windows Server 2008
■ Comunicación y uso de Internet con Windows Server 2008
▲ Administración de Windows Server 2008
Las secciones aquí analizadas corresponden a las siguientes partes del libro, por lo que
se puede saltar de la introducción a los pormenores de su interés, más adelante.
IMPLEMENTE WINDOWS SERVER 2008

Llevar exitosamente Windows Server 2008 a una organización significa no sólo que el sistema
operativo está instalado, sino también que la planeación apropiada se llevó a cabo antes de
la instalación, así como ajustes y optimización deseados se realizaron después de ésta. Para
lograr el objetivo, debe planificar y llevar a cabo la implementación de manera completa.
Prepárese para Windows Server 2008

A fin de prepararse para Windows Server 2008, debe confirmar que:
▼ Sus equipos cumplen con los requisitos de Windows Server 2008

■ Windows Server 2008 brinda soporte a todo el hardware que necesita y está conec-
tado a sus equipos
■ Conoce las decisiones de instalación y ha elegido las opciones ofreciendo el mejor
entorno de operación
■ Sus equipos se prepararon para la instalación del sistema operativo
▲ Tiene un plan sólido para llevar a cabo la instalación
En el capítulo 2 se le ayuda a preparar la instalación revisando cada una de estas áreas,

además de especificar lo que debe saber para facilitar la instalación.
Instale Windows Server 2008

Windows Server 2008 puede instalarse y ajustarse en una serie de formas ubicadas en alguna
de las tres categorías siguientes:
▼ Manual. Alguien se sienta frente al equipo en que se instalará y, en tiempo real,
tanto instala como configura el software en dicha máquina
01 MATTHEWS 01.indd 7 1/14/09 11:22:15 AM

■ Automatizada. Se emplea una secuencia de comandos o archivo de respuestas para

llevar a cabo dicha instalación. De tal manera una persona sólo tiene que iniciarla en
el equipo y dejar que la secuencia de comandos la termine
▲ Remota. Una persona se sienta frente a un servidor y efectúa la instalación en otro
equipo a través de la red. Esta instalación puede ser manual o automatizada
En el capítulo 3 se explica en detalle cómo emplear el estilo manual para instalar

Windows Server 2008 con sus variantes. En el capítulo 4 se describe el estilo automatizado
para la instalación de Windows Server 2008.
Configure Windows Server 2008

En la instalación inicial de Windows Server 2008, los pasos para poner en ejecución a Win-
dows Server 2008, como se muestra en la figura 1-1, no instalan muchos de los componentes
—llamados “funciones”— principales del servidor, en Windows Server 2008, que se insta-
laban automáticamente en versiones anteriores de Windows Server. La instalación de las
Figura 1-1. Cuando Windows Server 2008 termina la instalación, no tiene instaladas la mayoría
de las funciones.
01 MATTHEWS 01.indd 8 1/14/09 11:22:15 AM

funciones del servidor, además de servicios de funciones y características, es trabajo del

Administrador del servidor.
La ventana del Administrador del servidor provee recursos para instalar hasta 16 fun-
ciones diferentes de servidor, como Servicios de dominio de Active Directory, Servidor de
aplicaciones, Servicios de archivo y Servidor Web (IIS), incluidas más de 36 características,
entre ellas: Cifrado de disco BitLocker, Clúster de conmutación por error y Asistencia remo-
ta. Una vez instaladas funciones y características, la ventana del Administrador del servidor
informa acerca de una función brindando los medios para configurarla y controlarla, como
se ilustra en la figura 1-2, para la función Servicios de archivo.
Figura 1-2. En el Administrador del servidor puede obtener información y controlar una función,
además de instalarla.
01 MATTHEWS 01.indd 9 1/14/09 11:22:16 AM

El uso del Administrador del servidor se presenta en el capítulo 3 y se menciona a lo largo

del libro. Se emplea tanto para instalar como para administrar funciones y características.
RED DE WINDOWS SERVER 2008

Windows Server 2008 es un sistema operativo de red y existe por sus capacidades de red.
Esto permite conectarse con otros equipos y ejecutar las siguientes funciones:
▼ Intercambio de información, como enviar archivos de un equipo a otro

■ Comunicación, por ejemplo, mediante el envío de un correo electrónico entre usua-
rios de la red
■ Compartir información, al hacer que varios archivos comunes sean accesibles para
varios usuarios de la red
▲ Compartir recursos en red, como impresoras y unidades de disco de copia de seguridad
El trabajo en red es importante para casi cualquier organización en la que dos o más
personas se comunican y comparten información. Es un ingrediente primordial en la con-
tribución de los equipos al mejoramiento de la productividad y, desde el punto de vista de
este libro, es la función más importante en Windows Server 2008.
El trabajo en red es un sistema que incluye la conexión física entre equipos para facili-
tar la transferencia de información, además del esquema para controlar dicho proceso. El
esquema certifica que la información se transfiera en forma correcta y precisa, mientras
muchas otras transferencias ocurren simultáneamente. Por tanto, el sistema de conectividad
incorpora los siguientes componentes:
▼ Un esquema de red, para manejar la transferencia

■ Hardware de conectividad, para instrumentar la conexión física
▲ Un estándar de trabajo en red o protocolo, que maneja identificación y direcciona-
miento
En el capítulo 5 se describen los esquemas de red disponibles en Windows Server 2008,

hardware que puede usar y protocolos comunes en la industria. En ese capítulo se revisa
después el amplio espectro de opciones disponibles, para proporcionar el entorno de red
que mejor se ajuste a sus necesidades. En el capítulo 6 se ofrece una descripción detallada de
cómo instalar la conectividad básica en Windows Server 2008 y luego se revisa la instalación
de Server, para dar soporte al resto de la red, empezando con el nuevo Centro de redes y
recursos compartidos, mostrado en la figura 1-3. En el capítulo 7 se exploran dominios y la
manera en que Active Directory brinda un punto único de acceso y administración para
las muchas funciones relacionadas con red.
01 MATTHEWS 01.indd 10 1/14/09 11:22:16 AM

Figura 1-3. El Centro de redes y recursos compartidos proporciona el punto de entrada para
establecer y controlar la conectividad.
COMUNÍQUESE Y USE INTERNET CON

WINDOWS SERVER 2008
Al “trabajo en red” se le conoce como uso de una LAN. En la presente era de Internet, el
trabajo en red de Windows Server 2008 tiene un significado mucho más amplio e incluye
todo tipo de conexión que puede hacerse hacia afuera de la LAN, mediante lo denominado
clásicamente como “comunicaciones”. El Centro de redes y recursos compartidos, recién
descrito, facilita el punto de entrada para trabajar con conexiones LAN y externas.
Los tipos de conexiones externas incluyen:
▼ Conexión directa a Internet desde LAN, a través de una línea de suscriptor digital
(DSL, Digital Subscriber Line) o conexión por cable
■ Conexiones inalámbricas de banda ancha
01 MATTHEWS 01.indd 11 1/14/09 11:22:16 AM

■ Líneas de marcado telefónico para comunicaciones de equipo a equipo, mediante módem

■ Redes de área amplia (WAN), vía líneas arrendadas y privadas
■ Servicio de acceso remoto (RECETAS, Remote Access Service) para acceder directa-
mente a una LAN, por marcado telefónico, líneas alquiladas o privadas
▲ Red privada virtual (VPN, Virtual Private Network) para acceder de forma segura
a una LAN a través de Internet
Entre las capacidades de comunicación de Windows Server 2008 se incluyen las siguien-
tes posibles maneras para intercambiar información:
▼ Equipo o LAN a Internet
■ Equipo a LAN
■ LAN a LAN
▲ Equipo o LAN a WAN
La comunicación puede incluir módem, adaptador inalámbrico u otro dispositivo para
conectar determinado equipo a un medio de transmisión o usar un enrutador u otro dispositivo,
para conectar una red al medio de transmisión. Las comunicaciones pueden darse median-
te alambres de cobre, cable de fibra óptica, microondas, medios inalámbricos terrestres,
infrarrojo o transmisión satelital.
Windows Server 2008 incluye una serie de funciones, características y aplicaciones
(véase la selección de funciones en el Administrador del servidor en la figura 1-4) que
controlan y/o utilizan comunicaciones o una capacidad de conectividad externa. Además,
el trabajo en red de Windows Server 2008 incluye programas para configurar y administrar
las formas del Servicio de acceso remoto (RAS) y la red privada virtual (VPN) a mayor
distancia, además de la Conexión de escritorio remoto, para vincularse con un equipo
a distancia. Por último, IIS puede utilizarse para publicar páginas Web y aplicaciones Web,
ya sea en Internet o intranet.
En el capítulo 8 se presenta un vistazo tanto a las comunicaciones como a la forma de
establecer las diferentes funciones y características a las que Windows Server 2008 da soporte.
En este capítulo también se habla sobre la manera de establecer una conexión a Internet,
además del uso de Internet Explorer sobre Internet. En el capítulo 9 se revisa IIS, su ins-
talación y cómo se administra. En el capítulo 10 se describe la instalación y el uso de una
VPN, mientras que en el capítulo 11 se refiere a Terminal Services, base para la Conexión de
Escritorio remoto y otras operaciones a distancia.
ADMINISTRE WINDOWS SERVER 2008

El trabajo de administrar una red de Windows Server 2008, aunque sea pequeña, con un
solo servidor y algunas estaciones de trabajo, representa una tarea importante. Para ayudar
en esto, Windows Server 2008 tiene varias herramientas de administración que puede
utilizarse para monitorear y ajustar el rendimiento del sistema, de manera local o remota.
Estas herramientas pueden catalogarse dentro de las siguientes áreas:
▼ Administración general del servidor
■ Administración del sistema de archivos
01 MATTHEWS 01.indd 12 1/14/09 11:22:16 AM

Figura 1-4. La selección de funciones en el Administrador del servidor facilita la instalación

tanto de componentes primarios del servidor como de Servicios de dominio de Active Directory
y el Servidor Web (IIS).
■ Administración de impresiones
■ Administración de la seguridad
▲ Otras administraciones
Administración general del servidor

La principal herramienta de administración en Windows Server 2008 es el Administrador del
servidor. Éste es, con frecuencia, la única herramienta necesaria para instalar, monitorear
y administrar componentes principales y secundarios del servidor, como ya se describió en
este capítulo y se hará en todo el libro. Muchas otras utilerías para administrar Windows
Server 2008, a describirse en las siguientes secciones, también se instalan y gestionan desde
el Administrador del servidor. En la figura 1-4 se muestran las funciones principales
que pueden instalarse desde el Administrador del servidor. Para muchas de estas funcio-
nes, también pueden instalarse distintas opciones de servicios de función. Además de las
01 MATTHEWS 01.indd 13 1/14/09 11:22:16 AM

Figura 1-5. Además de las funciones que se pueden instalar y gestionarse con el Administrador
del servidor, también es posible instalar allí ciertas características independientes.
funciones, gran cantidad de características independientes del servidor pueden instalarse

con el Administrador del servidor, algunas de ellas en la figura 1-5.
Administración del sistema de archivos

Windows Server 2008 está diseñado para trabajar en un amplio rango de entornos de cómpu-
to y algunos otros sistemas operativos. Como resultado, la estructura de su almacenamiento
de archivos debe ser flexible. Esto se manifiesta en los tipos de almacenamiento disponibles
y en sistemas de archivo que Windows Server 2008 puede utilizar.
Antes de Windows 2000 Server, sólo un tipo de almacenamiento estaba disponible,
llamado almacenamiento básico, para permitir que una unidad se dividiera en particiones o
volúmenes, sólo antes de formatearla de nuevo. Windows 2000 Server y Windows Server
2003 agregaron el almacenamiento dinámico, para creación dinámica y cambios a volúmenes.
En Windows Server 2008 se pueden reducir y extender los volúmenes dentro de un disco de
almacenamiento básico, con el mismo efecto que particionar de nueva cuenta el disco, pero
existen otras características avanzadas, como volúmenes abarcando dos o más discos en
demanda de almacenamiento dinámico. Cuando instala Windows Server 2008 por primera
01 MATTHEWS 01.indd 14 1/14/09 11:22:17 AM

vez, todos los discos son de almacenamiento básico. Puede escoger después convertirlo en
disco destinado a almacenamiento dinámico y tener ambos tipos en un equipo o convertir
todos los discos a la variedad de almacenamiento dinámico.
El sistema de archivo de Windows Server 2008 puede abarcar mucho más de un
disco: desde todos los discos de un solo equipo a todos los discos en una red y, también,
volúmenes almacenados fuera de línea. La administración de este sistema es significativa
y, por tanto, Windows Server 2008 tiene un juego importante de herramientas para mane-
jar la administración del sistema de archivos, a describirse en el capítulo 12. Entre estas
herramientas figuran:
▼ Administración de discos
■ Administración de volúmenes dinámicos
■ Sistema de archivos distribuido
▲ Respaldo de disco y recuperación
En la figura 1-6 se muestra el panel Administración de discos en la ventana Administra-

dor del servidor. Éste se encuentra también disponible en Administración del equipo.
Figura 1-6. La administración de discos puede manejarse desde Administrador del servidor o
Administración del equipo.
01 MATTHEWS 01.indd 15 1/14/09 11:22:17 AM

Administración de impresión
La capacidad para transferir información del equipo al papel u otro medio es importante, así
como la de compartir impresoras es una función primordial de la red, observada en la figura
1-7. Windows Server 2008 y Windows Vista pueden compartir impresoras y funcionar como
servidores de impresión. Además, Windows Server 2008 cuenta con la función Servicios
de impresión, para ser instalada y administrarse desde el Administrador del servidor. Esta
función permite administrar todas las impresoras de red. En el capítulo 13 se describen las
partes constitutivas de la impresión en Windows Server 2008, cómo se instala y administra,
además de la forma de administrar tipos de letra necesarios para imprimir.
Figura 1-7. Las versiones más recientes de Windows pueden compartir impresoras en la red.
Windows Server 2008 está habilitado para administrarlas todas.
01 MATTHEWS 01.indd 16 1/14/09 11:22:17 AM

Administración de seguridad
Entre las demandas de seguridad en una red de computadoras se incluyen:
▼ Validar al usuario Conocer quién intenta usar un equipo o conexión a la red
■ Control de acceso Definir y establecer límites a la capacidad de los usuarios
■ Asegurar datos almacenados Evitar el uso de datos almacenados, aun cuando
existe acceso
■ Asegurar la transmisión de datos Evitar que los datos dentro de la red sean mal
utilizados
▲ Administrar la seguridad Establecer políticas de seguridad y auditar su cumpli-
miento
Windows Server 2008 usa un método de varias capas para implementar la seguridad
y ofrecer una serie de opciones usadas para manejar las demandas de seguridad, como
políticas para bitácora de entradas y acceso a recursos. Un elemento central de la estrategia
de seguridad de Windows Server 2008 es el uso de permisos para controlar qué pueden
hacer los usuarios, en la figura 1-8. Otras características de seguridad están disponibles
con Active Directory, que proporciona la centralización de la administración de seguridad,
benéfico para lograr una seguridad fuerte. En el capítulo 15 se describe cada una de
las demandas de seguridad y las características atendidas por Windows Server 2008,
además de la forma en que se implementan dichas características.
Figura 1-8. Un aspecto de la seguridad consiste en establecer qué puede hacer un grupo
en una unidad de disco.
01 MATTHEWS 01.indd 17 1/14/09 11:22:18 AM

Otras herramientas de administración del sistema

Windows Server 2008 tiene otras herramientas de administración del sistema para contro-
lar diferentes facetas del sistema operativo. En el capítulo 14 se revisan éstas, además
de las herramientas de administración del usuario, sin cobertura en otro lado. Entre estas
herramientas se incluyen:
▼ Panel de control (véase la figura 1-9)

■ Administrador de tareas
■ Microsoft Management Console
■ Registro
▲ Proceso de arranque
Figura 1-9. El Panel de control facilita los medios para controlar muchas funciones básicas en
01 MATTHEWS 01.indd 18 1/14/09 11:22:18 AM

PARTE II
Implementación de
Windows Server
2008
19
02 MATTHEWS 01.indd 19 1/14/09 12:12:38 PM

02 MATTHEWS 01.indd 20 1/14/09 12:12:38 PM
CAPÍTULO 2
Preparación para
la instalación
21
02 MATTHEWS 01.indd 21 1/14/09 12:12:38 PM

L
a implementación de Windows Server 2008 es una tarea importante que demanda
planeación a conciencia y cuidadosa atención en los detalles. El objetivo del capítulo
actual y los dos siguientes es ayudarle a recorrer el proceso de planeación y, en se-
guida, a realizar la instalación detallada. En el capítulo 2 se revisan los pasos que deben darse
antes de instalar el más reciente servidor de Windows, incluido el manejo de posibles dificul-
tades. El capítulo 3 le lleva a recorrer la instalación de Windows Server 2008 desde diferen-
tes puntos de partida, incluidas actualizaciones y una instalación limpia. En el capítulo 4
se muestra cómo usar los Servicios de implementación de Windows para automatizar la
instalación de Windows Server 2008.
CONSIDERE LAS NECESIDADES DE LA INSTALACIÓN

La instalación de Windows Server 2008 es, viéndola de manera superficial, un proceso
simple: el DVD de distribución de Microsoft se inserta en la unidad o se accede a los ar-
chivos en red y se siguen las instrucciones en pantalla. Sin embargo, bajo la superficie, la
instalación no es necesariamente tan simple. Antes de instalar el software, debe conside-
rar lo siguiente:
▼ Los equipos en que realice la instalación deben cumplir con los requisitos de Win-
dows Server 2008
■ Debe cerciorarse que Windows Server 2008 soporte todo el hardware de su sistema
■ Debe conocer las opciones que habiliten el mejor entorno de operación en cada una
de las etapas de la instalación
■ Los equipos deben estar preparados para la instalación del sistema operativo
▲ Debe tener un plan consistente para llevar a cabo la instalación
Este capítulo le ayudará a preparar la instalación, revisando cada una de estas áreas
para Windows Server 2008. Advertirá qué necesita para facilitar al máximo la instalación.
VERIFIQUE LOS REQUISITOS DEL SISTEMA

Windows Server 2008 tiene importantes requisitos de hardware. Revise la tabla 2-1 para
confirmar que los sistemas cumplen con los requisitos mínimos de instalación.
NOTA En éste y los siguientes capítulos del libro, cuando vea Windows Server 2008
sin edición específica, se habla de la Standard Edition. En el capítulo 1 se muestran las
diferencias entre requisitos de hardware de las cinco ediciones. Cualquier información
adicional se proporciona en las siguientes secciones.
02 MATTHEWS 01.indd 22 1/14/09 12:12:38 PM

Capítulo 2: Preparación para la instalación 23
Componente del sistema Tipo de procesado Requisito

Procesador x86 (32 bits) 1 GHz mínimo
2 GHz recomendado
x64 (64 bits) 1.4 GHz mínimo
2 GHz recomendado
RAM 512 MB mínimo
2 GB recomendado
Espacio en disco duro 10 GB mínimo
40 GB recomendado
Unidad CD/DVD Unidad DVD requerida a
menos que haya una red
instalada
Sistema de video Súper VGA o mayor
resolución de monitor
Dispositivos de entrada Teclado y ratón (ambos
opcionales)
Dispositivo de red Tarjeta de red compatible
Tabla 2-1. Requisitos mínimos y recomendados para Windows Server 2008.
Sobre los requisitos del sistema

Los requisitos de la tabla 2-1 están generalizados; existen situaciones especiales donde
se aplican diferentes requisitos. Dichas situaciones especiales se mencionan en los si-
guientes párrafos.
Procesadores
Windows Server 2008 Standard Edition da soporte a un máximo de cuatro procesadores en
un equipo, lo que se conoce como multiprocesamiento simétrico (SMP). Windows Server 2008
Enterprise Edition lo suministra para un máximo de ocho procesadores. Windows Server
2008 Datacenter Edition soporta un máximo de 32 procesadores en la versión de 32 bits y 64
procesadores en la versión de 64 bits. Esto permite un rango amplio de escalamiento en una
instalación de Windows Server 2008, desde un equipo con un solo procesador hasta muchos
equipos, cada uno con cierto número de procesadores.
Memoria de Acceso Aleatorio (RAM)

Windows Server 2008 Standard Edition, con procesador x86, da soporte a un máximo de 4 GB
(gigabytes), mientras que el procesador x64 puede darse a un máximo de 32 GB. Las edi-
ciones Enterprise y Datacenter de Windows Server 2008 con procesador x86 dan soporte a
un máximo de 64 GB, mientras con procesador x64 pueden soportar hasta 2 TB (terabytes).
02 MATTHEWS 01.indd 23 1/14/09 12:12:38 PM

Espacio en disco duro

La cantidad requerida de espacio libre en disco duro se sujeta a una serie de factores, sobre
todo en Windows Server 2008. Entre éstos se cuentan los siguientes:
▼ Los componentes de Windows a instalar. Diferentes componentes necesitan distin-

tas cantidades de espacio y son acumulativos; por ello, dependiendo de lo instalado,
variará la cantidad necesaria de espacio en disco
■ Una instalación basada en red requiere casi 3 GB adicionales de espacio libre en
disco para almacenar archivos adicionales
▲ Una actualización requiere más espacio que una instalación nueva, para expandir
una base de datos de una cuenta de usuario en Active Directory, lo que consolida el
acceso a todos los recursos de la red en una estructura jerárquica y un punto único
de administración
DVD-ROM
Es necesario contar con una unidad de DVD-ROM, si se instala desde el disco de distribu-
ción de Microsoft. Sin embargo, no es indispensable al hacer la instalación en red.
Red
No es necesaria una tarjeta de red, si no desea conectarse a una red (lo que resulta poco
probable) y de no recurrir a la instalación en red. En caso de usarla, es necesario un servidor
preparado para distribuir archivos y medios que permitan arrancar el equipo en que se va
a hacer la instalación.
Verifique la compatibilidad del sistema

Tras verificar y determinar que su sistema cumple con los requisitos mínimos para instalar
Windows Server 2008, necesita determinar si hardware y software, sobre todo los usados en
la red, son compatibles con el sistema operativo. Puede hacerlo usando dos herramientas de
Microsoft, a describirse en las siguientes secciones, para evaluar idoneidad del hardware y
compatibilidad del software. Además, los archivos .txt de la carpeta raíz del DVD de Win-
dows Server 2008 pueden contener información de última hora respecto a compatibilidad
de hardware, software y alguna otra información que necesite antes de instalar.
SUGERENCIA Puede ahorrar tiempo en la resolución de problemas verificando la com-

patibilidad de hardware y haciendo cualquier ajuste necesario antes de instalar Windows
Server 2008.
Use la herramienta Microsoft Assessment and Planning

Toolkit Solution Accelerator
La herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator verifica
todos los equipos de la red, crea un inventario de sus componentes de hardware y prepara
informes empleando hojas de cálculo de Excel, en las que se reporta la evaluación de la
02 MATTHEWS 01.indd 24 1/14/09 12:12:39 PM

capacidad de los equipos que soportarán Windows Server 2008. Para usar este programa,
requiere —como mínimo— del siguiente hardware y software en el equipo donde ejecutará
el Asistente de evaluación de hardware:
▼ Hardware: procesador de 1.6 GHz, 1 GB de memoria, 1 GB de espacio en disco,

tarjeta de red
▲ Software: sistema operativo de 32 bits, incluido XP SP2 o más reciente, Vista, Server
2003 R2 o Server 2008; .Net Framework versión 2; Excel 2007 o 2003 SP2; Word 2007
o 2003 SP2
NOTA Microsoft SQL Server 2005 Express se descarga como parte de la instalación del
Microsoft Assessment and Planning Toolkit Solution Accelerator, si no está disponible en
el equipo en que se trabaja, y agrega tiempo y necesidades de espacio al proceso.
La herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator se

puede descargar del siguiente sitio de Microsoft:
http://www.microsoft.com/technet/solutionaccelerators/hardwareassessment/wv/de-
fault.mspx
Una vez descargado e instalado, deberá iniciar automáticamente, aunque bien, puede
iniciarse de la siguiente manera:
1. Haga clic en Inicio|Todos los programas, diríjase a la sección inferior del menú y
dé clic en Microsoft Assessment and Planning Solution Accelerator.
2. Si lo desea, haga clic en Read the Getting Started Guide y lea el documento de ayu-
da mostrado. Tras cerrar la ayuda, haga clic en Select a database.
02 MATTHEWS 01.indd 25 1/14/09 12:12:39 PM

3. Escriba el nombre de la base de datos que se creará y dé clic en OK. Elija las acciones
que se realizarán como opción predeterminada y haga clic.
4. Seleccione una de las opciones de la parte inferior para localizar los equipos en su
red. Esto depende del tipo de red que tenga. Luego elija el tipo de informes y pro-
puestas que desee. Haga clic en Next.
5. Si especificó que se usen los protocolos de red de Windows, debe seleccionar los
grupos de trabajo en red que desee incluir en el inventario y dé clic en Next.
6. Si especificó usar los Servicios de dominio de Active Directory, necesita proporcio-
nar información de inicio de sesión y luego haga clic en Next.
7. Seleccione o escriba, tras hacer clic en New Account, las cuentas locales o de domi-
nio y sus respectivas contraseñas, para acceder a los equipos que desee clasificar.
8. Revise las acciones seleccionadas y haga clic en Back para hacer cualquier cambio
necesario. Cuando las acciones estén como desea, haga clic en Start. Verá una serie
de barras de registrador que mostrarán el avance de la evaluación.
9. Cuando la evaluación haya concluido, haga clic en View Summary Operations re-
ports. Evalúe los resultados del resumen. Éste indicará los equipos encontrados y
el total de inventarios completos. Le presentará una lista incluyendo reportes de
Microsoft Word y Excel que se hayan creado.
10. Cuando esté listo, haga clic en Close y, después, en View saved Reports and propo-
sals. Para abrirlos en sus aplicaciones, haga doble clic en cada uno de ellos. Estos
reportes ofrecen mucha información, como se aprecia en la figura 2-1.
11. Luego de haber leído o impreso los informes, cierre las aplicaciones y haga clic en
Finish para cerrar el asistente.
02 MATTHEWS 01.indd 26 1/14/09 12:12:39 PM

Figura 2-1. La herramienta Microsoft Assessment and Planning Solution Accelerator proporciona
información escrita y tabular respecto a la capacidad de su red para manejar Windows Server 2008.
02 MATTHEWS 01.indd 27 1/14/09 12:12:40 PM

Verifique la compatibilidad de las aplicaciones

Microsoft proporciona un sitio Web para compatibilidad de aplicaciones relacionadas con
series de documentos y un juego de herramientas descargables verificando la compatibili-
dad de las aplicaciones. El Application Compatibility Toolkit (ACT) se puede ejecutar en:
▼ Windows Vista
■ Windows XP SP2
■ Windows Server 2008
■ Windows Server 2003 SP1
▲ Windows 2000 Server SP4 y Update Rollup 1
ACT requiere que SQL Server 2000, SQL Server 2005 o SQL Server 2005 Express Edition
estén en ejecución en el equipo.
1. Empiece por abrir el sitio Web http://technet.microsoft.com/en-us/library/

cc507853.aspx y haga clic en Getting Started With Windows Vista Application
Compatibility card (esto requiere de Microsoft Office PowerPoint 2007; pue-
de obtenerse un visor gratuito de PowerPoint 2007 descargándolo de Microsoft
en http://www.microsoft.com/downloads/ y deslizándose hacia abajo, hasta
PowerPoint Viewer 2007).
Se trata de un par de diapositivas de PowerPoint con información detallada acerca
de la compatibilidad de aplicaciones, como puede verse en la figura 2-2.
2. Apenas haya terminado de ver la tarjeta de aplicación de compatibilidad, cierre
PowerPoint y haga clic en Application Compatibility Toolkit Deployment Guide
And Step By Step Guides. Haga clic en Guardar, seleccione disco y carpetas donde
desee guardarlos y haga clic en Guardar.
3. Abra la unidad y carpeta que contienen la Application Compatibility Toolkit De-
ployment Guide, descomprima los archivos y revise los de su interés. Cuando haya
terminado, cierre la aplicación usada para ver los archivos.
4. Haga clic en el vínculo Application Compatibility Toolkit y, en la página corres-
pondiente, haga clic en Donwload files below, luego en Application Compatibility
Toolkit.msi, en seguida en Descargar y Ejecutar. A continuación, haga clic una vez
más en Ejecutar, acepte la licencia; haga clic dos veces en Next, dé clic en Install y
Finish. Iniciará una presentación y explicará ACT, como se ilustra en la figura 2-3.
5. Cuando la presentación haya terminado, dé clic en Inicio|Todos los programas|Mi-
crosoft Application Compatibility Toolkit|Application Compatibility Manager. Se
abrirá el asistente de configuración de ACT.
02 MATTHEWS 01.indd 28 1/14/09 12:12:40 PM

Figura 2-2. Microsoft proporciona mucha información y un poderoso conjunto de herramientas para
verificar la compatibilidad de las aplicaciones.
6. Haga clic en Siguiente y elija las opciones adecuadas. Cuando haya completado los
ajustes de configuración, emplee las instrucciones señaladas en la guía paso a paso
de ACT para realizar la prueba de compatibilidad que desee.
TOME LAS DECISIONES CORRECTAS SOBRE

LA INSTALACIÓN
Durante el proceso de instalación de Windows Server 2008 se tienen varias opciones para
instalar software. Si considera estas opciones antes de realizar la instalación y se toma tiem-
po para determinar cuáles son mejores para su operación, tal vez satisfaga mejor sus
02 MATTHEWS 01.indd 29 1/14/09 12:12:40 PM

Figura 2-3. ACT incluye una presentación como introducción.
necesidades. Algunas de las opciones dependerán de decisiones previas y quizás no estén

disponibles en ciertas tomas de decisión. Las opciones que tiene durante la instalación de
Windows Server 2008 se relacionan con:
▼ Actualizar una instalación de Windows existente o hacer una instalación limpia

■ Arranque dual de Windows Server 2008 con otra versión de Windows o sola
■ Escoger la partición en que se hará la instalación o usar la establecida como opción
predeterminada
■ Arrancar la preparación desde una instalación de Windows existente, o bien, iniciar
desde el DVD de instalación
▲ Instalar la versión completa de Windows o instalar únicamente el Server Core
02 MATTHEWS 01.indd 30 1/14/09 12:12:40 PM

Decida si actualiza o hace una instalación limpia

La primera medida que debe tomar para instalar Windows Server 2008 es decidir qué tipo
de instalación quiere hacer, como se indica en la pantalla Instalar Windows, de la figura 2-4.
Aunque la selección toma lugar más tarde en el proceso de instalación, debe decidir antes
de que comience, pues afecta la manera en que se inicia la misma. Una actualización, en este
caso, significa reemplazar el sistema operativo existente con Windows Server 2008 en la mis-
ma partición del disco. Una instalación nueva, por otra parte, instalará Windows Server 2008
en un disco recién formateado o partición separada sin sistema operativo, de donde se haya
eliminado el sistema operativo o no exista alguno (que también se llama instalación limpia).
Se pueden actualizar las diferentes ediciones de Windows Server 2008 como se muestra
a continuación:
▼ A Windows Server 2008 Standard Edition desde:

Windows Server 2003 Standard Edition (todos los Service Packs y R2)
■ A Windows Server 2008 Enterprise Edition desde:
Windows Server 2003 Standard Edition (todos los Service Packs y R2)
Windows Server 2003 Enterprise Edition (todos los Service Packs y R2)
▲ A Windows Server 2008 Datacenter Edition desde:
Windows Server 2003 Datacenter Edition (todos los Service Packs y R2)
Figura 2-4. La primera decisión que debe tomar en la instalación es actualizar o hacer una
instalación limpia.
02 MATTHEWS 01.indd 31 1/14/09 12:12:41 PM

Si no usa uno de los productos identificados para actualización, tiene dos opciones:
poner al día uno de esos productos y luego actualizar Windows Server 2008 o efectuar una
instalación limpia.
Las principales razones para actualizar, si lo desea, son las siguientes:
▼ Preservar todos los ajustes actuales (como usuarios, derechos y permisos), aplicacio-
nes y datos en su equipo. Su entorno actual se preserva intacto mientras actualiza el
nuevo sistema operativo
▲ Facilitar la instalación de Windows Server 2008. Muchas de las decisiones de la
instalación ya están tomadas, usando ajustes del sistema operativo actual
Las principales razones para hacer una instalación limpia son:
▼ Dejar de lado un sistema operativo que no puede actualizarse
■ Tener arranque dual en ambos: el sistema operativo viejo y Windows Server 2008.
Esto le permite usar cualquier sistema operativo. Windows Server 2008 debe estar
en su propia partición
▲ Limpiar los discos duros, cosa que los hace más eficientes, desecha archivos sin uso
y libera mucho espacio en disco
Si puede actualizar o hacer una instalación limpia (dejando de lado el arranque dual por
un momento, lo que se tratará en la siguiente sección), esta decisión queda entre preservar
su sistema actual con todos sus ajustes, aplicaciones y espacio ineficiente y desperdiciado,
o hacer una instalación simple. La instalación limpia le da a su nuevo sistema operativo un
entorno sin resabios de todo lo hecho en el pasado al equipo, pero significa mucho más tra-
bajo. Con una instalación limpia, debe reinstalar todas sus aplicaciones y restablecer todos
sus ajustes. Ésta no es una decisión simple. Aunque parezca innecesario pensar siquiera
si se mantiene su entorno actual, ya que evita todo el trabajo extra, debe preguntarse si en
realidad está tan contento con su entorno actual. Instalar un nuevo sistema operativo es una
excelente oportunidad para limpiar la casa y preparar su sistema de la forma en que debió
estarlo siempre, aunque requiere una cantidad importante de tiempo extra. Piense en esta
decisión con todo cuidado.
Decida si recurre a un arranque dual

El arranque dual posibilita seleccionar entre varios sistemas operativos siempre que inicie su
computadora. Si no está seguro de querer un cambio a Windows Server 2008, o tiene una
aplicación que sólo se ejecuta en otro sistema operativo, el arranque dual es una solución.
Por ejemplo, si quiere mantener Windows Server 2003 en su equipo y usarlo tras instalar
Windows Server 2008, el arranque dual ofrece los medios necesarios para hacer lo que de-
see. Si piensa en el arranque dual como una estrategia para recuperación en caso de desas-
tres (es decir, ocasiones en que no pueda arrancar Windows Server 2008), no representa una
buena razón, ya que Windows Server 2008 tiene capacidades de recuperación de desastres
integradas, incluidos respaldo y restauración, recuperación de claves y arranque en modo
seguro, a ser tratados en otros apartados de este libro.
Puede manejar el arranque dual de Windows Server 2008 con Windows 2000 y sistemas
operativos más recientes, tanto cliente como servidor. En todos los casos, debe tener ins-
02 MATTHEWS 01.indd 32 1/14/09 12:12:41 PM

talado el otro sistema operativo antes de instalar Windows Server 2008. Si está instalando
Windows Server en un equipo con entorno de arranque dual, la instalación de Windows
Server 2008 creará un tercer entorno de arranque, mismos en el que podrá instalar los tres
sistemas operativos.
El arranque dual también tiene importantes inconvenientes:
▼ Debe instalarse Windows Server 2008 en una partición separada para no sobreescri-
bir los archivos pertenecientes al sistema operativo original. Esto significa que debe
reinstalar todas las aplicaciones que quiera ejecutar bajo Windows Server 2008 y
restablecer todos sus ajustes, como haría con una instalación limpia
■ Tal vez deba manejar problemas complejos de compatibilidad de los sistemas de
archivos. Consulte los comentarios en seguida de la presente lista
■ En una situación de arranque dual, las características de Plug and Play de los sistemas
operativos anteriores y Windows Server 2008 pueden provocar que un dispositivo
no funcione correctamente en un sistema operativo ya que el otro lo reconfiguró
■ El arranque dual consume espacio en disco adicional, con dos sistemas operativos
completos
▲ El arranque dual hace que el entorno operativo sea más complejo de lo común
Cuando se recurre al arranque dual, ambos sistemas operativos deben tener la capa-
cidad de leer los archivos que desee compartir entre ellos. Esto significa que los archivos
compartidos requieren almacenarse en un sistema de archivos que ambos sistemas operati-
vos puedan usar. Al instalar Windows Server 2008, se usa el Sistema de Archivos de Nueva
Tecnología (NTFS, New Technology File System). NTFS tiene características importantes en
Windows Server 2008, como Active Directory, seguridad mejorada y cifrado de archivos;
sin embargo, es posible que dichas características no se puedan usar en versiones anteriores
de Windows con NTFS o sistemas operativos que usan sistemas de archivos FAT y FAT32.
Por tanto, corre el riesgo de que los sistemas operativos anteriores no accedan a los archivos
creados en Windows Server 2008.
El arranque dual es una solución intermedia que no brinda todas las ventajas de Win-
dows Server 2008. Por tanto, no se recomienda, a menos que realice una tarea que sólo pueda
integrarse de esta manera, como una aplicación indispensable, inoperante en Windows Ser-
ver 2008; incluso en tales circunstancias, debe dejar la aplicación en un servidor dedicado y
mover casi todo su trabajo a otro que sólo ejecute Windows Server 2008.
NOTA Aunque es probable que sistemas operativos antiguos no accedan a ciertos ar-
chivos NTFS en el mismo equipo, en condiciones de arranque dual, todos los sistemas
operativos pueden acceder a esos mismos archivos si el acceso se da mediante red (el
servidor traduce los archivos conforme pasan por la red).
Decida sobre particiones

El particionado divide un único disco duro en dos o más particiones o volúmenes. A estas
particiones se les asignan letras de unidad, sea D, E o F, entre otras, denominadas unidades
lógicas. Cuando se hace una instalación limpia de Windows Server 2008, se le presenta el
particionado actual del disco de arranque y se le pide seleccionar la partición en que desea
instalar Windows Server 2008, como se muestra en la figura 2-5.
02 MATTHEWS 01.indd 33 1/14/09 12:12:41 PM

Cuando inicia desde el DVD de distribución de Windows Server 2008, el cuadro de diá-
logo de particiones, mostrado en la figura 2-5, se ve ligeramente distinto. En la parte inferior
derecha aparece Opciones de unidad (Avanzadas). Si hace clic en ella, verá otras opciones
para trabajar con particiones. Así, puede:
Figura 2-5. Para el arranque dual, debe crear particiones en la unidad para dividirla entre los
sistemas operativos.
▼ Borrar una partición existente, creando espacio libre en la unidad

■ Extender una partición existente, mientras haya espacio libre para extenderlo a una
nueva partición
■ Crear una nueva partición si hay espacio libre en el cual pueda hacerlo
▲ Formatear una partición existente o una nueva
SUGERENCIA Cuando ejecute la instalación de Windows Server 2008, no puede reducir

una partición existente para crear espacio libre. Debe hacerlo antes de iniciar la instala-
ción. Windows Vista y Windows Server 2008 tienen capacidad para reducir particiones
básicas (no dinámicas), al igual que productos de terceros como PartitionMagic de Sy-
mantec. Por su parte, Windows XP y Windows Server 2003 tienen capacidad para borrar
particiones básicas, pero sólo pueden reducir particiones dinámicas; sin embargo, no se
puede arrancar desde un disco usando particiones dinámicas.
Hay dos motivos principales para el particionamiento: tener dos sistemas de archivos
diferentes en la misma unidad y proporcionar una separación lógica para la información o
archivos. Si recurre al arranque dual, necesita usar por lo menos dos particiones diferentes
02 MATTHEWS 01.indd 34 1/14/09 12:12:41 PM

para mantener ambos sistemas operativos separados, para que la instalación de Windows
Server 2008 no reemplace los archivos del sistema operativo original. Otra razón para una
partición separada es usar el Servicio de instalación remota (RIS, Remote Installation Servi-
ce) para instalar, a distancia, Windows Vista en estaciones de trabajo.
Cuando considere las opciones de particionamiento, también necesita tomar en cuenta
el tamaño de cada partición. Debe dedicar al menos 10 GB para Windows Server 2008, pero
también resulta inteligente dejar espacio adicional. Si trabaja con un servidor activo, deben
dedicarse alrededor de 40 GB para elementos como información de Active Directory, cuentas de
usuario, archivos de intercambio de RAM, componentes opcionales y futuros Service Packs.
Bajo muchas circunstancias, querrá una partición única en el disco duro para tener
máxima flexibilidad y usar la totalidad del disco. Puede administrarse el particionado des-
pués de completarse la instalación (consulte el capítulo 12).
Decida cómo iniciar la instalación

Puede iniciar la instalación de Windows Server 2008 desde una instalación existente de
Windows o arrancando desde el DVD de distribución de Microsoft. En caso de iniciar desde
una instalación existente de Windows, puede hacer una actualización o instalación limpia.
Las consideraciones son:
▼ Si arranca desde el DVD, sólo puede hacerse una instalación limpia y, por supuesto,
necesita el DVD
■ Si inicia desde una instalación existente, puede hacerlo desde el DVD o carpeta de
red que contenga el instalador
▲ Si quiere efectuar un cambio a las particiones de la unidad o formatear una parti-
ción, debe arrancar desde el DVD de la distribución
Para iniciar desde una instalación existente de Windows:
1. Inicie la instalación existente de Windows.
2. Cuando haya terminado de arrancar el Windows existente, inserte el DVD de
Windows Server 2008 en su unidad. Se abrirá el cuadro de diálogo de Reproduc-
ción automática.
02 MATTHEWS 01.indd 35 1/14/09 12:12:42 PM

Haga clic en Ejecutar Setup.exe. Asimismo, dé clic en Inicio y Equipo, vaya a la unidad
y carpeta que contienen el instalador de Windows Server 2008 y dé doble clic en Setup.
Para iniciar desde el DVD:

1. Inserte el DVD de Windows Server 2008 en la unidad y reinicie el equipo.
2. Inmediatamente después de la pantalla de apertura del fabricante, oprima cual-
quier tecla cuando vea “Presione cualquier tecla para iniciar desde el CD o DVD”.
En todos los casos, tras algunos mensajes preliminares, verá la pantalla de instalación
de Windows mostrada en la figura 2-6.
Figura 2-6. La forma en que inicia la instalación determina las opciones que tendrá.
02 MATTHEWS 01.indd 36 1/14/09 12:12:42 PM

Decida sobre las opciones: completa o Core

Las ediciones principales de Windows Server 2008 (Standard, Enterprise y Datacenter) pue-
den instalarse completas o en la versión Server Core, como se indica en la figura 2-7.
▼ Instalación completa incluye todos los componentes (funciones y características)
disponibles en la edición de Windows Server 2008 que está instalando, además de
la interfaz de usuario completa
▲ Instalación Server Core es una instalación mínima que sólo incluye un subconjunto
de componentes, sin la interfaz de usuario. Una instalación Server Core puede ad-
ministrarse desde la línea de comandos, ya sea localmente desde el equipo en que
está instalado o remotamente desde una conexión de escritorio remoto de Terminal
Services
La instalación Server Core no puede ejecutar ciertas aplicaciones de terceros, debido a la ca-
rencia de interfaz de usuario, pero reduce la carga de administración, así como áreas del servidor
que pueden ser atacadas. Server Core ejecutará las siguientes funciones y características.
Figura 2-7. Server Core proporciona una instalación mínima para servidores de
propósito especial.
02 MATTHEWS 01.indd 37 1/14/09 12:12:42 PM

Funciones:
▼ Servicios de dominio de Active Directory
■ Servicios de directorio ligero de Active Directory
■ Servidor del protocolo dinámico de configuración de host (DHCP, Dynamic Host
Configuration Protocol)
■ Servidor del servicio de nombres de dominio (DNS, Domain Name Server)
■ Servicios de archivo
■ Servicios de impresión
■ Servicios de flujo de datos de Windows Media
▲ Servidor Web (IIS)
Características:
▼ Copias de seguridad
■ Cifrado de unidad BitLocker
■ Clúster de conmutación por error
■ E/S de múltiples rutas
■ Equilibrio de carga de red
■ Calidad de servicio (QoS)
■ Almacenamiento extraíble
■ Servicios del protocolo simple de administración de redes (SNMP, Simple Network
Management Protocol)
■ Subsistema para aplicaciones UNIX
■ Cliente Telnet
▲ Servicio de nombres de Internet de Windows (WINS, Windows Internet Name Service)
Instalación de componentes opcionales

El programa Setup ya no le pide elegir los componentes opcionales mientras instala Win-
dows Server 2008. Algunos componentes, como Internet Explorer, accesorios y un paquete
básico de herramientas administrativas, se instalan automáticamente con Windows Server
2008. Los componentes más grandes, como Servicios de dominio de Active Directory, ser-
vidores DHCP y DNS, además del servidor Web (IIS), pueden instalarse como funciones
o características desde el Administrador del servidor (véase la figura 2-8) en seguida de
haber instalado Windows Server 2008. El uso del Administrador del servidor e instalación
de funciones y características se mencionan en diversos lugares de este libro, incluidos los
capítulos 1 y 3.
02 MATTHEWS 01.indd 38 1/14/09 12:12:42 PM

Figura 2-8. Casi todos los componentes importantes de Windows Server 2008 se instalan desde
el Administrador del servidor, después de instalar Windows Server 2008.
PREPARE LA INSTALACIÓN
La instalación de un sistema operativo conlleva el riesgo moderado de perder parte de la
información en el equipo o toda ella; de esto nace la idea de respaldar los discos duros antes
de la instalación. Instalar un sistema operativo también es una estupenda oportunidad para
limpiar y hacer que el sistema sea más eficiente. Además, es necesario hacer ajustes al siste-
ma para cerciorarse de que la instalación se ejecute sin contratiempos. Todas estas tareas se
incluyen en los siguientes pasos para preparar la instalación de un sistema operativo:
▼ Crear copias de seguridad de todos los discos duros
■ Inventariar software actual
■ Limpiar los archivos actuales
■ Actualizar el hardware
▲ Deshabilitar hardware o software conflictivo
02 MATTHEWS 01.indd 39 1/14/09 12:12:43 PM

Cree copias de seguridad de todos los discos duros

En un entorno de servidor, tal vez la creación de copias de seguridad sea más laboriosa que
una estación de trabajo, a menos que el servidor se encargue también de crear las copias de las
estaciones de trabajo. Por tanto, el respaldo puede ser, o no, una tarea rutinaria. En cualquier
caso, es importante realizar un respaldo a conciencia antes de instalar un nuevo sistema ope-
rativo. Éste debe incluir respaldo de todos los archivos de datos, considerando archivos de
correo, libretas de direcciones, formatos, ajustes, documentos, favoritos, cookies e historial.
La creación de copias de seguridad de los archivos de las aplicaciones no sólo es innecesaria
(generalmente), porque debe tener copias de los discos de distribución, sino también es difí-
cil, debido a que los archivos de aplicaciones se distribuyen en varias carpetas.
La mejor técnica para crear copias de seguridad de archivos de datos, si no tiene una
lista de éstos, consiste en recorrer el disco duro, carpeta por carpeta, revisando cada archivo
dentro de cada una de ellas. Ésta es, en definitiva, una tarea tediosa, pero no sólo sirve para
crear copias de seguridad, sino también para las siguientes tareas de limpieza e inventario
de aplicaciones. En muchos casos, podrá crear copias de seguridad de carpetas completas,
si sabe que todos los archivos son de datos. En otros casos, muchos de los archivos de una
carpeta son de aplicación y no necesitará crear copias de seguridad de ellos (aunque es pro-
bable que algunos archivos tengan plantillas personalizadas, configuraciones o archivos de
datos que querrá preservar).
Las herramientas (hardware y software) que use para crear copias de seguridad dependen
de su disponibilidad. Es posible crearlas con el programa Copias de seguridad de Windows
Server 2003. (Windows Server 2008 tiene nuevas opciones, pero necesita crear las copias antes
de instalarlo). La mejor opción es usar algún programa de terceros, como Backup Exec for
Windows Servers (http://www.symantec.com/business/), de Symantec (antes Veritas). Los
medios de copia de seguridad pueden incluir cintas, discos duros extraíbles, DVD grabables o
regrabables, discos ópticos fijos o discos duros fijos, libres en otros sistemas. Cualquier cosa
que use, asegúrese de que pueda leerla y recuperarla en su sistema Windows Server 2008.
SUGERENCIA Con el bajo costo de los discos duros grandes, valdría la pena conseguir
uno o más para conservar la copia de seguridad más reciente de uno o más sistemas; sin
embargo, aún deberá emplear medios extraíbles para almacenar una copia de los datos
del equipo, en un contenedor a prueba de fuego.
Cree un inventario del software actual

A medida que recorre el disco duro para crear copias de seguridad de él, debe hacer un
inventario de las aplicaciones en el disco, en caso de que necesite reinstalar cualquier cosa.
Aparte de la revisión del disco, haga un inventario del Escritorio, los menús Inicio, Todos
los programas, además de la barra de tareas. Por igual, abra Agregar o quitar pro-
gramas (Programas y características, en Windows Vista y Server 2008), desde el Panel de
control y anote los programas que se muestran instalados, asimismo los componentes de Win-
dows instalados. Por cada aplicación, anote la versión instalada, si todavía se usa, cuáles son
sus archivos de soporte (como formatos y ajustes) y dónde se almacenan los archivos en el
disco duro. (Esta última información se debe proporcionar al proceso de copia de seguridad,
02 MATTHEWS 01.indd 40 1/14/09 12:12:43 PM

para certificar que se incluyan dichos archivos.) Por último, debe asegurarse de tener los
discos de distribución de cada aplicación y anotar dónde se guardan. Estos pasos le asegurarán
que tendrá tanto las notas como los archivos de aplicación y datos necesarios para restaurar las
aplicaciones que estaban ejecutándose en el equipo, antes de instalar Windows Server 2008.
Limpieza de archivos actuales

La mayoría de nosotros intentamos limpiar los discos de que somos responsables, para li-
brarnos de archivos y aplicaciones inútiles, pero pocos estamos acostumbrados a hacerlo. Es
una tarea difícil, ¿y quiénes somos para decir que una aplicación o archivo nunca se volverá
a necesitar? Además, todos hemos tenido la experiencia de necesitar un archivo recién eli-
minado o encontramos un archivo que no se ha usado por algún tiempo.
Dado que ha hecho un trabajo eficiente al crear copias de seguridad de sus archivos de da-
tos y que tiene un inventario completo de las aplicaciones, resulta inútil preguntarse cuándo
se necesitará de nuevo algún archivo, porque siempre podrá restaurar éste o la aplicación, en
caso de requerirlo. Esto sólo deja por objeción que se trata de una larga y ardua tarea, y lo es.
La mejor manera de limpiar un disco duro es, también, la más sencilla y terrorífica,
porque es definitiva: reformatear el disco duro y recargar únicamente aplicaciones y ar-
chivos que se sabe habrán de usarse de inmediato. Esto coloca una considerable presión
para crear copias de seguridad correctas y asegurarse de que se tiene un buen inventario
de aplicaciones, pero, dado que usted es quien lo hace, reformatear el disco duro es buena
solución. Sin embargo, requiere mucho tiempo y trabajo, por el tiempo necesario para
recargar lo que se quiere en el disco duro.
La limpieza de un servidor agrega todavía otra dimensión, pues cubre la información
relacionada con permisos y usuarios. En esencia, debe auditarse la base de datos de permisos
y usuarios; deben eliminarse entradas duplicadas o sin uso. De nuevo, ésta es una clase de
tarea que, con frecuencia, se deja a un lado, pero realmente necesaria si quiere tener un sistema
limpio y eficiente. Explicar a los usuarios que van a tener un respaldo seguro, y que si en
realidad necesitan un archivo podrán cargarlo de nuevo, ayuda a convencerlos de que está
bien quitar del servidor la información poco usada (nadie va a aceptar que nunca se usa).
Actualice el hardware
Al igual que la limpieza del disco duro, a menudo se dejan a un lado actualizaciones de hard-
ware porque pueden perturbar al sistema. Por ello, utilice la excusa del “nuevo sistema opera-
tivo” para lograrlo. Use el inventario que hizo antes para determinar el hardware que necesita
o quiera actualizar, también compre e instale hardware antes de instalar Windows Server
2008; así, el nuevo sistema operativo tendrá el beneficio del nuevo hardware. Cuando haga
esto, considere actualizar el BIOS de la tarjeta madre, remitiéndose al sitio Web del fabricante
para saber si hay una actualización y, en caso de haberla, pensar si ésta le beneficiará.
Deshabilite el hardware y software conflictivos

Si ejecuta cierto hardware y software, es probable que falle la instalación. Por ello, deben darse
los siguientes pasos en cada equipo para preparar una instalación de Windows Server 2008:
02 MATTHEWS 01.indd 41 1/14/09 12:12:43 PM

▼ Deshabilite cualquier dispositivo “no break” conectado al puerto serial del equipo,
desconectando el cable. El dispositivo puede causar problemas con el proceso de
detección de dispositivos del programa de instalación. Puede reconectar el cable lue-
go de haber finalizado la instalación
■ Si usa copias de espejo de discos, necesita deshabilitarlas antes de arrancar la insta-
lación. Podrá reiniciar está función cuando la instalación esté completa
▲ Detenga todos los programas en ejecución, sobre todo los de detección de virus,
antes de arrancar la instalación. Es probable que estos programas envíen mensajes
falsos advirtiendo la presencia de virus mientras la instalación escribe en el disco.
En algunas ocasiones, estos programas arrancan automáticamente cuando el siste-
ma enciende; por ello, deberá tomar medidas para encontrarlos y detenerlos, de la
siguiente manera:
1. Haga clic en Inicio|Todos los programas|Inicio, y quite cualquier programa
que encuentre ahí. De manera similar, quite cualquier programa en el archivo
Autoexec.bat.
2. Reinicie el equipo, haga clic con el botón derecho, en cualquier icono que se
encuentre en el extremo derecho de la barra de tareas y seleccione Cerrar, Des-
habilitar o Salir, si existe alguna de estas opciones.
3. Oprima ctrl+alt+supr y haga clic en Administrador de tareas (o Iniciar el
administrador de tareas, en Windows Vista y Server 2008) para abrir el Admi-
nistrador de Tareas de Windows, mostrado en la figura 2-9.
4. Seleccione cada uno de los programas de la ficha Aplicaciones que estén en
ejecución y haga clic en Finalizar Tarea. Además, puede dirigirse a la opción
Agregar o quitar programas (o Programas y características en Windows Vista
y Server 2008) del Panel de control y retirar cualquier programa restante que
arranque automáticamente.
Figura 2-9. Las aplicaciones pueden detenerse en el Administrador de tareas.
02 MATTHEWS 01.indd 42 1/14/09 12:12:43 PM

PLANEE UNA MIGRACIÓN A WINDOWS SERVER 2008

El recorrido de las tareas descritas hasta ahora en este capítulo para un servidor y estaciones
de trabajo es una importante cantidad de trabajo; hacerlo para cierta cantidad de servido-
res y muchas estaciones de trabajo son palabras mayores. En ambos casos, es de gran ayuda
tener un plan sólido para hacerlo y, en el caso de una gran instalación, resulta obligatorio.
El plan de migración debe reflejar a la organización para la cual se diseña, pero casi
todos los planes deben cubrir los siguientes pasos:
1. Identificar los equipos que deberán actualizarse o instalarse con Windows Server
2008 o Windows Vista y el orden en que sus actualizaciones deberán completarse.
2. Identificar el hardware que debe comprar e instalar para que el paso 1 puede realizarse.
3. Asignarle a alguien la tarea de desarrollar una lista detallada de tareas necesarias
para los pasos 1 y 2.
4. Desarrollar un cronograma para completar las tareas del paso 3.
5. Determinar un conjunto de fechas de instalación causando el menor inconveniente
a las actividades normales de la compañía. Un fin de semana largo es, con frecuen-
cia, buena idea para todo el mundo, excepto para quienes hacen el cambio.
6. Desarrollar un presupuesto para el software, hardware y trabajo especificados en
los pasos anteriores.
7. Identificar de manera realista las posibles interrupciones al trabajo de la compañía
y el costo de éstas.
8. Identificar los beneficios de cambiar a Windows Server 2008 y la manera en que
esos beneficios se traducen en reducción de costos y mejores beneficios.
Muchas organizaciones de cualquier tamaño requieren un plan como éste y la dirección
ejecutiva revisará con profundidad los resultados de los pasos 6 a 8. No sólo se trata, por
supuesto, de una simple comparación numérica. Los montos señalados en el paso 6 repre-
sentan dinero real así como los montos en los pasos 7 y 8 pueden ser difíciles de identificar.
La verdadera pregunta es si los beneficios de Windows Server 2008 cubren los costos y qué
tan bien le irá a la compañía con el cambio. Cada organización debe responder a esta pre-
gunta por sí misma.
Llevar a cabo la migración de un sistema operativo a otro es un tema serio. Diversas
compañías han sufrido daños significativos cuando las actualizaciones se han hecho mal; en
cambio, han obtenido grandes beneficios hechas de manera correcta. Aquí hay tres elemen-
tos clave para el éxito:
▼ Tenga conocimiento detallado de sus equipos y sistema de red actual además de lo
que desea lograr con Windows Server 2008
■ Elabore un plan detallado de cómo va a llevar a cabo la conversión con el menor
costo e inconvenientes para la organización
▲ Comuníquese continua y exhaustivamente con todos los involucrados
02 MATTHEWS 01.indd 43 1/14/09 12:12:44 PM

03 MATTHEWS 01.indd 44 1/14/09 12:13:14 PM
CAPÍTULO 3
Instalación de
Windows Server
2008
45
03 MATTHEWS 01.indd 45 1/14/09 12:13:14 PM

E
l proceso físico de instalación del software Windows Server 2008 en un servidor es
casi trivial y se ha vuelto mucho más simple que con Windows Server 2003. La confi-
guración del servidor, una vez instalado el sistema operativo, no es mucho más difícil
que la de Windows Server 2003, aunque es un proceso más sustancial. Una vez completada
la preparación descrita en el capítulo 2, estará listo para iniciar la instalación real de Win-
dows Server 2008. Si no ha leído el capítulo 2 ni completado los pasos anteriores, le reco-
miendo ampliamente que lo haga antes de continuar.
PREPARE WINDOWS SERVER 2003

PARA LA ACTUALIZACIÓN
Para actualizar Windows Server 2003, debe actualizarlo antes, al menos al Service Pack 1
(SP1), y se recomienda actualizar al Service Pack 2 (SP2). Además, debe actualizar la estruc-
tura del dominio de Active Directory para que dé soporte a Windows Server 2008.
Actualice Windows Server 2003 a SP1 o SP2

La manera más sencilla de actualizar Windows Server 2003 para instalar Windows Server
2008 es emplear Windows Update.
1. Mientras está en Windows Server 2003, dé clic en Inicio|Todos los programas|

Windows Update. Se conectará al sitio Web de Microsoft Windows Update. Siga
las instrucciones para determinar las actualizaciones necesarias, así como descar-
garlas e instalarlas. Esto puede tomar más de una hora para SP2.
2. Cuando la actualización ha terminado, se le dirá que el equipo debe reiniciarse. Hágalo.
Actualice el Active Directory

Para actualizar la estructura del dominio de Active Directory, es necesario estar ubicado en
el equipo maestro de operaciones de infraestructura del dominio y ejecute un programa del DVD
de Windows Server 2008.
1. Para identificar el equipo maestro de operaciones de infraestructura del dominio,
haga clic en Inicio|Herramientas administrativas|Usuarios y equipos, de Active
Directory, para abrir la ventana Usuarios y equipos de Active Directory.
2. Haga clic con el botón derecho en el objeto del dominio y dé clic en Maestros de
operaciones. En el cuadro de diálogo Maestros de operaciones, haga clic en la pesta-
ña Infraestructura. Tome nota del nombre del equipo Maestro de operaciones, cierre
el cuadro de diálogo y la ventana Usuarios y equipos de Active Directory.
03 MATTHEWS 01.indd 46 1/14/09 12:13:14 PM

Capítulo 3: Instalación de Windows Server 2008 47
3. Inicie sesión en el equipo maestro de operaciones de infraestructura, con permisos

para un administrador de dominio e inserte el DVD de Windows Server 2008 en
la unidad. En el Explorador de Windows, ubique la carpeta \sources\adprep\ y
arrástrela al disco duro del equipo.
4. Haga clic en Inicio|Símbolo del sistema. Escriba cd \adprep\ para abrir la carpeta.
5. Teclee adprep /forestprep y oprima enter para actualizar la información del bos-
que. Recibirá una advertencia de que todos los controladores de dominio de Active
Directory de Windows 2000 deben actualizarse a SP4.
6. Teclee c y oprima enter. Después de unos minutos (aunque, el tiempo puede va-
riar), obtendrá un mensaje acerca de la actualización correcta de la información.
7. Escriba adprep/domainprep/gpprep y oprima enter para actualizar la informa-
ción de todo el dominio y las directivas de grupo.
8. Cuando obtenga el mensaje de que Adprep ha completado correctamente la actua-
lización, cierre el indicador de comandos y la ventana Usuarios y equipos de Active
Directory.
NOTA En caso de obtener un mensaje acerca de que Adprep ha detectado que el domi-
nio no está en modo nativo (que significa puede haber dominios de Windows NT y 2000
en el bosque), cambie al modo nativo abriendo la ventana Usuarios y equipos de Active
Directory, haciendo clic con el botón derecho en el panel izquierdo y luego haciendo clic
en Elevar nivel funcional del dominio. En el cuadro de diálogo que se abre, seleccione Win-
dows Server 2003 de la lista desplegable y dé clic en Cerrar.
03 MATTHEWS 01.indd 47 1/14/09 12:13:14 PM

ESCOJA UN MÉTODO DE INSTALACIÓN

Hay varias maneras de instalar Windows Server 2008, pero se dividen en tres categorías:
▼ Manual Una persona se sienta frente al equipo donde instalará el sistema operati-
vo y, en tiempo real, efectúa la instalación en esa máquina.
■ Automatizada Se emplea un archivo de secuencia de comandos o de respuestas
para llevar a cabo la instalación, de tal manera que la persona no deba estar frente
al equipo para instalar el sistema operativo.
▲ Remota Una persona se sienta frente a un servidor y efectúa la instalación del
equipo en red. La instalación puede ser manual o automatizada.
En este capítulo se describe de manera detallada el método manual, con algunas va-
riaciones. En el capítulo 4 se describe el método automatizado mediante los Servicios de
implementación de Windows; requiere tarjetas de red que puedan arrancarse de manera
remota y tarjetas madre que les den soporte, además de un servidor dedicado o volumen
(una partición) en un servidor.
El proceso de instalación de Windows Server 2008, sin importar el método, tiene tres
fases distintas; cada una de ellas necesita un análisis propio:
▼ Inicio de la instalación
■ Ejecución de la instalación
▲ Configuración de un servidor
INICIO DE LA INSTALACIÓN
La instalación puede iniciarse al arrancar directamente desde el DVD de instalación de Win-
dows Server 2008 o una instalación existente de Windows, donde los archivos de instalación
de Windows Server 2008 estén disponibles, ya sea de manera local o en red. Ambos métodos
tienen mucho en común.
NOTA La instalación en red es diferente de la remota. La primera invierte posiciones.

Usted se encuentra frente a la máquina en que instala y accede a la red para obtener los
archivos de instalación. Con la instalación remota, está frente al servidor instalando en una
máquina conectada en red.
Inicio de la instalación mediante arranque directo

Puede arrancar directamente la instalación con un disco duro nuevo sin formatear o uno
que tenga cualquier sistema operativo. La única pregunta es si puede arrancar desde un
DVD, que es obligatorio.
NOTA Si arranca la instalación directamente, no se puede hacer actualización. Debe

iniciar el programa de instalación desde el producto que está actualizando.
03 MATTHEWS 01.indd 48 1/14/09 12:13:14 PM

Si el sistema en que quiere hacer la instalación cuenta con la opción para arrancar desde
un DVD, entonces puede arrancar el programa de instalación siguiendo estos pasos:
1. Inserte el DVD de Windows Server 2008 en la unidad de DVD.
2. Reinicie el equipo.
3. Inmediatamente después de la pantalla inicial de arranque, arriba a la izquierda,
deberá ver el mensaje: “Presione cualquier tecla para iniciar desde el CD o DVD”.
Luego oprima cualquier tecla.
4. Se cargará el programa de instalación de Windows Server 2008 y solicitará elegir idio-
ma, formato de fecha, moneda y teclado. Cuando esté listo, haga clic en Siguiente.
5. Aparecerá el cuadro de diálogo Instalar Windows, como se muestra en la figura 3-1.
Haga clic en Instalar ahora.
NOTA Cuando arranque desde el DVD, tendrá la opción Reparar el equipo, sólo disponi-
ble cuando arranca desde el DVD y, por tanto, no se muestra en la figura 3-1 (porque sólo
se puede tomar una captura de pantalla cuando la instalación se ejecuta bajo una versión
distinta de Windows).
Figura 3-1. La ventana inicial de instalación se verá ligeramente diferente si arrancó desde
el DVD o inició desde una versión más reciente de Windows. La figura muestra esto último.
03 MATTHEWS 01.indd 49 1/14/09 12:13:15 PM

¿No puede arrancar desde un DVD?

Si no puede arrancar desde un DVD, pero cree que debe tener esta opción (casi todos los
equipos recientes pueden arrancar desde un DVD, si hay unidad de DVD instalada), deberá
cambiar uno o más parámetros del sistema BIOS (Basic Input/Output System, sistema bási-
co de entrada/salida), registrados al principio del proceso de arranque. La manera en que se
entra al BIOS se identifica generalmente en la primera pantalla de arranque. Con frecuencia
se oprimen y mantienen oprimidas las teclas de función f1 o f2. A veces, las teclas supr y
esc se usan juntas para este propósito. Una vez que haya entrado al BIOS, deberá cambiar la
secuencia de arranque, para que así primero arranque desde el DVD, antes que con el disco
duro. En el BIOS:
1. Busque una opción, menú o pestaña que digan “Boot” (arranque) o “Boot Sequence”
(secuencia de arranque), haga clic en ella o utilice las flechas u otras teclas para selec-
cionarla o abrirla, y ver las opciones de arranque.
2. Verá una lista con la secuencia en que se acceden los dispositivos de arranque; una
lista como ésta:
▼ Disco duro interno (o HDD)
■ Unidad CD/DVD
■ Disco flexible
▲ Tarjeta de red interna
3. Deberá cambiar el orden para que la unidad de DVD sea la primera; de otra forma,
algún otro dispositivo con una prioridad más alta, como el disco duro, se utilizará
para arrancar el equipo.
4. La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los
casos las instrucciones se encuentran en la pantalla. Usualmente, se manejan las teclas
de flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabi-
litarla y se usan las teclas + y – o las teclas u o d para subir o bajar las opciones, utili-
ce enter o una tecla de función para terminar y registrar el cambio, luego presione
esc u otra tecla de función para cancelar cualquier cambio.
SUGERENCIA Si tiene dos unidades DVD, como un DVD-ROM y un DVD-RW, pruebe

con ambas; es probable que una funcione y la otra no.
Si no puede arrancar desde un DVD, sólo existe otra opción: iniciar el programa de
instalación de Windows Server 2008 desde una versión de Windows reciente (vea la si-
guiente sección).
Inicio desde una versión de Windows reciente

Puede iniciar el programa de instalación de Windows Server 2008 desde una versión recien-
te de Windows, a partir de Windows 2000 (“iniciar” el programa de instalación desde estos
sistemas operativos no significa que pueda “actualizar” desde ellos). Este arranque puede
hacerse insertando el DVD mientras Windows está en ejecución o localizando el conjunto
de archivos de instalación en el disco duro, la unidad DVD local o red.
03 MATTHEWS 01.indd 50 1/14/09 12:13:15 PM

NOTA Puede actualizar a Windows Server 2008 Standard Edition, desde Windows Ser-
ver 2003 Standard Edition (Service Pack 1 y posterior) y actualizar a Windows Server 2008
Enterprise Edition, desde Windows Server 2003 Standard o Enterprise Edition (Service
Pack 1 y posterior).
Inicio desde una unidad de DVD local

Con una versión reciente de Windows ejecutándose en el equipo que cuenta con la unidad
de DVD donde quiere instalar Windows Server 2008:
1. Inserte el DVD de Windows Server 2008 en la unidad.
2. Si está activada la característica Reproducción automática, se cargará el DVD y apa-
recerá el cuadro de diálogo de Reproducción automática. Haga clic en Ejecutar Setup.
exe para iniciar la instalación y ver el cuadro de diálogo inicial de instalación, como
se mostró en la figura 3-1.
3. Tal vez la característica de Reproducción automática ejecute automáticamente el pro-

grama de instalación y lo primero que vea será el cuadro de diálogo de instalación.
4. Cuando aparezca el cuadro de diálogo inicial de instalación, haga clic en Instalar ahora.
5. Si el cuadro de diálogo Reproducción automática no aparece o no funciona como se
supone y no ve el cuadro de diálogo inicial de instalación, use las instrucciones de la
siguiente sección “Inicie desde una unidad local o de red”.
Inicie desde una unidad local o de red

Los archivos de instalación pueden copiarse del DVD al disco duro, ya sea en el equipo local
o la red. Se puede iniciar el programa de instalación desde ese equipo, además de hacerlo,
con los permisos apropiados, desde una unidad DVD remota (siempre y cuando, por su-
puesto, esté conectado a dicha red).
1. En cualquier equipo de red (al que se le denomina “servidor de instalación”), inserte
el DVD de distribución de Windows Server 2008 en la unidad DVD-ROM.
2. Copie el contenido del DVD de distribución de Windows Server 2008 a una nueva
carpeta del disco duro, en el servidor de instalación y luego comparta esa carpeta;
también tiene la opción de compartir la unidad DVD-ROM de ese equipo.
03 MATTHEWS 01.indd 51 1/14/09 12:13:15 PM

Figura 3-2. El programa de instalación puede iniciarse desde el equipo y una unidad de red.
NOTA Para compartir una unidad, ya sea de disco duro o DVD, haga clic en Inicio | Equipo.
Localice el disco duro o unidad de DVD, haga clic con el botón derecho y elija Compartir.
Haga clic en Uso compartido avanzado; en Continuar, del Control de cuentas de usuario;
en Compartir esta carpeta y Permisos. En el cuadro de diálogo Permisos, tenga cuidado
de que Todos esté seleccionado al principio de la lista y dé clic en Control Total, bajo Per-
misos. Haga clic en Aceptar tres veces (o dos en Aceptar y una en Cerrar, dependiendo
del sistema operativo desde el que inicia).
3. En el equipo donde quiere instalar Windows Server 2008 (se le llama equipo “que se
instala”), haga clic en Inicio|Equipo. Ubique el servidor de instalación, la unidad y
carpeta en que se encuentra el DVD de Windows Server 2008.
4. Haga doble clic en Setup.exe, como se muestra en la figura 3-2, para iniciar la ins-
talación. Si comenzó desde Windows Vista, verá un cuadro de diálogo Control de
cuentas de usuario, preguntando si quiere permitir la ejecución de Setup.exe. Haga
clic en Permitir.
5. Se abrirá el cuadro de diálogo inicial de instalación. Haga clic en Instalar ahora.
EJECUTE LA INSTALACIÓN
La ejecución de la instalación de Windows Server 2008 es sencilla y sólo tiene pequeñas
variaciones, dependiendo de dónde se encuentre:
▼ Ejecutar una actualización iniciada desde Windows Server 2003
■ Ejecutar una instalación limpia iniciada desde una versión reciente de Windows
▲ Ejecutar una instalación limpia iniciada desde el DVD
03 MATTHEWS 01.indd 52 1/14/09 12:13:15 PM

Ejecución de una actualización

Una actualización a Windows Server 2008 debe hacerse desde Windows Server 2003 para la
misma edición o una inferior (en el caso de Standard a Enterprise). Esto significa que la insta-
lación debe iniciarse desde el producto que se actualiza. Además, algunos de los parámetros
para Windows Server 2008 se toman del sistema anterior.
PRECAUCIÓN Si instala Windows Server 2008 como actualización, no puede desinsta-

larlo, pero si falla la instalación, el sistema regresará a Windows Server 2003.
NOTA No puede actualizar a Windows Server 2008 Server Core.
Si ha iniciado desde Windows Server 2003 y ha hecho clic en Instalar ahora, debe tener
el cuadro de diálogo Obtenga importantes actualizaciones para la instalación en pantalla
(véase la figura 3-3), si tiene una conexión a Internet y los servicios apropiados. De ser así,
vaya al paso 1. De otro modo, verá la pantalla para registrar la clave de producto y deberá
iniciar con el paso 2.
1. Aunque tomará más tiempo, le recomiendo que haga clic en Obtener las actualiza-
ciones más recientes…, que, tras obtener las actualizaciones, mostrará el cuadro de
diálogo para registrar la clave de producto.
Figura 3-3. Se recomienda que obtenga las últimas actualizaciones antes de iniciar
el proceso de instalación.
03 MATTHEWS 01.indd 53 1/14/09 12:13:16 PM

2. Ingrese la clave de producto mostrada en el sobre o estuche del DVD de Windows

Server 2008 y dé clic en Siguiente.
3. En la opción entre Instalación completa o Instalación Server Core, si quiere actuali-
zar, debe seleccionar Instalación completa y hacer clic en Siguiente.
4. Haga clic en Acepto los términos de licencia (de lo contrario, tendría que olvidarse
de instalar Windows Server 2008) y haga clic en Siguiente.
5. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4,
haga clic en Actualización.
NOTA Si no ha instalado por lo menos el Service Pack 1 (SP1) para Windows Server
2003, se le recordará que debe hacerlo antes de actualizar a Windows Server 2008.
6. Se le recordará que necesita asegurarse de que sus programas actuales son compa-
tibles con Windows Server 2008. Esto se expone en el capítulo 2. Cuando esté listo,
haga clic en Siguiente.
Figura 3-4. Con una actualización, se preservan sus programas y ajustes actuales.
03 MATTHEWS 01.indd 54 1/14/09 12:13:16 PM

7. El programa de instalación empezará por copiar y recopilar archivos. Pasará a ex-

pandir archivos e instalar características y actualizaciones, después completará la
actualización. Durante este proceso, el equipo se reiniciará varias veces y tendrá
que hacer clic en Aceptar, para facilitarlo. Tras el último reinicio, arrancará Win-
dows Server 2008.
8. Oprima ctrl+alt+supr y escriba la contraseña del administrador para iniciar sesión.
El escritorio de Windows Server 2008 se mostrará junto con la ventana Administrador
del servidor (véase la figura 3-5). Esta ventana y los pasos para configurar Windo-
ws Server 2008 se exponen más adelante en este capítulo bajo el título: “Configure
un servidor”.
NOTA El tiempo que toma hacer una instalación limpia es mínimo, entre 15 y 20 minutos.
Sin embargo, una actualización, puede llevar una o varias horas, dependiendo de la com-
plejidad del servidor que actualice.
Figura 3-5. Cuando se hace una actualización, se omite la ventana Tareas de configuración inicial.
03 MATTHEWS 01.indd 55 1/14/09 12:13:16 PM

Ejecute una instalación limpia iniciada desde

una versión reciente de Windows
PRECAUCIÓN Por definición, una instalación limpia se da cuando ha eliminado (y, por
tanto, perdido) o habrá de eliminarse (y perderse) cualquier cosa en la partición del disco
duro o volumen, para proporcionar una partición de disco duro limpia.
Si ha iniciado desde una versión reciente de Windows e hizo clic en Instalar ahora, de-
berá tener en su pantalla el cuadro de diálogo Obtener actualizaciones importantes para la
instalación.
1. Igual que en la actualización, recomiendo que haga clic en Obtener las actualizacio-
nes más recientes…, lo cual, después de obtenerlas, desplegará el cuadro de diálogo
para registrar la llave de producto, como se presenta en la figura 3-6.
2. Escriba la clave de producto que se muestra ya sea en el sobre, estuche del DVD de
Windows Server 2008 o documento separado y dé clic en Siguiente.
3. En la selección entre Instalación completa e Instalación Server Core, debe decidir si
quiere un servidor con propósito limitado, donde puede usar Server Core (consulte
lo expuesto en el capítulo 2) o si necesita todas las características del servidor, en
cuyo caso deberá seleccionar Instalación completa y hacer clic en Siguiente.
Figura 3-6. Si usted o su compañía compran en volumen las licencias de Windows Server 2008,
obtendrá las claves de producto en un documento separado.
03 MATTHEWS 01.indd 56 1/14/09 12:13:16 PM

4. Haga clic en Acepto los términos de licencia y dé clic en Siguiente.

5. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4, a
menos que haya iniciado desde Windows Server 2003, su única opción es hacer clic
en Personalizar; después, haga clic en Siguiente.
6. Se le preguntará dónde quiere instalar Windows Server 2008. Seleccione la partición
deseada (vea la figura 3-7) y haga clic en Siguiente.
7. La instalación empezará la copia y expansión de archivos y se instalarán caracte-
rísticas y actualizaciones, reiniciando algunas veces durante el proceso. Cuando
haya terminado, se indicará que la contraseña del usuario debe cambiarse. Haga
clic en Aceptar.
8. Escriba su nueva contraseña, luego confírmela y haga clic en Aceptar. Aparecerá
el escritorio de Windows y se desplegará la ventana Tareas de configuración
inicial, como se ilustra en la figura 3-8. Esta ventana y los pasos para configurar
Windows Server 2008 se analizan más adelante en este capítulo, bajo el tema:
“Configure un servidor”.
Figura 3-7. Necesita tener una partición en que instalar Windows Server 2008, formateada con NTFS.
03 MATTHEWS 01.indd 57 1/14/09 12:13:17 PM

Figura 3-8. Después de una instalación limpia, la opción predeterminada es una resolución
menor para la pantalla.
Ejecute una instalación limpia iniciada al arranque

Cuando arranca desde el DVD y hace clic en Instalar ahora, como se describió antes, no tie-
ne oportunidad para obtener actualizaciones; en cambio, va de inmediato a la captura de la
clave del producto. Esto se debe a que la obtención de las actualizaciones requiere conexión
a Internet, que no está disponible si arrancó desde el DVD.
1. Escriba la clave de producto mostrada en el sobre, estuche del DVD de Windows
Server 2008 o documento separado; bajo circunstancias normales deseará activar
automáticamente Windows. Haga clic en Siguiente.
2. En la selección entre Instalación completa o Instalación Server Core, decida si quiere
un servidor de propósito limitado donde puede utilizar Server Core (consulte el
capítulo 2), o si necesita todas las características del servidor, en cuyo caso deberá
escoger Instalación completa. Una vez que haya decidido, haga clic en Siguiente.
03 MATTHEWS 01.indd 58 1/14/09 12:13:17 PM

3. Haga clic en Acepto los términos de licencia y luego en Siguiente.

4. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrada en la figura 3-4,
su única opción será hacer clic en Personalizada, después dé clic en Siguiente.
5. Se le preguntará dónde quiere instalar Windows Server 2008. Elija la partición de-
seada. Si quiere extender o eliminar esa partición, o crear una nueva (extender y
crear sólo son posibles si tiene espacio sin usar en el disco duro, tiene una partición
formateada o ambas); haga clic en Opciones de disco (Avanzadas). De otra forma,
Si hizo clic en Opciones de disco y la partición que desea usar está seleccionada,
haga clic en una de las opciones. Se le dará cualquier mensaje de advertencia nece-
sario; haga clic en Aceptar o Cancelar. Cuando haya completado su trabajo con las
particiones, haga clic en Siguiente.
SUGERENCIA Para formatear una partición necesita poco tiempo; mucho menos que el
necesario para un formateado normal.
6. La instalación empezará por copiar y expandir archivos, a instalar características y

actualizaciones, mientras se reinicia unas cuantas veces durante el proceso. Cuando
termine, se le informará que debe cambiar la cuenta del usuario. Haga clic en Aceptar.
NOTA Con Windows Server 2008 deben usarse contraseñas “fuertes”, que tengan por
lo menos ocho caracteres, incluidas letras mayúsculas y minúsculas, además de números
y caracteres especiales.
7. Ingrese su nueva contraseña, luego confírmela, oprima enter y haga clic en Acep-
tar cuando le indique que ha cambiado la contraseña. Aparecerá el escritorio de
Windows y se desplegará la ventana Tareas de configuración inicial, como se mos-
tró en la figura 3-8. Esta ventana y los pasos para configurar Windows Server 2008
se detallan en la siguiente sección.
CONFIGURE UN SERVIDOR
El tema central de la mayor parte de este libro es la configuración de un servidor. El pro-
pósito, aquí, es realizar la configuración inicial necesaria para tener un servidor útil. En el
resto del libro se analiza la manera de ajustar finamente estas y muchas otras características.
Por esta razón, el análisis es breve y limitado, en comparación con lo que necesita para una
configuración inicial del servidor.
Inicialización y personalización
Los primeros pasos que la mayoría quiere dar tras la instalación de un nuevo sistema ope-
rativo son inicializarlo y personalizarlo, para que tenga el aspecto y opere de la manera
que desee. Si ha hecho una actualización, muchos de estos pasos ya no son necesarios,
03 MATTHEWS 01.indd 59 1/14/09 12:13:17 PM

porque sus preferencias o las de su organización se han transferido desde Windows Ser-
ver 2003. Aun con una actualización, todavía es deseable seguir los pasos para asegurar
que nada ha cambiado.
Tareas de configuración inicial

La ventana Tareas de configuración inicial mostrada en la figura 3-8, la primera ventana que
se abre luego de una instalación limpia, es un buen lugar para empezar la configuración
de un servidor (si hizo una actualización, no verá esta ventana y muchos de los ajustes se
habrán transferido desde Windows Server 2003). Recorra la ventana Tareas de configura-
ción inicial con estos pasos:
1. En la ventana Tareas de configuración inicial, revise hora y zona horaria mostradas;
si no son correctas, haga clic en Establecer zona horaria. Haga los cambios necesa-
rios y cierre los cuadros de diálogo que se abran.
2. Omita Configurar funciones de red, porque esta sección se describe más adelante.
Haga clic en Proporcionar nombre de equipo y dominio. Escriba la descripción del
equipo y, si lo desea, haga clic en Cambiar.
3. Ingrese el nombre del equipo que se usará en la red, luego seleccione dominio o
grupo de trabajo e ingrese un nombre del dominio o grupo de trabajo del que el
equipo será miembro. Se le dará la bienvenida al dominio o grupo de trabajo. Haga
clic en Aceptar. Se le pedirá reiniciar el equipo.
4. Si quiere habilitar las actualizaciones automáticas (lo más recomendable) haga clic
en esa opción y luego en Habilitar comentarios y actualizaciones automáticas de
Windows.
5. Si quiere buscar y descargar las últimas actualizaciones para Windows Server
2008 (de nuevo, es recomendable), haga clic en esa opción y siga las instrucciones.
Cuando haya terminado, cierre Internet Explorer y vuelva a la ventana de Tareas
de configuración inicial.
03 MATTHEWS 01.indd 60 1/14/09 12:13:17 PM

6. Deje los ajustes de funciones y características para el análisis que comienza más
adelante en este capítulo bajo “Instale funciones de servidor”, que continúa en al-
gunos capítulos de este libro.
7. Tal vez no necesite la ventana Tareas de configuración inicial en el futuro, una vez
que haya hecho los ajustes anteriores. Todas las opciones de la ventana Tareas de
configuración inicial pueden hacerse en otros lugares en Windows Server 2008. Si
no quiere ver la ventana Tareas de configuración inicial siempre que inicie Win-
dows, haga clic en No mostrar esta ventana al iniciar sesión.
8. Cuando haya terminado con la ventana Tareas de configuración inicial, haga clic en
Cerrar. Se abrirá la ventana Administrador del servidor. Esta ventana se describirá
a profundidad más adelante en este capítulo, bajo el tema: “Instale funciones de
servidor”. Por ahora, haga clic en minimizar para hacer otras tareas preparatorias.
Personalice el escritorio
Es importante que Windows tenga el aspecto y responda de la manera
deseada, para que sea lo más eficiente posible. Para esto, querrá empezar
por personalizar el escritorio.
1. Haga clic con el botón derecho en el escritorio y seleccione Personali-
zar. Se abrirá la ventana Personalización, mostrada en la figura 3-9.
2. Haga clic en Configuración de pantalla, arrastre la barra deslizable Resolución y
establezca la densidad del color deseada, haga clic en Aceptar y luego responda Sí
a la pregunta: ¿desea conservar esta configuración de pantalla?
03 MATTHEWS 01.indd 61 1/14/09 12:13:18 PM

Figura 3-9. La personalización del escritorio evita que pequeñas cosas sean problemáticas.
3. Haga clic en Color y apariencia de las

ventanas. Dé clic en Efectos, realice
cualquier cambio que desee (ClearTy-
pe y es muy útil con pantallas planas
LCD) y dé clic en Aceptar. Haga clic en
Opciones avanzadas, realice cualquier
cambio de su elección y haga clic dos
veces en Aceptar.
4. Haga clic en Cambiar iconos del escri-
torio, en la columna Tareas. Haga clic
en cualquier icono adicional que prefie-
ra tener en el escritorio, como Equipo, y
haga clic en Aceptar.
03 MATTHEWS 01.indd 62 1/14/09 12:13:18 PM

5. Haga clic en Barra de tareas y menú Inicio, revise cada una de las pestañas y sus
opciones, realice los cambios de su preferencia y haga clic en Aceptar.
6. De manera similar, revise las opciones restantes en la ventana Personalización y

haga los cambios deseados. Cuando esté listo, cierre la ventana Personalización.
7. Para ajustar la barra de herramientas Inicio rápido, ubicada junto al menú Inicio,
añadiendo a ella, por ejemplo, un acceso directo a Equipo, haga clic en Inicio y
arrastre la palabra Equipo a la barra de herramientas Inicio rápido. Aquí, verá que
se han agregado Equipo e Internet Explorer.
Configure las funciones de red

En este libro, se dedica espacio considerable al trabajo en red y a configurarla de la mejor
forma para su organización. En este capítulo, sólo nos aseguraremos de que funciona y, tal
vez, haremos algunos cambios rápidos de opciones para lograrlo.
1. Haga clic en Inicio|Panel de control. En la ventana Panel de control que se abre,
haga doble clic en Centro de redes y recursos compartidos. Se abre la ventana del
mismo nombre, como se aprecia en la figura 3-10.
03 MATTHEWS 01.indd 63 1/14/09 12:13:18 PM

Figura 3-10. El Centro de redes y recursos compartidos es un verdadero panel de control que
proporciona grandes cantidades de información y control en una sola ventana.
En la parte superior del diagrama de la figura 3-10, observará que el servidor es

parte de una red, a su vez conectada a Internet; esas conexiones funcionan como se
espera (si su Centro de redes y recursos compartidos no muestra que su equipo está
conectado a la red, consulte “Conexión a una red”, en la página posterior de este
capítulo). Si hizo una actualización o una instalación limpia y, en el caso de una
actualización, si el sistema estaba en un dominio, tal vez en un controlador de do-
minio, su Centro de redes y recursos compartidos podría verse diferente a la figura
3-10, que representa una instalación limpia en un servidor convencional.
2. Dado que este servidor es parte de una red de área local (LAN, Local Area Network)
en una organización, tal vez quiera cambiar el tipo de red al que está conectado,
de la opción predeterminada Red pública (con una instalación limpia), a una Red
privada, con más opciones para compartir y descubrir, así como facilitar mayor
intercambio de información. Para esto:
03 MATTHEWS 01.indd 64 1/14/09 12:13:19 PM

a. Haga clic en Personalizar y luego en Privada. Haga clic en Siguiente y en Cerrar.
b. Haga clic en la flecha hacia abajo en el área Detección de redes; dé clic en Activar
la detección de redes y en Aplicar.
c. Haga clic en la flecha hacia abajo, en el área Uso compartido de archivos, haga clic
en Activar el uso compartido de archivos y haga clic en Aplicar.
d. Haga clic en la flecha hacia abajo en el área Uso compartido, de la carpeta Acceso
público, haga clic en Activar el uso compartido para que todos los usuarios con
acceso a la red puedan abrir archivos o, si lo desea, la segunda opción relacionada
con abrir, cambiar y crear archivos; dé clic en Aplicar.
e. Haga clic en la flecha hacia abajo, en el área Uso compartido de impresoras, haga
clic en Activar el uso compartido de impresoras (sólo estará disponible si tiene una
impresora conectada) y haga clic en Aplicar.
f. Como opción, haga clic en la flecha hacia abajo en el área Uso compartido con pro-
tección por contraseña, haga clic en Desactivar el uso compartido con protección
por contraseña; dé clic en Aplicar.
3. Cuando esté listo, cierre el Centro de redes y recursos compartidos.
Conexión a una red

En casi todos los servidores con cinco años o menos, la instalación de Windows Server 2008
podrá establecer una conexión de red y, si está disponible, una conexión a Internet. Si su
Centro de redes y recursos compartidos muestra que no tiene conexión, siga estos pasos:
03 MATTHEWS 01.indd 65 1/14/09 12:13:19 PM

1. Asegúrese de que su equipo tiene buena conexión física a la red. Si no está seguro,
pruebe con otro equipo usando el mismo cable.
2. Asegúrese de que otros equipos en la red funcionen adecuadamente.
3. En el Centro de redes y recursos compartidos (consulte “Configure las funciones de
red”, en páginas anteriores de este capítulo), haga clic en Administrar conexiones
de red, en la columna de la izquierda, Tareas. Deberá ver Conexión de área local. De
no ser así, necesita revisar los capítulos 5 y 6 sobre trabajo en red, configuración y
administración de una red.
4. Haga clic con el botón derecho en Conexión de área local y seleccione Estado. Se
abrirá el cuadro de diálogo Estado de Conexión de área local. Si la conexión funcio-
na de manera apropiada, verá actividad (en bytes) de envío y recepción.
03 MATTHEWS 01.indd 66 1/14/09 12:13:19 PM

5. Si no ve actividad de red, haga clic en Propiedades para abrir el cuadro de diálogo

Propiedades de Conexión de área local. Haga clic en Protocolo de Internet versión
4 (TCP/IPv4) y haga clic en Propiedades.
6. Si está seleccionada la opción Obtener una dirección IP automáticamente, haga clic
en Opciones avanzadas. En el cuadro de diálogo Configuración avanzada de TCP/
IP, deberá ver DHCP habilitado, indicando que un servidor de protocolo de confi-
guración dinámica de host (DHCP, Dynamic Host Configuration Protocol) resuelve
la dirección del Protocolo de Internet (IP, Internet Protocol). Haga clic en Aceptar.
7. Si no ve DHCP habilitado, regrese al cuadro de diálogo Propiedades de Protocolo

de Internet versión 4. Debe hacer clic en Usar la siguiente dirección IP y capturar
una dirección. También es necesario que sea un servidor DHCP. Tanto el direccio-
namiento como la habilitación de la función de servidor DHCP se describen bajo el
tema: “Instale funciones de servidor”, en páginas posteriores de este capítulo.
8. Cierre todos los cuadros de diálogo y las ventanas abiertas y haga clic en Inicio|flecha
Apagar|Reiniciar. Escriba algo en el cuadro de texto de comentarios del Rastreador
de eventos de apagado y haga clic en Aceptar.
9. Cuando Windows Server 2008 haya reiniciado, haga clic en Inicio|Panel de control.
En el Panel de control, haga doble clic en Centro de redes y recursos compartidos.
Si la ventana Centro de redes y recursos compartidos todavía no muestra conexión con
la red, entonces deberá consultar los capítulos 5 y 6 para preparar el trabajo en red.
Explore su servidor
Antes de seguir configurando el servidor, eche un vistazo a la manera en que configura la
salida de la instalación. La cantidad de configuración inicial que deberá hacer dependerá
del hecho de que haya realizado una instalación limpia o actualización. Dado que esta úl-
tima mantiene muchas de las configuraciones anteriores y Active Directory se configura
aunque el servidor sea un controlador de dominio, tal vez haya pocas tareas para efectuar
en futuras sesiones. Para revisar esto, eche un vistazo al sistema antes de iniciar la configu-
ración, mediante los siguientes pasos:
1. Haga clic en Inicio y luego en Equipo. Cuando aparezca, haga clic en Carpetas, en la
columna de la izquierda y arrastre la línea sobre ella; al principio de la columna.
Abra Equipo y Red, para tener un aspecto de su sistema similar al de la figura 3-11.
03 MATTHEWS 01.indd 67 1/14/09 12:13:19 PM

Figura 3-11. Al abrir Equipo y Red, se muestra lo que hay disponible y puede verse desde el servidor.
2. Abra los discos duros y carpetas en esas unidades, haciendo doble clic en ellos para
ver qué hay en los discos.
3. Haga clic con el botón derecho en su disco o volumen de arranque (tal vez C:, que
deberá tener una marca de Windows en él) y haga clic en Propiedades, para ver
cuánto espacio tiene tras instalar Windows Server 2008.
03 MATTHEWS 01.indd 68 1/14/09 12:13:20 PM

4. Abra un equipo en su red, luego abra una de sus unidades para ver si está conecta-
do a la red y si puede encontrar equipos a las cuales vincularse.
03 MATTHEWS 01.indd 69 1/14/09 12:13:20 PM

5. Haga clic en Inicio y señale Herramientas administrativas. Observe que puede rei-
niciar el Administrador del servidor en el menú Inicio, la barra de herramientas
Inicio rápido y Herramientas administrativas. (Su menú de Herramientas admi-
nistrativas puede ser diferente del mostrado a continuación; dependerá si hizo una
actualización o no.)
6. Revise cualquier otro elemento que desee explorar. Cuando haya terminado, cierre
todos los cuadros de diálogo.
Esto da una breve revisión general de su servidor, pero debe darle una idea de qué tiene
pendiente para configurarlo.
Instale funciones de servidor

El Administrador de servidor es una nueva utilería en Windows Server 2008. Aunque re-
emplaza a la opción Administre su servidor de Windows Server 2003, ofrece una capacidad
de administración del servidor más completa, además de más información. En la figura 3-5,
vista en páginas anteriores de este capítulo, se muestra la ventana del Administrador del
servidor para una actualización de un controlador de dominio de Active Directory.
03 MATTHEWS 01.indd 70 1/14/09 12:13:20 PM

Figura 3-12. El Administrador del servidor es la utilería principal de administración

en Windows Server 2008.
En la figura 3-12 se muestra la ventana Administrador del servidor para una instalación
limpia luego de los pasos anteriores de inicialización y personalización.
1. Reabra el Administrador del servidor (debe estar en su barra de tareas; si no, haga
clic en Inicio|Herramientas administrativas|Administrador del servidor) y revise su
ventana. En la parte superior, hay información del equipo, seguridad y una serie
de vínculos para administrar tales áreas.
2. Desplácese hacia abajo: verá resúmenes de funciones y características, así como
vínculos para agregarlos y eliminarlos. Al final, hay vínculos con varios recursos y
opciones de ayuda.
Si hizo una instalación limpia, dio los pasos anteriores de inicialización y personali-
zación, tendrá instalada una función, Servicios de archivo y ninguna característica.
Si hizo una actualización, tal vez tenga cierto número de funciones y características
transferidas desde Windows Server 2003. Aquí hablaremos acerca de la instalación
de algunas funciones, pero en el resto del libro regresaremos con frecuencia al Ad-
ministrador del servidor para instalar una serie de funciones y características.
03 MATTHEWS 01.indd 71 1/14/09 12:13:20 PM

3. En el Administrador del servidor, en la columna de la izquierda, haga clic en Fun-

ciones; luego, bajo Resumen de funciones, haga clic a la derecha en Agregar funcio-
nes, para ver las que tiene disponibles. En seguida de comprobar que el servidor se
ha preparado correctamente, haga clic en Siguiente. Se abrirá el cuadro de diálogo
Asistente para agregar funciones del servidor, como se muestra en la figura 3-13
y podrá seleccionar una o más funciones para su servidor, como se describe en la
tabla 3-1. Puede abrir muchas veces el Asistente para agregar funciones, así como
instalar diferentes funciones y características.
4. Seleccione la función que quiera instalar y haga clic en Siguiente (algunas funciones
requieren instalación de componentes esenciales; todo lo que debe hacer es aprobar
su instalación cuando se le pregunte). Siga los pasos restantes del asistente para
terminar con la instalación de la función seleccionada.
Figura 3-13. Windows Server 2008 inicia ofreciendo 16 funciones, pero Microsoft puede añadir
otras para su descarga.
03 MATTHEWS 01.indd 72 1/14/09 12:13:21 PM

Función de servidor Descripción

Servicios de Certificate Otorga y administra certificados de seguridad requeridos por
Server de Active Directory muchas aplicaciones.
Servicios de dominio de Prepara el servicio de Active Directory y crea el controlador de do-
Active Directory minio para almacenar y administrar la información del directorio y
los procesos de inicio de sesión (se abrevia AD DS).
Servicios de federación Proporciona inicio de sesión único (SSO) y acceso personalizado
de Active Directory de cliente para aplicaciones basadas en Web y red.
Servicios de directorio Una opción a AD DS para el almacenamiento en red de datos de
ligero de Active Directory aplicación.
Active Directory Rights Proporciona licencias para identificar usuarios y darles derechos
Management Services específicos sobre el uso de la información.
Servidor de aplicaciones Proporciona acceso y servicios de administración a .NET Fra-
mework, así como otras aplicaciones Web para ser usada por
clientes con licencia.
Servidor DHCP Prepara el protocolo de configuración dinámica de host para
asignar direcciones IP a los clientes de la red.
Servidor DNS Prepara el sistema de nombres de dominio para traducir nom-
bres de equipos y sus dominios a direcciones del Protocolo de
Internet (IP).
Servidor de fax Proveedor para el envío y recepción de faxes y la administración
de los recursos de fax en la red.
Servicios de archivo Almacena y administra archivos accesibles para clientes.
Servicios de acceso y Instala el servidor de directivas de red, que ofrece servicios de
directivas de redes enrutamiento, acceso remoto y la seguridad necesarios.
Servicios de impresión Proporciona acceso a las impresoras de red y permite su admi-
nistración.
Terminal Services Instala un servicio que permite a un cliente ejecutar una aplica-
ción en el servidor como si fuera en el equipo cliente.
Servicios UDDI Proporciona elementos para compartir información en una intra-
net usando descripción, descubrimiento e integración universa-
les (UDDI, Universal Description, Discovery and Integration).
Servidor Web (IIS) Proporciona hospedaje de páginas Web y aplicaciones Web.
Servicios de implementa- Proporciona elementos para la implementación de sistemas ope-
ción de Windows rativos de Microsoft en una red.
Tabla 3-1. Funciones de servidor disponibles en el Administrador del servidor.
03 MATTHEWS 01.indd 73 1/14/09 12:13:21 PM

Decida si usa dominios o grupos de trabajo

Al instalar AD DS asume que ha decidido usar dominios en su red, en lugar de grupos de
trabajo. Un grupo de trabajo es una estructura simple de conectividad empleada para com-
partir carpetas e impresoras con un mínimo de seguridad. En un grupo de trabajo, no hay
estructura de servidor y existe poca diferencia entre servidores y clientes. Los grupos de
trabajo sólo se utilizan en las redes más pequeñas.
Un dominio tiene una estructura mucho más compleja que agrupa recursos de red y
cuentas de usuario bajo un nombre de dominio, susceptible de emplearse con varios niveles
de servidores que mantendrán copias replicadas automáticamente de la misma información
y, generalmente, brindan alto nivel de seguridad. El Active Directory de Windows Server
2008 requiere uno o más dominios.
A menos que posea una red muy pequeña, inferior a diez usuarios y pocas posibilida-
des de crecimiento, es recomendable escoger el uso de dominios.
Instalación de un servidor DNS

El sistema de nombres de dominio (DNS, Domain Name System) se usa para traducir o
“resolver” un nombre de equipo en dirección IP, y viceversa. DNS es obligatorio para AD
DS y DHCP, de no instalarse en la red, se instalará automáticamente con AD DS. Consulte
el capítulo 6 para conocer más información acerca de la instalación y uso de DNS. Aquí
se tratará la instalación con AD DS.
Instalación de los Servicios de dominio de Active Directory

Cuando selecciona que se instale AD DS, también elige que se instale un controlador de do-
minio. Active Directory, para consolidar el acceso a todos los recursos de la red en una sola
estructura jerárquica y un punto único de administración, es parte importante de Windows
Server 2008 y el tema al que se dedica casi todo el capítulo 7. Aquí, baste con decir que si
cuenta con varios servidores, querrá usar Active Directory, por la única razón de que conso-
lida nombre de usuario y contraseña de inicio de sesión para toda la red. Active Directory
debe residir en un controlador de dominio y requiere un servidor DNS. Parte de la configu-
ración de Active Directory se relaciona con verificar estos requisitos, además de preparar el
controlador de dominio. Este proceso se realiza en dos pasos:
▼ Utilizar el Asistente para agregar funciones, del Administrador del servidor, para
instalar AD DS.
▲ Utilizar el Asistente para instalación de AD DS para configurar AD DS, se trate de
un dominio nuevo o uno existente.
Instale los Servicios de dominio de Active Directory

1. En el Administrador del servidor, haga clic en Funciones, en la columna de la iz-
quierda, haga clic en Agregar funciones, en la parte derecha, y luego en Siguiente.
2. En el cuadro de diálogo Asistente para agregar funciones, haga clic en Servicios de
dominio de Active Directory, haga clic en Siguiente; lea introducción, notas e infor-
mación y haga clic en Siguiente. Tome nota de los mensajes y haga clic en Instalar.
03 MATTHEWS 01.indd 74 1/14/09 12:13:21 PM

Figura 3-14. El asistente para agregar funciones es el primero de dos pasos para instalar AD DS.
3. Empezará la instalación. Verá el avance en una barra de termómetro. Cuando esté

completa, se le dirá que la instalación fue correcta, como se observa en la figura
3-14. Haga clic en Cerrar.
Configure los Servicios de dominio de Active Directory en un dominio nuevo

1. En el área Resumen de funciones, del Administrador del servidor, haga clic en Ser-
vicios de dominio de Active Directory. En la apertura del panel de AD DS, haga clic
en Ejecute el Asistente para instalar los servicios de dominio de Active Directory, en
la barra de información.
2. Haga clic en Siguiente, en el Asistente para la instalación de Servicios de dominio
de Active Directory, que se abre. Escoja si va a usar un bosque existente, en cuyo
caso necesita seleccionar entre un dominio nuevo u otro ya existente o, si por el con-
trario, quiere crear un nuevo dominio en un nuevo bosque. Haga clic en Siguiente.
03 MATTHEWS 01.indd 75 1/14/09 12:13:21 PM

NOTA Si decidió crear un dominio sin usar contraseña sólida (al menos ocho caracteres
con mayúsculas y minúsculas, números y caracteres especiales), entonces necesita ge-
nerar una con tales características.
3. Ya seleccionada la creación de un nuevo dominio, escriba el nombre de dominio

plenamente calificado (FQDN, Fully Qualified Domain Name) para el nuevo do-
minio (por ejemplo, acme.org o acme.local) y haga clic en Siguiente. Escoja el nivel
funcional del bosque entre Windows 2000, Windows Server 2003 y Windows Server
2008, dependiendo de lo que tenga en la red. (Cuanto más elevado sea el nivel, más
características habrá disponibles.) Haga clic en Siguiente.
SUGERENCIA Si selecciona un nombre simple como “Ventas”, que es aceptable, se le

advertirá que no parece tratarse de un FQDN. De todas formas, es aceptable. Haga clic en
Sí para seguir adelante y utilizarlo, o No para regresar y cambiarlo.
4. Si el servidor actual es el primer controlador de dominio para un dominio y no un

servidor DNS, se le mencionará que bajo estas circunstancias, se recomienda que sea
un Servidor DNS, esa sección estará marcada. Ignórelo y haga clic en Siguiente.
5. Si el servidor tiene una dirección IP asignada dinámicamente, se le indicará que
debe asignarle una dirección estática. Escoja si va a asignar una dirección estática
(recomendado) o no. Si decide asignar una dirección, debe hacer clic en No, salir del
Asistente para la instalación de Servicios de dominio de Active Directory, asignar
una dirección (consulte la nota siguiente) y regresar aquí.
NOTA Para asignar una dirección IP estática, haga clic en Inicio | Panel de control y haga
doble clic en Centro de redes y recursos compartidos. En el Centro de redes y recursos
compartidos, haga clic en Administrar conexiones de red, en la columna de la izquierda.
Haga clic con el botón derecho en Conexión de área local y seleccione Propiedades. Haga
clic en Protocolo de Internet versión 4 (TCP/IPv4), luego en Propiedades. Haga clic en
Usar la siguiente dirección IP e ingrese una dirección IP. Si no tiene una, puede crearla
usando el rango numérico del 192.168.0.0 al 192.168.255.255. Por ejemplo, 192.168.1.9
es un número legítimo y si no la está usando otro equipo en la red, funcionará. Oprima TAB
para ir a Máscara de subred. La Máscara de subred se llenará con 255.255.255.0. Oprima
TAB e ingrese su Puerta de enlace predeterminada. Se trata del enrutador que lo conecta a
Internet. Si usa el esquema 192.168.0.0, 192.168.1.1 suele ser la puerta de enlace prede-
terminada. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades del Proto-
colo de Internet versión 4 (TCP/IPv4). Haga clic en Cerrar; para hacer esto en el cuadro de
diálogo Propiedades de Conexión de área local, haga clic en cerrar dos veces más, para
cerrar Conexiones de red y Centro de redes y recursos compartidos.
03 MATTHEWS 01.indd 76 1/14/09 12:13:22 PM

6. Si éste es el segundo servidor DNS o uno adicional y no puede encontrarse la zona

primaria, se le indicará que necesita crear una delegación a este servidor de
manera manual, si quiere integrarlo con la infraestructura existente de DNS. Si
esto es lo que busca, necesita salir del Asistente para la instalación de Servicios
de dominio de Active Directory, crear la delegación y regresar aquí. De otro modo,
haga clic en Sí, para continuar con un servidor DNS aislado.
7. Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos
y el archivo de registro, que puede cambiar. Se sugiere que se mantengan en volú-
menes o particiones separadas. Realice las correcciones necesarias a estas rutas y
8. Ingrese y confirme la contraseña para el Administrador del modo de restauración de ser-
vicios de directorio. Es la contraseña usada cuando el controlador de dominio arranca en
el modo de Restauración de servicios de directorio. Haga clic en Siguiente.
9. Revise el resumen de las acciones seleccionadas, que debe parecerse al de la figura
3-15, si ha seleccionado crear un nuevo dominio en un nuevo bosque. Si quiere
cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuando esté
listo, haga clic en Siguiente. Se configurarán el controlador de dominio y Active Di-
rectory. Esto puede tomar varias horas, si se trata de un dominio complejo.
03 MATTHEWS 01.indd 77 1/14/09 12:13:22 PM

Figura 3-15. La creación de un nuevo dominio en un bosque nuevo debe incluir

la creación de un servidor DNS.
10. Cuando se le indique que AD DS se ha instalado en este servidor, haga clic en

Finalizar y reinicie su equipo. Para conocer más opciones y características de ad-
ministración de AD DS, consulte el capítulo 7.
03 MATTHEWS 01.indd 78 1/14/09 12:13:22 PM

Configure Servicios de dominio de Active Directory en un dominio existente

1. En el área Resumen de funciones, del Administrador del servidor, haga clic en Servi-
cios de dominio de Active Directory. En el panel de AD DS que se abre, haga clic en
Ejecute el Asistente para la instalación de los servicios de dominio de Active Direc-
tory, en la barra de información.
2. Haga clic en Siguiente, en el Asistente para instalación de los Servicios de dominio
de Active Directory que se abre. Elija si quiere usar un bosque, en cuyo caso necesita
escoger entre un nuevo dominio y uno existente o si quiere crear un nuevo dominio
en un nuevo bosque. Haga clic en Siguiente.
3. Si ha decidido agregar un controlador de dominio a un dominio existente, ingrese el
nombre del dominio existente, si no ha sido rellenado por usted y haga clic en Esta-
blecer. Escriba el nombre de usuario y contraseña de una cuenta en el dominio, haga
clic en Aceptar, luego en Siguiente.
4. Seleccione el dominio del que este nuevo servidor formará parte y haga clic en Si-
guiente. Seleccione el sitio del nuevo controlador y haga clic en Siguiente.
5. Debido a que no es el primer controlador de dominio, no quiera que este servidor sea
DNS; en ese caso, deje la casilla de verificación sin marcar. Es buena idea hacer que
por lo menos dos o más controladores de dominio sean maestros de Catálogo global,
para fines de replicación; por ello, a menudo se recomienda dejar esa opción marcada.
Haga clic en Siguiente.
6. Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos
y archivos de registro, mismas que puede cambiar. Se sugiere que se mantengan en
volúmenes o particiones separadas.
7. Ingrese y confirme la contraseña para el Administrador del modo de restauración de
servicios de directorio. Es la contraseña usada cuando el controlador de dominio arran-
ca en el modo de Restauración de servicios de directorio. Haga clic en Siguiente.
8. Revise el resumen de las acciones seleccionadas, que deberá ser similar al de la
figura 3-16, si eligió agregar un controlador de dominio a un dominio existente. Si
quiere cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuan-
do esté listo, haga clic en Siguiente. El controlador de dominio y Active Directory
estarán configurados. Esto puede tomar varias horas, dependiendo de la compleji-
dad de su dominio.
9. Cuando se le informe que AD DS se ha instalado en el servidor, haga clic en Finalizar
y reinicie su equipo. Para conocer más opciones de AD DS y sus características de
administración, consulte el capítulo 7.
03 MATTHEWS 01.indd 79 1/14/09 12:13:22 PM

Figura 3-16. Existen cuatro elementos básicos de topologías de interconexión.
Instalación de un servidor DHCP

Si el servidor en preparación es el primero en la red y no quiere asignar manualmente
direcciones IP a todos los equipos de la red, necesita preparar el protocolo de configuración
dinámica de host (DHCP), para que automáticamente asigne y administre direcciones
IP para todos los demás equipos en la red. Consulte el capítulo 6 para conocer la manera
de hacerlo.
03 MATTHEWS 01.indd 80 1/14/09 12:13:23 PM

CAPÍTULO 4
Servicios de
implementación
de Windows
81
04 MATTHEWS 01.indd 81 1/14/09 12:15:13 PM

S
ervicios de implementación de Windows (WDS) se usa para instalar Windows Vista o
Windows Server 2008, además de Office 2007, en clientes desde un servidor que ejecu-
te WDS; ello permite preparar un servidor para instalar estos productos en clientes. Se
trata de una mejora sustancial, contra pasar tiempo frente a cada equipo en que se instalarán
los productos.
Se deben cumplir algunos requisitos para ejecutar WDS:
▼ Debe tener privilegios de administrador
■ El servidor debe cumplir los requisitos mínimos para ejecutar Windows Server
2008, sean las ediciones Standard o Enterprise, como se mencionó en el capítulo 2
■ El servidor debe tener una unidad con el sistema de archivos de nueva tecnología
(NTFS, New Technology File System) o partición (o volumen) aparte, con al menos
10 GB libres (recomendado), donde puede instalarse WDS. Éste (WDS) no puede
ser el volumen de arranque ni tener alguno de los archivos de sistema almacenados
en él (usualmente, en la carpeta \Windows\System32\)
■ El servidor WDS u otros servidores de la red deben tener en ejecución servicios
de nombres de dominio (DNS, Domain Name System), protocolo de configuración
dinámica de host (DHCP, Dynamic Host Configuration Protocol) y Servicios de do-
minio de Active Directory (AD DS, Active Directory Domain Services)
■ Los archivos de Windows y programas de aplicaciones que desee instalar en el
equipo cliente deben estar en el servidor WDS
■ El cliente que instalará WDS debe cumplir con los requisitos mínimos para el siste-
ma operativo y aplicaciones que se están instalando
■ El cliente debe tener un volumen con formato NTFS, en el que WDS instalará siste-
ma operativo y software deseado. Esta unidad no puede usar el sistema de archi-
vos cifrados (EFS, Encrypted File System) ni sistema de archivos distribuidos (DFS,
Distributed File System), porque tal vez se pierda toda la información previa en la
unidad (sólo puede hacer una instalación limpia con WDS)
■ Los componentes de red del equipo (la tarjeta de interfaz de red [NIC, Network In-
terface Card] o tarjeta de red integrada) deben dar soporte al protocolo de entorno
de ejecución previa al arranque (PXE, Preboot Execution Environment) para permi-
tir el arranque en red
▲ Cada equipo cliente necesitará una licencia por cada instalación de una imagen del
sistema operativo. Puede ser una licencia individual o instalación por volumen
NOTA Si no se siente cómodo con los conceptos y la operación de DNS, DHCP y AD, es
recomendable que primero lea la parte III de este libro acerca del trabajo en red (capítulos
5, 6 y 7) y luego regrese a este capítulo.
04 MATTHEWS 01.indd 82 1/14/09 12:15:13 PM

Capítulo 4: Servicios de implementación de Windows 83
INSTALE Y CONFIGURE LOS SERVICIOS

DE IMPLEMENTACIÓN DE WINDOWS
WDS es una función del Administrador del servidor que debe instalarse de manera separa-
da y luego configurarse.
Instale los Servicios de implementación de Windows

WDS se instala con el Administrador del servidor:
1. Seleccione el servidor que desee contenga WDS y haga clic en Inicio|Administrador
del servidor. En éste, haga clic en Funciones, en la columna de la izquierda, y haga
clic en Agregar funciones, a la derecha.
2. Haga clic en Siguiente para desplegar la lista de las funciones, como se muestra en
la figura 4-1. Haga clic en Servicios de implementación de Windows (WDS), haga
clic en Siguiente y lea la introducción y las notas.
3. Haga clic en Siguiente. Se le preguntará si sólo desea instalar un Servidor de trans-
porte, subconjunto del WDS completo o la combinación de un Servidor de transporte
y Servidor de implementación, que aporta la funcionalidad completa de WDS. El
Servidor de transporte aislado sólo se usa en la limitada situación en que desee
transmitir información a cierto número de servidores. En este capítulo se hablará
sobre el WDS completo.
4. Deje seleccionadas las opciones predeterminadas del Servidor de transporte y el
Servidor de implementación; después haga clic en Siguiente e Instalar.
5. Cuando se le indique que la instalación se ha completado, haga clic en Cerrar, luego
cierre el Administrador del servidor.
Figura 4-1. El Servicio de implementación de Windows es una función en el

04 MATTHEWS 01.indd 83 1/14/09 12:15:13 PM

Configure los Servicios de implementación de Windows

Para crear un servidor de Servicios de implementación de Windows, debe configurarlo y
añadir la imagen de arranque y la imagen de instalación predeterminadas. La primera se utiliza
para arrancar un equipo cliente con PXE, de modo que pueda instalarse el sistema operati-
vo. La imagen de instalación es la imagen del sistema operativo que se va a instalar.
Configure WDS
La configuración de WDS indica volumen y carpeta que serán usados en el servidor, así
como las opciones que se activarán.
1. Empiece por identificar y, tal vez, formatear un volumen y crear una carpeta en ese
volumen (no puede usar el directorio raíz) que se usará con WDS. El volumen no
puede contener un archivo empleado por el sistema operativo existente y debe te-
ner, por lo menos, 10 GB. La carpeta que contendrá las imágenes para instalar debe
tener un nombre sin espacios.
2. Haga clic en Inicio|Herramientas administrativas|Servicios de implementación de
Windows. Se abrirá la consola (ventana) de Servicios de implementación de Windows.
3. Haga clic en Servidores, para abrirlos; haga clic con el botón derecho en el servidor
en que desee configurar WDS y haga clic en Configurar servidor. Se abrirá el Asis-
tente para configuración de Servicios de implementación de Windows. Lea lo que
sea necesario.
04 MATTHEWS 01.indd 84 1/14/09 12:15:14 PM

SUGERENCIA Si necesita formatear un volumen, una forma rápida de hacerlo es haciendo

clic en Inicio | Administrador del servidor, y luego en Almacenamiento | Administración de
discos; haga clic con el botón derecho en el volumen que habrá de formatearse y haga clic
en Formatear. También puede crear una partición con el espacio libre, además de forma-
tear una unidad, una partición, ambas. Consulte el capítulo 12 para conocer más detalles
acerca de creación, formateo de volúmenes y particionamiento de unidades.
4. Haga clic en Siguiente. Ingrese la ruta al volumen NTFS que habrá de usar WDS y
el nombre de la carpeta dentro de ese volumen. Haga clic en Siguiente.
5. Si DHCP se ejecuta en el mismo servidor que WDS, debe marcar ambas opciones en
el cuadro de diálogo Opción 60 de DHCP y hacer clic en Siguiente.
6. Deje la opción predeterminada No responder a ningun equipo cliente y haga clic

en Finalizar. Haga clic en Agregar imágenes al Servidor de implementación de Win-
dows, para quitar la marca de verificación y haga clic en Finalizar, una vez más.
Agregue una imagen de arranque

Cuando se arranca un equipo cliente mediante un arranque de red con PXE, el WDS del
servidor responderá a la solicitud de una imagen de arranque y ofrecerá una que inicie la
imagen de instalación. Si hay dos o más imágenes de arranque (por ejemplo, para arrancar
diferentes imágenes de instalación), WDS proporcionará un menú de arranque similar al
menú Datos de configuración de arranque (BCD, Boot Configuration Data), usado por Win-
dows Vista y Windows Server 2008.
04 MATTHEWS 01.indd 85 1/14/09 12:15:14 PM

NOTA Si desea la funcionalidad completa de WDS, debe usar el archivo boot.wim del
DVD de Windows Server 2008 y no el que se encuentra en el DVD de Windows Vista.
1. En la ventana de WDS, abra el servidor en que acaba de configurar WDS, haga

clic con el botón derecho en Imágenes de arranque y haga clic en Agregar ima-
gen de arranque.
2. Haga clic en Examinar y diríjase a la ubicación de los archivos y carpetas de insta-

lación de Windows (los que se encuentran en el DVD de instalación de Windows)
que desee instalar en los equipos cliente.
3. Abra la carpeta /Sources/, dé doble clic en Boot.wim y haga clic en Siguiente. In-
grese el nombre de la imagen, descripción y haga clic en Siguiente.
04 MATTHEWS 01.indd 86 1/14/09 12:15:14 PM

4. Se le mostrará una lista con los parámetros seleccionados. Si éstos no son correctos
haga clic en Atrás y efectúe los cambios necesarios. Cuando la lista ya esté correc-
ta, haga clic en Siguiente. El asistente Servicios de implementación de Windows
—Asistente para agregar imágenes— añadirá la imagen de arranque al volumen
WDS que identificó en “Configure WDS”, en páginas anteriores.
5. Cuando el asistente haya completado la operación, haga clic en Finalizar.
Agregue una imagen de instalación

La imagen de instalación, que se inicia con la imagen de arranque, es un archivo único (de
casi 1.5 GB para la versión x86 de Windows Server 2008), que efectúa la instalación completa
de Windows Server 2008 o Windows Vista (el ejemplo aquí será de Windows Server 2008,
pero los pasos pueden aplicarse de igual manera a Windows Vista).
1. En la ventana de WDS, abra el servidor en que configuró WDS, haga clic con el botón
derecho en Imágenes de instalación y seleccione Agregar imagen de instalación.
2. Si ésta es la primera imagen que añade al servidor, acepte el valor por omisión:
Crear un nuevo grupo de imágenes; ingrese el nombre del grupo o acepte la opción
predeterminada y haga clic en Siguiente.
3. Haga clic en Examinar y vaya a la ubicación de los archivos y carpetas de instala-
ción de Windows (los que se encuentran en el CD de instalación de Windows) que
desee instalar en los equipos cliente.
4. Abra la carpeta /Sources/, haga doble clic en install.wim y dé clic en Siguiente.
Seleccione las imágenes que desee agregar y, por último, haga clic en Siguiente.
04 MATTHEWS 01.indd 87 1/14/09 12:15:14 PM

5. Se le mostrará una lista con las opciones elegidas. Si éstas no son correctas, haga clic
en Atrás y realice los cambios necesarios. Cuando la lista sea correcta, haga clic en
Siguiente. El asistente Servicios de implementación de Windows —Asistente para
agregar imágenes— añadirá la imagen de instalación al volumen WDS que identi-
ficó en “Configure WDS”, en páginas anteriores de este capítulo.
6. Cuando el asistente haya completado la operación, haga clic en Finalizar.
Configure un cliente para arranque por PXE

Para hacer un arranque de red mediante PXE, deberá cambiar la secuencia de arranque en
el BIOS (Basic Input/Output System, sistema básico de entrada/salida), al que se ingresa al
principio del proceso de arranque. La manera como se entra al BIOS suele identificarse en
la primera pantalla del arranque. Con frecuencia se oprimen y sostienen las teclas de
función f1 o f2. También las teclas supr y esc suelen usarse con este fin. Una vez que haya
entrado al BIOS, primero debe cambiar la secuencia de arranque para hacer un arranque de
red PXE, antes del disco duro. En el BIOS:
1. Busque una opción, menú o pestaña indicando “Boot” (arranque) o “Boot Sequen-
ce” (secuencia de arranque) y haga clic en él o use flechas u otras teclas para selec-
cionarla o abrirla, para ver las opciones de arranque.
2. Deberá encontrar una lista con las secuencias en que los dispositivos de arranque
son ingresados como la siguiente:
▼ Internal Hard Disk Drive (o HDD)
■ CD/DVD Drive
■ Floppy Drive
▲ Tarjeta de red interna (o NIC)
3. Querrá cambiar el orden, de tal manera que la Tarjeta de red interna (o NIC) sea
la primera; de otro modo, algún dispositivo superior, como el disco duro, se usará
para iniciar el equipo.
4. La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los
casos las instrucciones se encuentran en la pantalla. En general, se usan las teclas de
flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabili-
tarla, mientras las teclas + y – o las teclas u o d sirven para subir o bajar las opciones;
utilice enter o una tecla de función para terminar y grabar el cambio, así como
presionar esc u otra tecla de función cancela cualquier cambio.
5. Tal vez necesite habilitar manualmente la tarjeta de red con el arranque PXE. Nece-
sita buscar una opción o elemento de menú que le permita cambiar los parámetros
de la tarjeta de red o dispositivo integrado del equipo. Puede estar bajo otra opción,
como “Onboard Devices”.
6. Cuando encuentre los parámetros para la tarjeta de red, necesitará habilitar el
arranque sólo o por PXE. Una vez que lo haya hecho, necesita grabar los cambios
y cerrar su BIOS.
04 MATTHEWS 01.indd 88 1/14/09 12:15:15 PM

PRUEBE Y DIAGNOSTIQUE LOS SERVICIOS

DE IMPLEMENTACIÓN DE WINDOWS
Con un cliente que arranque por PXE; DHCP, DNS y Active Directory en ejecución y confi-
gurados, nombre de usuario de dominio y contraseña disponibles, está listo para empezar a
probar WDS y, si es necesario, para detectar y solucionar problemas relacionados con él.
Pruebe los Servicios de implementación de Windows

Pruebe la capacidad de WDS para instalar Windows Server 2008:
1. Reinicie el equipo cliente con el arranque de red PXE en que desee utilizar WDS,
para instalar Windows Server 2008 o Vista. Verá una notificación de que el equipo
arranca desde la tarjeta de red y que busca un DHCP.
2. Cuando localice el servidor WDS, se le pedirá oprimir f12 para hacer un arran-
que de red. Esto debe hacerlo rápido o, de lo contrario, obtendrá un mensaje
acerca de que sale del arranque de red. En tal caso, simplemente reinicie y opri-
ma f12 de prisa.
3. Si oprime f12 a tiempo y tiene más de una imagen de arranque, verá un menú con
las imágenes disponibles. Use las teclas de flecha para seleccionar una y oprima
enter. En cualquier caso, WDS iniciará.
4. Seleccione región y teclado que desee usar, haga clic en Siguiente. Escriba nombre
de usuario de dominio (con el formato dominio\usuario) y contraseña con privile-
gios administrativos para iniciar sesión en la red. Haga clic en Aceptar.
5. Si hay más de una imagen de instalación disponible, tendrá la oportunidad para
elegir cuál se instalará. Realice su selección y haga clic en Siguiente. La preparación
de Windows empezará.
6. Si se le da la opción, escoja la partición de disco en que desee instalar Windows.
Puede hacer clic en Opciones de unidad (avanzadas) para trabajar con las particio-
nes y distribuirlas. Haga clic en Siguiente cuando esté listo. La instalación empezará
a copiar y expandir archivos, instalando características y actualizaciones.
7. El sistema se reiniciará dos veces (asegúrese de no oprimir f12), por lo que se le pedirá que
seleccione país, zona horaria, moneda y formato de teclado. Haga clic en Siguiente.
8. Cuando se le pida, escriba la clave del producto y haga clic en Siguiente. Haga clic en
Acepto los términos de licencia y haga clic en Siguiente. Ingrese el nombre del equipo
y haga clic en Iniciar. El programa terminará la instalación, se le pedirá que ingrese y
confirme una contraseña y Windows Server 2008 se iniciará por primera vez.
Detecte y solucione problemas de los Servicios

de implementación de Windows
Resulta obvio que varias cosas pueden salir mal durante la prueba de WDS. Los problemas
más comunes son:
04 MATTHEWS 01.indd 89 1/14/09 12:15:15 PM

▼ No puede hacer un arranque de red por PXE

▲ No puede conectarse al servidor WDS
A continuación verá cada uno de ellos.
No puede hacer un arranque de red por PXE

El primer paso consiste en asegurarse de que el equipo cliente pueda arrancar de red por
PXE. Casi todos los equipos, sobre todo los comerciales y producidos en los últimos años,
tienen esta capacidad. Si no está seguro, busque en el BIOS cualquier mención (consulte
“Configure un cliente para arranque por PXE”, en este capítulo). También puede buscar
en la documentación incluida en el equipo o buscar cualquier información en el sitio
Web del fabricante.
No puede conectarse al servidor WDS

Si ve indicios de que se intenta un arranque de red (deberá ver varias líneas de texto seña-
lando la versión de PXE y dirección MAC [Media Access Control, control de acceso a me-
dios] y GUID [Globally Unique Identifier, identificador global único], seguido por “DHCP”
y una serie de puntos), pero obtiene un mensaje “No Boot Filename Received”, seguido
por un mensaje indicando que se cancela el arranque de red, entonces, por alguna razón, el
servidor no está respondiendo a las solicitudes de la ROM (el chip de memoria de sólo lec-
tura) de arranque en red. Esto suele ocurrir porque Active Directory, DNS y DHCP no están
instalados o configurados apropiadamente o porque las directivas o permisos lo impiden.
En el capítulo 6 se analiza de manera detallada cómo preparar DNS y DHCP, además de
introducir políticas y permisos, mientras el capítulo 7 trata acerca de Active Directory. En
resumen, las tareas son las siguientes:
▼ Configurar la red, asegurando que TCP/IP está instalado y servidor o servidores
DNS y DHCP tienen direcciones IP fijas
■ Configurar DNS y DHCP, asegurando que DHCP se ejecuta en un controlador de
dominio, autorizado por el servidor WDS y su ámbito se ha creado cubriendo los
clientes que WDS habrá de instalar. Un servidor DHCP correctamente preparado
deberá tener los componentes aquí mostrados
04 MATTHEWS 01.indd 90 1/14/09 12:15:15 PM

■ Configurar Active Directory de manera que el servidor WDS sea un controlador de

dominio, en el mismo dominio en que los clientes por instalarse son miembros
■ Revisar directivas y permisos para el servidor WDS y para cliente o clientes, ade-
más de asegurar que nada se interponga para hacer la instalación remota
■ Asegurar que la persona iniciando sesión para hacer la instalación de WDS (usted)
tiene privilegios de administrador en el dominio
▲ Asegurar que cliente y servidor pueden verse entre sí e intercambiar archivos en la red
04 MATTHEWS 01.indd 91 1/14/09 12:15:15 PM

05 MATTHEWS 01.indd 92 1/14/09 1:13:34 PM
PARTE III
Trabajo en red con
Windows Server
2008
93
05 MATTHEWS 01.indd 93 1/14/09 1:13:35 PM

05 MATTHEWS 01.indd 94 1/14/09 1:13:35 PM
CAPÍTULO 5
Entorno de red de
Windows Server
2008
95
05 MATTHEWS 01.indd 95 1/14/09 1:13:35 PM

E
l trabajo en red es la función más importante de Windows Server 2008. Es su razón
de ser. La capacidad para conectar equipos, y permitirles compartir información
y recursos con un alto grado de seguridad y control, es la razón más importante
para mejorar la productividad. Al reconocer tal importancia, en esta parte se dedican tres
capítulos al trabajo en red. En el capítulo 5 se ofrecen las bases completas para la compren-
sión de las funciones de red, describiendo esquemas, hardware y protocolos o estándares
usados para hacer funcionar una red. En el capítulo 6 se describe cómo preparar y admi-
nistrar la red en Windows Server 2008. El capítulo 7 se concentra en el uso de dominios en
Windows Server 2008 y la función central que Active Directory juega en la administración
del trabajo en red.
TRABAJO EN RED
Windows Server 2008 es un sistema operativo de red. Esto permite la interconexión de varios
equipos con el propósito de:
▼ Intercambiar información, como enviar archivos de un equipo a otro
■ Comunicarse (por ejemplo, mediante el envío de correos electrónicos entre usuarios
de la red)
■ Compartir información al hacer que los usuarios de la red accedan a archivos comunes
■ Compartir recursos de red (impresoras, dispositivos de copia de seguridad y una co-
nexión de banda ancha a Internet)
▲ Proporcionar alto grado de seguridad y control para datos así como su comunica-
ción, también para los usuarios de la red
El trabajo en red es importante para casi cualquier organización de dos o más personas
en comunicación y compartiendo datos. El intercambio de esta última permite a varias per-
sonas trabajar fácilmente desde su lugar y utilizar la misma información; además, previene
errores provocados por falta de información reciente. Las comunicaciones de correo electró-
nico facilitan la coordinación rápida y fácil de información actual entre personas, como citas
de reuniones. La posibilidad de compartir recursos permite a una organización comprar
mejores dispositivos (con mayor capacidad y más costosos), como una impresora láser a co-
lor, que si debiera comprarlos para cada usuario. El trabajo en red es el ingrediente primario
para que los equipos contribuyan al incremento de la productividad y, desde el punto de
vista de este libro, es la capacidad más importante de Windows Server 2008.
El trabajo en red es un sistema que incluye conexión entre equipos para facilitar la
transferencia de información, además de un esquema para controlar dicha transferencia. El
esquema garantiza que la información se transfiera correctamente (dirigida al receptor indi-
cado) y de manera precisa (los datos preserven sus características entre receptor y emisor),
mientras muchas otras transferencias se llevan a cabo simultáneamente. Para lograr estos
objetivos, conforme transfiere información (por lo general, mucha) debe existir una forma
estándar para identificar correctamente y dirigir cada transferencia, así como para detener
una transferencia mientras otra se lleva a cabo. Un sistema de red tiene estos componentes:
05 MATTHEWS 01.indd 96 1/14/09 1:13:35 PM

Capítulo 5: Entorno de red de Windows Server 2008 97
▼ Un esquema de red que maneje transferencia

■ Hardware de red que maneje conexión
▲ Un estándar o protocolo de trabajo en red que maneje identificación y direccionamiento
Windows Server 2008 da soporte a varios esquemas diferentes de trabajo en red, funcio-
na con una gran variedad de hardware y puede manejar varios protocolos. El propósito de
este capítulo es revisar las opciones posibles de trabajo en red proporcionadas por Windows
Server 2008, con suficiente minucia como para decidir cuál de éstas es la mejor para su insta-
lación. El capítulo 6 se enfocará en explicar cómo preparar y administrar el trabajo en red con
Windows Server 2008, mientras en el capítulo 7 se abordarán Active Directory y dominios
con mayor profundidad.
NOTA Aunque en esta sección del libro se brinda gran cantidad de información sobre
las funciones de red, es menor en comparación con la Encyclopedia of Networking & Te-
lecommunications, de Tom Sheldon (McGraw-Hill, 2001). Si necesita más información de
la aquí presentada, consulte el libro de Tom. Él también mantiene un sitio Web activo en:
http://www.linktionary.com.
ESQUEMAS DE RED
Los esquemas empleados para transferir información en una red determinan en gran me-
dida el hardware en uso, están integrados al software y deben implementar estándares y
protocolos deseados. Así, es difícil hablar sólo de esquemas, hardware o protocolos, porque
están interrelacionados. Esto se complica más porque el esquema de trabajo en red es una
función del tipo de trabajo en red y la tecnología empleada.
Tipos de redes
El tipo de una red cambia si está confinada a una ubicación única o se extiende por un área
geográfica amplia.
Una red distribuida en un área geográfica amplia es una red de área amplia (WAN, Wide
Area Network). Las WAN pueden utilizar líneas telefónicas compartidas y privadas, víncu-
los satelitales, enlaces de microondas y cableado compartido o dedicado —ya sea de fibra
óptica o cobre—, para conectar nodos tanto a una calle de distancia como al otro lado del
mundo. Las WAN con cantidades razonables de ancho de banda manejan, por lo menos,
1 millón de bits (megabits) por segundo (Mbps). Son caras, van de uno a varios miles de
dólares por mes y exigen tecnología sofisticada. Por tanto, las WAN son proyectos de gran
envergadura para grandes organizaciones. Un uso más simple y menos costoso, aunque
no económico de las WAN, consiste en interconectar redes más pequeñas en un edificio o
campus de edificios cercanos entre sí. Este uso de una WAN en un campus se menciona en
otros párrafos de este capítulo.
NOTA Muchas compañías usan Internet para hacer lo que antes sólo era posible ma-
nejar con WAN, como intercambio de correo electrónico e información privada mediante
redes privadas virtuales (VPN, Virtual Private Networks), para su análisis en el capítulo 10,
razón por la que el crecimiento en WAN es modesto.
05 MATTHEWS 01.indd 97 1/14/09 1:13:36 PM

A una red confinada para una ubicación única se le llama red de área local (LAN, Local
Area Network). Las LAN usan cableado dedicado o canales inalámbricos y, por lo general,
no salen de un solo edificio; pueden limitarse a un solo piso de un edificio o departamento
en una misma compañía. Las LAN son mucho más comunes que las WAN y se tratarán en
forma prioritaria en éste y los siguientes dos capítulos. Las LAN tienen dos subcategorías:
LAN de igual a igual (peer-to-peer o p2p) y LAN cliente/servidor, distinguidas por la manera
en que distribuyen las tareas de trabajo en red.
LAN de igual a igual

Todos los equipos en una LAN de igual a igual son servidores y clientes; proporcionan y
utilizan recursos. Cualquier equipo de red puede almacenar información y facilitar recur-
sos, como una impresora, para el uso por parte de cualquier otro equipo integrado en la
red. Las funciones de red de igual a igual son un sencillo primer paso para el trabajo en red,
que se logra simplemente conectando equipos existentes, como se muestra en la figura 5-1.
No requiere la compra de equipo nuevo ni cambios importantes en la manera en que la
organización usa los equipos, pero es posible compartir recursos (como la impresora de
la figura 5-1), transferir archivos y comunicaciones, además de lograr que todos accedan a
información común.
Figura 5-1. Una red de igual a igual con topología de estrella.
05 MATTHEWS 01.indd 98 1/14/09 1:13:36 PM

Las LAN de igual a igual tienden a ser usadas en organizaciones pequeñas, que no re-
quieren compartir un recurso central grande —como una base de datos— ni un alto grado
de seguridad o control central. Cada equipo de una LAN igual a igual es autónomo y suele
integrarse con otros equipos, tan sólo para transferir archivos y compartir equipo costoso.
Como leerá más adelante en este capítulo, bajo el tema “Hardware de red”, es muy fácil
construir una LAN de igual a igual con equipos existentes y puede ser barato (menos de 30
dólares por estación).
LAN cliente/servidor
Los equipos en una LAN cliente/servidor desempeñan una de dos funciones: servidor o
cliente. Los servidores administran la red, almacenan centralmente la información comparti-
da en ésta y proporcionan los recursos compartidos. Los clientes o estaciones de trabajo son
usuarios de la red y equipos de escritorio o portátiles normales. Para crear una red, clientes
y servidor o servidores se conectan entre sí, tal vez con recursos de red independientes (por
ejemplo, una impresora, como se muestra en la figura 5-2).
Figura 5-2. Una LAN cliente/servidor con topología de estrella.
05 MATTHEWS 01.indd 99 1/14/09 1:13:36 PM

Entre las funciones de administración provistas por el servidor se incluyen seguridad

de red y administración de permisos necesarios para implementar seguridad; comunicacio-
nes entre usuarios de la red, además de la administración de archivos compartidos en red.
En general, los servidores tienen más capacidad que los clientes, porque cuentan con más
memoria, pueden ser más rápidos y contar con más procesadores, discos más grandes y
mayor cantidad de periféricos especiales, como unidades más grandes de cinta de alta ve-
locidad. Los servidores suelen estar dedicados a su función y, con poca frecuencia, se usan
para tareas de equipo normal, como el procesamiento de palabras.
Usualmente, los clientes tienen menos capacidad que los servidores y tal vez no tengan
discos. Por lo general, los clientes son equipos de escritorio y portátiles que desempeñan
las funciones normales para ese tipo de máquinas, además de ser parte de una red. Los clientes
también pueden ser “miniservidores”, al compartir algunas o todas sus unidades de disco y
otros recursos. Por tanto, la principal diferencia entre redes de igual a igual y cliente/servi-
dor es la adición de un servidor dedicado.
Windows Vista y Windows Server 2008 trabajan juntos para formar un entorno opera-
tivo de red cliente/servidor; Windows Server 2008 desempeñando su función y Windows
Vista como cliente. Algunos equipos con Windows Vista pueden operar en una red de igual
a igual, pero lo que se asume en todo este libro es que se está interesado primordialmente en
el trabajo en red cliente/servidor, usando Windows Server 2008 y clientes Windows Vista.
La tarea de la conexión en red

La tarea desempeñada por el sistema de red es importante y compleja. Por lo menos, dicha
tarea incluye estos elementos:
▼ Identificar cada uno de los equipos en una red
■ Identificar la información que habrá de transferirse como mensaje individual
■ Agregar a cada mensaje una identificación única y la dirección de los equipos que
envían y reciben
■ Encerrar el mensaje en uno o más paquetes de tamaño moderado, similares a sobres,
con direcciones de remitente y destino, así como el lugar al que pertenece el paquete
dentro del mensaje
■ Encapsular el paquete en tramas transferidas en red
■ Monitorear el tráfico de red para saber cuándo enviar una trama, además de evitar
que colisionen con otras tramas dentro de la red
■ Transmitir una trama sobre la red (dependiendo de los dispositivos de interco-
nexión usados, la trama puede ser abierta y los paquetes puestos en nuevas tramas
mientras están en camino)
■ Proporcionar medios físicos, incluidos cableados y dispositivos electrónicos in-
alámbricos, para trasportar la trama entre equipos
■ Monitorear el tráfico de la red, para saber cuándo se recibirá una trama
■ Recibir una trama en la red
05 MATTHEWS 01.indd 100 1/14/09 1:13:37 PM

■ Extraer los paquetes en una o más tramas y combinarlos en el mensaje original

▲ Determinar si el mensaje pertenece al equipo destinatario y luego enviar el mensaje para
posterior procesamiento, si pertenece a éste, o ignorar el mensaje si no le pertenece
NOTA Los nombres de las piezas de información, como mensajes, paquetes y tramas,
se analizan aún más bajo el tema “TCP”, en páginas posteriores de este capítulo. En la
figura 5-20 de esa sección se muestran gráficamente estas piezas de información.
Para describir mejor las tareas de trabajo en red, la International Organization for
Standardization o ISO (organización de las Naciones Unidas incorrectamente llamada
“Organización Internacional de Estándares”; el acrónimo ISO proviene de la palabra grie-
ga isos, que significa igual) ha desarrollado un modelo de referencia para el trabajo en
red. A este modelo se le denomina interconexión de sistemas abiertos (OSI, Open Systems
Interconnection).
NOTA El modelo OSI es útil para describir el trabajo en red y relacionar sus diversos
componentes. No necesariamente representa a Windows Server 2008 o cualquier otra
implementación de red, pero es una referencia muy conocida y aceptada.
El modelo OSI
El modelo OSI describe la manera en que la información de un equipo se mueve a otro, a
través de una red. Define el trabajo en red en siete capas; cada una de ellas desempeña un
conjunto particular de funciones dentro de la tarea de trabajo en red, dividiendo la tarea de
ésta en siete tareas más pequeñas. Cada capa puede comunicarse con las que se encuentran
arriba y bajo ella y, también, con la capa opuesta en otro equipo de la red, como se ilustra en
la figura 5-3. La comunicación entre equipos baja hasta los niveles inferiores, a través de la
conexión física y vuelve a subir capas en el otro equipo.
En el modelo OSI, las dos capas inferiores son implementadas en una combinación
de hardware y software, mientras las cinco capas superiores son implementadas en software.
El software de las capas inferiores se dedica al trabajo en red y puede estar escrito en silicio. El
software de las capas superiores es una parte del sistema operativo o aplicación, mientras el
trabajo en red sólo es una de sus tareas. Por ejemplo, una aplicación cliente de correo electrónico
que desea obtener su correo del servidor pasa su solicitud a la capa de la aplicación del sistema
de red en su equipo. Esta información se baja a través de las capas hasta alcanzar la capa física,
donde la información se coloca en la red física. La capa física del servidor toma información de
la red física y la sube por las capas hasta llegar a la capa Aplicación, que pasa la solicitud a la
aplicación de servidor de correo electrónico.
Si es necesario, cada una de las capas OSI puede agregar información específica de con-
trol a la información que se transfiere en la red. La información de control puede ser para
otras capas en su propia pila o la capa opuesta en el otro equipo y pueden tratarse de solici-
tudes o instrucciones. La información de control puede agregarse como encabezado al prin-
cipio de la información transmitida o como una cola al final. El encabezado o cola agregado
en una capa se vuelve parte de la información básica que se transfiere en otra. La siguiente
05 MATTHEWS 01.indd 101 1/14/09 1:13:37 PM

Usuario final 1 Usuario final 2
Mecanismo de acceso a una red

7. Capa de por parte de las aplicaciones 7. Capa de
la aplicación la aplicación
Codificación, cifrado y compresión

6. Capa de de la información 6. Capa de
la presentación la presentación
Establecimiento, coordinación
5. Capa de y finalización de una sesión de red 5. Capa de
la sesión la sesión
División de mensajes en paquetes

4. Capa de y control de su transmisión 4. Capa de
transporte transporte
Empaquetamiento de tramas
y su enrutamiento en una red
3. Capa red 3. Capa red
Direccionamiento, envío
2. Capa de y recepción de tramas 2. Capa de
vínculo de datos vínculo de datos
Transferencia física de la información

1. Capa física 1. Capa física
Hardware/equipo 1 Conexión física Hardware/equipo 2
Figura 5-3. El modelo OSI que describe el trabajo de red entre dos equipos.
capa puede agregar otro encabezado o cola, pero si uno de éstos se dirige a esa capa, elimina
el encabezado o cola. En la siguiente lista se menciona el tipo de información de control y la
función definida para cada capa:
▼ Capa física Define las especificaciones físicas, como voltajes y frecuencias, para
que la interfaz de red funcione como se pretende. Estas especificaciones están im-
plementadas en el hardware de red.
■ Capa de vínculo de datos Define el direccionamiento de tramas, así como el envío
y la recepción de éstas entre dos equipos vinculados. Tras pasar una trama a la capa
física para su envío, la capa de vínculo de datos espera la confirmación de que
se ha recibido la trama antes de enviar otra; si la confirmación no se recibe, la capa
de vínculo de datos reenvía la primera trama. Tal capa proporciona conexión
05 MATTHEWS 01.indd 102 1/14/09 1:13:37 PM

punto a punto entre ésta y el equipo receptor usando la dirección física. A la direc-
ción física de la capa de vínculo de datos se le denomina dirección de control de acceso
al medio (MAC, Media Access Control). Las especificaciones de la capa de vínculo de
datos se implementan en una combinación de hardware y software de red dedicado.
■ Capa de red Define la integración de paquetes en tramas y direccionamiento ló-
gico (a diferencia del físico usado en la capa de vínculo de datos) necesario para
proporcionar enrutamiento entre varias redes conectadas. Los paquetes, que pue-
den ser más o menos grandes que las tramas, se dividen o combinan para crear las
tramas en el equipo remitente y son reensamblados o desensamblados en el equipo
destinatario para reproducir los paquetes originales. La conectividad en la capa de
red suele usar el direccionamiento del protocolo de Internet (IP, Internet Protocol)
para identificar adónde deben enviarse las tramas. Las especificaciones de la capa
de red se implementan en software de red dedicado.
■ Capa de transporte Define la división de un mensaje en paquetes, la identificación
de los paquetes y el control de la transmisión del paquete para saber si se están
enviando y recibiendo correctamente; si no es así, hace una pausa y reenvía la trans-
misión. La capa de transporte crea, regula y finaliza el flujo de paquetes usando un
circuito virtual entre el equipo emisor y el receptor (el flujo todavía es hacia abajo a tra-
vés de las otras capas, por la conexión y hacia arriba del otro lado, pero pasa como si
las dos capas de transporte se comunicaran directamente entre sí). La capa de trans-
porte suele usar el protocolo de control de transmisión (TCP, Transmission Control
Protocol) para iniciar, regular y finalizar el flujo de paquetes. La especificación de la
capa de transporte se implementa en software de sistemas operativos relacionados
con el trabajo en red, como Windows Server 2008, usando protocolos de red.
■ Capa de la sesión Define el diálogo entre equipos para que ambos sepan el mo-
mento de iniciar y detener la transmisión, creando una sesión, además de cuándo
repetir una sesión si no se ha recibido correctamente. La capa de la sesión también
maneja asuntos relacionados con seguridad y tiene sus raíces en los entornos de
tiempo compartido en el mainframe, terminal o ambos. Las especificaciones de la
capa de la sesión están implementadas en el software de sistema operativo de red.
■ Capa de la presentación Define la codificación de la información para ser transmiti-
da de manera fácil y segura, asimismo para que la lea el equipo receptor. Esto incluye
conversión de información de caracteres, imágenes, audio y video en representacio-
nes de datos comunes, cifrado y compresión de la información, incluido el retorno de
la información a su forma nativa tras la recepción. Las especificaciones de la capa
de la presentación están implementadas en el software de sistema operativo.
▲ Capa de la aplicación Define el mecanismo por el que las aplicaciones acceden a
la red para enviar y recibir información. Esto incluye manejo bidireccional de infor-
mación, además de identificación, ubicación y determinación de la disponibilidad
del compañero para un intercambio de información. Las especificaciones de la capa de
la aplicación están implementadas en el sistema operativo y software de aplicación.
05 MATTHEWS 01.indd 103 1/14/09 1:13:38 PM

Tenga en cuenta el modelo OSI a medida que lee el resto de éste y los siguientes capítu-
los. Le ayudará a relacionar diversos componentes usados en el trabajo en red. No obstante,
más delante en este capítulo, bajo el tema “Resumen de dispositivos de interconexión”,
conocerá la manera en que el modelo OSI se relaciona con dispositivos de hardware como
concentradores y conmutadores y, bajo el tema “Protocolos de red”, verá la relación del mo-
delo OSI y los protocolos de red, además de las convenciones de nomenclatura de datos.
Tecnologías LAN
Las tecnologías LAN son estándares que abarcan hardware y software, para manejar gran
parte de las tareas dedicadas de trabajo en red. Las tecnologías LAN manejan la capa
de vínculo de datos completa, también parte de las capas física y de red. Casi todas las
nuevas redes y gran cantidad de las redes existentes usan la tecnología de red Ethernet o
tecnología inalámbrica que hace interfaz con Ethernet. Por ello, representan la temática
central de este apartado.
Ethernet
Ethernet fue desarrollado a principios de 1970 en Xerox PARC (Palo Alto Research Cen-
ter) por Bob Metcalfe y otros; casi diez años después Digital Equipment, Intel y Xerox lo
convirtieron en estándar (llamado estándar DIX). El Institute of Electrical and Electronics
Engineers (IEEE) hizo leves modificaciones al estándar DIX y generó su estándar IEEE 802.3 para
Ethernet. Con frecuencia, a éste se le llama “Ethernet 802.3”. Desde que Ethernet 802.3 fue
adoptado por ISO, haciéndolo estándar mundial, se ha vuelto lo que muchas personas y
vendedores quieren decir cuando mencionan “Ethernet”, lo que se alude en este libro con
ese término. Ahora hay tres estándares de IEEE 802.3 Ethernet en uso común: IEEE 802.3, el
estándar original de Ethernet, que opera a 10 Mbps; IEEE 802.3u Fast Ethernet trabaja a 100
Mbps e IEEE 802.3z Gigabit Ethernet funciona a 1 000 Mbps. Se les llama “Ethernet”, “Fast
Ethernet” y “Gigabit Ethernet”, respectivamente. Además, están emergiendo dos estánda-
res Ethernet: IEEE 803.3an 10 Gigabit Ethernet (10 GbE), que opera a 10 000 Mbps y empieza
a estar disponible en el mercado, al igual que 100 Gigabit Ethernet (100GbE), que opera a
100 000 Mbps y aún se encuentra en desarrollo desde mediados de 2007.
Ethernet es relativamente barato, trabaja bien interconectando muchos sistemas de
cómputo diferentes y es fácil de expandir a redes muy grandes. Por tanto, se ha convertido
en la tecnología dominante de LAN con amplio margen, eclipsando por completo algunas
otras de las tecnologías iniciales de LAN como ARCnet y ensombreciendo de manera im-
portante a Token Ring (tecnología inicial de LAN desarrollada por IBM, que se usó mucho
en organizaciones grandes). Como resultado, han proliferado el equipo relacionado con
Ethernet y soporte de software a Ethernet, incluidos Windows Server 2008 y Windows Vis-
ta. Esto ha llevado a muchos proveedores de equipo al mercado, causando que el precio se
vuelva razonable. Como resultado, Ethernet (y más recientemente, Fast Ethernet y Gigabit
Ethernet) representa la tecnología de elección para casi todas las redes cableadas.
La tecnología Ethernet cubre tres especificaciones:
▼ Un método de acceso al medio que describe la manera en que varios equipos com-
parten un único canal Ethernet, sin interferir entre sí
■ Una trama Ethernet que describe una estructura de bits estandarizada para transfe-
rir información en una red Ethernet
05 MATTHEWS 01.indd 104 1/14/09 1:13:39 PM

▲ Una especificación de hardware que describe cableado y electrónica usada con

Ethernet
Método de acceso a medios de Ethernet El objetivo de Ethernet es hacer que varios equipos
operen independientemente en un canal único de conexión, sin interferencia. Esto se lo-
gra usando un método de acceso a medios llamado acceso múltiple de percepción de portador
con detección de colisiones (CSMA/CD, Carrier Sense Multiple Access with Collision Detection.
CSMA/CD funciona así:
1. Un equipo de red que desea transmitir información escucha la red para determinar
cuándo está desocupada.
2. Cuando el equipo determina que la red está inactiva, pone su información en la
red con la dirección de destino, haciéndola disponible para todos los demás equi-
pos de la red.
3. Cada equipo de la red verifica si la dirección es la adecuada y, en caso de serlo, ese
equipo retira la información de la red.
4. Cuando la red está de nuevo desocupada, todos los demás equipos tienen la misma
oportunidad para iniciar la siguiente transmisión de información.
5. Si dos equipos inician simultáneamente la transmisión, ocurrirá una colisión y será de-
tectada. Toda la información de la red se ignorará y la red regresará al estado inactivo.
Ambos equipos de envío seleccionan entonces un tiempo aleatorio de espera antes de
reenviar su información, minimizando la posibilidad de colisiones repetidas.
Las colisiones son normales y representan una parte anticipada de la transmisión
de red, incluidas colisiones repetidas que llevan a errores de datos; ésta es la razón por
la que los niveles superiores del modelo OSI ponen especial énfasis en la detección de
errores y su corrección.
Trama Ethernet La trama Ethernet es el formato estándar usado para transferir datos sobre
una red Ethernet. La trama define una distribución específica que posiciona la informa-
ción de encabezado, direccionamiento de origen y destino, datos e información de cola,
como se muestra a continuación. En seguida se muestra la definición específica y el uso
de cada campo:
Preámbulo SFD Destino Origen Longitud Datos Relleno CRC

62 bits 2 bits 6 bytes 6 bytes 2 bytes 0 a 1500 bytes 46 a 0 bytes 4 bytes
▼ Preámbulo Una serie alterna de 1 y 0 usados para que el equipo en recepción sin-
cronice la información en la trama
■ SFD (Start of Frame Delimiter, inicio de delimitador de trama) Un par de 1 em-
pleado para marcar el inicio de la trama
■ Direcciones de destino y origen Dos números de 48 bits que representan la direc-
ción MAC de los equipos de destino y origen. Estos números son asignados por la
IEEE a los fabricantes y contienen un número único de fabricante de 24 bits y otro
para una tarjeta de red (NIC, Network Interface Card) o adaptador que conecta el
05 MATTHEWS 01.indd 105 1/14/09 1:13:39 PM

equipo a la red. Esto significa que cada adaptador de red viene con una dirección única
y el usuario final no tiene que preocuparse al respecto. Si habrá de difundirse un men-
saje a todas las estaciones de una red, la dirección de destino sólo debe contener 1
■ Longitud El número de bytes en el campo de datos. En estándares anteriores de
Ethernet esto era un tipo de código, mayor a 1 500 para evitar confusiones con la
longitud, de 0 a 1 500
■ Datos Los datos que se transmiten pueden tener de 0 a 1 500 bytes de largo
■ Relleno Es obligatorio si los datos contienen menos de 46 bytes; por ello, si el
campo de datos contiene 38 bytes, se incluirán 8 bytes de relleno
▲ CRC (Cyclical Redundancy Checks, verificación de redundancia cíclica) Tam-
bién llamada secuencia de verificación de trama (FCS, Frame Check Sequence), es
un número de 32 bits (4 bytes) derivado de todos los bits en la transmisión usando una
fórmula compleja. El equipo remitente calcula este número y almacena en la trama en-
viada al otro equipo. El equipo destinatario también calcula el número y lo compara
con el de la trama. Si los números son iguales, se da por hecho que la transmisión
fue recibida sin error. Si los números son diferentes, la transmisión se repetirá
La principal diferencia entre el estándar DIX Ethernet original (llamado Ethernet II,
porque Ethernet I fue la especificación original antes de DIX) y Ethernet 802.3 consiste en
que el primero tiene un código de tipo en lugar del largo de la trama. El código de tipo se
usa para adaptar Ethernet a diferentes entornos de cómputo, que se hace fuera de la trama
en 802.3. En el protocolo de Internet TCP/IP (consulte “Protocolos de trabajo en red”, en
páginas posteriores de este capítulo), la trama Ethernet se maneja con un código de tipo que
identifica el protocolo de Internet.
Hardware Ethernet La tecnología de LAN Ethernet define ocho estándares alternos de hard-
ware que pueden usarse con Ethernet; un noveno se encuentra en desarrollo. Cada estándar de
hardware usa un tipo específico de cable y cableado o topología y proporciona un rango
de velocidad en la red en Mbps, un largo máximo de segmento y un número máximo de
equipos en un solo segmento. A continuación se presentan los estándares de hardware:
NOTA En los nombres de IEEE para estándares de hardware Ethernet, como 10Base5,
el “10” es la velocidad en Mbps; “Base” representa la banda de base, un tipo de transmisión;
el “5” es la longitud máxima del segmento en cientos de metros. En estándares más recien-
tes, como 10BaseT, la “T” significa el tipo de cableado (“Par trenzado” en este caso).
▼ 10Base5 (también llamado Thicknet) Es la especificación original del estándar

DIX. Usa un cable coaxial grueso en una topología de bus con una conexión muy
compleja en cada equipo, para producir una velocidad de 10 Mbps sobre segmentos
máximos de 500 metros (1 640 pies), con un tope de 100 equipos por segmento y tres
segmentos. 10Base5 resulta costoso y difícil de usar, sólo se usa en raras ocasiones
■ 10Base2 (también llamada Thinnet o Cheapernet) Maneja cable coaxial delgado RG-
58A/U en una topología de bus con un conector sencillo BNC, para producir veloci-
dades de 10 Mbps en segmentos máximos de 185 metros (606 pies), con un tope de 30
05 MATTHEWS 01.indd 106 1/14/09 1:13:39 PM

equipos por segmento y tres segmentos. Hasta 1990, Thinnet era la forma más barata de
trabajo en redes Ethernet para organizaciones pequeñas (30 nodos o menos)
■ 10BaseT (también llamada par trenzado) Utiliza cable parecido al de los teléfonos de
par trenzado sin blindar (UTP), en una topología de estrella (véase la figura 5-2) con un
conector RJ-45 muy simple, parecido al telefónico para producir una velocidad de 10
Mbps sobre segmentos de 100 metros (328 pies), con un equipo por segmento y 1 024
segmentos. En los años 90, 10BaseT bajó su precio al nivel de 10Base2; con su excepcio-
nal expansibilidad se volvió muy atractiva para la mayor parte de las organizaciones
■ 10BaseF Usa cable de fibra óptica en topología de estrella a 10 Mbps para conectar
dos redes separadas a una distancia de hasta 4 000 metros (13 120 pies o 2.5 millas).
Se usaba con frecuencia para conectar dos o más edificios en un campus
■ 100BaseT (también llamada Fast Ethernet) Tiene las mismas especificaciones que
10BaseT, con la excepción de que los requisitos del cableado son más demandantes
(requiere de cable categoría 5 en lugar de categoría 3) y es diez veces más rápido.
100BaseT es más barata que 10BaseT; gracias a su significativa velocidad agregada,
se ha convertido en el estándar líder de Ethernet. Con el hardware de conexión
apropiado (consulte “Hardware de redes”, en páginas posteriores de este capítulo),
puede mezclar hardware 10BaseT y 100BaseT en la misma red, para actualizar len-
tamente una red 10BaseT. Hay dos especificaciones para 100BaseT: 100BaseTX, la
más común, que corre sobre UTP categoría 5 usando dos pares trenzados, y 100Ba-
seT4, que corre sobre UTP categoría 3 usando cuatro pares trenzados
■ 100BaseFX Utiliza cable de fibra óptica a 100 Mbps para conectar dos redes se-
paradas hasta 412 metros (1 351 pies) o, si se usa full duplex (fibras separadas para
enviar y recibir), hasta 2 kilómetros (más de 6 500 pies o una milla y cuarto). Como
10BaseF, 100BaseFX se usa principalmente para unir dos redes
■ 1000BaseT y F (también llamada Gigabit Ethernet) Usa cable estándar categoría
5 o fibra óptica para correr a 1000 Mbps. Los estándares de distancia van de 25 me-
tros (82 pies) a 100 metros (328 pies) para cobre UTP y 550 metros (1 800 pies) para
fibra. A mediados de 2007, el equipo de Gigabit Ethernet era apenas un poco más
costoso que Fast Ethernet y diez veces más veloz. Su precio ha bajado significativa-
mente en los cinco años que lleva en el mercado
■ 10GBaseT y varias configuraciones de fibra (también llamada 10 Gigabit Ether-
net 10GbE) Utiliza cable categoría 6 y varios esquemas de fibra óptica para correr
a 10 000 Mbps. La distancia estándar para cobre es 100 metros (328 pies). Algunos
estándares de fibra 10GBase usan diferentes tipos de cable de fibra óptica con dis-
tancias de 28 metros (92 pies) a 40 kilómetros (25 millas). A mediados de 2007, el
equipo 10GBase era difícil de obtener y costoso, pero si sigue los patrones de Ether-
net 100Base y 1000Base, el precio caerá significativamente
▲ 100GBase (también llamada 100 Gigabit Ethernet o 100GbE) Está en las etapas iniciales
de desarrollo con el objetivo de un vínculo de red de fibra óptica que corra a 100 000 Mbps,
lo que se aproxima a las velocidades internas del equipo. El estándar final estará dispo-
nible hasta 2010 o después; quizás resulte ligeramente más lenta que 100 000 Mbps
05 MATTHEWS 01.indd 107 1/14/09 1:13:40 PM

En la sección “Hardware de redes”, en páginas posteriores de este capítulo, se profundiza

en estándares de hardware Ethernet y las opciones disponibles para conectar redes Ethernet.
NOTA Con mayores velocidades el número de colisiones aumenta, pero la velocidad con
que se resuelven compensa con creces esto, proporcionando un incremento significativo
en la velocidad, en cada paso.
Tecnologías de red inalámbrica

Las tecnologías de red inalámbrica cubren un amplio espectro de capacidades, incluidas:
▼ Topologías de banda ancha inalámbricas usadas en redes WAN y redes de área me-
tropolitana (MAN, Metropolitan Area Network)
■ Trabajo en red inalámbrica celular
■ Comunicaciones de microondas usadas en WAN
■ Sistemas de comunicación por satélite
▲ LAN inalámbricas
La banda ancha inalámbrica y microondas se usan entre edificios para conectar LAN,
son costosas y, frecuentemente, sólo se usan en organizaciones grandes. Las MAN (redes
de área metropolitana) se están volviendo más comunes en muchas comunidades y ofrecen
conectividad inalámbrica en un área de varias manzanas. Las comunicaciones por satélite
son relativamente costosas, más lentas y se usan, sobre todo, en áreas rurales, el océano y
aviones. Los sistemas celulares se están usando ampliamente en ciudades, complejos de
oficinas y grandes edificios. Por algún tiempo, la conectividad por celular fue muy lenta;
empezaba de 16 Kbps (kilobits por segundo) a 64 Kbps y, en fechas recientes, hay opciones
de 144 Kbps. Hay algunos proveedores de servicio, como Verizon, Sprint, AT&T/Cingular
y T-Mobile, que ofrecen lo que se llama “Tecnología de tercera generación” (3G) con veloci-
dades de hasta 2.4 Mbps (megabits por segundo).
Las LAN inalámbricas o WLAN ya se encuentran bien implementadas, se dispone de
ellas ampliamente y tienen precios razonables. Están basadas en tres estándares actuales y
uno emergente:
▼ IEEE 802.11b Utiliza la banda de 2.4 GHz, facilita transferencias de datos de hasta
11 Mbps, utiliza codificación complementaria de llaves (CCK) y fue el estándar de
red inalámbrica original, ampliamente usada
■ IEEE 802.11g Utiliza la banda de 2.4 GHz, proporciona transferencias de datos de
hasta 54 Mbps, usa la más eficiente multiplexión ortogonal de división de frecuencia
(OFDM, Orthogonal Frequency-Division Multiplexing) y es el estándar de red in-
alámbrica de uso más extenso. Casi todos los puntos de acceso y adaptadores IEEE
802.11g pueden trabajar también con puntos de acceso y adaptadores IEEE 802.11b
■ IEEE 802.11a Utiliza la banda de 5 GHz, proporciona transferencias de datos de
hasta 54 Mbps y utiliza multiplexión ortogonal de división de frecuencia (OFDM),
pero ha sido poco adoptada pues requiere hardware exclusivo, con menor rango
que las 802.11b o 802.11g de 2.4 GHz
05 MATTHEWS 01.indd 108 1/14/09 1:13:40 PM

▲ IEEE 802.11n Estaba en su segundo borrador como estándar a mediados de 2007,

dos años antes de que el estándar final sea aprobado. El borrador del estándar requiere
el uso de la banda de 2.4 o 5 GHz, con velocidades de transferencia que exceden los
100 Mbps y un máximo de 300 Mbps usando tecnología de entrada múltiple salida
múltiple (MIMO, Multiple Input Multiple Output), para manejar varios flujos de
datos mediante dos a cuatro antenas para transmisión y recepción. Ya hay en el
mercado equipo “pre-n”, pero no es recomendable hasta que el estándar se apruebe
y certifique su funcionalidad con equipo. La única excepción a esto es si se tiene una
organización cerrada donde controlar todo el equipo y no espera visitantes
Una WLAN usa un punto de acceso fijo que se conecta a la red cableada mediante un
concentrador, conmutador o enrutador DSL, por ejemplo. Este punto de acceso es un trans-
ceptor (transmisor y receptor) para comunicarse inalámbricamente con una tarjeta o circuito
inalámbrico añadido a cada equipo que desee usar la WLAN (véase la figura 5-4). Estos
equipos operan en la red, exactamente de la misma manera en que harían con un adaptador
de red y una conexión por cable. Una WLAN tiene algunos beneficios importantes sobre
una LAN normal cableada:
*Fotografías de Linksys®, división de Cisco Systems, Inc.
Figura 5-4. Una selección de productos de LAN inalámbrica de 54 Mbps de Linksys©, incluido
punto de acceso Wireless-G, adaptador para equipos de escritorio PCI Wireless-G, adaptador
para notebook Wireless-G y adaptador compacto USB Wireless-G para equipos de escritorio
o laptops.*
05 MATTHEWS 01.indd 109 1/14/09 1:13:40 PM

NOTA Además del estándar WLAN, existe el estándar WIFI (fidelidad inalámbrica) que
garantiza la compatibilidad del hardware de diferentes fabricantes; en consecuencia, pue-
de entrar en cualquier oficina, aeropuerto u otro edificio con un sistema estándar WIFI y,
para conectarse, sólo necesita los permisos apropiados.
▼ No tiene alto costo de cableado ni el (aun más elevado) de instalación y mantenimiento
■ Es muy sencillo agregar y eliminar usuarios de la red
■ Los usuarios pueden desplazarse fácilmente de una oficina o habitación a otra
■ Los usuarios pueden moverse en un área, digamos, cargando sus laptop a una junta
▲ Los visitantes pueden entrar fácilmente en la red
El costo y la velocidad de la red inalámbrica solían ser un obstáculo, pero el costo ha
bajado demasiado y la velocidad ha subido. Un punto de acceso barato cuesta ahora menos
de 70 dólares y, recordando que se divide entre 11 o 54 Mbps de ancho de banda, sirve para
siete o diez usuarios o 10 dólares por usuario. Los adaptadores para cada uno cuestan al-
rededor de 25 dólares y ya vienen integrados en muchos equipos nuevos. Como resultado,
el costo total de conectar inalámbricamente un equipo a la red es inferior a 35 dólares, que
puede ser menor que el costo de una red cableada. En cambio, la diferencia en velocidad
entre red inalámbrica y cableada no sólo es la diferencia entre 54 Mbps inalámbricos y 100
Mbps cableados, es la tasa neta de dividir el canal inalámbrico de 54 Mbps entre el número
de personas que intentan usarlo en cualquier instante.
La red inalámbrica tiene otras varias desventajas:
▼ Un punto de acceso inalámbrico o “hotspot” tiene un rango limitado de 30 a 45 me-
tros o 100 a 150 pies, y puede verse afectado por los muros, sobre todo los que tienen
metal en ellos, como plomería, ductos y otros objetos. Existen extensores de rango y
repetidores que pueden extender este rango por un precio, pero también hacen más
lenta la señal
■ Usualmente, la instalación predeterminada de la red inalámbrica no tiene cifrado
ni otras características de seguridad activadas, que facilita a alguien sin conexión
física conectarse a la red
■ Varias redes inalámbricas cercanas pueden interferirse entre ellas, causando un trá-
fico de red más lento, a grado tal que se vuelva imposible utilizarlo. A esto se le
llama “contaminación inalámbrica”
▲ Los circuitos de red inalámbrica pueden imponer una carga importante a las bate-
rías de los dispositivos portátiles
Aun con estos inconvenientes, la red inalámbrica es la forma de trabajo en red de más
rápido crecimiento, sobre todo en el hogar y organizaciones pequeñas.
Tecnologías de red en el hogar

Las tecnologías de red en el hogar (que pueden utilizarse también en oficinas pequeñas,
sobre todo en oficinas caseras) suelen compartir uno de dos tipos de cableado existente en
05 MATTHEWS 01.indd 110 1/14/09 1:13:41 PM

el hogar, ya sea telefónico o eléctrico. La velocidad ofrecida en ambos casos es relativamente

baja y los costos no son ventajosos. Para ambas tecnologías de red en el hogar, el objetivo es evitar
la instalación de un cableado separado de red. Como una red inalámbrica hace esto excelen-
temente, las tecnologías de red en el hogar están prácticamente muertas.
HARDWARE DE REDES
En su forma más sencilla, las redes de cómputo sólo necesitan un cable para unir dos equi-
pos y dos adaptadores, colocados en equipos y en los que se conecta el cable, como se mues-
tra en la figura 5-5.
Para ambos, adaptador y cable de red, tiene varias opciones de tipos y características, pero
cuando se va más allá de dos equipos, hay componentes adicionales que presentan varias op-
ciones. La primera y más importante decisión en la selección de estas opciones es la tecnología
LAN que va a usar, porque ésta, en muchos casos, determinará su cableado (si se requiere) y
el adaptador de red, o al menos lo coloca en cierta categoría de cableado y adaptadores de red.
Por tanto, empezaremos este repaso del hardware con un resumen, mostrado en la tabla 5-1,
de lo descrito en este capítulo acerca de las opciones de tecnologías LAN.
En la selección de una tecnología de LAN Ethernet, Ethernet 100BaseT es la opción
predominante actual. Tal vez más 98% de los compradores la escogen. Es probable que no
se hayan dado nuevas instalaciones 10Base5 o 10Base2 por unos cuantos años y muy pocas
instalaciones heredadas permanecen. Mientras algunas instalaciones 10BaseT permanecen,
están desapareciendo rápidamente y no se han hecho nuevas. Lo que se usa más ahora son
las opciones de fibra 100BaseF y, cada vez más, 1000BaseF, para interconectar redes, edifi-
cios y pisos dentro de un edificio. Las siguientes opciones de hardware se concentran en las
necesidades de estas tecnologías.
Figura 5-5. Componentes necesarios para una red sencilla.
05 MATTHEWS 01.indd 111 1/14/09 1:13:41 PM

Tipo de
Velocidad cableado Segmen- Largo de Largo de
máxima (véase la Nodos de red tos de red segmento segmento Largo de red
Tecnología (Mbps) nota) (máximo) (máximo)1 (máximo) (mínimo)2 (máximo)2
10Base5 10 Coaxial 300 100 500 m 2.5 m 2 500 m
grueso
10Base2 10 Coaxial 90 30 185 m 60 cm 925 m
delgado
10BaseT 10 UTP-Cat 3 1 024 2 100 m
10BaseFibra 10 Fibra óptica 2 2 km
100BaseT 100 UTP-Cat 5 1 024 2 100 m
100BaseFibra 100 Fibra óptica 2 2 km
1 000BaseT 1 000 UTP-Cat5e 512 2 100 m
1 000BaseFibra 1 000 Fibra óptica 2 550 m a
100 km
10GBaseT 10 000 STP-Cat6 512 2 100 m
10GBaseFibra 10 000 Fibra óptica 2 30 m a
40 km
1
Para tecnologías Ethernet, con las que no se especifica el número máximo de nodos, existen subcategorías con
diferentes máximos.
2
Los máximos y mínimos del largo de segmento se aplican únicamente a cable coaxial usado en 10Base5 y 10Base2.
Tabla 5-1. Componentes necesarios para una red sencilla.
NOTA Las categorías UTP se explican más adelante en este capítulo, bajo el tema “Ca-
tegorías UTP”. Además, un “nodo” es una estación de trabajo, servidor o dispositivo de
interfaz, como un conmutador, enrutador o impresora de red independiente.
Tarjetas de red
Aunque tal vez haya decidido usar 100BaseT, si está instalando una red cableada, la deci-
sión de cuál adaptador de red comprar todavía merece consideraciones:
▼ ¿Cómo se conectará el adaptador?
■ ¿Qué tipo de adaptador usará?
■ ¿Quiere tener la capacidad para activar el equipo?
▲ ¿Qué marca debe comprar?
05 MATTHEWS 01.indd 112 1/14/09 1:13:41 PM

Cómo se conectan los adaptadores

Los adaptadores de red hoy disponibles se conectan al equipo en una de cuatro formas
(véase figura 5-6):
▼ Se insertan en una ranura PCI (Peripheral Component Interface, interfaz de compo-
nente periférico) dentro del equipo de escritorio o uno de mayor capacidad
■ Se insertan en el puerto USB (Universal Serial Bus, bus serial universal), en el exte-
rior del equipo de escritorio o laptop
■ Se insertan dentro de la ranura PCMCIA (Personal Computer Memory Card Inter-
national Association) o “PC Card”, así como dentro de una ranura ExpressCard en
el exterior de casi todos los equipos laptop y algunas de escritorio
▲ La capacidad para conectarse a una red está integrada en muchos equipos nuevos,
tanto de escritorio como laptop y no requieren adaptador separado
*Fotografías Linksys®, división de Cisco Systems, Inc.
Figura 5-6. Una selección de adaptadores cableados Ethernet 10/100 de Linksys®, incluidos los
adaptadores PCI de red administrada para equipos de escritorio, para laptops PC Card EtherFast®
de 32 bits y Compact USB 2.0 para equipos de escritorio y laptops.*
05 MATTHEWS 01.indd 113 1/14/09 1:13:41 PM

Por supuesto, si la capacidad para conectarse está integrada en el equipo, no tiene que
pensar más en esto. Si necesita agregar un adaptador, tal vez lo más fácil sea un adaptador
USB, pero éste y el adaptador PC Card/ExpressCard son mucho más costosos que una
tarjeta adaptadora PCI. Sin embargo, para este último, debe abrir el equipo de escritorio e
insertar la tarjeta dentro de una ranura PCI en la tarjeta madre (la placa de circuitos principal
de un equipo).
Qué tipo de tarjeta usar

Casi todos los fabricantes, sobre todo de marcas reconocidas, fabrican diversos adaptadores
PCI 10/100BaseT. Estas diferencias incluyen si el adaptador de red es full-duplex o half-du-
plex, si está hecho para un servidor y si tiene varios puertos. Todas estas características
se añaden a la velocidad y eficiencia de la tarjeta, pero también suben el costo, por lo que
debe pensar un poco en ello.
Comparación entre adaptadores half-duplex y full-duplex Half-duplex significa que cuando la
tarjeta está recibiendo no puede transmitir y viceversa. Full-duplex permite a la tarjeta trans-
mitir y recibir al mismo tiempo. Obviamente, full-duplex es más rápido, pero no aumenta
al doble la velocidad, como se esperaría; en cambio, ofrece un incremento de 30 a 50% sobre
half-duplex. En la actualidad, casi todos los adaptadores de marca reconocida 10/100 son
full-duplex, pero no está de más verificar este factor cuando investigue cuáles comprar.
Adaptadores de red de servidor Los adaptadores de red de servidor fueron desarrollados
para usarse en servidores y ofrecen ciertas características para dar soporte a esta función.
Entre éstas se encuentran mayor confiabilidad e inteligencia. La confiabilidad suele ser una
combinación de mejores partes y control de calidad. La inteligencia significa que hay un
procesador o memoria en la tarjeta de red, para que no tenga que ir al CPU del equipo o me-
moria para manejar sus procesos. Esto hace a la tarjeta más rápida, permitiéndole manejar
un mayor volumen de información. Estas características, por supuesto, cuestan dinero,
por lo que tendrá que determinar si valen la pena. Las tarjetas más confiables cuestan alre-
dedor de 30 a 50% más que los adaptadores de red de marca normales. Los adaptadores de
red inteligentes cuestan de dos a tres veces más que un adaptador de red normal de marca
reconocida. Aunque esto suena a mucho, se traduce en menos de 100 dólares adicionales
por tarjeta y no tiene que comprar muchas. Cuando se compara esto con el costo de actua-
lizar el CPU, es razonable.
Adaptadores de red de varios puertos Existen adaptadores de red para servidores con dos
o cuatro puertos, el equivalente a dos o cuatro adaptadores de red en el servidor. Dado que
las ranuras PCI son escasas en muchos servidores, estas tarjetas de varios puertos pueden
ser atractivas. El problema es que un adaptador de red con puerto dual cuesta más del doble
que un adaptador de red de servidor de marca reconocida y uno de cuatro puertos cuesta
más de cuatro veces lo de un adaptador de red de servidor de marca reconocida. Si no tiene
las ranuras PCI, entonces ésta podría ser una solución, pero otra opción consiste en usar un
dispositivo de interconexión frente al adaptador de red (consulte “Dispositivos de interco-
nexión”, en páginas posteriores de este capítulo). Se trata de una de esas situaciones donde
no hay una respuesta correcta. Depende del diseño de la red que intente construir.
05 MATTHEWS 01.indd 114 1/14/09 1:13:42 PM

Wake on LAN y otras características especiales

Algunos fabricantes, como 3Com e Intel, por mencionar algunos, tienen adaptadores de
red con la característica “Wake on LAN”, para encender el equipo a un estado de completa
operación tras haberse apagado. Esto le permite al administrador de la red o personal de
soporte actualizar un equipo a deshoras. Wake on LAN requiere una tarjeta madre que im-
plemente el estándar de bus PCI 2.2 o superior. Muchos equipos producidos alrededor de
1995 manejan este estándar.
Otras dos características especiales que algunos adaptadores de red ofrecen y pueden
ser útiles son: administración remota y arranque remoto. La primera permite al administrador
de red en un servidor con software apropiado monitorear la actividad y hacer administra-
ción remota en un equipo a través de la red. La segunda permite a un servidor arrancar un
equipo sin depender del sistema operativo en el equipo. Esto es importante para diagnosti-
car problemas en el equipo e instalación remota de Windows y otras aplicaciones (consulte
el capítulo 4 sobre los Servicios de implementación de Windows). Este arranque también
requiere del estándar de bus PCI 2.2 o más reciente.
Si estas características le interesan, revise cuidadosamente antes de comprar un adapta-
dor de red y asegurarse de que la tarjeta madre que pretende usar soporta características del
adaptador de red. Tal vez un arranque remoto, en particular, requiera un soporte especial en
la tarjeta madre no incluido en algunas tarjetas madre.
Qué marca
Si revisa los servicios de comparación de costos (como Yahoo! Shopping), verá que hay
casi tres niveles de precio en adaptadores de red. Por ejemplo, con adaptadores PCI
10/100 cableados:
▼ De marca (3Com y Linksys, por ejemplo) con las características especiales ya men-
cionadas: de 50 a 350 dólares, dependiendo de las características.
■ Tarjetas básicas de marca (sin características especiales): de 10 a 50 dólares.
▲ Tarjetas genéricas básicas (sin características especiales): de 5 a 25 dólares.
Aunque parte del rango de precios en cada uno de los tres niveles se debe a diferencias
en características, gran parte de éste es causado por variaciones del precio que los provee-
dores cobran por tarjeta. Usted puede verificar esto viendo en Pricewatch (http://www.
pricewatch.com) y PriceScan (http://www.pricescan.com), que comparan los precios del
mismo artículo con diferentes proveedores. En cualquier caso, asegúrese de saber qué está
comprando y cuáles son los cargos por manejo y envío.
La pregunta pertinente es si las tarjetas de marca reconocida valen la diferencia de 5 a
25 dólares. Desde mi punto de vista, la respuesta es sí. En más de diez años de trabajo con
redes de PC, he trabajado con casi la misma cantidad de adaptadores de red genéricos y de
marca reconocida. Me he encontrado problemas con ambos y he debido tirar algunas de las
tarjetas genéricas; en el caso contrario, siempre he conseguido que las tarjetas de marca sean
reparadas o reemplazadas. Respaldo y soporte de las marcas reconocidas es reconfortante
(sobre todo la garantía de por vida de 3Com) y en ocasiones han añadido características,
como diagnósticos, que pueden ser valiosas. Concedido, los precios más bajos de las tarjetas
genéricas también son atractivos, pero cuando una red deja de funcionar, tal precio no es
05 MATTHEWS 01.indd 115 1/14/09 1:13:42 PM

tan bueno. Si compra una genérica de un mejor proveedor para obtener el soporte de éste,
su precio será muy cercano al de una de marca reconocida. Mi recomendación es elegir la
tarjeta de marca, con la idea de que será más fácilmente reconocida por el software, como
Windows Server 2008, que ofrecerá mejor soporte cuando sea necesario.
Cableado
Las principales tecnologías de red usan uno de dos tipos de cableado; cada uno de ellos
tiene diversas consideraciones:
▼ Par trenzado sin blindar (UTP, Unshielded Twisted Pair) para 10BaseT, 100BaseT y
1000BaseT
▲ Fibra óptica para 10BaseF, 100BaseF y 1000BaseF
Par trenzado sin blindar

El cable UTP usado en 10/100/1000BaseT es similar, aunque en general difiere del cableado
telefónico. Para 10BaseT, este cable contiene dos pares de hilos (es decir, primero se tienen
cuatro hilos trenzados en pares, y luego los pares se trenzan entre sí). Un conector modular
RJ-45 se coloca en cada extremo. Aunque sólo dos pares se utilizan, el cable real de catego-
rías 3 y 4 tiene cuatro pares, como se muestra en la figura 5-7. El conector RJ-45, que puede
manejar cuatro pares trenzados de hilos, es similar, pero ligeramente mayor que el conector
RJ-11, es capaz de manejar dos pares de hilos y se usa en conexiones telefónicas normales.
100BaseT y 1000BaseT usan cuatro pares o todos los ocho hilos en el cable de categoría 5 y
el mismo conector RJ-45.
Conector RJ-45
Par trenzado sin blindar, categoría 5 (UTP)
Aislamiento
Cubierta plástico
externa
Conexiones:
1 Transmitir +
2 Transmitir – Conductor
3 Recibir + interno
4 Recibir –
Figura 5-7. Cableado de par trenzado sin blindar (UTP) utilizado con un conector RJ-45.
05 MATTHEWS 01.indd 116 1/14/09 1:13:42 PM

Los pares de hilos en el cable UTP son trenzados para reducir la interferencia eléctrica
recibida en el cable. El número de giros por pie se ha vuelto una ciencia muy exacta y es im-
portante mantener el cable apropiadamente trenzado hasta el conector. Una opción a UTP
es STP, con varios grados de blindaje: blindaje alrededor de cada par, alrededor de todos los
pares o alrededor de los pares individuales y la combinación. STP es mucho más caro que
UTP y resulta más difícil de manejar. Para evitar el problema de interferencias, siga estas
reglas cuando tienda el cable:
▼ No lo pase cerca de una lámpara fluorescente
■ No lo pase cerca de un motor eléctrico, como los de máquinas, ventiladores, enfria-
dores de agua y copiadoras
■ No lo pase junto a un cable de corriente
■ No lo doble de manera que pueda apretarlo demasiado
▲ No use engrapadora, que pueda apretarlo demasiado o crear un cortocircuito
SUGERENCIA Al apretar demasiado el cable de red puede cambiar el espacio entre hilos
individuales y, por tanto, cambiar sus características eléctricas y de rendimiento.
Entre voz y datos (telefonía y de red), hay varios tipos diferentes de cable UTP. Las dife-
rencias están en el grado de resistencia al fuego, tipo del núcleo interno y grado o categoría
del cable, que también especifica el número de pares trenzados.
Grado de resistencia al fuego Los cables UTP vienen en dos grados de resistencia al fuego:
cable plenum, marcado “CMP” al lado del cable, y cable PVC o riser, marcado “CMR”. El cable
plenum, que con frecuencia tiene un recubrimiento de teflón, es más resistente al fuego y no
libera gases peligrosos en caso de quemarse. El cable PVC o riser, aunque razonablemente
resistente al fuego, está hecho de cloruro de polivinilo (PVC) y libera gases peligrosos si se
quema. El cable plenum cuesta casi el doble que el PVC, pero puede usarse en pasajes de aire
como pisos elevados y techos falsos, mientras el cable PVC sólo puede usarse en muros y
el exterior (verifique sus códigos locales para el tipo de cable que debe usar).
Tipo de núcleo interno El núcleo interno del cable UTP puede ser en hebras o sólido. El cable
en hebras es más flexible y tiende a romperse menos cuando se dobla varias veces. Se utiliza en
situaciones donde se mueve con frecuencia, como en paneles de parche y entre la caja de
conexión en la pared y el equipo. El cable sólido tiene menor pérdida de señal y, por tanto,
es mejor para tramos largos donde no se moverá con frecuencia, como muros y techos.
05 MATTHEWS 01.indd 117 1/14/09 1:13:43 PM

Categorías UTP Las siguientes son las siete categorías de cable UTP utilizados en comuni-
caciones de voz y de datos:
▼ Categoría 1 Usado en instalaciones telefónicas anteriores a 1983, tiene dos pares
trenzados.
■ Categoría 2 Usado en instalaciones telefónicas después de 1982, tiene cuatro pa-
res trenzados; se usa en algunas redes de datos antiguas con velocidades de hasta
4 Mbps.
■ Categoría 3 Usado en muchas de las redes de datos antiguas y en casi todos los
sistemas telefónicos actuales. Usualmente tiene cuatro pares trenzados, pero puede
constar de dos a 100. En general, incluye tres vueltas por pie (no está en las especifi-
caciones) y maneja con facilidad velocidades de red de 10 Mbps con ancho de banda
de 16 MHz.
■ Categoría 4 Usado en redes Token Ring, tiene cuatro pares trenzados y puede ma-
nejar velocidades de hasta 16 Mbps con ancho de banda de 20 MHz.
■ Categoría 5 Usado en casi todas las redes hasta mediados de 1990, tiene cuatro pa-
res trenzados, con ocho vueltas por pie; puede manejar 100 Mbps con un ancho
de banda de 100 MHz.
■ Categoría 5e (categoría 5 mejorada) Usado en casi todas las redes actuales, tiene
las mismas características físicas y ancho de banda de la categoría 5, pero con menor
tasa de errores. Puede utilizarse con Gigabit Ethernet. Normalmente sin blindar,
también puede ser blindado.
▲ Categoría 6 Construido para ir más allá de Gigabit Ethernet y requerido para
Ethernet a 10 Gigabit, tiene un ancho de banda de 200 MHz, el doble del ancho de
banda que el categoría 5e, con menor tasa de errores. Puede ser sin blindar, pero no
es frecuente; es usado donde la interferencia eléctrica es un problema. El cable de
categoría 6 blindado tiene cuatro pares trenzados, envueltos en una hoja de alumi-
nio alrededor de cada par y otra hoja alrededor de todos los pares.
Conecte UTP El cableado UTP simplemente se inserta en el adaptador de red y luego dentro
del receptáculo de la pared, concentrador, conmutador o enrutador, que hace la instalación
de 10/100/1 000BaseT muy simple, como verá en la figura 5-8. Para que UTP funcione entre
dos equipos sin un concentrador o conmutador, los hilos deben cruzarse (los hilos de trans-
misión de un equipo deben convertirse en los de recepción del otro equipo). Ésta es una de
las funciones del concentrador; por ello, los hilos que conectan un equipo al concentrador,
deben ser los mismos en ambos extremos. Cuando dos equipos están directamente conecta-
dos entre sí, debe usarse un cable especial con las conexiones terminales invertidas.
SUGERENCIA Las reglas básicas para mantenerse en el límite de 328 pies (100 metros)
para un segmento de 10/100/1 000BaseT consisten en tender el cable del gabinete de ca-
bleado al receptáculo en la pared, a menos de 90 metros, además de que la distancia entre
pared y equipo sea inferior a 6 metros y tener el panel de parcheo a menos de 2.5 metros.
05 MATTHEWS 01.indd 118 1/14/09 1:13:43 PM

Cable de fibra óptica

El cable de fibra óptica transmite luz sobre una hebra o fibra muy pura de cristal, con me-
nor grosor que el de un cabello humano. El cristal es tan puro que hay una mínima pérdida
de luz en un cable muy largo. La fuente de luz puede ser un diodo emisor de luz (LED,
Light-Emitting Diode) o láser. La información se transmite encendiendo y apagando la fuen-
te de luz para producir los 1 y 0 digitales. En el otro extremo del cable hay un detector de luz
que convierte nuevamente la luz en impulsos eléctricos. El cable de fibra óptica es inmune
a la interferencia eléctrica y electromagnética, sin irradiar energía por sí solo. Esto significa
que es muy difícil para alguien intervenir un cable de fibra óptica y obtener la información que
carga, sin ser detectado. El resultado es que el cable de fibra óptica es un medio muy seguro
y eficiente para transportar información a distancias largas.
Conector RJ-45
10/100BaseT
Concentrador
10/100BaseT
Conector
RJ-45
Conector
RJ-45
Cableado de par
trenzado sin
blindar (UTP)
Tarjeta de red
10/100BaseT
Conector de bus
PCI de 32 bits
Figura 5-8. Cableado 10/100/1000BaseT en una topología de estrella.
05 MATTHEWS 01.indd 119 1/14/09 1:13:43 PM

El cable de fibra óptica, mostrado a continuación, tiene un núcleo central de cristal trans-
parente (para distancias cortas, de unos cuantos metros, puede ser plástico). Está rodeado
por un cristal reflejante llamado revestimiento, que devuelve al núcleo cualquier luz que
salga de él. El revestimiento está cubierto con una o más capas de plástico y otros materiales
de refuerzo, para formar la cubierta o camisa. Hay dos tipos de cable de fibra óptica:
Cubierta Núcleo
Revestimiento de la fibra
de plástico
▼ Fibra de un solo modo o monomodo Usa un láser con un diminuto núcleo inter-
no (de 4 a 10 micras para el núcleo y de 75 a 125 micras para núcleo y revestimiento
combinados, escrito “4/75 a 10/125”). La fibra de un solo modo transporta la luz,
esencialmente en línea recta a lo largo de la fibra. Esto tiene alta eficiencia, permi-
tiendo mayores distancias (hasta diez veces la distancia de la fibra multimodo),
pero también es la más cara: llega a costar el doble de la fibra multimodo. La fibra
de un solo modo se emplea en WAN de larga distancia, en el cableado de redes de
campus y con menor frecuencia en los segmentos principales de edificios
▲ Fibra multimodo Generalmente se usa con LED, tiene un núcleo mucho más
grande (el estándar es 63.5 micras para el núcleo y 125 micras para el núcleo y el re-
vestimiento). La fibra multimodo permite que la luz rebote en los muros; por tanto,
tiene menor eficiencia pero un costo mucho menor. La fibra multimodo se usa en
cableados dentro de edificios
El cable de fibra óptica más común es la fibra multimodo con dimensiones de 62.5/125.
Viene con una sola fibra (simplex), con dos fibras (dúplex o zipcord) o con 4, 6, 12 o más fibras.
Como el cable UTP, el de fibra óptica viene con cubiertas PVC (riser) y plenum. Dado que
casi todos los sistemas requieren de dos fibras, una para transmitir y otra para recibir, el ca-
ble zipcord de dos fibras es el que se encuentra con más frecuencia. Al momento de escribir
esto, el zipcord de PVC cuesta entre .60 y 1.20 dólares el metro, mientras el plenum cuesta
entre 1 y 1.30 (ambos en carretes de 320 metros), más el costo de los conectores (visite www.
controlcable.com).
Gigabit sobre fibra (1000BaseF) requiere el uso de láser (los LED no son suficientemente
rápidos) y, como resultado, tiene una distancia máxima más larga que 100BaseF (550 en
comparación con 410 metros), cuyo estándar se basa en LED. Los estándares para 1000BaseF
son los siguientes:
Tipo de fibra Tamaño del núcleo Distancia máxima

Multimodo 50 a 62.5 micras 550 metros
Un solo modo 8 a 10 micras 4 800 metros, o 4.8 kilómetros
05 MATTHEWS 01.indd 120 1/14/09 1:13:44 PM

El costo del cable de fibra óptica no se ha reducido en los últimos años; sin embargo,
se usa con más frecuencia para la columna vertebral de la red, incluso en parte del cablea-
do horizontal en un edificio (consulte la siguiente sección).
Estándares de cableado TIA/EIA

La Telecommunications Industry Association (TIA) y la Electronic Industries Association
(EIA), juntas, han definido un conjunto de estándares de cableado para redes de teleco-
municaciones y equipos en un edificio comercial. El propósito de los estándares es ofrecer
un conjunto común de especificaciones para cablear datos, voz y video en un edificio que
brinde calidad, flexibilidad, valor y funcionalidad a usuarios y dueños del edificio en su
infraestructura de telecomunicaciones, mientras permita a diversos fabricantes construir
equipos que puedan operar entre sí. Los más aplicables de estos estándares son:
▼ TIA/EIA-587-A Para cableado de datos, voz y video en un edificio comercial
■ TIA/EIA-569 Para las áreas y rutas que contienen medios de telecomunicaciones
en un edificio
■ TIA/EIA-606 Para diseño y administración de infraestructura de telecomunicaciones
▲ TIA/EIA-607 Para requisitos de conexión a tierra y unión en equipo y cableado de
telecomunicaciones
Estos estándares definen reglas y limitaciones para cada una de las partes de la infra-
estructura de telecomunicaciones y red en un edificio. Estos estándares descomponen tal
infraestructura en un conjunto de áreas y tipos de cableado en un edificio, como se muestra
en la siguiente ilustración, a definirse como sigue:
▼ Instalaciones de entrada Donde los servicios de telecomunicaciones, la columna
vertebral de la red del campus o ambos, entran en el edificio
■ Interconexiones principales La instalación central dentro de un edificio, donde
todas las habitaciones de cómputo son conectadas con cableado de la columna ver-
tebral; puede haber también una interconexión principal para un campus que reúna
todas las interconexiones principales de los edificios
■ Cableado de la columna vertebral de la red El cableado rápido y de trabajo pe-
sado que corre, generalmente, de manera vertical, desde la interconexión principal
hasta las habitaciones de cómputo en un edificio o entre las interconexiones princi-
pales en un campus
■ Habitaciones de cómputo Las áreas localizadas en cada piso de un edificio, prove-
yendo la conexión entre el cableado de la columna vertebral que va a la interconexión
principal y el cableado horizontal, que va a los gabinetes de telecomunicaciones
■ Cableado horizontal El cableado de segundo nivel que corre, generalmente a través
del techo falso, desde las habitaciones de cómputo a los gabinetes de telecomunica-
ciones, además del cableado de tercer nivel, tendido a través del techo falso y baja por
un muro desde el gabinete de telecomunicaciones a los receptáculos de la pared
05 MATTHEWS 01.indd 121 1/14/09 1:13:44 PM

■ Gabinetes de telecomunicaciones Las áreas ubicadas en diferentes lugares de un

piso de un edificio, que sirven a un conjunto contiguo de oficinas y proporcionan
conexión entre el cableado horizontal que corre a las habitaciones de cómputo y el
cableado horizontal, que corre a los receptáculos de la pared individuales
▲ Cableado del área de trabajo El cableado externo (no en un muro o techo) estable-
ce la conexión entre la terminación del cableado horizontal en un receptáculo en la
pared y el equipo u otro dispositivo conectado a la red
NOTA Los estándares TIA/EIA analizan telecomunicaciones y trabajo de red de cómpu-

to; su lectura deberá asegurar sobre qué tema se trata. Por ejemplo, UTP para voz puede
tenderse hasta 800 metros o 2 624 pies, mientras UTP para datos puede tenderse sólo
hasta por 100 metros o 328 pies.
Obtendrá más información sobre los estándares TIA/EIA en el sitio Web de la TIA,
en http://www.tiaonline.org, o en el de Hubbell (un fabricante de conectores), en http://
www.hubbell-premise.com/standards.asp, que contiene una serie de documentos sobre es-
tándares de cableado.
Comparación de costos de cableado

En la tabla 5-2 se proporciona una comparación del costo de varios tipos de cables de red.
Sólo debe usarse como comparación relativa entre tipos y no como indicador de su costo ac-
tual, que cambia con frecuencia. Además, hay diferencias significativas en los proveedores
y descuentos por volumen.
Dispositivos de interconexión
Si tiene más de dos equipos en una red 10/100/1000BaseT, necesita algún dispositivo para
conectar equipos adicionales. El más sencillo de estos dispositivos es el concentrador, pero
también puede usar un conmutador, enrutador o puente, dependiendo de qué quiera hacer.
Cada uno de estos dispositivos tiene un uso particular, aunque hay superposición y cada
uno tiene diversas variantes. Estos dispositivos actúan como bloques de construcción
para expandir un segmento de red e interconectar varios segmentos.
Tipo de cable (precios Costo por metro Costo por metro

de 305 metros al 5/07) en PVC en plenum
Categoría 5e sólido 25 centavos de dólar 50 centavos de dólar
Categoría 5e hebrado 30 centavos de dólar ND
Categoría 6 sólido 35 centavos de dólar 50 centavos de dólar
Fibra óptica multimodo 95 centavos de dólar 1.25 dólares
63.5/125 en zipcord
Figura 5-2. Comparación de costos de cableado.
05 MATTHEWS 01.indd 122 1/14/09 1:13:45 PM

Concentradores
Los concentradores se usan para conectar varios dispositivos en la red. En la práctica, son es-
taciones de trabajo, pero también pueden ser servidores, impresoras, otros concentradores o
dispositivos de interconexión. Un concentrador es un dispositivo repetidor que toma lo que
venga en una línea y transmite a todas las demás líneas sin filtrado ni inteligencia aplicados
al flujo de información o lugar donde se dirige. Esto significa que cada estación puede oír
lo que todas las demás estaciones han puesto en la red. A medida que el tráfico crece, el
número de colisiones entre tramas se incrementará, causando una degradación significativa
en el rendimiento de la red. Los concentradores operan en la capa física del modelo OSI,
simplemente repitiendo la información que reciben.
Hoy, los concentradores están prácticamente extintos, excepto para el uso en el hogar y
han sido reemplazados por conmutadores y enrutadores con inteligencia interna y cuestan
casi lo mismo o menos.
Conmutadores
Un conmutador, como un concentrador, tiene cierta cantidad de puertos, de 4 a 48 o más, y
toma la información entrante en un puerto y la envía a uno o más de los puertos restantes.
A diferencia del concentrador, que no filtra ni procesa la información que fluye por él, un
conmutador es un dispositivo inteligente que revisa la dirección física de destino de la trama en
recepción y la dirige al puerto correcto para ese destino. Esto quita dicha trama del resto de la
red, dado que la trama va sólo sobre una parte de la red, que conecta los dispositivos de
origen y destino. Esto es similar a la maduración del sistema de telefonía, desde el sis-
tema original de línea compartida al sistema actual de marcado directo.
Los conmutadores, como puentes y enrutadores, segmentan la red para reducir tráfico
y colisiones y, al final, mejoran el rendimiento. La segmentación por conmutador puede ha-
cerse a cualquier nivel donde, de otra forma, tendría un concentrador, puente o enrutador.
Un conmutador así funciona como puente de varios puertos y está, por tanto, operando en
la capa de vínculo de datos o capa 2 del modelo OSI. Es posible agregar mayor inteligencia a
algunos conmutadores convertidos en enrutadores con conmutación de varios puertos para
desempacar tramas y operar sobre la dirección lógica en los paquetes. Estos enrutadores de
conmutación operan en la capa de la red del modelo OSI. Por esta razón, se les denomina
“conmutadores de capa 3”.
Hay tres tipos de conmutadores: autónomos, apilables y modulares. Los más simples
cuestan menos de 5 dólares por puerto, mientras un enrutador de conmutación de capa 3
puede acercarse a 200 dólares por puerto.
Conmutadores autónomos Los conmutadores autónomos, como se muestra en la figura 5-9, se
usan en casi todas las redes con cuatro o más equipos. Los conmutadores autónomos vienen
con 4 a 48 puertos para 10/100BaseT, 100BaseT, 10/100/1000BaseT, 1000BaseT, 10GBaseT y
una cantidad de variedades de fibra óptica, así como fibra/cobre y sus combinaciones. Los
conmutadores 10/100BaseT cuestan menos de 5 a 10 dólares por puerto, mientras los con-
mutadores 10/100/1000BaseT cuestan desde menos de 8 hasta 15 dólares por puerto.
Hay muchas variaciones en estos precios, pero, en general, el precio por puerto baja confor-
me aumenta la cantidad de puertos en el conmutador.
05 MATTHEWS 01.indd 123 1/14/09 1:13:45 PM

*Fotografía de Linksys®, división de Cisco Systems, Inc.
Figura 5-9. Conmutador Gigabit Linksys de 8 puertos 10/100/1000.*
SUGERENCIA Comprar conmutadores con capacidad de Ethernet Gigabit no eleva mu-

cho más el costo y le da capacidad de crecimiento en el futuro.
Muchos conmutadores autónomos sólo son dispositivos para conectar de 4 a 48 dis-

positivos que se quieren interconectar. Si busca hacer un cambio en la configuración, debe
desconectar físicamente y reconectar los dispositivos, según sea necesario, para hacer el
cambio. Pueden conseguirse conmutadores inteligentes con capacidades de administración,
como el ilustrado en la figura 5-10. Éste permite que un conmutador sea monitoreado y
administrado remotamente a través de paquetes de software que suelen incluirse con el
conmutador. Usualmente, el software sólo funciona con una marca de conmutadores, por lo
que valdría la pena estandarizarse en una marca si obtiene la capacidad adicional de admi-
nistración. Los conmutadores autónomos con capacidades de administración cuestan de 10
a 40 dólares más por puerto y pueden irse aún más altos dependiendo de las capacidades.
Conmutadores apilables La construcción de una red más grande, con 100 o más estaciones de
trabajo y cierto número de servidores, puede darse con una estructura plana o jerárquica, como
se muestra en la figura 5-11. Mediante el uso de conmutadores autónomos, la única diferencia
real es dónde se ubicarán éstos. Cuando se conecta en serie un conmutador autónomo con
otro para agregar más estaciones de trabajo, el cable que conecta los conmutadores es otro
eslabón para reducir la velocidad general y, a medida que los conmutadores se dispersan, su
administración física se vuelve más difícil. Para superar esta limitación se desarrollaron los
05 MATTHEWS 01.indd 124 1/14/09 1:13:45 PM

*Fotografía de Linksys®, división de Cisco Systems, Inc.
Figura 5-10. Conmutador Ethernet 10/100 de 24 puertos de administración de capa 2 Linksys

ProConnect® II 2224.*
conmutadores apilables, que agregan puertos en una ubicación, uniendo planos posteriores
de los conmutadores con conexiones muy rápidas, como si fueran un solo conmutador. Por
tanto, cualesquiera de dos dispositivos conectados en cualquier parte de la pila sólo tienen
un conmutador entre ellos.
Servidores Servidores
Conmutador
Conmutador
apilable
Conmutadores
Estaciones de trabajo Estaciones de trabajo
Figura 5-11. Comparación entre estructura jerárquica y plana de una red.
05 MATTHEWS 01.indd 125 1/14/09 1:13:46 PM

*Fotografía de 3Com® Corporation.
Figura 5-12. Conmutador apilable 10/100/1000 de 3Com® 5500 G (modelos de 24

y 48 puertos).*
Los conmutadores apilables, mostrados en la figura 5-12, tienen un aspecto similar al

de los autónomos y la única diferencia real es que los planos posteriores de los conmutado-
res apilables pueden conectarse. Estos conmutadores pueden apilarse en alturas de seis a
ocho conmutadores y cuestan de 30 a 150 dólares por puerto, dependiendo de velocidades
y características que incluyan, entre otras, puertos de fibra óptica, puertos Ethernet 10G,
administración, corriente sobre Ethernet (PoE, Power over Ethernet) para distribuir energía
eléctrica con el cable Ethernet, funcionalidad de capa 3 o hasta capa 4 de OSI y varias carac-
terísticas de seguridad interconstruidas.
Conmutadores modulares Un conmutador modular, también llamado conmutador empresarial,
es realmente un gran chasis o gabinete con fuente de alimentación y panel posterior en que
se insertan muchas tarjetas diferentes, incluidos concentradores, conmutadores, puentes y
enrutadores, como se muestra en la figura 5-13. Por usar un único panel posterior, los con-
mutadores modulares pueden evitar el límite de dos o cuatro capas, como los conmuta-
dores apilables. Los conmutadores modulares preceden a los apilables y, en las funciones
menos demandantes (donde todo lo que se necesita son funciones de conmutación), los con-
mutadores apilables se usan donde antes estaban los modulares, porque el conmutador
apilable es mucho más económico.
Hay muchas formas de unidades modulares, porque pueden comprarse los módulos
que quiera usar (concentradores, conmutadores, puentes o enrutadores) e insertarlos en el
panel posterior modular, que puede abarcar uno o varios segmentos de red o varias redes.
En esencia, usted compra un chasis con fuente de alimentación y luego adquiere los mó-
dulos necesarios para construir el dispositivo que cumpla con sus requisitos de red. Los
conmutadores modulares proveen mucha flexibilidad, pero a un precio elevado.
05 MATTHEWS 01.indd 126 1/14/09 1:13:47 PM

*Fotografía de 3Com® Corporation.
Figura 5-13. Conmutador LAN modular 3Com® Switch 7757.*
Además de la flexibilidad, los conmutadores modulares ofrecen otro beneficio muy im-
portante, denominado columna vertebral colapsada. Si los módulos son dispositivos separados,
los conectaría con una columna vertebral de alta velocidad corriendo a un mínimo de 100
Mbps, con frecuencia 1 Gbps —ahora 10 Gbps— y probablemente duplicaría dichos números
si corre en full duplex. Si se mueven todos estos dispositivos a un conmutador modular
donde estén conectados por el panel posterior, lo que en un conmutador es la conexión de la
columna vertebral, ahora se colapsa en el panel posterior y corre de 100 a 600 Gbps.
Puentes
Un puente se emplea para segmentar una red o unir dos redes. Un puente observa la direc-
ción física o MAC de una trama en un lado del puente y, si la trama tiene una dirección del
otro lado del puente, la trama se mueve al otro lado. Si la trama tiene una dirección en
el lado que origina el puente, éste ignora la trama, porque todos los dispositivos de dicho
lado ya pueden ver la trama. Dado que el puente revisa la dirección física de la trama, opera
en la capa de vínculo de datos o capa 2 del modelo OSI, capa por encima de la operación del
concentrador, pero en la misma que el más simple de los conmutadores.
El propósito del puente es reducir tráfico en una red mediante la segmentación, aunque
todavía es una red. Cuando se unen dos redes con un puente, el resultado es una red con dos
segmentos, pero sólo el tráfico dirigido al otro segmento pasa por el puente. El tráfico dirigido
dentro del segmento que origina permanece dentro de su segmento.
Los puentes son, en esencia, dispositivos sencillos y casi todos ellos reemplazados
con enrutadores y conmutadores, y realizan las mismas y otras funciones por un precio
igual o aun menor.
05 MATTHEWS 01.indd 127 1/14/09 1:13:47 PM

Enrutadores
Un enrutador puede efectuar las mismas funciones de segmentación y unión que un puente,
pero en un nivel más elevado de complejidad, usando direcciones lógicas de la capa de la
red (capa 3) del modelo OSI. Las capacidades añadidas de un enrutador son importantes:
▼ Los enrutadores conectan redes separadas, dejándolas independientes con su pro-
pio direccionamiento
■ Los enrutadores conectan diferentes tipos de redes; por ejemplo, 100BaseF y 100BaseT
■ Los enrutadores eligen una vía entre rutas alternas en redes complejas, para llegar
a un destino final
▲ Los enrutadores limpian el tráfico de la red, verificando si una trama está corrom-
pida o perdida (viajando sin fin en la red); si es así, elimina la trama
Por estas razones, los enrutadores se usan de manera rutinaria para conectarse a In-
ternet y, ya en Internet, para conectar una WAN a una LAN. Los enrutadores suelen ser
dispositivos inteligentes con un procesador y memoria. Con esta capacidad, un enrutador
desempaca cada trama que llega a él; verifica cada paquete en la trama, recalcula su CRC;
verifica cuántas veces ha estado el paquete alrededor de la red; verifica la dirección lógica
de destino; determina el mejor camino para llegar ahí; empaca de nuevo los paquetes den-
tro de una nueva trama con la nueva dirección física y envía la trama. Además, los enrutadores
hablan entre sí para determinar el mejor camino y mantener el registro de las rutas que han
fallado. Los enrutadores hacen esto a velocidades sorprendentes. En el extremo bajo, los en-
rutadores procesan más de 250 000 paquetes por segundo y llegan a superar los varios
millones de paquetes por segundo en el extremo alto. Los enrutadores empiezan por debajo
de los 50 dólares y llegan a superar los miles, dependiendo de lo que hacen.
Los enrutadores se combinan con conmutadores, como puntos de acceso inalámbricos
para unir Internet con una red cableada o inalámbrica, en una única unidad. En la figura
5-14 se muestra una unidad Linksys con un enrutador para conectar Internet que llega por
cable o conexión DSL a una LAN, compartida con un conmutador de 8 puertos. Esta unidad
cuesta menos de 100 dólares.
*Fotografía de Linksys®.
Figura 5-14. Enrutador de cable/DSL Linksys EtherFast® con conmutador de 8 puertos.*
05 MATTHEWS 01.indd 128 1/14/09 1:13:47 PM

Modelo OSI
Aplicación
Presentación
Sesión
Transporte
Red
Vínculo
de datos Enrutadores
Conmutadores Puentes
Física Concentradores
repetidores
Figura 5-15. Dispositivos de interconexión y el modelo OSI.
Resumen de dispositivos de interconexión

Cuando construye una red, tiene muchas opciones relacionadas con dispositivos de in-
terconexión. No sólo cuenta con la opción entre concentradores, puentes, enrutadores
y conmutadores, sino también una serie de opciones en cada una de estas categorías,
además de combinaciones de estos dispositivos. Puede obtener cierta orientación para
una respuesta, revisando dónde opera cada uno de los dispositivos en el modelo OSI, como se
muestra en la figura 5-15. En casi todos los casos, trabajará con conmutadores y quizás un en-
rutador, para conectarse a Internet. Más allá de esto, dependerá de la complejidad de su red.
TOPOLOGÍAS DE RED
Topología es el diseño de una red, la forma en que está construida. En las figuras de este ca-
pítulo ha visto diferentes topologías. 10Base2 y 10Base5 usaban una topología de bus, donde
todos los dispositivos de red estaban enlazados a un único cable largo. Sin embargo, estas
formas de Ethernet están muertas. Las formas 10/100/1000BaseT usan una topología de
estrella, donde los dispositivos de la red se dispersan con diferentes cables desde un conmu-
tador central, como se ve en las figuras 5-1, 5-2, 5-8 y 5-11. Cuando el cableado de la columna
vertebral se añade a una red 10/100/1000BaseT, se tiene una topología de estrella/bus.
05 MATTHEWS 01.indd 129 1/14/09 1:13:48 PM

La topología de bus fue la original de Ethernet, pero tiene una desventaja importante:
una interrupción en cualquier parte de la red hace que deje de funcionar toda la red. En una
topología de estrella, una interrupción de una línea sólo hace que dejen de funcionar las
partes de la red conectadas a la misma línea, posiblemente una sola estación.
El cable para la topología de estrella es relativamente económico y fácil de manejar.
Puede tender el cable para una topología de estrella en el muro sin conectarlo a un conmu-
tador si no va a ser usado. Además, es fácil mover una estación de un segmento de la red a
otra, con sólo cambiar un cable de jumper que conecta la estación de un conmutador a otro.
Como resultado, para una red cableada, la topología de estrella es la predominante.
Tienda una red

Una vez que haya decidido la tecnología de red y el tipo de adaptador de red, cableado y
dispositivos de interconexión que quiere usar, todavía tiene que decidir cómo tender la red.
Esto incluye gran cantidad de preguntas como:
▼ ¿Qué estaciones estarán agrupadas con cuáles conmutadores?
■ ¿Apilará varios conmutadores o usará una estructura jerárquica?
■ ¿Los servidores deberán centralizarse en un lugar o descentralizarse en cada depar-
tamento?
■ ¿Cuándo necesitaré un enrutador?
▲ ¿Cómo conectar dos edificios separados por 500 metros o más?
No hay una respuesta correcta a estas preguntas y gran diferencia entre el impacto de la
primera pregunta y la última. Puede modificar fácilmente las conexiones para modificar
la manera en que las estaciones de trabajo se encuentran agrupadas, pero establecer una WAN
es un trabajo para profesionales porque se está hablando de dinero, para comprar el equipa-
miento e instalarlo, además de un gasto significativo si quiere cambiarlo.
En una red Ethernet 100/1000BaseT, deben seguirse algunas reglas para el tendido.
Éstas varían levemente según los fabricantes, pero las reglas básicas generales se muestran
en la siguiente tabla:
Regla básica Fast Ethernet 100/1000BaseT
Largo máximo del cable entre el concen- 100 metros o 328 pies
trador y la estación de trabajo
Tipo de cable mínimo Categoría 5e
Máximo número de concentradores entre Dos concentradores

dos estaciones de trabajo o un conmuta-
dor y una estación de trabajo
Máximo número se segmentos de cable Tres segmentos de cable con una distancia
entre dos estaciones de trabajo o entre un total máxima de 205 metros o 672 pies
conmutador y una estación de trabajo
05 MATTHEWS 01.indd 130 1/14/09 1:13:48 PM

Microsoft Office Visio Professional es una buena herramienta para planear el tendido
de la red, su construcción y documentación, luego de instalarse. Con Visio, puede diseñar
fácilmente el tendido de la red que quiere usar, comunicar rápidamente este diseño a otros,
crear una lista de materiales y tener lista una referencia durante la instalación. Después de
que la red se ha terminado, Visio es buena herramienta para documentar cambios en la red.
Visio, producto Microsoft Office, puede encontrarse en http://office.microsoft.com/.
PROTOCOLOS DE TRABAJO EN RED

Los protocolos son estándares o reglas que permiten la interconexión y operación de varios
sistemas y dispositivos diferentes en una red, sin importar que se trate de una pequeña red
de oficina o de una empresa internacional. Los protocolos especifican cómo y cuándo debe
suceder algo y qué es lo que debe suceder.
Los protocolos se encuentran desarrollados de diferentes maneras, pero para que uno
sea empleado universalmente, debe aceptarse por cierto número de organizaciones, sobre
todo las que construyen software y dispositivos de red. Para ganar esta aceptación, los pro-
tocolos circulan inicialmente como borradores de protocolo, usando documentos llamados
solicitudes de comentarios (RFC, Requests for Comments). Si una persona u organización
desea cambiar un protocolo, un nuevo RFC se circula con un número superior al del RFC
original. El Information Sciences Institute (ISI) de la Universidad del Sur de California cla-
sifica los RFC como estándares aprobados de Internet, estándares de Internet propuestos,
mejores prácticas de Internet y para su información (FYI, For Your Information). ISI también
mantiene un sitio Web con una lista de RFC y su clasificación (http://www.rfc-editor.org/),
desde donde es posible obtener copias de los RFC. Puede determinar la manera en que una
pieza de software ha implementado un protocolo revisando qué RFC soporta. Por ejem-
plo, puede ir al sitio de Microsoft Technet (http://www.technet2.microsoft.com) y buscar el
tema “TCP/IP RFCs” y ver la lista de los RFC soportados.
Numerosos protocolos se relacionan con redes computacionales, pero “protocolos de
red” aluden al direccionamiento lógico y transferencia de información. Estos protocolos
trabajan con las capas de transporte y modelo de red de trabajo OSI, como se muestra en la
figura 5-16. Aunque al principio se usaban ciertos protocolos de red, hoy casi todas las redes
usan el protocolo de control de transmisión/protocolo de Internet, o TCP/IP.
TCP/IP
El protocolo de control de transmisión/protocolo de Internet es un conjunto de reglas de red ori-
ginados en Internet y depurados durante 25 años, hasta volverse una herramienta excelente
para transmitir grandes cantidades de información de manera confiable y rápida en una red
compleja. Los dos componentes, TCP y IP, estaban originalmente combinados y más tarde
fueron separados para mejorar la eficiencia del sistema.
Hasta hace poco (alrededor de 2005), si alguien decía “IP” automáticamente aludía a
IPv4, la versión de IP que ha existido por más de 25 años y que proporciona direcciona-
miento de 32 bits o 4 bytes. Mientras el direccionamiento de 32 bits brinda gran número de
direcciones (más de 2 000 millones), el direccionamiento IP se usa mundialmente y, de seguir
05 MATTHEWS 01.indd 131 1/14/09 1:13:48 PM

Modelo OSI
Aplicación
Presentación Funciones de las aplicaciones y el sistema operativo
Sesión
Transporte
Red
Vínculo Especificación de interfaz de controlador de red (NDIS)

de datos Control de acceso a medios (MAC)
Físico Control y especificación del hardware físico

(Ethernet)
Figura 5-16. Protocolos de red y el modelo OSI.
usando IPv4, pronto se agotarán las direcciones. Además, varias mejoras tecnológicas han
tenido impacto en el protocolo de Internet. Por tanto, a mediados de 1990 empezaron las
discusiones sobre un nuevo protocolo de Internet, llamado ahora “IPv6”, con varias mejo-
ras, incluidas direccionamiento de 128 bits o 16 bytes. IPv6 se ha vuelto ahora un estándar
oficial; así, Windows Vista y Windows Server 2008 dan soporte tanto a IPv4 como IPv6. La
implementación mundial de IPv6 tomará unos años, por lo que IPv6 se ha hecho funcionar
con IPv4 y los sistemas tendrán que manejar ambos por un tiempo.
IPv4
El protocolo de Internet opera en la capa de red, capa 3, del modelo OSI que controla en-
samblado y enrutamiento de los paquetes (en ocasiones llamados datagramas en IP). Para
enviar un paquete a un nodo remoto a través de una red compleja, como Internet, éstos son
los pasos necesarios:
1. El paquete es ensamblado en la capa de la red y dirección IP de destino (que es una
dirección lógica, no una dirección física) es agregada.
2. El paquete se pasa a la capa del vínculo de datos, que incluye el paquete en una
trama y añade la dirección física del primer enrutador que inicia el paquete en su
camino a su destino.
05 MATTHEWS 01.indd 132 1/14/09 1:13:49 PM

3. El paquete se pasa al enrutador más cercano, desempaca la trama, verifica la di-

rección lógica del paquete, lo reempaca en la trama y agrega la dirección física del
siguiente enrutador que continúa el paquete en su camino a su destino.
4. El paso 3 se repite para cada enrutador a lo largo del camino.
5. En el último enrutador antes del destino, la dirección física del destino se agrega a
la trama y la trama es enviada a su destino.
Esta técnica permite que la información siga un camino a través de la red y el enruta-
dor local toma la decisión de cuál tomar, de acuerdo con su conocimiento de la situación
local. IP es un servicio sin conexión. Envía el paquete en su camino sin saber si es recibido
o qué ruta toma. La capa de transporte tiene por función determinar si se ha recibido y, de
no ser así, reemplaza el paquete. Los enrutadores en la capa de vínculo de datos tienen la
función de definir la ruta que el paquete toma. El paquete que IP ensambla tiene un máxi-
mo de 64 KB, incluido un encabezado variable con las direcciones de origen y destino,
además de otra información de control. El encabezado, que es siempre un múltiplo de 4
bytes o 32 bits, se muestra en la figura 5-17 y tiene estos campos (cada campo muestra el
largo del campo en bits):
▼ Versión Número de versión del protocolo, establecido en 4
■ IHL Longitud del encabezado a partir de la cantidad de “palabras” de 4 bytes
(32 bits), con un mínimo de cinco palabras (en la figura 5-17 cada renglón es una
palabra, por lo que el IHL es 6)
Versión IHL Tipo de servicio Longitud total

4 bits 4 bits 8 bits 16 bits
Identificación Marcas Desplazamiento

16 bits 3 bits del fragmento 13 bits
Tiempo de vida Protocolo Suma de validación

8 bits 8 bits de encabezado 16 bits
Dirección origen
32 bits
Dirección destino
32 bits
Opciones y relleno
múltiplos de 32 bits
Figura 5-17. Encabezado IPv4.
05 MATTHEWS 01.indd 133 1/14/09 1:13:49 PM

■ Tipo de servicio La velocidad y confiabilidad del servicio solicitado

■ Longitud total Longitud total del paquete en bytes u “octetos”, con un máximo de 65 535
■ Identificación Identificación del fragmento, para que pueda ser reconstruido
■ Marcas Indicador de fragmentación (DF: 0 = puede fragmentarse, 1 = no fragmen-
tar, MF: 0 = últimos fragmentos, 1 = más fragmentos)
■ Desplazamiento de fragmento Número en un conjunto de fragmentos; el primero es 0
■ Tiempo de vida El número de veces que quedan en un enrutador antes de des-
echar el paquete
■ Protocolo El protocolo que habrá de usarse en la capa de transporte
■ Suma de validación del encabezado Número para validar únicamente la integri-
dad del encabezado
■ Dirección de origen La dirección IP del equipo de origen
■ Dirección de destino La dirección IP del equipo de destino
■ Opciones Seguridad, enrutamiento y otra información especial
▲ Relleno Asegura que el encabezado sea un múltiplo de 4 bytes
Direccionamiento IPv4
Las direcciones de origen y destino en el encabezado IP son direcciones lógicas asignadas
a equipos particulares, en comparación con direcciones físicas de una tarjeta de red. Estos
números de 32 bits o 4 bytes, llamados direcciones IP, pueden tener uno de tres formatos, que
varían con los tamaños de la red y segmentos de host de la dirección. Los bits más a la iz-
quierda (“más significativos”) identifican el formato particular o “clase”. Todas estas clases
tienen un segmento de red y otro de host que permiten ubicar un equipo o enrutador (host)
particular en una red determinada, como se describe aquí:
▼ La clase A puede identificar hasta 16 777 214 hosts en cada una de sus 126 redes.
■ La clase B puede identificar hasta 65 534 hosts en cada una de sus 16 382 redes.
▲ La clase C puede identificar hasta 254 hosts en cada una de sus 2 097 150 redes.
NOTA La especificación general IP está en el RFC 791, mientras el direccionamiento

se analiza adicionalmente en los RFC 790 y 796. Todos estos RFC están disponibles en
http://www.ietf.org/rfc.html.
La dirección IP suele representarse como cuatro números decimales separados por

puntos, por ejemplo 127.168.105.204. Cada número es 1 byte en la dirección. Para ayudar
a la identificación en la manera de analizar (o dividir) una dirección IP, en los segmentos
de red y host, debe especificarse la máscara de subred, que sirve como modelo para este
propósito. La máscara de subred para la clase A es 255.0.0.0, para la clase B es 255.255.0.0
y para la clase C es 255.255.255.0. La máscara de subred concentra la atención en los hosts
locales en la red actual. Si trabaja en ésta, la máscara de subred puede acelerar el procesa-
miento de la dirección IP.
05 MATTHEWS 01.indd 134 1/14/09 1:13:49 PM

IPv6
El cambio único más grande en IPv6 es el encabezado y su enorme espacio de direcciones.
Este espacio no sólo permite mayor cantidad de direcciones adicionales, sino también
provee direccionamiento jerárquico más eficiente para facilitar más el trabajo de los en-
rutadores. Por ejemplo, si se encuentra en la costa oeste de Estados Unidos y quiere
enviar un mensaje de correo electrónico a McGraw-Hill en la ciudad de Nueva York, con
direccionamiento jerárquico, los primeros enrutadores no necesitan preocuparse por la ruta
completa, sólo necesitan llegar a la región del Atlántico. Otros cambios en IPv6 incluyen
características de seguridad integradas, soporte mejorado para priorización y capacidad de
adición fácil para nuevas características del encabezado en el futuro.
El encabezado de IPv6, mostrado en la figura 5-18, tiene los siguientes campos:
▼ Versión Número de versión del protocolo, establecido en 6
■ Clase de tráfico La velocidad y confiabilidad del servicio solicitado, similar al tipo
de servicio en IPv4
■ Etiqueta de flujo Permite la secuenciación de paquetes entre el origen y el destino
■ Longitud de la carga Longitud total del paquete, excluyendo encabezado, con un
máximo de 65 535 bytes
■ Siguiente encabezado El tipo de la primera extensión de encabezado (si está presente)
o el protocolo a usar en la capa de transporte, como TCP, similar a protocolo en IPv4
■ Límite de saltos El número restante de vínculos que pueden atravesarse antes de
descartar el paquete, similar al tiempo de vida en IPv4
■ Dirección de origen La dirección IP del equipo de origen
▲ Dirección de destino La dirección IP del equipo de destino; en algunas circunstan-
cias puede establecerse temporalmente en la dirección IP del siguiente enrutador
Versión Clase de tráfico Etiqueta de flujo

4 bits 8 bits 20 bits
Siguiente
Largo de la carga encabezado Límite de saltos
16 bits 8 bits
8 bits
Dirección de origen
128 bits
Dirección de destino
128 bits
Figura 5-18. Encabezado IPv6.
05 MATTHEWS 01.indd 135 1/14/09 1:13:50 PM

A diferencia de IPv4, el encabezado de IPv6 tiene una longitud fija de 40 bytes. Se han
agregado características complementarias al paquete IPv6 mediante extensiones de enca-
bezado. Casi todos los paquetes IPv6 carecerán de una extensión de encabezado, pero los
definidos son encabezados de opciones salto por salto, opciones de destino, enrutamiento,
fragmento, autentificación y encapsulamiento de seguridad de la carga.
El único campo nuevo en el encabezado IPv6 es la etiqueta de flujo para la secuenciación
de paquetes. El principal campo eliminado en IPv6 es la suma de verificación del enca-
bezado, cuya función es ejecutada por el paquete completo, en la capa de vínculo de datos
(capa 2) cuando el paquete se coloca en una trama.
Direccionamiento IPv6
Una parte importante del espacio de direccionamiento de IPv6, definido en el RFC 4291,
se subdivide en dominios de enrutamiento jerárquicos, por lo que una dirección particular
puede llevar no sólo su identidad única, sino la jerarquía de enrutadores que llegan a él.
Para comunicar la dirección de 128 bits o 16 bytes, ésta se subdivide en ocho bloques de 16
bits, cada uno de los cuales se convierte en cuatro números de cuatro dígitos hexadecimales
(base 16), separados por puntos dobles. Los ceros a la izquierda se desechan y si un bloque
entero es cero, puede eliminarse poniendo un par de dos puntos (::). Por ejemplo, he aquí
una dirección IPv6:
2001:D88::2F3B:2AA:FF:FE28:9C5A
TCP
El protocolo de control de transmisión opera en la capa de transporte, a cargo de las
conexiones. Su propósito es asegurar la entrega confiable de información a un destino espe-
cífico. TCP es un servicio orientado a la conexión, en contraste con IP, que es desconectado.
TCP hace la conexión con el destino final y mantiene el contacto con el destino para ase-
gurarse de que la información sea recibida correctamente. Sin embargo, una vez que haya
establecido la conexión, TCP depende de IP para manejar la transferencia en sí. Y dado que
IP es desconectado, IP depende de TCP para asegurar la entrega.
Los TCP emisor y receptor (los protocolos en ejecución en cada máquina) mantienen
un diálogo constante, full duplex (ambos pueden hablar al mismo tiempo), a través de
la transmisión para la entrega confiable. Esto empieza con el TCP emisor, asegurándose
de que el destino está listo para recibir información. Una vez que se recibe una respuesta
afirmativa, el TCP emisor empaqueta un mensaje de datos dentro de un segmento, que
contiene un encabezado con información de control y la primera parte de los datos. Esto
es entonces enviado a IP, conforme TCP crea los segmentos faltantes mientras espera la
confirmación de que se han recibido los segmentos. Si no se recibe la confirmación de un
segmento en particular, éste se vuelve a crear y enviar. Este proceso continúa hasta que se envía
y confirma el segmento final, en cuyo punto el emisor indica al receptor que ha terminado.
En el proceso de transmisión, ambas capas de transporte están constantemente hablando
para asegurarse de que todo discurre sin dificultades.
05 MATTHEWS 01.indd 136 1/14/09 1:13:50 PM

NOTA Nombres diferentes y, en ocasiones, confusos se usan para aludir a piezas de

datos transferibles a través de una red, dependiendo de dónde se encuentra uno en el
modelo OSI y el protocolo en uso. Mediante el protocolo TCP/IP y Ethernet con el mo-
delo OSI, como se muestra en la parte superior de la figura 5-19, las aplicaciones crean
“mensajes” para enviarse por la red. El mensaje es entregado hacia abajo al nivel de
transporte, donde TCP divide el mensaje en “segmentos”, que incluyen un encabezado
de segmento con direcciones de puerto. Los segmentos son bajados a la capa de la
red, donde IP empaqueta los segmentos en “datagramas”, con direcciones IP lógicas.
El datagrama es bajado a la capa del vínculo de datos, donde Ethernet los encapsula
en una “trama” con una dirección MAC física. Las tramas se pasan a la capa física, que
los envía por la red a la dirección física, donde el proceso inverso se lleva a cabo. Como
opción, en las capas de transporte y red, a una pieza de información se le denomina
genéricamente “paquete” de información.
La comunicación entre los TCP emisor y receptor se lleva a cabo en el segmento de

encabezado, mostrado en la figura 5-20 y se explica en la siguiente lista de campos. Los
dos protocolos usan número de secuencia, número de confirmación, códigos, tamaño de
ventana que se desplaza, apuntador de urgencia y opciones para llevar a cabo una muy
Modelo OSI Nombre Nombres

genérico TCP/IP y Ethernet
Aplicación
Presentación
Mensaje
Sesión
Segmento
Transporte
Paquete
Red Datagrama
Vínculo de datos
Trama
Física
Figura 5-19. El modelo OSI y los nombres empleados para las piezas de información.
05 MATTHEWS 01.indd 137 1/14/09 1:13:50 PM

compleja conversación acerca del avance de la transmisión. Todo esto sucede en fracciones
de segundo.
▼ Puerto de origen El número de puerto en la capa de la sesión, llamado conector,
que envía los datos
■ Puerto de destino El número de puerto en la capa de la sesión o conector, que
recibe los datos
■ Número de secuencia Un número enviado al emisor para indicar que se ha recibi-
do ese segmento; el número de secuencia se incrementa en 1
Puerto de origen Puerto de destino

2 bytes 2 bytes
Número de secuencia
4 bytes
Número de confirmación
4 bytes
Longitud de R E
Sin usar C M Tamaño de ventana
encabezado
6 bits N P 2 bytes
4 bits
Suma de verificación Apuntador de urgencia

2 bytes 2 bytes
Opciones y relleno
múltiplos de 4 bytes
Figura 5-20. Encabezado de un segmento TCP.
05 MATTHEWS 01.indd 138 1/14/09 1:13:51 PM

■ Longitud de encabezado La longitud del encabezado y, por tanto, el desplaza-

miento desde el inicio del encabezado a los datos
■ URG El campo Urgente; si es 1, el apuntador de urgencia es válido
■ RCN El campo Reconocimiento; si es 1, el número de reconocimiento es válido
■ EMP El campo Empujar; si es 1, el receptor no almacenará datos y, en cambio, los
enviará directamente a la aplicación, como con el audio y video en tiempo real
■ RST El campo Restablecer; si es 1, debe interrumpirse la comunicación y reiniciar
la conexión
■ SIN El campo Sincronizar; si es 1, el emisor solicita una conexión; si es aceptada,
el receptor deja SIN = 1 y hace RCN = 1
■ FIN El campo Finalizar; si es 1, la transmisión va a terminarse
■ Tamaño de ventana El número de bytes que el receptor puede aceptar en la si-
guiente transmisión
■ Suma de verificación Un número con el que se verifica la integridad del segmento
■ Apuntador de urgencia Si URG = 1, éste es un número usado como desplazamien-
to para apuntar a una pieza urgente de información que el receptor debe revisar
■ Opciones Utilizado para circunstancias especiales; normalmente ausente
▲ Relleno Usado para asegurar que el encabezado sea múltiplo de 4 bytes
SUGERENCIA La especificación general de TCP está en el RFC 793, disponible en

http://www.ietf.orf/rfc.html.
Las funciones efectuadas por TCP e IP son: empaquetado, direccionamiento, enruta-

miento, transmisión y control del proceso de trabajo en red en un entorno muy complejo.
Cuando agrega a esto la facilidad y confiabilidad del trabajo en red, resulta muy sorpren-
dente. Ahora que conoce todos los ingredientes del trabajo en red presentados en este
capítulo, ¿no es sorprendente que funcione aun en pequeños grupos de trabajo, dejando a
un lado Internet? Que Internet sea un éxito mundial es para considerarla una de las gran-
des maravillas del mundo moderno.
Al principio de este capítulo se estableció que el trabajo en red es la característica
más importante en Windows Server 2008. Habiendo leído este capítulo, verá que el tra-
bajo de la red es una compleja tarea con muchas exigencias y el hecho de que Windows
Server 2008 la maneje bien es un gran logro. En el siguiente capítulo verá la manera en
que Windows Server 2008 satisface dichas demandas y cómo controlar lo que Windows
Server 2008 hace. Creo que concluirá que Windows Server 2008 está bien preparado para
su función más importante.
05 MATTHEWS 01.indd 139 1/14/09 1:13:51 PM

06 MATTHEWS 01.indd 140 1/14/09 2:05:45 PM
CAPÍTULO 6
Configuración y
administración
de una red
141
06 MATTHEWS 01.indd 141 1/14/09 2:05:45 PM

C
uando instaló Windows Server 2008, se conformó y configuró un conjunto básico de
servicios de red, a través de entradas y opciones predeterminadas del sistema. Esta
configuración puede proporcionar, pero no siempre, un sistema de red funcional.
En cualquier caso, tiene un espectro amplio de opciones de trabajo en red para revisar y
establecer el mejor entorno de red que cumpla sus necesidades. El objetivo de este capítu-
lo es hacer precisamente eso: primero ver cómo configurar de forma básica la red en Win-
dows Server 2008 y luego buscar cómo configurar Windows Server 2008 para dar soporte
al resto de la red.
Trabajo en red básico significa que el equipo se puede comunicar con otros equipos en la
red. Para ello, debe hacer lo siguiente:
▼ Asegúrese de que el adaptador o tarjeta de red (NIC, Network Interface Card) esté
configurado correctamente
■ Instale las funciones de red que quiera realizar
▲ Dé clic y configure un protocolo de red
CONFIGURE LOS ADAPTADORES DE RED

En un mundo perfecto, un equipo configurado debería tener un adaptador de red con
soporte tanto para Windows Server 2008 como plenamente compatible con Plug and Play.
Si esto describe su equipo, entonces su adaptador de red se configuró en la instalación
sin problema alguno y no necesita leer esta sección. Como lo saben todos los que han
instalado un sistema operativo en más de dos equipos, éste es un mundo imperfecto. Sin
embargo, en esta sección se revisa cómo instalar un adaptador de red y qué necesita para
ser totalmente operativo.
NOTA Como se describió en el capítulo 5, el término “adaptador de red” incluye disposi-

tivos que conectan un equipo a una red por cable o vía inalámbrica, como los adaptadores
PCI para equipos de escritorio, adaptadores PC-Card y ExpressCard para laptops, adapta-
dores USB para equipos de escritorio o laptops, además de conexiones de red cableadas
o inalámbricas, integradas en equipos de escritorio y laptops.
Si instaló Windows Server 2008 empleando las instrucciones del capítulo 3 y recorrió la
sección “Configure un servidor”, entonces puede omitir esta sección, si cree que sus adap-
tadores de red operan en forma correcta. Si tuvo problemas con esa sección del capítulo 3 o
no lo recorrió, entonces esta sección será valiosa para usted.
Suponiendo que un adaptador de red está conectado en forma apropiada al equipo,
cualquiera de estas tres cosas puede causar que no opere:
▼ El controlador del adaptador de red no se encuentra o no está instalado apropiadamente
■ No están disponibles los recursos necesarios
▲ El adaptador de red no funciona correctamente
Vea cada una de estas posibilidades en cada una de las secciones siguientes.
06 MATTHEWS 01.indd 142 1/14/09 2:05:45 PM

Capítulo 6: Configuración y administración de una red 143
Revise el controlador del adaptador de red

Durante la instalación, tal vez haya recibido un mensaje indicando que no encontró el con-
trolador (aunque la instalación puede completarse sin indicarle que saltó la instalación de
la red debido a la falta de controlador). Utilice los siguientes pasos para revisar si tiene un
controlador instalado y, si no, trate de instalar uno.
1. Dé clic en Inicio|Panel de control, y doble clic en Centro de redes y recursos com-
partidos. Se abrirá el Centro de redes y recursos compartidos. Si su ventana se ve
como la de la figura 6-1, entonces su adaptador de red y controlador están instala-
dos y funcionan apropiadamente; así podrá pasar a la siguiente sección principal. Si
no es el caso, entonces el Centro de redes y recursos compartidos deberá verse como
la figura 6-2.
2. Si su red no aparece en el Centro de redes y recursos compartidos, no puede ir a
ésta con una de las opciones de esa ventana. Cierre la ventana Centro de redes y
recursos compartidos. Primero debe instalar el adaptador de red y su controlador al
utilizar Agregar hardware, del Panel de control.
Figura 6-1. La red se instaló y funciona apropiadamente.
06 MATTHEWS 01.indd 143 1/14/09 2:05:46 PM

Figura 6-2. La red no funciona apropiadamente.
3. En este punto, lo más probable es que necesite un controlador de Windows Server

2008 para el adaptador de red, así que es mejor conseguirlo antes de seguir adelan-
te. Si su adaptador de red no incluía uno, entonces necesita usar otro equipo, ir al
sitio Web del fabricante, ubicar y descargar el controlador (necesita saber la marca
y modelo del adaptador de red) y después copiar el controlador en un CD.
SUGERENCIA Yo pasé por el proceso de descargar un controlador para una tarjeta

3Com “antigua” y lo encontré sin dificultad. La parte difícil es descubrir qué tarjeta es,
pues a menudo no está escrito en la tarjeta, así que debe encontrar registros de compra o
documentación (si sabe cuáles registros corresponden a la tarjeta).
4. Una vez más, haga clic en Inicio|Panel de control y haga doble clic en Agregar
hardware. Se abre el asistente Agregar hardware.
5. Dé clic en Siguiente. Se le pregunta si quiere que el asistente busque e instale el hard-
ware automáticamente. De funcionar, el adaptador de red ya estaría instalado. En
cambio, haga clic en Instalar el hardware seleccionado manualmente de una lista.
06 MATTHEWS 01.indd 144 1/14/09 2:05:46 PM

6. Dé clic en Siguiente. Aparecerá una lista de tipos comunes de hardware. Desplácese

hacia abajo, haga clic en Adaptadores de red y en Siguiente. Se despliega la lista
de fabricantes y adaptadores de red. Recorra hacia abajo los fabricantes y luego los
adaptadores, para ver si se encuentra el suyo. De ser así, selecciónelo, haga clic en
Siguiente dos veces y continúe en el paso 9.
7. Si no encontró su adaptador (lo más probable) y tiene un disco con el controlador,
haga clic en Usar disco. Haga clic en Examinar, seleccione un controlador en éste,
localice y seleccione el controlador y después haga clic en Abrir. Cuando se desplie-
gue, haga clic en Aceptar. Cuando se le diga que el controlador se instalará, haga
clic en Siguiente.
8. Tal vez reciba un mensaje indicando que el controlador está a punto de instalarse
no tiene firma digital de Microsoft. Dé clic en Sí para instalarlo de todas formas. Se
instalarán adaptador y su software controlador necesario.
9. Haga clic en Finalizar y reinicie su equipo. Una vez que reinicie, deberá ver un
mensaje en la esquina inferior derecha de su pantalla indicando que adaptador y
controlador se han instalado, como se muestra a continuación.
10. Si ahora da clic en Inicio|Panel de control y doble clic en Centro de redes y recursos
compartidos, debe ver la opción Conexión de área local. Si la ve, vaya a la siguiente
sección principal, “Instale funciones de red y configure protocolos”.
11. Si todavía no tiene una Conexión de área local u ocurrió otro problema en el proceso
anterior, sin apuntar a una solución obvia, recorra las dos siguientes secciones para
ver si se presenta una solución.
SUGERENCIA Si su adaptador de red no está certificado para ejecutarse con Windows

Server 2008, eso no significa que no funcionará con éste. Sólo quiere decir que Microsoft
no lo ha revisado. Casi ninguna tarjeta antigua está certificada para nuevos sistemas ope-
rativos, pero se ejecutan bien. Revise con el fabricante si cree que funciona con Windows
Server 2008.
Revise los recursos del adaptador de red

Casi todas las tarjetas o adaptadores de red en una PC requieren recursos dedicados para
operar. Entre los recursos se incluyen líneas de solicitud de interrupción (IRQ, Interrupt
ReQuest), puertos de entrada/salida y líneas de acceso directo a memoria (DMA, Direct
Memory Access). Usualmente, dos dispositivos no pueden compartir los mismos recursos,
excepto si los dispositivos PCI comparten una misma IRQ. Por tanto, si dos dispositivos
están asignados al mismo recurso, ocurre un conflicto y el dispositivo no opera apropiada-
mente. Esto causará que un adaptador de red no funcione y el icono Conexión de área local
no aparezca. Revise los recursos utilizados por el adaptador de red, con estos pasos:
06 MATTHEWS 01.indd 145 1/14/09 2:05:47 PM

1. Haga clic en Inicio|Panel de control y doble clic en Administrador de dispositivos.

Se abre la ventana Administrador de dispositivos y despliega sus adaptadores de
red, como se muestra a continuación. Si ve un icono de problema (un signo de ad-
miración) en su adaptador de red, entonces tal vez haya un problema con el recurso
de ubicación.
2. Abra la categoría Adaptadores de red y haga doble clic en el adaptador de red
particular que está investigando. Se abrirá el cuadro de diálogo Propiedades de ese
dispositivo y se le presentará el estado del dispositivo. Si existe un problema de
recursos, entonces debe mostrarse.
3. Haga clic en la ficha Recursos. En Lista de dispositivos en conflicto, en la parte
inferior del cuadro de diálogo, verá las especificaciones de cualquier conflicto
de recursos.
4. Si tiene un conflicto, haga clic en Usar configuración automática, para desactivar esa
configuración y después recorra cada una de las configuraciones de la lista desplegable
Configuración basada en, para ver si cualquiera de éstas soluciona el problema.
5. Si ninguna de las configuraciones soluciona el problema, haga clic en el problema
del recurso y luego en Cambiar configuración. Dé clic en la flecha hacia arriba o
hacia abajo, para cambiar la configuración y después haga clic en Aceptar, para ver
si eso arregla el problema. Intente varias configuraciones.
6. Si tiene muchos problemas para encontrar una solución, vaya de regreso al Adminis-
trador de dispositivos (puede dejar el cuadro de diálogo Propiedades del adaptador
de red abierto), abra el menú Ver y haga clic en Recursos por tipo. Aquí verá todas
las asignaciones de un recurso —como se muestra para las líneas de solicitud de inte-
rrupción a continuación— y encontrará uno vacío para asignar al adaptador de red.
06 MATTHEWS 01.indd 146 1/14/09 2:05:47 PM

7. Si encuentra un recurso no asignado, regrese al cuadro de diálogo Propiedades del

adaptador de red y asígnelo al adaptador de red. Si no puede encontrar uno de es-
tos recursos, tal vez deba tomar una decisión difícil entre el adaptador de red y un
dispositivo en conflicto. La red es un servicio muy importante y si está en conflicto
con una tarjeta de sonido, por ejemplo, tal vez tenga que quitar la tarjeta de sonido
para adquirir funciones de red.
8. Si ninguna de las sugerencias anteriores funciona, regrese al cuadro de diálogo Pro-
piedades del adaptador de red, dé clic en la ficha General y después clic en Trou-
bleshoot. Se abrirá la Ayuda de Windows Server 2008 y le guiará a través de una
serie de pasos para intentar resolver el problema.
9. Cuando haya resuelto el problema de recurso de la mejor forma posible, cierre el
cuadro de diálogo Propiedades del adaptador de red y cierre el Administrador de
dispositivos. Si hizo cambios en los recursos, tal vez se le indicará que necesita re-
iniciar el equipo y se le preguntará si quiere hacerlo ahora. Dé clic en Sí y el equipo
se reiniciará.
10. Si hizo algún cambio a los recursos de forma correcta, ahora deberá ver un icono de
red en la barra de notificación, en la esquina inferior derecha. De ser así, vaya a la
siguiente sección principal, “Instale funciones de red y configure protocolos”. Si no
ve un icono Conexión de área local, continúe con la siguiente sección.
El adaptador de red no funciona

Si instalar el controlador del adaptador de red o cambiar la ubicación del recurso no logró
que el icono de red aparezca, lo más probable es que el adaptador de red no funcione de for-
ma apropiada. La manera más sencilla de verificar esto consiste en remplazar el adaptador
de red con uno que sí funcione; de manera ideal, uno certificado para ejecutarse con Win-
dows Server 2008 compatible con Plug and Play. Es aconsejable tener varios adaptadores de
red de repuesto; no son muy costosos (consulte el capítulo 5) y cambiar uno que funciona
mal puede resolver problemas rápidamente.
INSTALE FUNCIONES DE RED Y CONFIGURE

PROTOCOLOS
Instalar y revisar el adaptador de red es la mitad de la ecuación; la otra mitad tiene que ver
con configurar las funciones de red en Windows Server 2008, además de identificar y confi-
gurar los estándares de red o protocolos a ser usados.
Instale funciones de red

Las funciones de red proporcionan el software para que un equipo tenga acceso a otros
equipos y, de forma separada, para que otros equipos accedan al equipo en que trabaja.
En otras palabras, las dos funciones principales permiten al equipo ser cliente (acceder a
otros equipos) y servidor (otros equipos pueden acceder a éste). Asegúrese de que ambos
servicios están instalados al seguir estos pasos:
06 MATTHEWS 01.indd 147 1/14/09 2:05:47 PM

1. Haga clic en Inicio|Panel de control, dé doble clic en Centro de redes y recursos

compartidos, haga clic en Administrar conexiones de red, a la izquierda, y después
doble clic en Conexión de área local. Aparece el cuadro de diálogo Estado de Co-
nexión de área local, como se muestra a continuación. En el caso particular que se
muestra aquí, el equipo considera que está conectado a la red, enviando y recibien-
do información.
2. Dé clic en Propiedades. Si aparece el cuadro de diálogo Control de cuentas de usua-

rio, haga clic en Continuar. Se abre el cuadro de diálogo Propiedades de Conexión
de área local, mostrado en la figura 6-3, y despliega servicios y protocolos que se han
instalado automáticamente. Bajo circunstancias predeterminadas, esto incluye tres
servicios (Cliente para redes Microsoft, Compartir impresoras y archivos para redes
Microsoft y Programador de paquetes QoS), asimismo cuatro protocolos: Protocolo
de Internet (IPv4 y IPv6, consulte el capítulo 5) y dos para detección de redes. Si
tiene los primeros dos servicios instalados, ha logrado el objetivo de esta sección;
en cualquier caso, continúe y explore las opciones.
3. Haga clic en Instalar. Se abre el cuadro de diálogo Seleccionar tipo de característica
de red, en que se agregan clientes, servicios y protocolos.
06 MATTHEWS 01.indd 148 1/14/09 2:05:48 PM

Figura 6-3. Servicios y protocolos instalados para dar soporte a la red.
4. Haga doble clic en Cliente. Si tiene Cliente para redes de Microsoft instalado, no
habrá más clientes en la lista, sin software de terceros como NetWare.
5. Si Cliente para redes de Microsoft no está instalado, escójalo y haga clic en Aceptar.
6. De regreso en el cuadro de diálogo Seleccionar tipo de característica de red, haga
doble clic en Servicio. Si hizo una instalación predeterminada, ya tiene Compartir
impresoras y archivos para redes Microsoft y Programador de paquetes QoS insta-
lados, y no tendrá más servicios sin algún software de terceros.
7. Si Compartir impresoras y archivos para redes Microsoft no está instalado, selecció-
nelo y haga clic en Aceptar.
Esto debe asegurar que tiene los dos servicios principales instalados.
06 MATTHEWS 01.indd 149 1/14/09 2:05:48 PM

Configure un protocolo de red

Cómo leyó en el capítulo 5, los protocolos de red son un conjunto de estándares utilizados
para empaquetar y transmitir información a través de la red. El protocolo determina la ma-
nera en que la información se divide en paquetes, cómo se dirige y qué hacer para asegurar
la confiabilidad de la transferencia. Por tanto, el protocolo es muy importante para el éxito
de la red, pero Windows Server 2008 toma las decisiones e instala de forma predeterminada
cinco protocolos:
▼ TCP/IPv4 y TCP/IPv6 Para utilizar con LAN, Internet y casi todos los nuevos sis-
temas Apple Macintosh y Linux. Windows Server 2008 proporciona e instala TCP/
IPv4 y el nuevo TCP/IPv6. En el capítulo 5 se describen de manera detallada. Win-
dows Server 2008 trabaja con estos dos protocolos de manera intercambiable
■ Respondedor y Asignador de detección de topologías de nivel de vínculos Para
buscar una LAN para otros dispositivos de red (equipos, impresoras y enrutadores)
y para responder a otros dispositivos buscando la LAN. La búsqueda se hace en la
“capa de vínculos”, descrita como la capa de vínculo de datos o capa 2 en el modelo
OSI del capítulo 5
▲ Protocolo de multidifusión confiable Para utilizarse con la transmisión de archi-
vos muy grandes, como multimedia, en especial archivos de video. Por sí solo, IPv4
no es confiable para este tipo de archivo y requiere TCP para confirmar que los datos
se han recibido en forma correcta. Esto agrega más sobrecarga, que hace más lenta la
transmisión. El protocolo de multidifusión confiable provee información de configu-
ración con una sobrecarga mucho más baja, acelerando la transmisión. El protocolo
de multidifusión confiable es utilizado por Microsoft Message Queuing (MSMQ)
Revise y cambie protocolos

Utilice las siguientes instrucciones para revisar y tal vez cambiar protocolos instalados y
configuraciones en uso.
NOTA En el cuadro de diálogo Propiedades de Conexión de área local, debe ver por lo
menos cuatro (y tal vez cinco) protocolos instalados, como se mostró en la figura 6-3. En
casi todos los casos, TCP/IPv4 y TCP/IPv6 ya deben estar instalados; para responder y
asignar la detección de protocolo de topologías de niveles de vínculo (que representa la
capa de vínculo de datos, capa 2, en el modelo OSI), deben estar ahí y tal vez el protocolo
de multidifusión confiable.
1. Con el cuadro de diálogo Seleccionar tipo de característica de red todavía abierto (si
no lo está, use las instrucciones de la última sección para hacerlo), haga doble clic en
Protocolo. Se abrirá el cuadro de diálogo Seleccionar el protocolo de red. En éste se
muestran los protocolos disponibles (tal vez estén todos instalados). Si quiere ins-
talar otro protocolo, hágalo ahora al hacer doble clic en él. De otra forma, dé clic en
Aceptar para cerrar el cuadro de diálogo Seleccionar el protocolo de red, luego en Cance-
lar, para cerrar el cuadro de diálogo Seleccionar tipo de característica de red.
06 MATTHEWS 01.indd 150 1/14/09 2:05:48 PM

2. Seleccione Protocolo de Internet versión 4 (TCP/IPv4) en el cuadro de diálogo Pro-

piedades de Conexión de área local y haga clic en Propiedades. Se abre el cuadro
de diálogo Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), como se
muestra a continuación. Aquí se hace clic para utilizar una dirección IP dinámica
automáticamente, asignada por un servidor que ejecuta el protocolo de configura-
ción dinámica de host (DHCP, Dynamic Host Configuration Protocol) o dirección IP
estática que se inserta en este cuadro de diálogo.
Un servidor DHCP o servicio de nombre de dominio (DNS, Domain Name Service)

debe tener una dirección IP estática; de otra forma, un servidor DHCP no puede asignar
automáticamente una dirección IP a todos los equipos de una red. Si el servidor DHCP
no funciona o es inexistente, el direccionamiento IP automático privado (APIPA, Au-
tomatic Private IP Addressing) asigna una dirección IP del bloque de 65 000 números
del 169.254.0.0 al 169.254.255.255. También genera una máscara de subred 255.255.0.0.
APIPA es limitada a tal grado que un equipo que lo utiliza sólo puede comunicarse con
otros equipos en la misma subred con una dirección en el mismo rango de números. Si
todos los equipos de una red pequeña usan Windows 98/Me/2000/XP/Vista/Server
2003/Server 2008 (todos ellos utilizan APIPA) y tienen seleccionado Obtener una direc-
ción IP automáticamente, sin un servidor DHCP utilizarían automáticamente el rango
de 169.254.0.0 a 169.254.255.255 en números IP.
06 MATTHEWS 01.indd 151 1/14/09 2:05:48 PM

3. Si trabaja en el que será el servidor DHCP, DNS o ambos, o sabe que debe asignar
una dirección IP estática a este equipo, entonces haga clic en Usar la siguiente di-
rección IP y después inserte una. La dirección IP que use debe estar en el bloque
de direcciones IP que el proveedor de servicios de Internet (ISP, Internet Service
Provider) u otra autoridad (consulte el análisis de la sección “Obtenga bloques de
direcciones IP”, más adelante en este capítulo) ha asignado a su organización. Si su
organización es pequeña y no planea acceder a una red externa, entonces la direc-
ción IP estática puede ser del bloque de números APIPA (pero debe insertarla
manualmente; consulte los parámetros de números en el paso 2) o varios otros blo-
ques de direcciones IP privadas (consulte “Obtenga bloques de direcciones IP”).
4. Si insertó una dirección IP estática, también debe ingresar una máscara de subred.
Esta máscara le indica al IP la parte de la dirección IP que debe considerar como
dirección de red y la parte que debe considerarse dirección de equipo o host. Si se
asignó a su organización un bloque de números IP, también se le dio una máscara
de subred. Si utilizó el rango de direcciones APIPA, entonces emplee 255.255.0.0
como máscara de subred.
5. Si no tiene una razón específica para utilizar una dirección IP estática, haga clic en
Obtener una dirección IP automáticamente y recurra a las direcciones de un servi-
dor DHCP en la red o APIPA.
SUGERENCIA En redes muy pequeñas (de cinco a seis estaciones de trabajo), las direc-
ciones IP pueden obtenerse automáticamente de un enrutador de cable o DSL.
6. Dé clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Protocolo de In-

ternet versión 4 (TCP/IPv4) y haga clic en Cancelar para cerrar el cuadro de diálogo
Propiedades de Conexión de área local. Puede dejar abierto el cuadro de diálogo
Estado de Conexión de área local, así como las ventanas Conexiones de red y Centro
de redes y recursos compartidos.
7. Dé clic en Inicio, luego en la flecha de opciones Apagar y en Reiniciar, de la lista
desplegable emergente. Dé clic en el cuadro Comentarios, inserte un comentario
y haga clic en Aceptar.
8. Cuando el equipo reinicie, abra otra vez el Panel de control, el Centro de redes y
recursos compartidos, la ventana Conexiones de red y el cuadro de diálogo Esta-
do de Conexión de área local, tal cual se describió en el paso 1, bajo “Instale funciones
de red”, en páginas anteriores de este capítulo. Deberá ver actividad en ambos, En-
viados y Recibidos. Cierre este conjunto de cuadros de diálogo y ventanas.
9. Si no vio actividad en Enviados y Recibidos, haga clic en Inicio y, en el cuadro de
texto Iniciar búsqueda, en la parte inferior del menú Inicio, escriba \\ y un nombre
de equipo dentro de la misma subred y oprima enter. Se debe abrir el Explora-
dor de Windows para desplegar tanto equipo como dispositivos compartidos, si la
red funciona. Por ejemplo, si escribe \\martin en el cuadro de texto Iniciar búsque-
da y oprime enter, obtendrá lo que se muestra a continuación.
06 MATTHEWS 01.indd 152 1/14/09 2:05:49 PM

10. Si no ve evidencia de funciones de red, vuelva a revisar todas las configuraciones

posibles antes descritas. Si está utilizando APIPA, asegúrese de que el equipo con
el que intenta ponerse en contacto también use dicho rango de números, como una
dirección asignada estática o con asignación automática. Si todas las configuraciones
son correctas, entonces revise el cableado al establecer una conexión simple con unos
cuantos equipos (si hace una conexión UTP directa entre dos equipos, recuerde que
necesita un cable cruzado especial con los cables de transmisión y recepción inver-
tidos) y, por último, reemplace el adaptador de red. Con un buen adaptador de red,
buen cableado y configuraciones correctas, podrá tener una red en funcionamiento.
PRUEBE LA RED
Existen varias utilerías de línea de comando empleadas para probar una instalación de red.
Los comandos más útiles son los siguientes:
▼ Ipconfig Se utiliza para determinar si ha inicializado una configuración de red y
asignado una dirección IP. En caso de ser devueltas una dirección IP y máscara de
subred válidas, entonces la configuración está inicializada sin duplicados para la
dirección IP. Si se devuelve una máscara de subred de 0.0.0.0, entonces la dirección
IP está duplicada
■ Hostname Se usa para determinar el nombre del equipo local
▲ Ping Se utiliza para consultar el equipo local u otro equipo en la red, para en-
contrar respuesta. Si el equipo local responde, sabe que este TCP/IP está unido
al adaptador de red local y ambos operan en forma correcta. Si el otro equipo res-
06 MATTHEWS 01.indd 153 1/14/09 2:05:49 PM

ponde, sabe que este TCP/IP y los adaptadores de red de ambos equipos operan
correctamente y la conexión entre ambos equipos funciona bien
Use los siguientes pasos para probar una configuración de red con tales utilerías. En la
figura 6-4 se muestran los resultados en un sistema de ejemplo.
1. Dé clic en Inicio y después en Símbolo del sistema, en la parte superior izquierda
del menú. Se abre la ventana Símbolo del sistema.
Figura 6-4. Prueba de una red con utilerías TCP/IP.
06 MATTHEWS 01.indd 154 1/14/09 2:05:49 PM

2. Escriba ipconfig y oprima enter. Deben devolverse la dirección IP (ambas IPv4 e

IPv6) además de la máscara de subred del equipo actual. Si no pasa esto, existe un
problema con la configuración actual.
SUGERENCIA Si escribe ipconfig ? en el indicador de comandos, abrirá la Ayuda para

ipconfig; podrá ver todas las opciones disponibles para este poderoso comando.
3. Escriba hostname y oprima enter. Le devolverá el nombre del equipo local.

4. Escriba ping nombre del equipo y oprima enter, donde nombre del equipo es el nom-
bre de otro equipo en su red. Debe obtener cuatro respuestas del otro equipo.
5. Si Ping no funciona con un equipo remoto, inténtelo en el equipo actual: escriba
ping 127.0.0.1 y presione enter. Nuevamente, debe obtener cuatro respuestas,
esta vez del equipo actual. Si no obtiene una respuesta aquí, entonces tiene un
problema con la configuración de red o el adaptador de red. Si obtiene una res-
puesta aquí, pero no en el paso 4, entonces hay un problema en el otro equipo o la
línea que los conecta.
6. Cuando esté listo, escriba Exit y oprima enter para cerrar la ventana Símbolo
del sistema.
NOTA La IP 127.0.0.1 es una dirección especial apartada para aludir al equipo en que se
inserta, también llamada “localhost”.
Si encuentra un problema aquí, utilice los pasos en “Revise y cambie protocolos”, en

páginas anteriores de este capítulo, para aislar y corregir el problema.
REVISE EL SOPORTE DE SERVIDOR

Y EL DIRECCIONAMIENTO DE RED
Para configurar Windows Server 2008 con el fin de dar soporte al resto de la red, deben estar
instalados los servicios y funciones siguientes:
▼ Protocolo de configuración dinámica de host (DHCP)
■ Sistema de nombre de dominio (DNS)
■ Cuentas de usuario y permisos de grupos
▲ Dominios y Active Directory
En el proceso para determinar las mejores configuraciones de todos estos elementos,
también debe explorar los elementos por sí solos a mayor profundidad. Mientras no sea
necesario para Windows Server 2008, Windows Server 2003, Windows Vista o Windows XP,
quizás quiera instalar el servicio de nombre de Internet de Windows (WINS, Windows In-
06 MATTHEWS 01.indd 155 1/14/09 2:05:50 PM

ternet Name Service) para conectividad con sistemas de Windows más viejos, que también
se analizará. Los dominios y Active Directory son el tema del capítulo 7, pero los elementos
restantes se analizan aquí.
Direccionamiento de red
Para que la red funcione, un equipo debe saber cómo dirigirse a otro. Para esto, cada equipo
tiene al menos dos, quizás tres, direcciones:
■ Dirección física Dirección que el fabricante genera en cada dispositivo o adap-
tador de red (también llamada dirección de hardware). En las tarjetas Ethernet, es la
dirección de control de acceso a medios (MAC, Media Access Control)
■ Dirección lógica Dirección asignada a un equipo por un administrador de red o
servidor y, en última instancia, por una autoridad de direccionamiento. En TCP/IP,
la IP es la dirección lógica e Internet Assigned Numbers Authority (IANA) es la
autoridad de direccionamiento que asigna un bloque de direcciones, distribuidas
de acuerdo con las necesidades de un servidor o, con menos frecuencia, por un
administrador. Mientras IANA es la autoridad de nombre final, la mayoría de las
compañías e individuos obtienen sus direcciones IP de su proveedor de servicio de
Internet (ISP)
■ Nombre del equipo Dirección utilizada en casi todas las aplicaciones y la red de
Windows. En una red de Microsoft Windows antigua, es el nombre NetBIOS. En
TCP/IP, puede ser un nombre de dos partes. La primera parte, obligatoria, corres-
ponde al equipo actual y es el nombre de host; un ejemplo es “servidor”. La segunda
parte es el nombre de dominio que contiene el equipo; por ejemplo, “matthews.com”,
para hacer el nombre completo “server.matthews.com”
Estas tres direccionen operan en diferentes capas del modelo de red OSI (véase la sec-
ción “El modelo OSI” en el capítulo 5), como se muestra en la figura 6-5. La dirección física
opera en las capas física y de vínculo de datos, la dirección lógica opera en la capa de red y
el nombre del equipo se utiliza arriba de la capa de red.
Para que las tres direcciones funcionen juntas, debe existir un método para convertir
una en otra. Al dar un nombre de equipo, éste debe resolverse en una dirección lógica y
ésta, a su vez, en una dirección física. La tarea de resolver un nombre de equipo en una
dirección lógica corresponde a DNS o WINS; de igual modo, resolver una dirección lógica
en una física es tarea del protocolo de red; por ejemplo, en TCP/IP es el protocolo de reso-
lución de dirección o ARP (Address Resolution Protocol). Además, conforme se reduce la
cantidad de direcciones IP disponibles, estas direcciones suelen distribuirse conforme las
necesite un servidor mediante DHCP. La selección y configuración de un protocolo de red,
además de la configuración de DNS y DHCP, son los temas principales de este capítulo,
así que la gran cantidad de tareas que rodean al direccionamiento serán el hilo conductor
en todo el capítulo.
06 MATTHEWS 01.indd 156 1/14/09 2:05:50 PM

Modelo OSI Direccionamiento utilizado
Aplicación
Presentación
Nombre del equipo
Sesión
Transporte
Red Dirección lógica
Vínculo de datos
Dirección física
Físico
Figura 6-5. Direccionamiento y modelo OSI.
IMPLEMENTE DHCP, DNS Y WINS

Con una instalación normal, DHCP, DNS y WINS no están instalados y se dejan como fun-
ciones de servidor (o en el caso de WINS, como característica de servidor) para que sean de
su elección. El propósito de esta sección es entender tales servicios, instalarlos y configurar-
los de acuerdo con sus necesidades.
El protocolo de configuración dinámica de host

DHCP, que se ejecuta en uno o más servidores, tiene el trabajo de asignar y administrar di-
recciones IP en una red. Un ámbito o rango de direcciones IP es asignado a DHCP; a cambio
concesiona (o asigna por un periodo) una dirección IP a un cliente. DHCP suprime la posi-
bilidad de errores heredados en asignación e inserción manual de direcciones IP y también
elimina el trabajo administrativo de llevar seguimiento de quién tiene cada dirección IP. En
un entorno con muchos usuarios móviles, la administración se vuelve casi imposible; inclu-
so en un entorno muy estable, esta tarea no es fácil.
06 MATTHEWS 01.indd 157 1/14/09 2:05:50 PM

Para que DHCP realice su función, deben darse cuatro pasos:

▼ En un servidor en el que se instalará DHCP, debe asignar una dirección IP fija de
forma manual, como se analizó bajo “Revise y cambie protocolos”, en páginas ante-
riores de este capítulo
■ DHCP debe estar habilitado y autorizado en el servidor
■ DHCP debe tener un ámbito de direcciones IP y un término de concesión
▲ Los clientes deben tener seleccionada la configuración Obtener una dirección IP
automáticamente, en el cuadro de diálogo Propiedades de Protocolo de Internet
(TCP/IP), como se analizó en “Configure un protocolo de red”
Cómo funciona DHCP

La primera vez que se inicia un cliente con la configuración de red Obtener una dirección
IP automáticamente, pasa por el siguiente proceso para obtener una dirección IP:
▼ El cliente transmite en la red la solicitud de un servidor DHCP y una dirección IP.
Utiliza 0.0.0.0 como dirección de origen y 255.255.255.255 la de destino e incluye su
dirección física (MAC)
■ Todos los servidores DHCP que reciben la solicitud transmiten un mensaje que
incluye la dirección MAC, dirección IP ofrecida, máscara de subred, tamaño de con-
cesión y dirección IP del servidor
■ El cliente acepta el primer ofrecimiento que le llega y transmite esa aceptación, in-
cluida su nueva dirección IP y la IP del servidor que la ofreció
▲ El servidor que hizo el ofrecimiento reconoce esta aceptación
Cada vez que el cliente inicia luego de recibir una dirección IP, intenta utilizar la misma
dirección IP del mismo servidor. El servidor puede o no aceptar esto, pero durante el térmi-
no de concesión, suele aceptarse. A la mitad del término de la concesión, el cliente pedirá
automáticamente que la concesión se extienda, lo que se hará bajo casi todas las circunstan-
cias. Si la concesión no se extiende, el cliente seguirá utilizando la dirección IP y transmitirá
una solicitud a cualquier otro servidor para renovar la dirección IP actual. Si esto es denegado,
el cliente transmitirá una solicitud de cualquier dirección IP, como hizo al inicio.
Configure DHCP
La configuración de DHCP es el proceso de definir direcciones IP individuales y en bloques
o ámbitos. Para ello, necesitará los siguientes elementos:
▼ Un bloque de direcciones IP que se utilizará en un ámbito
■ Nombre del ámbito
■ Dirección IP de inicio en el rango del ámbito
■ Dirección IP final en el rango del ámbito
06 MATTHEWS 01.indd 158 1/14/09 2:05:51 PM

■ Máscara de subred que habrá de usarse con este rango de direcciones IP

■ Direcciones de inicio y final de los rangos a excluirse del ámbito
■ Duración de la concesión del cliente DHCP
▲ Configuraciones para servidor, ámbito y opciones de cliente
Obtenga bloques de direcciones IP

Los bloques de direcciones IP a usarse en un ámbito serán diferentes si los equipos a los que
se asignarán las direcciones serán públicos o privados. Si los equipos interactuarán directa-
mente con Internet, son públicos y, por tanto, necesitan un número IP globalmente único. Si
los equipos sólo operarán en una red interna, donde están separados de la red pública por un
enrutador, puente, firewall o una combinación de ellos, son privados y sólo necesitan ser únicos
en la organización. IANA ha apartado tres bloques de direcciones IP que cualquier organi-
zación puede utilizar para sus necesidades internas sin que necesite coordinación alguna
con otra organización, pero no deben utilizarse para conectarse a Internet. Estos bloques de
direcciones IP de uso privado son los siguientes:
▼ 10.0.0.0 a 10.255.255.255
■ 172.16.0.0 a 172.31.255.255
▲ 192.168.0.0 a 192.168.255.255
Además, el rango APIPA de 169.254.0.0 a 169.254.255.255 se analizó en páginas ante-
riores de esta sección, aunque recuerde que APIPA sólo trabaja con equipos de su propia
subred y con direcciones IP del mismo rango. Sin embargo, en una red pequeña puede
mezclar direccionamiento DHCP y APIPA; el número IP siempre estará disponible, inde-
pendientemente de DHCP.
Si quiere un bloque de direcciones IP públicas, debe pedirlas una de varias organiza-
ciones, dependiendo del tamaño del bloque requerido. En el nivel local para un bloque de
tamaño moderadamente pequeño de direcciones IP, su ISP local puede suscribirlas a partir
de un bloque asignado. Para un bloque más grande, un ISP regional puede manejar la soli-
citud. Si no, debe ir a una de tres oficinas internacionales de Internet:
▼ American Registry for Internet Numbers (ARIN), en http://www.arin.net/, que
cubre Norteamérica y Sudamérica, el Caribe y África del Sur
■ Réseaux IP Européens (RIPE), en http://www.ripe.net/, que cubre Europa, el Me-
dio Oriente y el norte de África
▲ Asia Pacific Network Information Center (APNI C), en http://www.apnic.net/,
que cubre Asia y el Pacífico
La IANA coordina estas tres organizaciones, en http://www.iana.com/. En diciembre
de 1997, la autoridad de direccionamiento IP para América se transfirió de Network Solu-
tions, Inc. (InterNIC) a ARIN. ARIN, RIPE, APNIC y IANA son organizaciones sin fines de
lucro que representan un grupo amplio de ISP, compañías de comunicación, fabricantes,
otras organizaciones e individuos. El bloque más pequeño que ARIN asignará (a ISP para
06 MATTHEWS 01.indd 159 1/14/09 2:05:52 PM

reasignación u organizaciones e individuos), es de 4 069 direcciones; el costo actual de cada

bloque es de 2 250 dólares al año. Los bloques más grandes pueden costar hasta 18 000 dó-
lares al año. Cada ISP ubicará los bloques más pequeños usando su propia estructura de
cuota. El tamaño mínimo de bloque y cuota de ARIN aplica al protocolo de Internet versión
4 (IPv4) actual. IPv6 está en las etapas tempranas de asignación y tiene sus propias reglas
para asignación. Los bloques de números IPv6 se asignaron en forma gratuita hasta el 31 de
diciembre de 2007.
Entienda qué es el sistema de nombre de dominio

DNS se encarga de resolver o convertir un nombre de usuario amigable, fácil de recordar,
en una dirección IP. Esto se logra a través de una base de datos pareados: direcciones IP y
nombres. DNS es una aplicación en el conjunto del protocolo TCP/IP desarrollada para
administrar la resolución de nombres necesaria en Internet. Como resultado, recurre a un
espacio de nombres de dominio jerárquico usado en Internet. Por ejemplo, el nombre servidor1.
editorial.osborne.com tiene la siguiente estructura:
Dominio raíz .
Dominio de nivel superior com
Dominio de segundo nivel osborne
Dominio de tercer nivel editorial
Nombre de host servidor1
Un nombre de host es siempre la parte del extremo izquierdo de un nombre y hace refe-
rencia a un equipo específico. Dentro de un dominio específico, necesita utilizar sólo el nombre
de host. Es sólo cuando sale de un dominio que necesita utilizar los nombres de dominios.
SUGERENCIA Cuando cree un espacio de nombres de dominio, hágalo sencillo. Use

nombres cortos, simples, únicos, y mantenga el nivel de números al mínimo.
Para que un espacio de nombres de dominio sea más fácil de administrar, puede divi-
dirlo en zonas o segmentos discretos. Para cada zona, se mantiene una base de datos de nom-
bres separada, que presenta al administrador de red una tarea mucho más fácil de adminis-
trar. Un servidor DNS o un servidor de nombres puede contener una o más zonas, mientras
varios servidores pueden contener la base de datos para la misma zona. En el último caso,
se designa un servidor primario y los otros servidores de nombre de esa zona piden periódi-
camente una transferencia de zona, para actualizar la base de datos. Como resultado, todo el
mantenimiento de zona debe realizarse en el servidor primario.
DNS puede resolver un nombre hacia una dirección IP, en lo que se llama búsqueda di-
recta, además de resolver una dirección IP en un nombre, denominada búsqueda inversa. En
el proceso de resolución de nombres, si un servidor de nombres local no puede resolver un
nombre, lo redirige a otros servidores de nombres que el servidor local conoce, incluido ac-
ceder a Internet para pedir servidores de nombres ahí. Cuando un servidor de nombres pide
un nombre, almacena en caché los resultados, para no hacer la solicitud nuevamente en un
06 MATTHEWS 01.indd 160 1/14/09 2:05:52 PM

futuro cercano. Este proceso de almacenar en caché se hace por un periodo finito, llamado
tiempo de vida (TLL, time to live), mismo que puede configurar; el tiempo predeterminado es
de 60 minutos.
Instale DNS y DHCP

NOTA Para instalar DHCP en su servidor y hacer que funcione apropiadamente, deberá
deshabilitar cualquier servicio DHCP de un enrutador (como una conexión DSL) en su red.
Como parte normal de la instalación de Windows Server 2008, descrita en el capítulo 3,

DNS y DHCP no están instalados. Puesto que DNS y DHCP son funciones de red opciona-
les, verá cómo instalarlos y después cómo configurar cada uno.
NOTA A diferencia de versiones anteriores de Windows Server, puede instalar DNS,

DHCP y otros componentes de Windows Server 2008 de una sola forma (mediante Agre-
gar funciones, del Administrador del servidor). La opción Panel de Control | Programas y
características | Activar o desactivar las características de Windows sólo abre el Adminis-
trador del servidor.
Comience por configurar una dirección IP estática para el servidor, si no lo hizo antes;
después, si DNS y DHCP no están instalados o no está seguro de que lo estén, revise y, si es
necesario, instálelos:
1. Haga clic en Inicio|Símbolo del sistema. En la ventana Símbolo del sistema escri-
ba ipconfig y oprima enter. Anote (o sólo deje la ventana Símbolo del sistema
abierta y consúltela cuando la necesite) las direcciones IPv6 y IPv4, máscara de su-
bred y puerta de enlace predeterminada. Si tiene algún problema en los siguientes
pasos y secciones, deberá regresar a estas configuraciones. Escriba Exit y oprima
enter para cerrar la ventana Símbolo del sistema.
2. Haga clic en Inicio|Administrador del servidor. Se abre la ventana Administrador del
servidor. Si la última actualización no es muy reciente, haga clic en Configurar actuali-
zación, seleccione Actualizar cada, seleccione cada dos minutos y haga clic en Aceptar.
SUGERENCIA En Windows Server 2008 también puede iniciar el icono

del Administrador del servidor, que se encuentra, como opción predetermi-
nada, a la izquierda de la barra de herramientas Inicio rápido.
3. En la sección Información del equipo, del área Resumen de servidores, en Admi-

nistrador de servidor, haga clic en Ver conexiones de red y en la ventana Panel de
control\Conexiones de red que se abre; haga doble clic en Conexión de área local. En
el cuadro de diálogo Estado de Conexión de área local, haga clic en Propiedades. Si
aparece el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar.
06 MATTHEWS 01.indd 161 1/14/09 2:05:52 PM

4. En el cuadro de diálogo Propiedades de Conexión de área local, haga clic en Proto-

colo de Internet versión 4, luego en Propiedades. En el cuadro de diálogo Propieda-
des de Protocolo de Internet versión 4, haga clic en Usar la siguiente dirección IP.
5. A menos que tenga una dirección IP asignada específicamente para el servidor en el
que trabaja, inserte la dirección IP, máscara de subred y puerta de enlace predeter-
minados que se obtuvieron de Ipconfig. Nuevamente inserte la dirección IP del ser-
vidor actual como Servidor DNS preferido, e ingrese la dirección IP de un segundo
servidor si se aplica (utilice Ping para adquirir esto, obtenga la dirección IPv6 para
uso futuro), como se muestra en la figura 6-6.
6. Haga clic en Aceptar y Cancelar para cerrar varios cuadros de diálogo y ventanas,
reinicie el servidor y vuelva a abrir Administrador del servidor.
7. En la sección Resumen de funciones, si DHCP y DNS están instalados, verá sus
funciones en la lista. En ese caso, puede pasar a la siguiente sección principal. De
Figura 6-6. Es necesaria la configuración de una dirección IP estática antes de configurar

DHCP y DNS.
06 MATTHEWS 01.indd 162 1/14/09 2:05:53 PM

otra forma, si su Resumen de funciones no muestra DHCP y DNS instalados, use las
instrucciones restantes para instalar DHCP.
8. Haga clic en Agregar funciones. Se abre el Asistente para agregar funciones. Se desplie-
ga Antes de comenzar sugiriéndole que tenga una contraseña de administrador segura,
direcciones IP estáticas y las últimas actualizaciones de Windows Server 2008.
9. Dé clic en Siguiente. Se muestra Seleccionar funciones de servidor y deberá ver
Servidor DHCP en la lista, como se muestra en la figura 6-7.
Figura 6-7. El administrador del servidor le permite seleccionar las funciones DHCP y DNS.
06 MATTHEWS 01.indd 163 1/14/09 2:05:53 PM

10. Si la casilla de verificación Servidor DHCP no está marcada, haga clic en ésta. Si no
tiene una dirección IP estática insertada para el servidor, se le recordará hacerlo.
Dé clic en Sí para confirmarlo. Repita los pasos 3 a 6.
11. Si la casilla de verificación Servidor DNS no está marcada, haga clic en ésta y des-
pués haga clic en Siguiente. Dé clic en Siguiente dos veces más, respondiendo a las
pantallas de información de DNS y DHCP. Si no ha ingresado una dirección IP pre-
ferida y alternativa para DNS, se le pide lo haga. Dé clic en Siguiente y está listo.
Habilite DHCP y DNS

En seguida del Asistente para agregar funciones, las direcciones IP estáticas disponibles se
despliegan para uso de un servidor DHCP.
1. Dé clic en la dirección IP que quiere utilizar, luego en Siguiente. Si se le pide (y no

lo hizo), escriba las direcciones IP de los servidores DNS preferido y alternativo,
haga clic en Siguiente. Aparece el cuadro de diálogo Especificar la configuración del
servidor WINS.
2. Si tiene equipos de Windows en su red anteriores a Windows 2000 (Windows
95/98/Me o NT), entonces necesitará configurar WINS. En ese caso, seleccione Se
requiere WINS para las aplicaciones en esta red y escriba las direcciones IP para los
servidores WINS preferido y alternativo. De otra forma, deje seleccionada la opción
predeterminada No se requiere WINS para las aplicaciones en esta red.
3. Haga clic en Siguiente. Aparece Agregar o editar ámbitos DHCP. Dé clic en Agregar.
Aparece el cuadro de diálogo Agregar ámbito.
4. Inserte un nombre para el ámbito. Escriba las direcciones IP de inicio y final para
el rango del ámbito. Inserte la máscara de subred para el rango de direcciones IP e
inserte la puerta de enlace predeterminada, como se muestra aquí:
06 MATTHEWS 01.indd 164 1/14/09 2:05:53 PM

NOTA Una máscara de subred divide una dirección IP en una subred o dirección de red y
de host. Cuando trabaja en una red local, sólo necesita la porción del host; así se agiliza el
proceso sólo si busca esa porción de la dirección. Una dirección IP es de 32 bits de largo,
así que cuando diga que la mitad de ésta (16 bits) es una dirección de red, la red local sólo
buscará la dirección de host de 16 bits. La máscara de subred de 16 bits es 255.255.0.0.
5. Haga clic en Activar este ámbito y clic en Aceptar. El nuevo ámbito aparece en la lista
de ámbitos. Dé clic en Siguiente. Se le pregunta cómo manejar DHCPv6. El método
más simple es dejar la configuración predeterminada de configuración del servidor
para operación sin estado, que no demanda más configuración de su parte.
6. Haga clic en Siguiente. Ingrese las direcciones IPv6 para los servidores DNS prefe-
rido y alternativo que insertó antes para IPv4 y haga clic en Siguiente. Se muestra
un resumen de sus configuraciones. Si no son correctas, haga clic en Anterior y
después en Siguiente, como sea necesario para corregirlas.
7. Cuando esté listo, haga clic en Instalar. Verá una barra de progreso que muestra
la instalación para servidores DHCP y DNS. Cuando haya terminado, recibirá un
mensaje que indica que la instalación fue correcta. Dé clic en Cerrar. En el Adminis-
trador del servidor, bajo Resumen de funciones, ahora debe ver Servidor DHCP y
Servidor DNS.
06 MATTHEWS 01.indd 165 1/14/09 2:05:53 PM

Administre DHCP
Una vez instalado DHCP, tal vez necesite realizar varias tareas de administración, para que
DHCP opere en la forma que quiere, incluidos:
▼ Crear ámbitos adicionales
■ Excluir rangos dentro de un ámbito
■ Configurar la duración de la concesión
■ Reservar direcciones para clientes particulares
■ Cambiar propiedades de ámbitos
▲ Monitorear la concesión de una dirección
La administración de DHCP se hace desde la consola DHCP, que se abre en cualquiera
de estas dos formas:
▼ Desde el Administrador del servidor Haga clic en Inicio|Administrador del ser-
vidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor
DHCP|Servidor, y haga clic en IPv4.
▲ Desde Herramientas administrativas Haga clic en Inicio|Herramientas admi-
nistrativas|DHCP. En la ventana de consola DHCP, en el árbol de consola, abra
Servidor y haga clic en IPv4.
Para los pasos restantes de esta sección, se asume que ha abierto IPv4 con el Servidor DHCP,
ya sea en Administrador del servidor o la consola DHCP, como se muestra en la figura 6-8.
Agregue ámbitos DHCP

1. Ya sea en el Administrador del servidor o la consola DHCP con el servidor IPv4 selec-
cionado, haga clic en Acción|Ámbito nuevo. Se abre el Asistente para ámbito nuevo.
2. Dé clic en Siguiente, escriba nombre y descripción y haga clic en Siguiente.
3. Inserte una dirección IP inicial y final. Tamaño y máscara de subred se llenan auto-
máticamente, pero puede cambiarlos si lo necesita. Haga clic en Siguiente.
06 MATTHEWS 01.indd 166 1/14/09 2:05:54 PM

Figura 6-8. El Administrador del servidor y la consola DHCP le permiten administrar DHCP.
Puede continuar en el Asistente para ámbito nuevo e identificar direcciones para ex-
cluirlas de la distribución, especificar tamaño de concesiones DHCP, reservar direcciones
para clientes específicos y configurar opciones DHCP. También puede hacer estas fun-
ciones para todos los ámbitos DHCP del Administrador del servidor o la consola DHCP,
como se describe en las siguientes secciones.
06 MATTHEWS 01.indd 167 1/14/09 2:05:54 PM

Excluya rangos en un ámbito DHCP

Tal vez tenga ciertas direcciones o rango de direcciones en un ámbito DHCP que no quiere
asignar. Puede excluir esas direcciones para que no se usen.
1. Ya sea en el Administrador del servidor o la consola DHCP con IPv4 del servidor
DHCP visible, en el árbol de la consola a la izquierda, abra IPv4; abra el ámbito
donde quiere las exclusiones; haga clic derecho en Conjunto de direcciones y dé clic
en Nuevo intervalo de exclusión.
2. En el cuadro de diálogo Agregar exclusión, inserte las direcciones IP a excluir del

ámbito en que trabaja. Esto puede ser un rango, insertar direcciones de inicio y fin,
o una sola dirección, al ingresarla sólo en el cuadro Dirección IP inicial, como se
muestra a continuación. Debe insertar una exclusión para cada dirección estática
asignada al servidor, estación de trabajo o enrutador.
3. Haga clic en Agregar, tras insertar cada dirección o rango de exclusión. Cuando
haya insertado todas las exclusiones, haga clic en Cerrar.
Establezca la duración de la concesión DHCP

Las concesiones de dirección DHCP son para un lapso fijo, establecido para un ámbito es-
pecífico compuesto por días, horas y minutos que un cliente puede utilizar en una dirección
IP asignada a él.
1. En el Administrador del servidor o consola DHCP con IPv4 del servidor DHCP y
ámbito que quiere visibles en el árbol de la consola, haga clic derecho en el ámbito
y seleccione Propiedades.
06 MATTHEWS 01.indd 168 1/14/09 2:05:54 PM

2. En el cuadro de diálogo Propiedades de Ámbito, bajo Duración de la concesión para

cliente DHCP, inserte o haga clic en los contadores para días, horas y minutos que
quiera permitir al cliente usar la dirección.
La opción predeterminada es 6 días, pero el tiempo correcto para su operación pue-
de ser cualquiera, desde 1 hora para clientes que activan o desactivan sobre todo un
servidor de correo, a Sin límite para clientes en un entorno de escritorio estable.
3. Cuando esté listo, haga clic en Aceptar para cerrar el cuadro de diálogo Propieda-
des de Ámbito.
Reserve direcciones DHCP

Si quiere que un cliente tenga una dirección IP particular y permanente, configúrelo así al
crear una reserva que especifique la dirección IP que habrá de asignarse al cliente. De esta
forma, la dirección IP no expirará hasta que la reserva se elimine.
1. En el árbol de la consola, bajo el ámbito DHCP, seleccione Reser-
vas y haga clic en Agregar reserva, en la barra de herramientas.
Se abre el cuadro de diálogo Reserva nueva.
2. Inserte un nombre, dirección IP y dirección física MAC asociada (puede obtener la di-
rección MAC de la columna Id. exclusivo, que se muestra en la lista Concesiones
de direcciones). No incluya guiones, que suelen usarse para desplegar una dirección
MAC (aunque no se muestran en la columna Id. exclusivo, de la lista Concesiones de
06 MATTHEWS 01.indd 169 1/14/09 2:05:55 PM

direcciones). Inserte una descripción, si

quiere, y deje la opción predetermina-
da Ambos, en Tipos compatibles.
3. Haga clic en Agregar y repita el proce-
so para cada reserva que quiera hacer.
Haga clic en Cerrar, para cerrar el cua-
dro de diálogo Reserva nueva cuando
haya terminado.
4. Haga clic en Actualizar, en la barra
de herramientas. Si está seleccionada
Reservas, en el panel izquierdo de la
ventana DHCP, su nueva reserva apa-
recerá en la derecha. También si selec-
ciona Concesiones de direcciones, verá
la reserva en la lista de concesiones.
SUGERENCIA Otra forma para obtener la dirección física o MAC necesaria en el paso
2 consiste en abrir la ventana Símbolo del sistema (Inicio | Símbolo del sistema), escribir
ping direcciónip (donde direccciónip es la dirección IP numérica o nombre del equipo que
necesita la dirección MAC) y oprimir ENTER. Entonces, en el indicador de comandos escriba
arp –a y oprima ENTER. Se desplegará la dirección física, como se indica aquí:
06 MATTHEWS 01.indd 170 1/14/09 2:05:55 PM

Cambiar opciones DHCP

Se pueden agregar y cambiar opciones DHCP en tres niveles:
▼ Opciones en el nivel del servidor Aplica para todos los clientes DHCP
■ Opciones en el nivel del ámbito Aplica sólo para clientes que conceden una di-
rección del ámbito
▲ Opciones en el nivel del cliente Aplica para un cliente con una reserva
1. En el árbol de consola DHCP, haga clic derecho en Opciones de servidor y haga
clic en Configurar opciones. Se abrirá el cuadro de diálogo Opciones de servidor.
Aquí puede hacer varias configuraciones que apliquen a todos los clientes DHCP.
Por ejemplo, mantener una lista de servidores DNS, como se muestra aquí:
2. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones de servidor, dé

clic derecho en Opciones de ámbito y seleccione Configurar opciones. Verá un
cuadro de diálogo similar, llamado Opciones Ámbito, con una lista similar de
opciones disponibles.
3. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones Ámbito. Si creó
antes una reserva, abra el objeto Reservas, en el árbol de consola, haga clic en una
reserva, en el panel de la izquierda o derecha de la ventana y haga clic en Con-
figurar opciones, para obtener una tercera lista, similar, de opciones.
4. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones Reserva.
06 MATTHEWS 01.indd 171 1/14/09 2:05:56 PM

Monitoree la concesión de dirección

Puede monitorear la forma en que la operación de concesión va a determinar si DHCP está
realmente trabajando y el uso de su ámbito.
1. En el árbol de la consola DHCP, a la izquierda, ya sea en Administrador del servi-
dor o la consola DHCP, haga clic derecho en el servidor IPv4 y haga clic en Mostrar
estadísticas.
2. En el cuadro de diálogo emergente Estadísticas del servidor, haga clic en Actualizar,
para mostrar la información más reciente. Puede ver cuántas peticiones ha habido
de direcciones IPv4, cuántas están en uso y qué porcentaje de ámbito representa.
3. Cuando esté listo haga clic en Cerrar.
Administre DNS
Para administrar DNS se supone que DNS se ha instalado en el servidor en que quiere ejecutarlo.
Esto debió hacerse antes en este capítulo, bajo “Instale DNS y DHCP”. Al igual que con DHCP,
se administra DNS desde la consola DNS, que se abre en cualquiera de estas dos formas:
▼ Desde el Administrador del servidor Dé clic en Inicio|Administrador de ser-
vidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor
DNS|Servidor
▲ Desde Herramientas administrativas Haga clic en Inicio|Herramientas admi-
nistrativas|DNS. En la ventana Administrador de DNS que se abre, en el árbol de
la consola, abra Servidor
Para los pasos restantes de esta sección se supone tiene abierto Servidor, bajo Servidor
DNS, ya sea en el Administrador del servidor o Administrador de DNS, como se muestra
en la figura 6-9.
Tal cual se describió antes en “El sistema de nombre de dominio”, el propósito de DNS
es convertir direcciones IP y nombres de dominio, parte de los cuales es el nombre de host
de un equipo particular. Para esto, DNS divide el espacio de nombre en zonas y proporciona
a cada zona una tabla de búsqueda directa, para resolver un nombre de dominio/host en
06 MATTHEWS 01.indd 172 1/14/09 2:05:56 PM

Figura 6-9. Administrador del servidor y Administrador de DNS le permiten administrar DNS.
una dirección IP y tabla de búsqueda inversa para resolver una dirección IP, bajo un nom-
bre de host/dominio. Puede crear y poblar una zona DNS en forma manual o utilizar DNS
dinámico para hacerlo.
Cree una nueva zona DNS

Para crear una nueva zona DNS:
1. Bajo Servidor DNS, escoja Zonas de búsqueda directa y haga clic en
Zona nueva en la barra de herramientas. Aparece el Asistente para
crear zona nueva.
2. Haga clic en Siguiente. Dé clic en el tipo de zona que le interesa. Por lo general,
querrá una zona principal en el equipo en que está trabajando.
3. Haga clic en Siguiente. Ingrese un nombre para la zona. Puede estar contenida en
un dominio, por ejemplo, principal.mcgraw-hill.com.
4. Haga clic en Siguiente. Seleccione si quiere crear un archivo nuevo o copiar uno
existente. Usualmente querrá crear un archivo nuevo.
06 MATTHEWS 01.indd 173 1/14/09 2:05:56 PM

5. Haga clic en Siguiente. Seleccione si quiere aceptar

actualizaciones dinámicas no seguras o sólo actualiza-
ciones manuales seguras. Las segundas son la opción
predeterminada, pero al hacer a un lado las prime-
ras, suprime una buena herramienta automática.
6. Haga clic en Siguiente. Se muestra un resumen de
sus opciones. Si existe algún error, haga clic en Atrás
y realice los cambios necesarios. Cuando esté listo,
haga clic en Finalizar. La nueva zona aparecerá en el árbol de consola, bajo Zonas
de búsqueda directa.
Agregue un nombre de host a una zona

La zona inicial que acaba de crear es una base de datos vacía, hasta que agregue hosts (equi-
pos en la red) a ésta.
1. Agregue un nombre de host a una zona, al hacer clic derecho en dicha zona, en el
árbol de consola, bajo Zonas de búsqueda directa y eligiendo Host nuevo. Se abre
el cuadro de diálogo Host nuevo.
2. Ingrese nombre de host y dirección IP, haga clic en Agregar Host, después en Acep-
tar, cuando se indique el registro de host se creó con éxito.
3. Repita el paso 2 para todos los hosts que quiera insertar. Una vez que haya termina-
do de agregar hosts, haga clic en Realizado.
Configure zonas de búsqueda inversa

Las zonas de búsqueda inversa, que permiten resolver un número IP como nombre, sólo
se utilizan en resolución de problemas y en Internet Information Services (IIS, servicios de
06 MATTHEWS 01.indd 174 1/14/09 2:05:56 PM

información de Internet), para añadir un nombre en lugar de una dirección IP en archivos de

registro. A fin de implementar una capacidad de búsqueda inversa, se crea automáticamen-
te un nombre de dominio especial In-addr.arpa cuando se configura DNS. En este dominio,
los subdominios se definen para cada octeto o parte de una dirección IP entre puntos, para
la porción de red de la dirección, que después se crean como registro puntero para la porción
final del host de la dirección, asignándole al nombre de host una dirección IP. Vea cómo se
configura una zona de búsqueda inversa con estos pasos:
1. En el árbol de la consola, en la parte de la izquierda, ya sea en el Administrador del
servidor o Administrador de DNS, dé clic derecho en Zonas de búsqueda inversa y elija
Zona nueva. Aparece el Asistente para crear zona nueva. Haga clic en Siguiente.
2. Acepte la opción predeterminada Zona principal y haga clic en Siguiente. Acepte la op-
ción predeterminada Zona de búsqueda inversa para IPv4 y haga clic en Siguiente.
3. En el cuadro de texto Id. de red, escriba la porción de red de su dirección IP. Por
ejemplo, si su rango de dirección IP es de 10.0.0.1 a 10.0.0.99 con una máscara de
subred de 255.255.255.0, entonces su Id. de red es 10.0.0.
4. Haga clic en Siguiente. Acepte Crear un archivo nuevo con… y el nombre invertido,
como se muestra a continuación.
5. Haga clic en Siguiente. Dé clic en Permitir todas las actualizaciones dinámicas (se-
guras y no seguras) y haga clic en Siguiente. Revise las opciones elegidas. Si ve algo
que le interese cambiar, haga clic en Atrás, realice el cambio, regrese a la pantalla
final y presione Finalizar.
6. Haga clic derecho en la nueva zona de búsqueda inversa recién creada y haga clic
en Nuevo puntero. Se abre el cuadro de diálogo Nuevo registro de recursos.
06 MATTHEWS 01.indd 175 1/14/09 2:05:57 PM

7. Inserte la porción de host (en el extremo derecho) de la dirección IP y el nombre de

host correspondiente a éste.
8. Haga clic en Aceptar. Repita los pasos 6 y 7, de acuerdo con lo necesario, para aña-
dir punteros adicionales.
SUGERENCIA Puede crear registros de puntero automáticamente siempre que genera

un nuevo registro de host para búsqueda directa, al hacer clic en Crear registro de puntero
(PTR) asociado, en el cuadro de diálogo Host nuevo.
Configure un DNS dinámico

El proceso de adición de hosts a una zona, aunque no es terrible, tampoco representa algo
que querrá hacer siempre que DHCP cambia las asignaciones de dirección. El propósito
de un DNS dinámico (DDNS, Dynamic DNS) es actualizar automáticamente un registro de
host de zona, cada vez que DHCP efectúe un cambio. DDNS une DHCP y DNS para que,
cuando DHCP haga un cambio, envíe la información apropiada a la zona en DNS, que des-
pués reflejará el cambio. DNS y DHCP deben estar configurados en forma correcta para
este trabajo. Use los siguientes pasos para conseguirlo:
1. Ya sea en el Administrador de servidor o en Administrador del DNS, bajo Zonas de
búsqueda directa, haga clic derecho en la zona en que quiere agregar DDNS y dé
clic en Propiedades.
2. En la ficha General, frente a Actualizaciones dinámicas, abra la lista desplegable y
haga clic en Sin seguridad y con seguridad, si no está seleccionada. (Si el servidor
DNS ha sido integrado con Active Directory, también tiene la opción Sólo con segu-
ridad. En el capítulo 7 se explica cómo puede hacer clic, para permitir sólo actuali-
zaciones seguras, si así lo desea.)
06 MATTHEWS 01.indd 176 1/14/09 2:05:57 PM

3. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, de la zona.

4. En el Administrador del servidor, en el árbol de la consola, bajo Funciones, abra
Servidor DHCP|Servidor|IPv4.
5. Haga clic derecho en el ámbito que le interese unir a la zona DNS en que ha traba-
jado y clic en Propiedades.
6. En la ficha DNS, cerciórese de que la casilla de verificación Habilitar actualizaciones
DNS dinámicas… esté marcada y después haga clic en Actualizar siempre dinámi-
camente registros DNS A y PTR.
7. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Ámbito. Cie-
rre el Administrador del servidor o Administrador de DNS (el que tenga abierto).
06 MATTHEWS 01.indd 177 1/14/09 2:05:57 PM

Pruebe DNS
Para probar si DNS funciona, haga lo siguiente:
▼ Intente usarlo
■ Use una opción de prueba en DNS
▲ Use Nslookup en la ventana Símbolo del sistema, si creó una zona de búsqueda inversa
Pruebe las tres de forma rápida:
1. Haga clic en Inicio, dé clic en el cuadro de texto Iniciar búsqueda, escriba \\ se-
guido por el nombre del equipo en la red y oprima enter. Si DNS y DHCP están
funcionando, la búsqueda debe tener éxito y se debe encontrar el equipo. Cierre la
ventana que se abrió para mostrar el equipo de red.
2. Abra Administrador del servidor|Funciones|Servidor DNS|DNS, dé clic derecho
en el servidor dentro del cual creó una zona, y en Propiedades. Abra la ficha Super-
visión, seleccione Una única consulta… y Una consulta recursiva…, dé clic en Pro-
bar ahora. Debe obtener los resultados de prueba en la parte inferior del cuadro de
diálogo indicando que ambas pruebas fueron correctas. Cierre el cuadro de diálogo
Propiedades de SERVIDOR y el Administrador del Servidor.
06 MATTHEWS 01.indd 178 1/14/09 2:05:58 PM

3. Haga clic en Inicio|Símbolo del sistema, escriba nslookup y oprima enter: si creó
una zona de búsqueda inversa que incluyó el servidor, obtendrá nombre del servi-
dor y dirección IP. Escriba un nombre de host, oprima enter y obtendrá el nombre
de host completo con dominio y dirección IP. Escriba una dirección IP y obtendrá el
nombre de host completo con su dominio.
4. Escriba Exit y presione enter para salir de Nslookup; escriba Exit y oprima enter
nuevamente para cerrar la ventana Símbolo del sistema.
NOTA Nslookup requiere tener una zona de búsqueda inversa, una de las razones
para crearla.
Configure el servicio de nombre de Internet de Windows

WINS tiene el mismo trabajo que DNS: resolver o convertir un nombre amigable para el
usuario, fácil de recordar en una dirección IP, pero sólo se necesita si tiene equipos en su red
con versiones de Windows anteriores a Windows 2000 (Windows 95, 98 Me y NT). WINS uti-
liza la convención de nombre NetBIOS desarrollada por IBM y Microsoft, como parte de un
esquema de red anterior. NetBIOS, que opera en la capa de la sesión (quinta) del modelo de
red OSI, suele interactuar con NetBEUI en las capas de transporte y red del modelo OSI (véase
la figura 6-10), que logra convirtiendo un nombre amigable de usuario directamente en di-
Modelo OSI
Aplicación Aplicaciones
Presentación
NetBIOS Conectores
Sesión
sobre TCP/IP de Windows
Transporte
Red
Vínculo Especificación de interfaz de controlador de red

de datos (NDIS, Network Driver Interface Specification)
Físico Controladores de hardware

(Ethernet, token ring, FDDI)
Figura 6-10. WINS, NetBIOS, TCP/IP y el modelo OSI.
06 MATTHEWS 01.indd 179 1/14/09 2:05:58 PM

rección física (MAC). WINS, aplicación como DNS, mantiene una base de datos de nombres
NetBIOS y direcciones IP equivalentes. Los nombres NetBIOS que utilizan NetBIOS sobre
TCP/IP llaman a WINS y entonces pueden usarse con TCP/IP en lugar de NetBEUI.
NOTA El soporte para el protocolo NetBEUI, usado en comunicación con sistemas de

red de Microsoft anteriores, ha sido eliminado de Windows Server 2008.
WINS requiere muy poco mantenimiento, al principio se genera a sí mismo y se mantie-

ne por sí solo conforme ocurren cambios. Sólo necesita activarlo y especificar la dirección IP
del servidor en los clientes. Aunque WINS todavía está disponible en Windows Server 2008,
DDNS ha usurpado gran parte de sus funciones, porque éste se encuentra integrado en Ac-
tive Directory y DNS ofrece características de seguridad que no están disponibles en WINS.
Si su red sólo tiene Windows Server 2008 o Windows Server 2003 y clientes de Windows
Vista y XP, no necesita WINS, pues no se utilizan los nombres NetBIOS. Si tiene equipos con
sistemas operativos de Windows anteriores (Windows 95/98/Me o NT) en su red, entonces
WINS puede ser benéfico.
WINS puede coexistir en forma segura con DNS, si no tiene preocupaciones de seguridad
relacionadas con el hecho de que la base de datos de WINS se cree y actualice automática-
mente y la integración con Active Directory no es importante. En un entorno compartido,
WINS maneja el nombre NetBIOS de una sola parte, con un máximo de 16 caracteres (el
usuario puede insertar 15), usado en todos los sistemas operativos de Microsoft, hasta Win-
dows Me y NT 4, mientras DNS maneja un nombre de dominio de varias partes, con un
máximo de 255 caracteres usado en Windows Server 2008, Windows Vista, Windows Server
2003 y Windows XP.
NOTA En redes más pequeñas (con un máximo práctico en el rango de 35 a 50 equi-

pos y un máximo absoluto de 70), no necesita usar WINS ni DNS. Cada equipo de la
red transmite periódicamente a los otros equipos en red sus NetBIOS y direcciones IP
y después almacena esta información en un archivo de trabajo en el equipo que hizo la
solicitud inicial. Esto genera mucho tráfico de red y, a medida que la red crece, ese trá-
fico puede ser devastador. Puede reducir este tráfico al crear y mantener manualmente
un archivo de texto estático llamado Lmhosts (LM de LAN Manager, el sistema de red
original de Microsoft) que se revisa antes de transmitir en la red (busque Lmhosts.sam
[es probable esté en C:\Windows\System32\Drivers\Etc\], ábralo con el Bloc de notas
y siga las instrucciones al principio del archivo para crearlo). Mantener este archivo en
varios equipos se vuelve tarea importante y la razón por la que se desarrolló WINS. Un
archivo estático similar, Hosts, puede usarse con DNS, pero ambos archivos de texto
sólo son prácticos para redes pequeñas.
WINS, al igual que DNS, reside en un servidor. Para usarlo, un cliente consulta al ser-
vidor mediante un nombre NetBIOS y el servidor responde con un número IP para ese
nombre. Cuando configura un servidor WINS e inicia un cliente al darle la dirección del
servidor, el cliente registra automáticamente su nombre y dirección IP con el servidor. Éste
responde con TTL, la cantidad de tiempo que mantendrá el registro. De ahí en adelante,
cada vez que el cliente inicie repetirá este proceso o, si está a la mitad de su TTL, volverá a
registrar automáticamente su nombre.
06 MATTHEWS 01.indd 180 1/14/09 2:05:58 PM

Configure WINS en un servidor

Para configurar WINS en el servidor, siga estos pasos:
1. Haga clic en Inicio|Administrador del servidor; en el árbol en la izquierda y haga
clic en Características y luego en Agregar características. Recorra la lista de caracte-
rísticas casi hasta el final y haga clic en Servidor WINS, en Siguiente e Instalar.
2. Cuando vea Instalación correcta, haga clic en Cerrar.
3. En el Administrador del servidor, abra Características|WINS. Dé clic derecho en
Registros activos, haga clic en Mostrar registros, después en Buscar, en la parte
inferior del cuadro de diálogo que se abre. Debe mostrarse una lista de nombres
NetBIOS y direcciones IP, como se muestra aquí:
NOTA Puede tomar un poco de tiempo hasta que el servidor encuentre los clientes WINS,
hasta mediodía. El proceso procede mucho más rápido si filtra los clientes que quiere por
nombre o dirección IP, en el cuadro de diálogo Mostrar informes.
4. Si tiene clientes ajenos a WINS, puede agregar registros estáticos al hacer clic dere-
cho en Registros activos y seleccionar Asignación estática nueva. Se abre el cuadro
de diálogo del mismo nombre.
5. Ingrese el nombre del equipo y ámbito NetBIOS, si lo desea (el ámbito es una exten-
sión del nombre utilizado para agrupar equipos). Después haga clic en tipo (consul-
te la tabla 6-1) e inserte una o más direcciones IP, según sea necesario. Cuando haya
terminado, haga clic en Aceptar, para cerrar el cuadro de diálogo y después cierre la
ventana WINS.
Configure WINS en clientes

La configuración de un cliente WINS a menudo se hace en equipos que ejecutan otro siste-
ma que no sea Windows Server 2008, Windows Vista o Windows XP. Los pasos para hacerlo
en Windows 98 son los siguientes:
1. Haga clic en Inicio|Panel de control y haga doble clic en Red. Se abre el cuadro de
diálogo Propiedades de red.
2. Seleccione TCP/IP para el adaptador de red y clic en Propiedades. Se abre el cuadro
de diálogo Propiedades TCP/IP.
06 MATTHEWS 01.indd 181 1/14/09 2:05:59 PM

Tipo Explicación
Único Un solo equipo con una sola dirección IP
Grupo Un nombre de grupo con una sola dirección IP para
el grupo
Nombre de dominio Un nombre de dominio con hasta 25 direcciones IP
para sus miembros
Grupo Internet Un nombre de grupo con hasta 25 direcciones IP para sus
miembros
Host múltiple Un equipo con hasta 25 direcciones IP para varias NIC
Tabla 6-1. Tipos de registros WINS estáticos.
3. Haga clic en la ficha Configuración de WINS y en Habilitar resolución WINS. Escri-

ba la dirección IP del servidor WINS y haga clic en Agregar.
4. Cuando haya terminado de insertar servidores WINS, haga clic dos veces en Acep-
tar, para cerrar todos los cuadros de diálogo abiertos. Haga clic en Sí para reiniciar
su equipo.
5. Repita los pasos del 1 al 4 para cada cliente de la red.
06 MATTHEWS 01.indd 182 1/14/09 2:05:59 PM

CONFIGURE CUENTAS DE USUARIOS

Y PERMISOS DE GRUPO
Para obtener acceso a otro equipo u otros recursos (como una impresora) en la red, un usua-
rio debe tener permiso para hacerlo. Estos permisos comienzan con el usuario como una en-
tidad conocida, pues tiene una cuenta de usuario. Puede tener cuentas de usuario local, que
proveen acceso a un equipo y cuentas de usuario de dominio, que ofrecen acceso a todos los
recursos del dominio. Las cuentas de usuario de dominio, como se implementan en Active
Directory, podrían ser muy valiosas y, en muchos casos, facilitan la manera para estructurar
una red; se analizan en los capítulos 7 y 15.
En lugar de asignar permisos a individuos, se asignan individuos a grupos con ciertos
permisos. En esta sección se busca configurar cuentas de usuario local, configurar grupos y
asignar usuarios a grupos.
Las cuentas de usuario, grupos y permisos son parte importante de la seguridad de red,
mientras los aspectos de seguridad de estos elementos, como estrategias de contraseña, se
analizan en el capítulo 15. Esta sección se concentra en configurar elementos, no en la mane-
ra en que deben usarse para propósitos de seguridad.
NOTA Si está usando o va a usar un dominio, es importante configurar cuentas de

usuario de dominio, en lugar de cuentas de usuario local en equipos dentro del domi-
nio. El dominio no reconoce las cuentas de usuario local, así que un usuario local no
puede usar recursos de dominio y un administrador de dominio no puede administrar
cuentas locales.
Planee los nombres de usuario y contraseñas

Antes de configurar las cuentas de dominio o usuario local, su organización debe tener un
plan para nombres de usuario y contraseñas que utilizará. El objetivo es que sean consisten-
tes y usen prácticas prudentes. Aquí se muestran algunas configuraciones:
▼ ¿Va a usar el nombre e inicial del apellido, inicial del nombre y apellido o nombres
y apellidos completos?
■ Si lo hace, ¿cómo va a separar nombres y apellidos? Muchas organizaciones no usan
separación, mientras otras utilizan puntos o guiones de subrayado
■ ¿Cómo va a manejar a dos personas con el mismo nombre y apellido? Agregar un
número tras un nombre es una respuesta común; usar la inicial del segundo nombre
es otra
■ ¿Necesita una clase especial de nombres, por ejemplo, para los subcontratistas de su
organización? De ser así, ¿cómo quiere diferenciarla de la de los otros usuarios? Un
método consiste en poner antes de sus nombres uno o dos caracteres para indicar
su posición, como “SC” para subcontratista
06 MATTHEWS 01.indd 183 1/14/09 2:05:59 PM

■ Los nombres deben ser únicos, no pueden tener más de 20 caracteres de largo (o
20 bytes de largo, si el carácter toma más de 1 byte), no distinguen mayúsculas de
minúsculas, tampoco pueden contener el carácter @ ni pueden incluir únicamente
puntos y espacios. Los puntos o espacios al principio o final se ignoran
▲ Las contraseñas deben ser únicas; no pueden tener más de 127 caracteres; pueden
tener mayúsculas o minúsculas; deben usar una mezcla de letras, números y símbo-
los, así como tener al menos 8 caracteres de largo
SUGERENCIA Si su contraseña es mayor de 14 caracteres, no podrá iniciar sesión en la

red de un equipo Windows 98/98/Me.
Configure cuentas de usuario locales

Windows Server 2008 y Windows Vista crean diferentes cuentas de usuario cuando se insta-
lan; entre ellas hay dos que al principio se llaman Administrador e Invitado. Puede cambiar
nombre y contraseña para cada una de estas cuentas, pero no eliminarlas. Cuando recorre la
instalación de Windows Server 2008, como se describió en los capítulos 2 y 3, se establece
la contraseña inicial para la cuenta Administrador, pero toda la creación y mantenimiento
de cuentas se hace fuera de la instalación.
NOTA Si su servidor es un controlador de dominio (DC, Domain Controller), sólo podrá

configurar cuentas de usuario de dominio. Las cuentas de usuario local sólo se crean en
servidores que no son DC o en clientes.
Siga estos pasos para ver cómo se configuran las cuentas de usuarios locales (recuerde
que si el servidor buscado es un controlador de dominio, no podrá encontrar Usuarios y
grupos locales):
1. Haga clic en Inicio|Administrador
del servidor, después en el árbol
de la consola, abra Configuración|
Usuarios y grupos locales. Dé clic
derecho en Usuarios y seleccione
Usuario nuevo. Se abrirá el cuadro
de diálogo Usuario nuevo.
2. Inserte Nombre de usuario, Nombre
completo, Descripción y Contra-
seña, como se muestra aquí. Selec-
cione cómo quiere administrar las
contraseñas y haga clic en Crear.
3. Repita el paso 2 para todos los usua-
rios locales que tenga. Cuando haya
terminado, haga clic en Cerrar.
06 MATTHEWS 01.indd 184 1/14/09 2:06:00 PM

Configure grupos y sus miembros

Los grupos le permiten definir lo que un tipo particular de usuario tiene permitido hacer
en el equipo. Una vez que haya hecho eso, los usuarios definidos pueden ser miembros de
estos grupos y entonces tendrán los mismos permisos que los grupos a los que pertenecen.
Windows Server 2008 incluye varios grupos ya definidos, así que el primer paso consiste en
entender cuáles son. Después puede agregar uno o más grupos propios.
1. En el árbol de la consola Administrador del servidor, con Configuración y Usuarios
y grupos locales abierto, haga clic en Grupos. Aparece la lista de los grupos defini-
dos, como se muestra aquí:
El conjunto estándar de grupos proporciona un buen espectro de permisos, como se

observa al leer la columna Descripción, en la ventana Administrador del servidor.
2. Cree un nuevo grupo al hacer clic derecho en Grupos, en el panel de la izquierda o
al seleccionar Grupo nuevo. Se abre el cuadro de diálogo Grupo nuevo.
3. Escriba el nombre de grupo y una descripción, que debe mostrar una lista de per-
misos que tiene el grupo.
4. Haga clic en Agregar; se abre el cuadro de diálogo Seleccionar usuarios. Escriba los
usuarios que quiere añadir en el cuadro de texto inferior, al hacer clic en Comprobar
nombres después de cada entrada, o haga clic en Avanzadas y luego, en Buscar ahora,
elija un nombre de la lista y dé clic en Aceptar, para transferirlo a la lista de nombres.
5. Cuando haya terminado, haga clic en Aceptar, en Crear, para crear el nuevo grupo
y haga clic en Cerrar, para cerrar el cuadro de diálogo Grupo nuevo.
NOTA En el capítulo 15 se analiza en detalle cómo configurar permisos.
06 MATTHEWS 01.indd 185 1/14/09 2:06:00 PM

Agregue usuarios a grupos

Aunque puede agregar usuarios a grupos cuando crea estos últimos, a menudo agregará
usuarios a grupos sin necesidad de crearlos, como se muestra a continuación (debe tener
todavía abierta la ventana Administrador del servidor y expandir Configuración|Usuarios
y grupos locales, en el árbol de la consola, a la izquierda):
1. Abra Usuarios al hacer clic en el panel de la izquierda; en el panel de la izquierda,
ubique y haga clic derecho en el usuario cuya pertenencia a un grupo quiere cam-
biar y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.
2. Dé clic en la ficha Miembro de y en Agregar. Se abre el cuadro de diálogo Grupos
seleccionados.
3. En el cuadro de texto inferior, escriba los grupos que quiere agregar, seleccionan-
do Comprobar nombres, después de cada entrada o haga clic en Avanzadas y en
seguida en Buscar ahora, seleccione el nombre de la lista y dé clic en Aceptar, para
transferirlo a la lista de nombres, como se muestra a continuación. Cuando haya
seleccionado todos los grupos, haga clic en Aceptar.
4. Cuando haya terminado con la cuenta de usuario, haga clic en Aceptar, para cerrar
el cuadro de diálogo Propiedades, después haga clic en Cerrar, para cerrar la venta-
na Administrador del servidor.
El cuadro de diálogo Propiedades del usuario contiene varias fichas que no se mencio-
naron antes. Éstas se analizarán en capítulos futuros. Por ejemplo, Perfil, permite definir
uno para cierto usuario, de modo que cuando inicie sesión en un equipo, el perfil configure
automáticamente escritorio, menús y otras características para ese usuario. Se analiza en el
capítulo 14. Otro ejemplo es Marcado, que configura la manera en que un usuario trabajará
con acceso remoto y red privada; es el tema del capítulo 11.
Recuerde que estas cuentas de usuario local están limitadas a un solo equipo y no pue-
den administrarse de forma central. La forma más amplia y sencilla de implementar las
cuentas de usuarios es con dominios, que se analizan en el capítulo 7.
06 MATTHEWS 01.indd 186 1/14/09 2:06:00 PM

CAPÍTULO 7
Uso de Active
Directory y dominios
187
07 MATTHEWS 01.indd 187 1/14/09 1:40:42 PM

T
al vez el cambio más grande en Windows 2000 respecto a Windows NT fue la adición
de Active Directory (AD). En Windows Server 2003 y Windows Server 2008, AD se
ha mejorado, haciéndolo parte mucho más importante del sistema operativo. Active
Directory provee una sola referencia, llamada servicio de directorio, de todos los objetos de una
red, incluidos usuarios, grupos, equipos, impresoras, directivas y permisos. Para un usuario
o administrador, AD provee una sola vista jerárquica desde la que se acceden y administran
todos los recursos de la red. AD utiliza protocolos y estándares de Internet, incluida la au-
tentificación Kerberos, capa de conectores seguros (SSL, Secure Sockets Layer) y seguridad
en la capa de transporte (TLS, Transport Layer Security); un protocolo de acceso a directorio
ligero (LDAP, Lightwight Directory Access Protocol) y el servicio de nombre de dominio
(DNS, Domain Name Service). AD requiere uno o más dominios para operar.
Un dominio, como se utiliza en Windows NT, 2000 y Windows Server 2003 y 2008, es una
colección de equipos que comparten un conjunto común de directivas, nombre y base de
datos de sus miembros. Un dominio debe tener uno o más servidores que sirven como con-
troladores de dominio y almacenan la base de datos, mantienen las directivas y proporcionan
autentificación para inicios de sesión de dominio. Un dominio, como se utiliza en Internet,
es el segmento más alto de un nombre de dominio de Internet e identifica el tipo de orga-
nización; por ejemplo, .gov para agencias gubernamentales y .net para proveedores de ser-
vicio de Internet (ISP, Internet Service Provider). Un nombre de dominio es la dirección de
Internet completa, usada para alcanzar una entidad registrada en Internet. Por ejemplo,
www.mcgraw-hill.com o www.mit.edu.
EL ENTORNO DE ACTIVE DIRECTORY

AD juega dos funciones básicas importantes para una red: la de un servicio de directorio, que
contiene una lista jerárquica de todos los objetos de la red, así como la de un servicio de auten-
tificación y seguridad que tanto controla como proporciona acceso a recursos de red. Estas dos
funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores
capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su núcleo,
AD de Windows Server 2008 es un servicio de directorio integrado con DNS, además de un
servicio de autentificación de usuario para el sistema operativo Windows Server 2008. Sin
embargo, esta explicación introduce pocos términos e incluye varios conceptos.
Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los términos no son
intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en
una red. Un directorio jerárquico tiene una estructura cuya configuración integrada permite
que se agrupen objetos de forma lógica; de tal modo, los objetos de nivel inferior se agrupan
y contienen de forma lógica en objetos de nivel superior en todos los niveles deseados. Esta
agrupación puede basarse en varios criterios diferentes, pero éstos deben ser lógicos y con-
sistentes con toda la estructura de directorio.
Dos de las estructuras de directorio más comunes usadas en las redes se basan en funciones
de objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad
organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional
permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una orga-
nización, que tal vez cuenten con estructura propia, como departamentos dentro de divisiones.
07 MATTHEWS 01.indd 188 1/14/09 1:40:43 PM

Capítulo 7: Uso de Active Directory y dominios 189
Un departamento particular sería el primer punto organizativo en una organización. A un con-

tenedor que almacena todos los objetos en un departamento se le denomina unidad organizativa
(OU, Organizational Unit) y se agrupa en OU de nivel superior, basada en la estructura lógica.
Tras crear un grupo de OU, verá que la estructura causa que su directorio sea confuso,
de navegación compleja o ambas. Como resultado, quizás necesite cambiar su red para tener
más OU de alto o bajo nivel. En la parte superior de todos los directorios está la OU maestra
que contiene todas las demás OU. A este directorio se le conoce como raíz y normalmente se
le designa con un solo punto. Esta estructura jerárquica se vería así:
“ “ Raíz
División Unidades organizativas División

A B
Departamento Departamento Departamento Departamento

A B C D
AD es tan básico como la organización recién mostrada. Sin embargo, gran parte de la
estructura central de AD ya ha sido asignada por Microsoft y es consistente en todas las
implementaciones de Windows Server 2008. Por esto, algunos de los contenedores, sólo
OU, se han asignado a nombres específicos y funciones en AD. A medida que esta estruc-
tura de directorio preconfigurada se explica en el resto del capítulo, no deje que términos y
nombres lo confundan. En realidad, todo esto es simplemente una colección de objetos en
varias OU.
El “servicio” en “servicio de directorio” se añade a las características de un servidor que,
de otra manera, no estarían disponibles. Al principio, un servicio de directorio permite acceso
a un directorio de información y a servicios brindando información acerca de la ubicación,
métodos de acceso y derechos de acceso a los objetos dentro del árbol de servicio de directo-
rio. Esto significa que los usuarios acceden a un solo directorio y después se conectan direc-
tamente a otros servidores y servicios que, en apariencia, provienen del directorio original.
En gran medida, en este capítulo se analizan diferentes tipos de objetos y métodos de acceso
que AD proporciona a usuarios y administradores.
NOTA AD, Microsoft Exchange y Novell Directory Services (NDS) están basados en el
estándar X.500, reconocido internacionalmente y usado para crear una estructura de direc-
torio. De manera específica, AD se basa en la nueva versión X.509 de la familia X.500.
07 MATTHEWS 01.indd 189 1/14/09 1:40:43 PM

Integración con DNS

Gran parte de la estructura y servicios de AD, además del espacio de nombres en uso, se
basa en el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres
es el esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet
utilizan espacios de nombres jerárquicos separados por puntos, como se describió antes en
este capítulo. En unos momentos se analizará la manera en que AD utiliza DNS, pero es ne-
cesario revisar primero estructura y funcionamiento de DNS y cómo se utiliza para generar
las bases de AD.
Todos los servidores y servicios en Internet tienen asignada una dirección numérica
de protocolo de Internet (IP, Internet Protocol), así como todo el tráfico de Internet utiliza
este número IP para llegar a su destino. Los números IP cambian y pueden hospedar varios
servicios simultáneamente. Además, la mayoría tiene dificultades para recordar nú-
meros arbitrarios grandes, como las direcciones IP. Éstas son descripciones decimales de
números binarios, sin patrón visible. Los servicios DNS se crearon para permitir a servido-
res y otros objetos en la red asignar un nombre amigable para el usuario, mismo que DNS
traduce en un número IP. Por ejemplo, un nombre amigable para el usuario como correo.
mcgraw-hill.com puede traducirse o resolverse en un servidor DNS a una dirección IP como
168.143.56.43, que la red puede usar para ubicar el recurso deseado.
Los servidores DNS manejan estructuras de directorio jerárquicas, como en el ejemplo
descrito al inicio de este capítulo. En el núcleo de los servidores DNS existen dominios de
raíz con un directorio raíz, al que se hace referencia con un solo punto. Los primeros grupos
de OU bajo la raíz son diversos tipos de dominios que pueden existir, como COM, NET,
ORG, GOV, EDU, etc. InterNIC, una rama del Departamento de Comercio de Estados
Unidos, controla más de 250 de estos dominios de nivel elevado en Estados Unidos, ad-
ministrados por una empresa privada sin fines de lucro llamada Internet Corporation for
Assigned Names and Numbers (ICANN), que controla varios servidores raíz que contienen
una lista de todas las entradas en cada subdominio.
El siguiente grupo de OU tras “.COM” lo integran nombres de dominio como coke.com,
microsoft.com y mcgraw-hill.com. Las organizaciones o individuos a los que pertenecen re-
gistran y administran estos dominios. Varias compañías han contratado a InterNIC/ICANN
para registrar nuevos nombres de dominio añadidos a Internet; verá una lista alfabética de
estas compañías en http://www.internic.com/alpha.html.
Un nombre de dominio, como mcgraw-hill.com, puede obtener OU adicionales, llama-
das subdominios y objetos de servidor reales. En el ejemplo anterior, correo.mcgraw-hill.com,
el servidor de correo es un objeto del dominio mcgraw-hill.com. A un nombre de servidor
como correo.mcgraw-hill.com, que contiene todas las OU entre éste y la raíz, se le denomina
nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain Name). En la fi-
gura 7-1 se muestra el proceso de resolución de nombres requerido cuando un cliente como
el de la esquina inferior izquierda de la figura 7-1 pide a un servidor DNS resolver un FQDN
en una dirección IP, subiendo y bajando por la cadena de servidores DNS.
07 MATTHEWS 01.indd 190 1/14/09 1:40:43 PM

Figura 7-1. El proceso de resolución para un nombre de dominio en una dirección IP.
Active Directory y Dominios

AD y DNS comparten la misma OU central, llamada dominio. Para quienes están familiari-
zados con Windows NT 4, Windows 2000 o Windows Sever 2003, el concepto de dominio debe
serles familiar. Un dominio es un servicio de autentificación central y de directorio con
toda la información de un grupo de equipos de cómputo. NT 4 tiene varias limitaciones
importantes en el uso de dominios. Inicialmente, los dominios no eran realmente servidores
de directorio, porque sólo contenían usuarios, grupos y equipos en una estructura no jerár-
quica. Aunque todos los equipos podían usar el depósito central de información para pro-
blemas de autentificación, el directorio no estaba disponible para la ubicación de objeto ni
la administración de recursos. En AD, las características centrales y búsqueda de dominios
NT heredados aún están presentes, pero se han extendido ampliamente. Entre las muchas
mejoras, que se analizarán en el curso de este capítulo, está la capacidad de los dominios AD
07 MATTHEWS 01.indd 191 1/14/09 1:40:44 PM

para escalar a casi cualquier tamaño, en oposición al límite de 40 000 objetos, impuesto a
estructuras de dominio NT. Otra mejora es la capacidad de AD para formar confianzas de
dos vías, transitivas con otros dominios en la red (esto se analizará con mayor detalle en
páginas posteriores de este capítulo).
La integración temprana entre AD y DNS puede resultar, al principio, un poco confusa.
Al ver AD y DNS, es fácil pensar que en realidad son lo mismo, pues utilizan los mismos
nombres y esquemas de nombres. Sin embargo, no es así. En la actualidad, DNS y AD son
servicios de directorio separados que utilizan los mismos nombres para diferentes espacios
de nombres. Cada directorio contiene objetos e información diferentes, acerca de objetos de
su propia base de datos. Sin embargo, estos nombres, además de la estructura de directorio,
a menudo son idénticos.
Cada equipo con Windows Server 2008 tiene un FQDN. Ésta es la combinación de su
propio nombre de equipo con el nombre del dominio en que reside. Por ejemplo, los equipos
de Windows Server 2008 en el dominio McGraw-Hill pueden tener un nombre de equipo
idéntico a nombredelequipo.mcgraw-hill.com. Sin embargo, el mismo equipo puede ser en
realidad miembro del subdominio editorial.mcgraw-hill.com. En este caso, el FQDN del
equipo sería realmente nombredelequipo.editorial.mcgraw-hill.com.
Directorios DNS
En realidad, un directorio DNS no almacena objetos en su base de datos. En cambio, DNS
almacena dominios, la información de acceso para cada dominio e información de acceso
para objetos (como servidores e impresoras) en el dominio. La información de acceso suele
ser sólo FQDN y dirección IP relacionada. Todas las consultas de una dirección IP del objeto
relacionarán el FQDN de la solicitud con el índice FQDN en el directorio DNS y devolverán
(resolverán) la dirección IP. En algunos casos, la información de acceso (o referencia de recurso)
simplemente apunta a otro objeto (o recurso) en el mismo dominio DNS o uno diferente.
Un dominio DNS estándar no puede revertir este proceso al regresar un FQDN cuando
se proporciona con una dirección IP. Para que este tipo de resolución sea posible, requiere
una zona de búsqueda inversa, como se analizó en el capítulo 6. A estos dominios se les
conoce como dominios “in-addr-arpa”, dentro de la jerarquía DNS.
Entre otras funciones especiales de DNS, que añaden características a una red, está la
referencia a Mail Exchanger que puede agregarse a un nombre de dominio DNS. La refe-
rencia a Mail Exchanger (conocida como MX) permite a los servidores de correo localizar
servidores de correo de otros dominios, para permitir la transferencia de correo electrónico
a través de Internet.
Servicios de Active Directory

Los servicios de AD contienen una cantidad mayor de información que la disponible en
directorios DNS, aunque nombres y estructura sean casi idénticos. AD resuelve toda la in-
formación de las solicitudes de objetos en su base de datos al utilizar consultas LDAP. El
servidor AD también puede ofrecer una cantidad variable de información acerca de cada
07 MATTHEWS 01.indd 192 1/14/09 1:40:44 PM

objeto en su base de datos. Entre la información que AD puede proporcionar se incluye

la siguiente (pero no se limita a ella):
▼ Nombre de usuario
■ Información de contacto, como dirección física, números de teléfono y direcciones
de correo electrónico
■ Contactos administrativos
■ Permisos de acceso
■ Propietario
▲ Atributos de objeto, como características de nombre de objeto; por ejemplo, impre-
sora a color Laser Jet, 20 hojas por minuto, impresión dúplex
Aunque DNS no requiere AD, en cambio AD demanda que un servidor DNS esté ins-
talado y funcionando correctamente en la red, antes de que un usuario pueda encontrar el
servidor AD. Cuando Windows Server 2003 se desplazó por completo a los estándares de
Internet para su red de sistema operativo (lo que se desplazó también a Windows Server
2008), debió encontrarse un método para ubicar servicios de red distintos a la transmisión
NetBIOS utilizada en Windows NT. Esto se hizo mediante el uso de un nuevo tipo de domi-
nio DNS, conocido como dominios de DNS dinámicos (DDNS, Dynamic DNS). Un dominio
DDNS, que se integra en AD, permite a todos los controladores usar la misma base de datos,
que se actualiza automáticamente cuando se añaden a la red nuevos equipos de Windows
Server y al eliminarse. El dominio DDNS también permite que DNS funcione con redes
basadas en el protocolo de configuración dinámica de host (DHCP, Dynamic Host Confi-
guration Protocol), donde las direcciones IP de los objetos de red cambian constantemente.
Además de proveer la resolución de nombre para la red, los dominios DDNS también con-
tienen una lista de todos los dominios y controladores de dominio en red. Esto significa que,
a medida que se incorporan nuevos sistemas Windows Server a una red, solicitarán a los
servidores DDNS que obtengan nombre e información de conexión, incluida la dirección IP,
de los controladores de dominio más cercanos.
NOTA En instalaciones de Windows NT, los servidores de servicio de nombre de Internet

de Windows (WINS, Windows Internet Name Service) proporcionaban estaciones de tra-
bajo nuevas con la ubicación de controladores de dominio. Para permitir la compatibilidad
con estaciones de trabajo de Windows 3.11, Windows 95 y Windows 98 que no ejecutan
el cliente AD, todavía se necesitan en la red servidores WINS. Los servidores de Windows
Server 2003, 2008 y Windows 2000, además de los servidores NT heredados, tienen la
capacidad para hospedar servicios WINS e integrarlos con DNS.
Active Directory y el espacio de nombres DNS global

Los dominios AD están diseñados (y pretenden existir) dentro del esquema de nombre de
dominio DNS global operando en Internet. Esto significa que, por diseño, el dominio DNS
de su red también se relacionaría con el esquema de asignación de nombres de dominio de
AD. En algunas organizaciones, resulta difícil la migración de la red de área local (LAN,
07 MATTHEWS 01.indd 193 1/14/09 1:40:44 PM

Local Area Network) NT heredada, pues ya están funcionando dominios de LAN e Internet
independientes. En este caso, pueden usarse los servicios DDNS para dominio AD de LAN
y hospedarse en servidores DNS internos.
Los servidores externos, que proporcionan servicios de hospedaje Web de Internet,
como los de protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Proto-
col) y protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol), todavía
utilizarían la estructura DNS de Internet y proporcionarían asignación de recursos necesaria en
cada dominio, para permitir su coexistencia, como se muestra aquí:
NOTA Las funciones que proporciona un dominio DDNS, necesarias para AD, son la lista
de información de dominio y ubicación de los servidores de dominio. Estas funciones las
proporciona un objeto llamado recurso de ubicación de servicios (SRV, Service Location
Resource). Los SRV no son únicos para dominios Windows DDNS y, por tanto, algunos
productos de servidor DNS de terceros trabajan con AD. Sin embargo, la configuración de
estos servidores DNS de terceros, para integrarse con AD, puede representar una tarea
considerable.
INSTALE ACTIVE DIRECTORY

Existen dos formas para instalar AD: agregarlo a un dominio existente o formar un nuevo
dominio. (En el caso de quienes están familiarizados con AD, también encontrarán aquí
algunos problemas relacionados con bosques y árboles, pero éstos se analizarán más ade-
lante, en este capítulo.) Instalar AD en un servidor convierte el servidor en un controlador de
dominio, un servidor que hospeda a la base de datos central de todos los usuarios y grupos
dentro del dominio, para mantener todas las funciones relacionadas con el dominio, como
inicio de sesión y autentificación de usuario dentro del dominio, además de relaciones de
07 MATTHEWS 01.indd 194 1/14/09 1:40:44 PM

confianza. Este proceso se hace en los servidores NT existentes o en servidores AD de Win-

dows Server 2008, Windows Server 2003 o Windows 2000. Windows 2000 fue la primera
plataforma de Windows que permitía la promoción de servidores miembros a controlado-
res de dominio. Si un dominio contiene varios servidores AD, entonces los servicios AD
se eliminan de un controlador de dominio y el servidor se regresa a un servidor miembro
estándar, dentro del dominio.
Cuando se instala AD en un dominio NT heredado, el controlador de dominio primario
(PDC, Primary Domain Controller) de un dominio debe ser un servidor Windows Server
2008, Windows Server 2003 o Windows 2000 que ejecuta AD. Obviamente, esto sólo es un
problema en los casos en que existen en el dominio Windows Server 2008, Windows Server
2003 o Windows 2000, además de controladores de dominio NT heredados (se les denomina
red de modo mixto). En casos donde está instalando el primer servidor AD en un dominio
heredado, el PDC existente deberá actualizarse a un servidor Windows Server 2008, Win-
dows Server 2003 o Windows 2000 y entonces AD puede agregarse. Un servidor Windows
Server 2008, Windows Server 2003 o Windows 2000 puede existir sin AD en un dominio
heredado NT, pero antes de agregar AD, el PDC debe actualizarse a Windows Server 2008,
Windows Server 2003 o Windows 2000.
SUGERENCIA En algunos casos es aconsejable agregar un controlador de dominio sin

otros servicios que las funciones de dominio NT, para simplificar lo más posible la actualiza-
ción. Entonces el controlador de dominio puede actualizarse para asumir el rol PDC en el
dominio heredado. Con esta migración completa, los servidores existentes pueden migrarse
de cualquier forma, incluido reformateo y recarga del disco duro, que es aconsejable. Algu-
nas compañías, como Hewlett-Packard, Dell e IBM, han automatizado los CD de instalación de
Windows Server 2003 y Windows 2000 (y, en breve, tal vez los de Windows Server 2008)
para muchos de sus servidores, mismos que automáticamente cargarán los controladores
correctos y su hardware del sistema. Más adelante, puede eliminar el controlador de domi-
nio extra o usarse para reemplazar uno de los controladores de dominio existentes.
Para instalar AD en Windows Server 2008, se usa el Asistente para instalación de Servicios
de dominio de Active Directory, que aparece automáticamente, si está actualizando un con-
trolador de dominio o puede iniciarse después con Agregar funciones, en el Administrador
del servidor (consulte “Instale funciones de servidor”, en el capítulo 3), cuando decida que
el servidor sea un controlador de dominio e instale AD. En el Asistente para instalación de los
Servicios de dominio de Active Directory, se le pregunta si quiere crear un nuevo dominio o
agregar un controlador de dominio a un dominio existente, como se ilustra en la figura 7-2.
PRECAUCIÓN Los equipos que ejecutan Windows 95 o Windows NT 4 SP3 y anteriores

no podrán iniciar en un controlador de dominio de Windows Server 2008 ni obtener acceso a
recursos de dominio, a menos que instale el cliente de Active Directory para tales sistemas.
NOTA Los clientes de Active Directory para Windows 95, Windows 98 y versiones anterio-
res en Windows NT 4 están disponibles para su descarga en el sitio Web de Microsoft, en
páginas para los diferentes sistemas operativos.
07 MATTHEWS 01.indd 195 1/14/09 1:40:45 PM

Cuando instale en un dominio existente, se revisarán sus derechos administrativos en el

dominio. Es posible que tenga derechos administrativos en el servidor que actualiza, pero
quizás carezca de suficientes derechos en el dominio o controladores de dominio para con-
seguir la instalación. Tras instalar el servicio AD, se hará la configuración restante mediante
Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y
confianzas de Active Directory. Los primeros dos están disponibles en el árbol de la consola
Administrador del servidor, mientras el tercero puede abrirse, como se presenta en la figura
7-3, con Inicio|Herramientas administrativas.
Figura 7-2. Determine si quiere crear un nuevo dominio en un nuevo bosque, un nuevo dominio
en un bosque existente o agregar un controlador de dominio a un dominio existente.
Reemplace los controladores de dominio existentes

Los servidores Windows Server 2008, que funcionan en dominios nativos (dominios que
sólo contienen controladores de dominio de Windows Server 2008), actúan como conexión
punto a punto con todos los miembros que contienen la base de datos de servicios AD, con
iguales privilegios de lectura/escritura. En dominios NT heredados, sólo el PDC contiene la
copia de lectura/escritura maestra del almacenamiento de directorio del dominio. A todos
los demás controladores de dominio, en dominios NT, se les conoce como controladores de
dominio de copia de seguridad (BDC, backup domain controllers), que contienen copias de sólo
lectura del almacenamiento de información del directorio de dominio. BDC está disponible
para autentificar usuarios y proporcionar información de dominio, pero todas las adiciones
y modificaciones a los datos existentes deben hacerse a PDC. Cuando se instalan en modo
mixto, un servidor AD todavía respondería a llamadas de procedimiento remoto (RPC, Re-
07 MATTHEWS 01.indd 196 1/14/09 1:40:45 PM

Figura 7-3. Configuración de AD en una de tres consolas de administración de Microsoft

(MMC, Microsoft Management Consoles).
mote Procedure Call), como si fueran un PDC, y después se replicarían cambios de direc-
torio al BDC heredado. Esto significa que no todos los controladores de dominio heredados
reconocen modificaciones grandes a la red. En dominios de Windows 2000, todos los con-
troladores de dominio actúan como una conexión de punto a punto, donde todos los miembros
contienen la base de datos de servicios de AD, con iguales privilegios de lectura/escritura,
de manera similar a Windows Server 2003 o 2008. Pero si mezcla controladores de dominio
de Windows 2000 con otros de Windows Server 2003 y 2008 en el mismo bosque, operarán
como si todos fueran controladores de dominio de Windows 2000, sin estar disponibles
varias de las mejoras de AD en Windows Server 2003 y 2008. Cuando todos los contro-
ladores de dominio de Windows 2000 se han actualizado a Windows Server 2003 o 2008,
el nivel de funcionalidad puede mejorarse a la nueva versión, para brindar acceso a las
nuevas características.
07 MATTHEWS 01.indd 197 1/14/09 1:40:45 PM

NOTA Existen controladores de dominio de sólo lectura (RODC, Read Only Domain Con-
troller) por diseño. Consulte “Controladores de dominio de sólo lectura”, en páginas posterio-
res de este capítulo, para conocer más información.
El método de operación utilizado por AD es igual al de replicación de varios maestros: sig-

nifica que se pueden hacer cambios a cualquier servidor AD y esos cambios se replicarán a
otros servidores en red. En este esquema de replicación de varios maestros existe un par de
conceptos importantes que incluyen el primer servidor AD en el dominio, que se configura
automáticamente en el servidor de catálogo global y un maestro de operaciones.
Servidor de catálogo global

El catálogo global es un tipo de base de datos en el núcleo de los servicios de directorio. El catá-
logo global contiene una lista de servicios a los que se accede en la red, no sólo desde el dominio
local. El catálogo global puede almacenarse en varios controladores de dominio, pero siempre
debe estar instalado al menos en uno y, como opción predeterminada, siempre se crea en el
primer servidor AD instalado en un nuevo bosque. (El concepto de bosque se explica
más adelante en el capítulo.) La configuración del catálogo global y su colocación en varios
servidores de la red se hacen a través de sitios y servicios de Active Directory, en MMC.
GC GC
DC DC DC DC
Dominio A Dominio B
DC = Controlador de dominio
GC = Catálogo global
= Replicación de directorio de dominio
= Replicación de catálogo global
SUGERENCIA Cuando opera en modo mixto, todos los controladores de dominio realizan
inicios de sesión de usuario de forma independiente. Sin embargo, cuando opera en modo
nativo, se requiere una consulta a un servidor de catálogo global (porque determina una
pertenencia al grupo global del usuario). Por tanto, las reglas para instalar varios catálogos
globales en una red son muy similares a las de instalar BDC adicionales a un dominio NT 4.
Cuando se instalan varios sitios distantes, el hecho de tener un servidor de catálogo global
en cada sitio disminuirá la carga de red en vínculos WAN que, de otra forma, se utilizarían
para ofrecer autentificación de usuario. De forma adicional, es mucho más eficiente tener va-
rios servidores de catálogo global para distribuir la carga de red de tráfico de autentificación
de manera uniforme entre varios servidores de red, en lugar de apilar esta carga para que
un solo servidor la administre. Por supuesto, la necesidad de servidores de catálogo global
adicionales incrementa el ancho de banda consumido para sincronización de directorios.
07 MATTHEWS 01.indd 198 1/14/09 1:40:45 PM

En general, los servidores de catálogo global en una red proveen dos características
principales: inicio de sesión y consulta. Cuando opera en un dominio en modo nativo, se
permite que existan grupos universales en el bosque. Debido a que los grupos universales
pueden contener usuario y grupos de varios dominios, no puede existir un grupo universal
dentro de un dominio individual. Por tanto, el catálogo global mantiene los grupos univer-
sales dentro de la red, además de cada pertenencia al grupo. En los dominios de Windows
2000, esto significa que siempre que se opera una red en modo nativo, el servidor AD que
hace que inicie sesión un usuario en la red debe consultar al servidor de catálogo global para
determinar la pertenencia al grupo universal del que el usuario puede formar parte. En los
casos en que un usuario inicia sesión y un servidor de catálogo global no está disponible,
sólo se permitirá acceso al usuario en el equipo local. Esto evita cualquier problema de segu-
ridad, en que un grupo global basado en el dominio permite acceder al usuario a un recurso
del que el grupo universal lo excluyó. Sin embargo, en caso de una emergencia, se permitirá
iniciar sesión en la red a cualquier cuenta de usuario que pertenezca al grupo Administra-
dor de dominio, en el dominio local. En Windows Sever 2008, los controladores de dominio
pueden almacenar en el caché pertenencias al grupo universal que se han buscado en un
servidor de catálogo global durante el inicio de sesión; de tal modo que la próxima vez que
un miembro del grupo universal inicia sesión en un controlador de dominio particular
puede confirmarse la membresía de forma local.
La segunda característica principal ofrecida por el catálogo global, la consulta, es un
poco más obvia. Una red grande puede tener varios dominios coexistiendo. En este caso, el
catálogo global ofrece un solo lugar para referencia de todos los usuarios de la red, cuando
se buscan recursos específicos. La opción alterna al catálogo global, en este ejemplo, sería
el requisito de que cada usuario conozca la ubicación exacta del recurso que quiere usar el
usuario, o busque cada dominio de forma independiente. La característica de consulta de AD
provee otra razón principal para tener varios servidores de catálogo global a través de la red.
Maestro de operaciones
El segundo servicio principal, agregado al primer servidor AD de una red, es el maestro de
operaciones. Dentro de los dominios de Windows Server 2008, existe la necesidad de cen-
tralizar algunos cambios a los servicios de directorio. Aunque AD se basa en el modelo de
replicación de varios maestros, mientras todos los controladores de dominio son conexio-
nes de punto a punto dentro de Windows Server 2008, todavía existen algunos cambios
que pueden causar muchos problemas si no se configuran desde diferentes ubicaciones.
Por esto, sólo se asigna un controlador de dominio de Windows Server 2008 en cualquier
bosque y dentro de cualquier dominio, para convertirse en el maestro de operaciones para
ese dominio o bosque. En operaciones de dominio, se asignan tres funciones al maestro de
operaciones del dominio:
▼ Emulador de PDC En un modo de red mixto, los miembros de la red heredada lo
ven como un PDC
■ Maestro de ID relativo Asigna bloques de ID de seguridad a otros controladores
de dominio en la red
▲ Maestro de infraestructura Actualiza los demás controladores de dominio, con
cambios en nombres de usuario y referencias de grupo a usuario
07 MATTHEWS 01.indd 199 1/14/09 1:40:47 PM

En un bosque sólo se asignan dos funciones al maestro de operaciones del bosque:

▼ Maestro de nombre de dominio Agrega o elimina dominios en un bosque
▲ Maestro de esquema Actualiza el esquema del directorio y vuelve a aplicar éste a
otros controladores de dominio en el bosque
ENTIENDA LA ESTRUCTURA Y CONFIGURACIÓN

DE ACTIVE DIRECTORY
Una red AD contiene varios objetos en una estructura muy completa y puede configurarse
de varias formas. Esta sección se concentra en algunos de los objetos en Active Directory,
además de cierta configuración básica relacionada con cada objeto como los siguientes:
▼ Objetos AD y lo que hacen
■ Dominios, árboles, bosques y otras OU dentro de AD
▲ Sitios y replicación basada en sitio
Objetos de Active Directory

Un objeto dentro de AD es un conjunto de atributos (nombre, dirección e ID) representando
algo concreto, como un usuario, impresora o aplicación. Como DNS, AD agrupa e incluye
estos objetos en OU, que luego se agrupan en otras OU hasta llegar a la raíz. Además, como
DNS, AD proporciona después acceso e información acerca de cada uno de estos diferentes
objetos. Como un servicio de directorio, AD mantiene una lista de todos los objetos en el
dominio y ofrece acceso a estos objetos, ya sea directamente o mediante redireccionamien-
to. Esta sección se concentra en la estructura y base de los objetos en AD. Al recordar las
diferencias entre AD y DNS, así como los objetos contenidos, apreciará la amplia variedad
de objetos que se permiten en servicios de directorio. En el caso de AD y otros servicios de
directorio basados en X.500, la creación y uso de esta variedad de objetos se determinan
mediante el esquema utilizado en el directorio.
Esquema
El esquema define la información almacenada y posteriormente proporcionada por AD, para
cada uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador
global único o GUID (Globally Unique IDentifier), un número hexadecimal único para el
objeto. Un GUID permite que se cambie un nombre de objeto sin afectar la seguridad ni los
permisos asignados al objeto, porque el GUID es todavía el mismo. Una vez que el objeto se
crea, AD utiliza el esquema para crear campos definidos para el objeto, como número telefó-
nico, propietario, dirección, descripción, etc. La información para cada uno de estos campos
la ofrece el administrador o aplicación de terceros que obtiene la información de una base
de datos o estructura de directorio preexistente, como Microsoft Exchange.
07 MATTHEWS 01.indd 200 1/14/09 1:40:47 PM

NOTA Por razones de compatibilidad inversa, el soporte para identificadores de seguridad

(SID, Security IDentifiers), la versión de GUID de NT 4, también se mantiene dentro de AD.
Agregue al esquema base

Debido a que el esquema brinda las reglas para todos los objetos dentro de AD, en algún
momento necesitará extender las clases de objeto predeterminadas incluidas de manera es-
tándar en AD. Una de las primeras ocasiones en que esto ocurrirá es cuando se añade un
servidor de correo a la red y requerirá que se agreguen atributos específicos de correo al es-
quema de AD. Es probable que esta adición también requiera crear nuevas clases de objetos.
El proceso de agregar clases y atributos se hace al modificar o agregar al esquema de AD. La
modificación del esquema toma lugar al usar una función de instalación automatizada que
afecta al esquema para toda la red. Las actualizaciones del esquema no pueden invertirse,
así que siempre tenga cuidado cuando actualiza el esquema.
SUGERENCIA Es posible modificar el esquema a través de la interfaz de servicio de Ac-

tive Directory (ADSI, Active Directory Service Interface) y mediante la utilería LDAP Data
Interchange Format. También es posible modificar el esquema directamente al utilizar la
herramienta AD Schema. Estos programas sólo deben utilizarlos los expertos en AD y
siempre deben probarse en un entorno de laboratorio, antes de implementarse en servi-
dores de producción.
Publique elementos al directorio

En la superficie, Windows Server 2008 funciona de forma muy parecida a los productos de
NT heredados, sobre todo en sus funciones de recursos compartidos y seguridad. Cuando
un elemento se comparte o un nuevo recurso se añade a Windows Server 2008, como una
impresora, el objeto se comparte y certifica utilizando casi el mismo proceso que con servi-
dores NT heredados. De forma adicional, no todos los servidores basados en Windows NT
pueden convertirse en servidores AD. Con estos dos hechos en mente, se necesita algún
método para distribuir información acerca de objetos hospedados en servidores Windows
Server 2008, a través de la red en AD. A este proceso se le llama publicación. Cuando un
objeto se publica en AD, la información del recurso se agrega a AD y entonces los usuarios
pueden acceder a ese recurso a través de AD. El principal beneficio proporcionado por la
publicación es que permite redes más grandes con recursos hospedados por servidores en
sus diversos sitios, para que todos compartan su información de un punto central en la red.
Los usuarios de la red pueden acceder a servidores AD, buscar, ubicar y acceder a recursos
que necesitan desde de un solo punto de entrada de AD.
Algunos objetos se agregan a AD automáticamente, como objetos de usuario, grupo y
servidor. Sin embargo, es necesario que un administrador publique algunos otros objetos.
Los dos elementos más comunes que la mayoría de los administradores se encontrarán
agregando a AD son directorios e impresoras.
Publicación de directorio Para agregar un directorio a AD, primero debe crearse el directo-
rio o carpeta en el Explorador de Windows o en Equipo y asegurarlo, a través de las fichas
Compartir y Seguridad, en el cuadro de diálogo Propiedades del directorio, como se mues-
07 MATTHEWS 01.indd 201 1/14/09 1:40:47 PM

tra a continuación. Esta medida debe incluir seguridad en el nivel del recurso compartido y
permisos NTFS asociados con el directorio, así como todos los archivos y subdirectorios en
el recurso compartido.
SUGERENCIA Con la llegada de AD, nuevos métodos de organización y apertura de

acceso a recursos de red se han añadido a las herramientas del administrador de red.
Sin embargo, los métodos para administrar la seguridad de red usados con Windows NT
todavía siguen activos.
Publicación de impresora Publicar una impresora en AD es un proceso simple que imple-
menta varias características nuevas inexistentes antes de Windows 2000. En primer lugar,
cuando existen varias impresoras en una red AD, los usuarios de esa red pueden buscar
impresoras de acuerdo con características especiales, como color, resolución o uso de im-
presión dúplex.
Para publicar una impresora en AD, primero debe instalarse y configurarse para funcio-
nar en el servidor de impresión correspondiente. (El servidor de impresión, en este caso, puede
ser cualquier servidor Windows Server 2008, Windows Server 2003, Windows 2000 o cual-
quier equipo Windows Vista, XP o 2000 Profesional al que está conectado la impresora.) En
seguida de configurar una impresora, se comparte y aplica la seguridad apropiada (consulte
el capítulo 13 para conocer más detalles sobre la manera de hacer esto) y hasta entonces está
listo para publicarse en AD. En realidad, la acción predeterminada tomada por un servidor de
impresión de Server 2008/2003/2000 y Windows Vista/XP es publicar cualquier impresora
automáticamente, tras instalarla y compartirla. Una vez publicada, es posible administrar
la impresora y acceder a ella en todos los servidores AD en el dominio, para ser incluida auto-
máticamente en el catálogo global de los demás dominios en el bosque.
07 MATTHEWS 01.indd 202 1/14/09 1:40:48 PM

En algunos casos, sobre todo cuando todavía ejecuta en modo mixto, los servidores de im-
presión ajenos a Server 2008/2003/2000 o Windows Vista/XP pueden estar hospedando
impresoras muy importantes para el dominio. En este caso, un objeto se puede agregar al do-
minio AD mediante el URL de la impresora compartida. Esto se logra al utilizar Usuarios y
equipos de Active Directory, en MMC, resaltar el dominio y elegir Acción|Nuevo|Impresora
(como se muestra a continuación).
NOTA Los recursos compartidos en la red no siempre deben publicarse en AD. Sólo los
objetos utilizados por gran parte de la red o que necesitan estar disponibles para posi-
bles búsquedas deben publicarse. Los objetos publicados en AD incrementan el tráfico de
replicación del dominio que es necesario utilizar, para asegurar que todos los servidores
AD tengan la información más reciente. En redes grandes con varios dominios, el tráfico
de replicación para sincronizar a los servidores de catálogo globales para cada dominio
puede ser agobiante si no se planea bien.
La estructura de Active Directory

Existen varias OU dentro de AD con varias funciones muy específicas en la red. Estas fun-
ciones se establecen por medio del esquema. Para administrar y configurar una red AD,
necesita entender qué es cada una de estas OU y qué función juegan en la red.
Active Directory está integrado por uno o más dominios. Cuando se instala el primer
servidor AD, se crea el dominio inicial. Todos los dominios AD se asignan a sí mismos a
dominios DNS, mientras los servidores DNS juegan una función crucial en cada dominio.
Dominios
Los dominios están en el núcleo de todos los sistemas operativos basados en Windows
NT/2000 Windows Server 2003/2008. En esta sección se revisa la estructura de los do-
minios en AD, además de los diversos factores que participan en la creación de varios
dominios en una red.
Los dominios en AD delinean una partición dentro de la red AD. La principal razón
para crear varios dominios es la necesidad de particionar la información de red. Las redes
más pequeñas tienen muy poca necesidad de más de un dominio, aun con una red dispersa
entre varios sitios físicos, pues los dominios pueden cubrir varios sitios de Windows Server
2008. (El concepto de sitio se cubre con más detalle en páginas posteriores de este capítulo.)
Sin embargo, todavía existen razones para utilizar varios dominios en una red:
07 MATTHEWS 01.indd 203 1/14/09 1:40:48 PM

▼ Proporcionan estructura de red A diferencia de los dominios NT heredados, no

existe límite real para el número de objetos que se pueden agregar a un dominio
AD ejecutado en modo nativo. Por esto, casi ninguna red necesita establecer domi-
nios separados para cada unidad de negocio. Sin embargo, en algunas redes muy
grandes, es posible que varios factores de directivas necesiten varios dominios. Por
ejemplo, una compañía puede tener varias subsidiarias completamente autónomas.
Un AD central compartido entre las compañías ofrece varios beneficios; tal vez
un dominio compartido no tenga tanto sentido. En este caso, puede configurarse un
dominio separado para cada compañía
■ Replicación Los servidores AD sólo contienen información de su propio dominio.
Los servidores de catálogo global se requieren para publicar información entre do-
minios para el acceso de usuario. Esto significa que todos los objetos en un domi-
nio se replican a todos los demás controladores de dominio, mientras los recursos
externos se replican sólo entre servidores de catálogo global. En las redes grandes
esparcidas entre varios vínculos WAN, cada sitio físico debe ser su propio dominio,
para asegurar que el tráfico de replicación innecesario no consuma el limitado an-
cho de banda de los vínculos WAN
■ Seguridad y administración Aunque AD suministra la apariencia de una infra-
estructura de red central a los usuarios de la red, las capacidades administrativas y
permisos de usuario no cruzarán particiones de dominio. Esta limitación se supera
mediante el uso de grupos globales universales y relaciones de confianza, pero los
dominios son realmente grupos administrativos separados que pueden o no estar
vinculados
▲ Delegación de administración Aunque la delegación de autoridad administrati-
va en la red hace que varios dominios sean fáciles de manejar y Windows Server
2008 provee varias herramientas administrativas, todavía pueden darse beneficios
para otras redes, dividiendo los dominios entre las líneas de autoridad y responsa-
bilidad administrativa
Bosques
Además de dominios, AD se compone de bosques, árboles y otras OU personalizadas. Cada
una de estas OU existe en un nivel específico de la jerarquía de AD, empezando con el bos-
que contenedor más alto. Un bosque es el OU más alto en la red y puede contener cualquier
número de árboles y dominios. Todos los dominios en un bosque comparten el mismo es-
quema y catálogo global. En esencia, los bosques son similares al contenedor raíz del DNS.
Casi todas las organizaciones que implementan AD tendrán un solo bosque; en realidad, es
posible que las organizaciones más pequeñas con un solo dominio incluso no se percaten de
la existencia del bosque, pues todas las funciones parecen existir sólo en el nivel de dominio.
En efecto, el bosque se utiliza como el directorio principal para toda la red. El bosque abarca
todos los árboles, dominios y otras OU, además de toda la información publicada para to-
dos los objetos en el bosque, como se verá a continuación.
07 MATTHEWS 01.indd 204 1/14/09 1:40:48 PM

Bosque
Dominio ab.com xyz.com Dominio
Árbol Árbol
oeste.ab.com este.xyz.com oeste.xyz.com
ventas.este.xyz.com
Los dominios en un bosque se configuran automáticamente con confianzas transitivas

de dos vías. Una relación de confianza permite a dos dominios compartir recursos de usua-
rio y grupo para que los usuarios autentificados por un dominio de “confianza” accedan
a recursos en el dominio de “confianza”. Una confianza transitiva, como se muestra en la
figura 7-4, permite a las cuentas de usuario en un dominio utilizar una segunda relación de
confianza del dominio, para así acceder a recursos en un tercer dominio. Los dominios NT
heredados no soportan relaciones de confianza transitivas. En la figura 7-4, una cuenta de
usuario del dominio A puede acceder a recursos en el dominio C, porque los dominios A y
C tienen relaciones de confianza transitivas con el dominio B. Si en la figura 7-4 se estuviera
ilustrando un dominio NT heredado, una relación de confianza tendría que establecerse
directamente entre los dominios A y C, antes de acceder a los recursos.
La creación de bosques adicionales en una red debe hacerse con mucho cuidado. Los
bosques adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo
cuando se agregan plataformas de mensajería compatibles con AD, como Exchange. Aparte
de los problemas obvios de directiva, existen pocas razones para que una red tenga varios bosques.
Figura 7-4. Las relaciones de confianza transitivas permiten que el dominio A acceda
a recursos en el dominio C.
07 MATTHEWS 01.indd 205 1/14/09 1:40:49 PM

Árboles
Dentro de AD, los árboles se utilizan principalmente para agrupaciones administrativas y
problemas de espacios de nombres. En esencia, un árbol es una colección de dominios que
comparten un espacio de nombres contiguo y forman un entorno jerárquico. Por ejemplo, es
posible que una organización como Microsoft divida su estructura DNS para que el nombre
de dominio Microsoft.com no sea el nombre principal, utilizado en correos electrónicos y re-
ferencias de recurso. Por ejemplo, suponga que Microsoft se divide primero geográficamente,
para que haya una OU de la costa oeste y una OU de la costa este, en el dominio Microsoft,
mientras cada una de estas OU (o dominios secundarios) contiene un árbol para más divi-
siones, como Ventas y Soporte técnico, que puede dividirse más en Sistemas operativos
y Aplicaciones. En este ejemplo, hasta ahora, Microsoft tendría dos árboles en su estructura
DNS, costa este y costa oeste. Ambos dominios se dividen más, creando un posible FQDN
para un servidor dentro del departamento de soporte técnico, como se muestra a continuación:
Nombredeservidor.Sistemasoperativos.Soportetécnico.Costaoeste.Microsoft.Com
Hasta ahora, el análisis completo de los árboles en AD se ha concentrado totalmente

en DNS, ya que AD debe coincidir con la estructura de dominio DNS en la red, aunque los
servicios de directorio contenidos por los dos servicios sean independientes. En los casos en
que una organización haya decidido implementar varios dominios y estos dominios exis-
tan en un esquema de asignación de nombres DNS contiguo, como se delineó antes, la red
habrá formado un árbol que conecta varios dominios. Debido a que los requisitos de DNS
para hospedar este dominio son muy grandes, casi todas las organizaciones que implemen-
tan árboles hospedan servicios DNS, sólo para el árbol interno de la red y mantienen una
estructura DNS separada por servicios de hospedaje de Internet.
Todos los dominios en un árbol están vinculados por relaciones de confianza transiti-
vas bidireccionales, aunque los dominios sean independientes. Los dominios en un árbol,
además de los dominios dentro de un bosque, comparten relaciones de confianza y un
espacio de nombres (en el caso de un árbol, es un espacio de nombres contiguo), pero la
independencia e integridad de cada dominio permanecen sin cambio. La administración de
cada dominio, además de la replicación de directorios de cada dominio, se conduce de for-
ma independiente y toda la información compartida entre los dominios se efectúa mediante
relaciones de confianza y el catálogo global.
Cuando existen varios árboles en un bosque, es posible que cada árbol mantenga su
propio esquema de nombre independiente. Al ver al ejemplo de Microsoft, si sube en la
jerarquía de DNS, el bosque Microsoft puede incluir a MSN.com y Microsoft.com. En este
caso, no existe capa superior clara para la estructura de dominio AD.
El primer dominio creado en el bosque se denomina dominio raíz del bosque. Existen dos
grupos predeterminados en todo el bosque, existentes en el dominio raíz del bosque:
▼ Administradores de empresa
▲ Administradores de esquema
De forma adicional, el dominio raíz para cada árbol establece automáticamente una
relación de confianza transitiva con el dominio raíz del bosque. Esta relación es resaltada en
la figura 7-5, basada en la estructura AD hipotética de Microsoft. En este ejemplo, se agrega
07 MATTHEWS 01.indd 206 1/14/09 1:40:49 PM

Microsoft Corporation
bosque
Confianza
transitiva
bidireccional
ventas.msn.com
ventas.msnbc.com
ventas.microsoft.com
noticias.msnbc.com
soporte.msn.com
Árbol MSNBC
Árbol MSN
este.it.microsoft.com oeste.it.microsoft.com
Árbol de Microsoft
Figura 7-5. Las relaciones de confianza transitivas entre árboles en un bosque

hipotético de Microsoft.
un tercer dominio, MSNBC.com, para resaltar más la confianza transitiva formada en la red.
Microsoft.com es el dominio raíz del bosque en este ejemplo.
SUGERENCIA Los dominios no se pueden mover entre bosques ni pueden eliminarse si

contienen dominios secundarios. Por tanto, es mejor planear la red AD completa de princi-
pio a fin, antes de instalar el primer AD. Un poco de tiempo de planeación puede ahorrarle
mucho tiempo de improvisación.
Confianza de acceso rápido

Las relaciones de confianza transitivas existentes entre dominios en bosques AD pueden ser
un tema muy engañoso. De manera específica, a veces son enormes la sobrecarga y tiempo
necesarios para que las relaciones de confianza transitivas pasen todas las solicitudes de au-
tentificación por toda una red. Retomando el ejemplo de Microsoft en la figura 7-5, suponga
que los usuarios existentes en el grupo IT de Microsoft siempre inician sesión en el dominio
Noticias.MSNBC.com para arreglar algunos problemas. Esto significa que todo el tráfico de
inicio de sesión se sube primero al árbol MSNBC.com y después se baja al Microsoft.com,
antes de ser autentificado por el dominio IT. En casos como éste, puede crearse una confianza
07 MATTHEWS 01.indd 207 1/14/09 1:40:49 PM

de acceso rápido para pasar la información directamente entre ambos dominios. Las confian-
zas de acceso rápido son transitivas de una vía, utilizadas para autentificación en redes más
grandes con diversas estructuras de árbol. Una versión modificada del bosque de la figura
7-5 se muestra en la figura 7-6, con la confianza de acceso rápido necesaria.
Otras OU
Las OU son simples contenedores que almacenan varios objetos y OU adicionales. En AD,
algunas de estas OU se predefinen y sirven de funciones específicas en la red, como crear
dominios. Otras OU giran en torno a las necesidades e intereses del administrador y no de
los de AD. Dentro de AD, los administradores tienen la capacidad para crear su propia es-
tructura de AD, bajo las OU predefinidas o que sirven a una función específica. Estas OU se
utilizan para agrupar usuarios, impresoras o servidores para facilitar la administración.
Microsoft Corporation
bosque
Confianza
transitiva
ventas.msnbc.com noticias.msnbc.com
ventas.microsoft.com
Confianza de acceso
rápido de una vía
este.it.microsoft.com oeste.it.microsoft.com
Figura 7-6. Una confianza de acceso rápido crea cortocircuitos para las relaciones
de confianza entre dominios.
07 MATTHEWS 01.indd 208 1/14/09 1:40:50 PM

No existen muchas reglas en la creación de OU en AD, así que debe depender de guías
generales y usos prácticos. Para empezar, recuerde que los usuarios tienen la capacidad de
alcanzar AD para los recursos que necesitan utilizar. Esta función de búsqueda permite a los
usuarios indicar el recurso específico o tipo de recurso que quieren ubicar, así que debe con-
siderarse como el medio principal mediante el que la mayoría de usuarios operarán con AD.
Por tanto, son las necesidades administrativas y no de los usuarios las que pueden determi-
nar la creación de OU. Las directivas de grupo pueden configurarse en OU que permiten al
administrador personalizar escritorio y permisos de usuarios y recursos en ese contenedor.
De igual forma, la asignación de permisos a una OU completa permite a un administrador
delegar fácilmente otros derechos administrativos, para especificar objetos en el dominio
sin comprometer la seguridad de la red general.
Sitios
Los dominios son la raíz de los servicios de directorio en Windows Server 2008. Todo lo que
hay dentro de AD es sólo una colección de uno o más dominios. Incluso con la función fun-
damental de dominios definidos, aún es necesario atender muchos problemas. Por ejemplo,
¿cómo se maneja la sincronización entre dominios en dominios pequeños y grandes? ¿De
qué manera un dominio grande cubre varias redes físicas? ¿Cómo se controla el tráfico de
replicación entre dominios? Para las respuestas a estas preguntas, debe introducirse un nue-
vo concepto. Los dominios de Windows Server 2008 se dividen en unidades llamadas sitios.
Los sitios pueden utilizarse para regular el tráfico de replicación a través de vínculos WAN más
lentos y para utilizar varios métodos de conexión y agendas de replicación, a fin de asegurar
la menor sobrecarga posible de ancho de banda en la red. En general, los sitios proporcionan
varios servicios básicos para redes Windows Server 2008, entre ellos:
▼ Minimización del ancho de banda utilizado para replicación entre sitios
■ Direccionamiento de clientes a controladores de dominio en el mismo sitio, donde
sea posible
■ Minimización de la latencia de replicación en el sitio
▲ Facilitación del programa para replicación entre sitios
En general, los sitios no están relacionados con dominios, aunque proporcionan una
solución a muchos de los problemas que enfrentan los dominios ya presentados. Los si-
tios se relacionan con el diseño físico de la red, como oficinas, pisos y edificios, mientras
al diseño del dominio lo puede afectar todo, desde las estructuras físicas y de directivas,
hasta las necesidades administrativas de una red. Las organizaciones deben dividir un do-
minio en varios sitios, siempre que la red cubra una conexión inferior a la velocidad LAN,
históricamente de 100 Mbps, pero incrementada a 1 000 Mbps. Debido a que se enrutarán
casi todas las conexiones WAN, debe existir una subred IP separada en ambos lados de la
conexión WAN. Por esta razón, Microsoft ha asignado casi toda la discriminación de sitios
a subredes IP. Oficialmente, un sitio es una colección de sistemas de Windows Server 2008
“bien conectados” (que significa velocidad LAN o mejor) en la misma subred IP. Los sitios
se administran y crean mediante la consola Sitios y servicios de Active Directory.
07 MATTHEWS 01.indd 209 1/14/09 1:40:50 PM

REPLICACIÓN DE ACTIVE DIRECTORY ENTRE SITIOS

En AD, replicación significa copiar información de directorio entre controladores de domi-
nio, para que todos tengan la misma información y cualquiera de los controladores de
dominio pueda consultarse con el mismo resultado. En un dominio AD, cuatro categorías
principales de información requieren replicación: configuración, esquema, dominio e in-
formación de catálogo global. Cada una de estas categorías se almacena en particiones de
directorio separadas. Estas particiones son lo que replica cada servidor AD, utilizadas por
diferentes servidores a través del bosque, dependiendo de su función en la red. Las siguien-
tes tres particiones son almacenadas por todos los servidores AD en un bosque:
▼ Partición de datos de configuración Mantiene información almacenada y utiliza-
da por aplicaciones que usan AD y se replican en todos los dominios del bosque
■ Partición de datos de esquema Mantiene definiciones de los diferentes tipos de
objetos, además de sus atributos de permisos, que se replican a través de todos los
dominios en el bosque
▲ Partición de datos de dominio Mantiene información única del dominio en que
reside el servicio. Contiene todos los objetos en el directorio para el dominio y sólo
se replica en el dominio. Los datos en esta partición no se replican entre dominios y
diferirán en gran parte entre dominio y dominio
07 MATTHEWS 01.indd 210 1/14/09 1:40:50 PM

El cuarto tipo de partición lo utilizan servidores de catálogo global, para permitir que se
comparta información de directorio entre dominios:
▼ Partición de datos de dominio global Mantiene información acerca de todos los
objetos del catálogo global, pero incluye detalles sobre algunos atributos del objeto,
para permitir búsquedas rápidas de recursos en dominios externos, acceder a éstos
y reducir el ancho de banda utilizado en replicaciones. Esta información se replica
a todos los demás servidores de catálogo global en la red. Cuando un cliente en un
dominio ajeno realmente necesita acceder a los recursos o atributos no replicados de
un recurso, el cliente se dirige al dominio nativo del recurso
NOTA Casi toda la replicación entre controladores de dominio se hace en la red. Esto
puede ser un problema si se trata de una red de ancho de banda reducido o si se agregan
en un periodo breve varios controladores de dominio. Por esto, Windows Server 2008 per-
mite que se respalden los archivos de la base de datos de Active Directory ya sea en cinta,
CD, DVD o un disco duro extraíble, como fuente de una replicación inicial en un nuevo
controlador o servidor de catálogo global.
Replicación de sitio interno

Siempre habrá al menos un sitio en cada implementación de AD. Cuando se instala el primer
controlador de dominio de Windows Server 2008, se crea un sitio llamado Default-Fist-Site-
Name. Luego, el nuevo controlador de dominio se añade por sí solo a ese sitio. Siempre que
se añaden nuevos controladores de dominio a la red, primero se agregan automáticamente a
este nuevo sitio; después pueden moverse. Sin embargo, existe una excepción a esto. Cuan-
do se crea un nuevo sitio, se asignan una o más subredes IP a ese sitio. Después de que hay
dos o más sitios, se revisarán las direcciones IP de todos los nuevos controladores de domi-
nio añadidos al bosque y éstos se agregarán al sitio con una dirección IP coincidente.
La información de directorio en un sitio se replica automáticamente, para asegurar que
todos los controladores de dominio en el sitio tengan la misma información. De forma adi-
cional, toda replicación entre sitios ocurre en un formato sin compresión, que consume más
tráfico de red pero menos recursos del sistema. Por estas razones, un sitio siempre debe ser
una red LAN de conexiones de alta velocidad (10 MB o más). Cuando existen varios domi-
nios en un solo sitio, sólo ocurre la replicación entre controladores de dominio en un dominio
dado. Sin embargo, el tráfico de replicación entre servidores de catálogo global también se
presenta en el sitio bajo demanda, sin compresión o con ambas opciones. En la figura 7-7 se
muestra el tráfico de replicación de un solo sitio entre dos dominios.
Replicación de sitio a sitio

Cuando decide dividir una red en varios sitios, se presentan varios problemas nuevos. Estos
problemas y la configuración necesaria para que varios sitios funcionen son el tema del resto
de esta sección.
07 MATTHEWS 01.indd 211 1/14/09 1:40:50 PM

Figura 7-7. Tráfico de replicación entre dos dominios en el mismo sitio.
Es necesario adherirse a dos reglas principales, siempre que se planea un diseño de

varios sitios, para minimizar los posibles problemas:
▼ Los sitios siempre deben dividirse en regiones geográficas. Cuando dos o más LAN
se conectan mediante vínculos WAN, cada LAN debe representar su propio sitio
▲ Siempre que sea posible, cada sitio debe tener su propio AD y servidor de catálogo
global. En algunas redes pequeñas, este servidor puede ser el único del sitio; en tal
caso también debe servir como servidor DNS y DHCP. Esto incrementará la toleran-
cia a fallas, además del rendimiento del cliente, mientras disminuye la utilización
del ancho de banda WAN
Conectividad de sitio
Los sitios se conectan mediante vínculos de sitio, que son controladores de dominio configurados
para servidor, como una conexión a un sitio particular. Los vínculos de sitios deben configurarse
de forma manual usando la consola Sitios y servicios de Active Directory. Cuando se crea un
vínculo de sitio, el administrador tiene varias opciones de configuración.
La primera de estas opciones es la agenda de replicación. Un administrador puede deter-
minar el momento en que debe ocurrir la replicación a través de un vínculo de sitio particular.
Cuando configura una agenda de replicación, un administrador establecerá costo, disponibili-
dad y frecuencia de replicación asociada con este vínculo de sitio. Cuando se crea y configura
el vínculo de sitio, AD crea automáticamente un objeto de conexión, que utilizará la informa-
ción proporcionada por el vínculo de sitio para transferir la información entre dominios.
07 MATTHEWS 01.indd 212 1/14/09 1:40:51 PM

Como opción y diseño predeterminados, todos los vínculos de sitio son transitivos, lo que
permite a los sitios usarlos de la misma forma que las confianzas transitivas. Esto significa
que un sitio puede replicar sus cambios a otro sitio por medio de un conector a un tercer sitio,
siempre y cuando éste sea una conexión válida a ambos sitios. En algunas organizaciones
donde varias oficinas de campo se conectan a las oficinas centrales, este tipo de replicación
permite la mayor eficiencia. Todos los sitios replican su información al sitio de la oficina
central que, a su vez, replica la información de regreso a las otras oficinas de campo.
Protocolos
Existen dos opciones de protocolo en cualquier red para conectar sitios. Sin embargo, ambas
opciones son protocolos en la pila de protocolos de TCP/IP. No existe forma de conectar dos
sitios con algo distinto de IP.
▼ RPC (replicación de IP) La llamada a procedimiento remoto (RPC, Remote Procedure
Call) es un protocolo orientado a conexión basado en IP, en la base de las instala-
ciones Exchange heredadas. RPC es rápida y confiable cuando se utiliza en redes
con conexión amigable (las redes que permiten a los paquetes recorrer la misma
ruta y llegar en secuencia al destino). Sin embargo, RPC es menos que confiable en
redes de malla grandes, como Internet. La comunicación RPC es aún el método de
replicación predeterminado para servidores en el mismo sitio, además de serlo para
comunicación fuera del sitio, para otros servicios de Microsoft como Exchange
▲ SMTP Una característica introducida con Windows 2000 y Exchange 2000 es la
capacidad de conectar sitios usando conectores SMTP. SMTP no puede usarse para re-
plicación entre servidores en el mismo sitio (aunque es la opción predeterminada para
Exchange Server). SMTP no puede replicar la partición de dominio y, por tanto, sólo es
útil para vincular dos sitios que también son dominios separados. SMTP puede pasar
de forma muy eficiente esquema, configuración y particiones de catálogo global
NOTA SMTP es, por naturaleza, muy inseguro. Todos los mensajes SMTP se envían en
formatos que casi todas las herramientas básicas de espionaje pueden interpretar fácil-
mente. Por esto, el uso del protocolo SMTP para conectar dos sitios requiere que se instale
y configure en la red una autoridad de certificados de empresa. Esto permite que todo el
tráfico SMTP generado por AD se cifre al utilizar el menos cifrado de 56 bits.
Detección y resolución de colisiones

¿Qué pasa cuando el mismo objeto se modifica en dos puntos diferentes de la red al mismo
tiempo, o dos objetos con el mismo nombre se crean al mismo tiempo en la red? Incluso en
las redes más sencillas, si existen dos controladores de dominio, ambos directorios que exis-
ten en cada controlador de dominio no serán exactamente iguales en todos los momentos,
porque la replicación toma tiempo. Las versiones heredadas de NT atienden este problema
al permitir que, en cualquier momento, sólo exista una copia de lectura/escritura del di-
rectorio en la red. Esto significa que sólo un servidor puede hacer todos los cambios y que
éstos se propaguen a copias de sólo lectura en directorios que mantienen los controladores
de dominio restantes.
07 MATTHEWS 01.indd 213 1/14/09 1:40:51 PM

Cuando ocurre un cambio a un objeto antes de haber replicado completamente un cam-

bio anterior, ocurre una colisión de replicación. AD puede rastrear versiones de los objetos al
buscar cada número de su versión. Cuando un objeto cambia, se incrementa su número de
versión, así que cuando un servidor recibe una actualización, puede comparar el número
de versión del objeto entrante con el existente. Cuando el número de versión del objeto exis-
tente es menor que el entrante, la replicación continúa y todo se considera correcto. Ocurre
una colisión cuando el número de versión del elemento existente es igual o mayor al en-
trante. En este caso, AD compara el sello de tiempo del objeto entrante con el existente, para
determinar cuál se quedará. Éste es el único caso en que usará el tiempo en la replicación.
En situaciones en que el número de versión entrante es inferior al de la existente, el objeto
de replicación se considera averiado y descarta.
Controladores de dominio de sólo lectura

En Windows Server 2008, cuando se crea un nuevo dominio, tiene la opción de crear un
controlador de dominio de sólo lectura (RODC). Un RODC brinda todos los beneficios de un DC
local, como inicios de sesión más rápidos y búsquedas con un índice local, pero dependerá
del tráfico de la replicación de otros DC para su información. No puede insertarse informa-
ción en un RODC ni replicar su información a otro DC. Esto es muy útil en oficinas remotas
que tal vez no tengan un administrador u otros casos donde la seguridad física del RODC
es cuestionable.
Windows Server 2008 proporciona una instalación “por etapas” de RODC, en que se
puede preparar un CD o DVD con toda la información de configuración de un RODC, para
que alguien que no sea administrador pueda usar más adelante, y así realizar la instalación
RODC (consulte el capítulo 4, “Servicios de instalación remota”).
RESUMEN DE ACTIVE DIRECTORY

Active Directory es una de las características más importantes de Windows Server 2008. AD
es un servicio de directorio basado en el esquema de directorio X.500 que contiene varios
objetos y OU, predefinidos y preconfigurados. Gran parte de cualquier trabajo del adminis-
trador de Windows Server 2008 será la administración y configuración de objetos especiales
y OU en un bosque AD. En forma adicional, el espacio de nombres AD debe coincidir con
el del dominio DNS y, en los casos en que no coinciden dominios AD y DNS de Internet
para la compañía, deben mantenerse dominios DNS separados, pues AD requiere que DNS
permita la conectividad de cliente.
Si se usa de forma correcta, AD puede ser de muchísimo valor y confiabilidad para una
red, además de representar una disminución de sobrecarga administrativa asociada con el
mantenimiento diario de la red. Sin embargo, si se configura de forma incorrecta o se planea
mal, AD puede incrementar en gran medida la carga de trabajo del administrador y dismi-
nuir la satisfacción del comprador de la red. Cuando trate con AD, un poco de planeación y
diseño puede ahorrarle mucho trabajo y dolor.
07 MATTHEWS 01.indd 214 1/14/09 1:40:51 PM

PARTE IV
Comunicaciones
e Internet
215
08 MATTHEWS 01.indd 215 1/14/09 2:22:14 PM

08 MATTHEWS 01.indd 216 1/14/09 2:22:14 PM
CAPÍTULO 8
Comunicaciones y
servicios de Internet
217
08 MATTHEWS 01.indd 217 1/14/09 2:22:14 PM

L
as redes actuales rebasan definitivamente los alcances de la red de área local (LAN,
Local Area Network) para incluir Internet, además de utilizar éste y otras formas de
comunicación para acceder a su LAN u otros equipos. En esta sección del libro se cu-
bren las maneras en que usted y su organización puede usar LAN para conectarse con otros
o permitir que otros se conecten con usted. En el capítulo 8 se ofrece una revisión general de
comunicaciones y cómo configurar distintas características de comunicación de Windows
Server 2008. En seguida se analiza cómo establecer una conexión de marcado telefónico y
usarla con el servicio de acceso remoto (RAS, Remote Access Service) y cómo se configura
y administra. Este capítulo concluye al explicar cómo configurar y usar una conexión de
Internet con Internet Explorer para acceder a Web. En el capítulo 9 se revisan servicios
de información de Internet (IIS, Internet Information Services) y cómo se configura y admi-
nistra. En el capítulo 10 se describe la red privada virtual (VPN, Virtual Private Network), al
usar Internet para conectarse a una LAN remota, con un alto grado de seguridad, mientras
en el capítulo 11 se analizan servicios de Terminal Server y de aplicación, el equivalente al
método —con décadas de antigüedad— para acceder a un servidor de tiempo compartido
con una terminal “tonta” (dumb).
La comunicación puede incluir un módem u otro dispositivo para conectar un solo equipo a
un método de transmisión o utilizar un enrutador u otro dispositivo para conectar una red
a un método de transmisión. Las comunicaciones pueden establecerse con cables de cobre o
fibra óptica, microondas, comunicación inalámbrica de celular, tierra o transmisión satelital.
Windows Server 2008 incluye varios programas que controlan o utilizan comunicaciones;
entre ellos se encuentran Internet Explorer, para exploración Web; el Asistente para nueva co-
nexión, para Internet y otras conexiones, así como el cuadro de diálogo Opciones de teléfono
y módem, para establecer y administrar conexiones. Además, Windows Server 2008 incluye
programas para configurar y administrar redes RAD en líneas de comunicaciones.
Las comunicaciones pueden dividirse en:
▼ Conexiones de telefonía distintas de Internet entre equipos
▲ Conexiones con Internet y mediante éste
CONFIGURE Y USE CONEXIONES TELEFÓNICAS

La telefonía (líneas telefónicas, sus conmutadores y terminaciones) se ha usado para co-
nectar equipos por algún tiempo. El método original era utilizar un módem (abreviatura
de “modulador-demodulador”) para convertir una señal digital (patrones de 1 y 0) en un
equipo a una señal análoga (fluctuaciones actuales) en una línea telefónica y luego utilizar
un segundo módem en el otro extremo, para convertir la señal análoga de nuevo a digital
y utilizarla en el equipo conectado. Los módems pueden ser internos (dentro del equipo),
en cuyo caso la línea telefónica se conecta al equipo, o externos, donde la línea telefónica se
conecta a un módem y éste, a su vez, a un puerto serial en el equipo. Los módems rápidos
reciben datos hasta 56 Kbps (miles de bits por segundo) y envían datos a 33.6 Kbps.
Durante casi diez años, las compañías telefónicas han ofrecido varias formas de señales
digitales completas sobre líneas telefónicas, para no depender de un módem, como recién
se describió (todo lo que necesita es una conexión entre línea digital y equipo). Dos formas
08 MATTHEWS 01.indd 218 1/14/09 2:22:14 PM

Capítulo 8: Comunicaciones y servicios de Internet 219
de servicio de telefonía digital son la red digital de servicios integrados (ISDN, Integrated
Services Digital Network) y la línea de suscripción digital (DSL, Digital Subscriber Line).
ISDN fue el primer servicio digital, costoso y relativamente lento (una velocidad máxima de
128 Kbps) comparado con DSL. Existen varias formas de DSL; la más común es la línea
de suscripción digital asimétrica (ADSL, Asymmetric Digital Subscriber Line), en que se re-
ciben datos hasta en 5 Mbps y se envían hasta en 1 Mbps. Con mucha frecuencia, una línea
ISDN o DSL termina en un enrutador que se conecta directamente a su red y no a su equipo.
Sin embargo, en páginas anteriores de este capítulo verá cómo un equipo con Windows
Server 2008 puede actuar como enrutador para líneas que terminan en éste a través de un
adaptador ISDN o DSL.
NOTA A veces, un adaptador ISDN o DSL se denomina “módem”, pero no es un con-

vertidor analógico-digital, característica principal del acrónimo “módem”. Por tanto, en este
libro no se incluye en las exposiciones sobre módems.
Instale un módem
Existen varias formas de instalar soporte a módem en Windows Server 2008. Durante la ins-
talación del sistema operativo o la primera vez que intente conectarse a Internet, el soporte a
un módem se instalará automáticamente si tiene un módem Plug and Play. Si configura una
conexión de marcado telefónico y no tiene instalado el soporte al módem, se instalará au-
tomáticamente, una vez más con un módem Plug and Play. Sin embargo, aquí revisaremos
cómo instalar un módem y lo que necesitará hacer si no se ha instalado en forma automáti-
ca. En seguida, también veremos cómo instalarlo con una conexión de Internet.
Para instalar un módem, por supuesto, debe tener uno integrado o conectado a su equi-
po. Un módem integrado se ha construido en la tarjeta “madre” o principal de su equipo. Un
módem conectado es una tarjeta conectada en una ranura de expansión de la tarjeta madre.
Ambos módems, integrado y conectado, se consideran internos. Un módem externo es una
pequeña caja conectada vía puerto serial o de comunicaciones (COM) fuera de su equipo.
Ambos módems, interno y externo, pueden tener interruptores o jumpers que necesitan
configurarse, o tal vez sean Plug and Play, lo que significa que carecen de interruptores o
jumpers (el software los configura automáticamente). Cualquiera que sea el tipo de módem
a su alcance, las instrucciones incluidas con él deben indicarle si es interno o externo y cómo
conectarlo y configurarlo.
Con un módem físico conectado a su equipo (y encendido, si es externo), use las si-
guientes instrucciones para instalarlo en Windows Server 2008:
1. En Windows Server 2008, haga clic en Inicio|Panel de control, y haga doble clic en
Opciones de teléfono y módem. La primera vez que hace esto se abre el cuadro de
diálogo Información de la ubicación. Si ve el cuadro de diálogo Opciones de teléfo-
no y módem, vaya al paso 3.
2. Haga clic en la flecha hacia abajo y seleccione el país en que está. Escriba el código
de área o ciudad y, si es necesario, escriba el código de la compañía de teléfonos y
número, para acceder a una línea externa. Si su teléfono requiere marcado telefóni-
co por pulsos, haga clic en éste. Por último, haga clic en Aceptar. Se abrirá el cuadro
de diálogo Opciones de teléfono y módem.
08 MATTHEWS 01.indd 219 1/14/09 2:22:15 PM

3. Haga clic en la ficha Módems. Si se muestra Módem desconocido, selecciónelo y

haga clic en Quitar. Si muestra un módem como el que se presenta a continuación,
ya tiene uno instalado y puede pasar a la siguiente sección.
4. Haga clic en Agregar. Se indica que Windows intentará detectar su módem, recor-
dándole que conecte y encienda el módem, así como salir de todos los programas
que hagan uso de él, si los hay. Haga clic en Siguiente. Si no encuentra un módem,
haga clic en Siguiente para mostrar una lista de posibles módems. Si sólo se muestra
el módem correcto, vaya al paso siguiente. Si se muestran varios y uno es correcto
mientras los demás no, quite la marca de los incorrectos y continúe. Si se muestra
un módem incorrecto o desconocido, selecciónelo y haga clic en Cambiar.
5. De la lista de módems, elija el fabricante correcto de la lista a la izquierda y el modelo
correcto de la lista en la derecha y haga clic en Siguiente. Si su módem no está en la
lista pero tiene un disco, haga clic en Usar disco, inserte el disco, seleccione la uni-
dad, haga clic en Aceptar, seleccione fabricante y modelo y haga clic en Aceptar.
6. Seleccione el puerto COM en que se encuentra el módem y haga clic en Siguiente.
Windows empieza a instalar su módem. Si está usando un módem antiguo, tal vez
se indique que el controlador no tiene una firma digital. Si es así, haga clic en Sí para
continuar. Por último, se le indica que su módem se ha instalado correctamente.
Haga clic en Finalizar.
7. De regreso en el cuadro de diálogo Opciones de teléfono y módem, seleccione su
nuevo módem instalado y haga clic en Propiedades. En el cuadro de diálogo Pro-
piedades, haga clic en la ficha Diagnóstico y después en Consultar módem. Se le
08 MATTHEWS 01.indd 220 1/14/09 2:22:15 PM

Figura 8-1. Comandos y respuestas que son resultado de ejecutar el diagnóstico del módem.
indicará que el proceso de consulta tardará varios segundos. Si su módem se instaló

correctamente, verá un conjunto de comandos y respuestas, como se muestra en la
figura 8-1. No todas las respuestas deben ser positivas. Lo importante es que Win-
dows Server 2008 se comunica con el módem.
Si no obtiene el conjunto de comandos y respuestas, tal vez obtendrá algún tipo de
mensaje de error, como Módem no encontrado, que tiene tres posibles causas: el
módem no opera correctamente, está instalado el controlador incorrecto o utiliza
el puerto COM incorrecto. En general, puede saber si el puerto COM es correcto
determinando cuál es el que detectó Windows. Tal vez no detecte el tipo de módem
correctamente, pero suele detectar el puerto que tiene un módem conectado. Para
encontrar el fabricante y el modelo correctos para el controlador, tal vez necesite
ver el módem real abriendo el equipo físicamente. Para obtener un controlador que
no figura en la base de datos de controladores de Windows, use otro equipo para
conectarse a Internet, busque el sitio Web del fabricante del módem y descargue
el controlador correcto. Ponga ese controlador en un disco y llévelo al equipo en que
está instalando. Si está seguro de que puerto y controlador son correctos, entonces
es probable que el módem no funcione bien.
8. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, y otra vez en
Aceptar, para cerrar el cuadro de diálogo Opciones de teléfono y módem.
08 MATTHEWS 01.indd 221 1/14/09 2:22:16 PM

Establezca una conexión de marcado telefónico

El establecimiento de una conexión de marcado telefónico en Windows Server 2008 iden-
tifica un destino particular al que desea marcar (un número telefónico que se marca y una
conexión que se establece con su módem). En los siguientes pasos, en que se supone ya ha con-
figurado un módem (como hizo en la sección anterior), se muestra cómo establecer una
conexión de marcado telefónico (si trabaja en un controlador de dominio, puede crear
una conexión de marcado telefónico en esta sección o crear un servicio de acceso remoto en
la siguiente sección, “Configure el servicio de acceso remoto”):
1. Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos
compartidos, haga clic en Configurar una conexión o red. Se abre el cuadro de diá-
logo Configurar una conexión o red.
2. Haga clic en Configurar una conexión de acceso telefónico, luego en Siguiente. Como
se muestra en la figura 8-2, escriba el número telefónico que será el destino de la co-
nexión. Inserte su nombre de usuario y contraseña. Si quiere desplegar los caracteres
de la contraseña, haga clic en Mostrar caracteres y si quiere que el equipo recuerde la
contraseña para no volver a ingresarla, haga clic en Recordar esta contraseña.
Figura 8-2. Necesita número telefónico, nombre de usuario y contraseña para una
conexión de marcado telefónico.
08 MATTHEWS 01.indd 222 1/14/09 2:22:16 PM

3. Inserte un nombre para la conexión de marcado telefónico y, si quiere crear esta conexión
para que la use cualquiera, haga clic en Permitir que otras personas usen esta conexión.
4. Haga clic en Conectar. Verá un cuadro de diálogo mostrando el progreso de la
conexión. Al momento de completarse, con un número telefónico, usuario y con-
traseña correctos, debe conectarse al equipo que llamó.
NOTA En seguida de la configuración inicial para la conexión de marcado telefónico,

puede conectarse utilizándola de nuevo al hacer clic en Inicio | Panel de control, hacer
doble clic en Centro de redes y recursos compartidos, clic en Conectarse a una red y doble
clic en esta conexión. Si va a las propiedades del menú Inicio, puede poner Conectar a en
el menú Inicio, con lo que ahorrará varios clics.
Una conexión de marcado telefónico puede usarse con RAS, que se analiza a continuación.
CONFIGURE EL SERVICIO DE ACCESO REMOTO

El servicio de acceso remoto ofrece acceso a una LAN desde una línea de marcado, línea con-
cesionada u otra conexión. RAS actúa como host o servidor para marcado telefónico u otro
invitado o conexión de red. Las personas que viajan mucho y cuentan con equipos portátiles
que incluyen una conexión de marcado telefónico son quienes suelen utilizar ésta desde una
ubicación remota para conectarse mediante RAS a la LAN de su oficina. Para configurar RAS,
se requieren tres tareas separadas: agregar una función de servidor RAS, habilitar y configurar
RAS, además de configurar el puerto y directivas para dar soporte a RAS.
Agregue un servicio de enrutamiento y acceso remoto

La primera tarea es añadir una función Servicios de enrutamiento y acceso remoto al servidor.
1. Haga clic en Inicio|Administrador del servidor. Bajo Resumen de funciones, haga
clic en Agregar funciones. Se abrirá el Asistente para agregar funciones. Haga clic
en Siguiente.
2. Haga clic en Servicios de acceso y directivas de redes, después haga clic en Siguien-
te. Lea el mensaje de introducción y haga clic de nuevo en Siguiente.
3. Haga clic en Servicios de enrutamiento y acceso remoto, como se muestra en la
figura 8-3, haga clic en Siguiente y luego en Instalar. El proceso puede tomar varios
minutos. Cuando haya terminado, se le indicará que la instalación tuvo éxito. Haga
clic en Cerrar.
De regreso al Administrador del servidor verá, bajo Funciones, Servicios de acceso
y directivas de red, pero tendrá una “X” en un círculo rojo, que indica que no se ha
habilitado y activado.
08 MATTHEWS 01.indd 223 1/14/09 2:22:17 PM

Figura 8-3. Selección de Servicios de enrutamiento y acceso remoto como función de servidor.
Habilite y configure RAS

La segunda tarea consiste en habilitar y configurar RAS, que se hace con el Asistente para
instalación del servidor de enrutamiento y acceso remoto.
1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.
En el panel de la izquierda, haga clic en SERVIDOR (local).
08 MATTHEWS 01.indd 224 1/14/09 2:22:18 PM

2. Haga clic en el menú Acción, luego en Configurar y habilitar Enrutamiento y acceso

remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acce-
so remoto.
3. Haga clic en Siguiente y asegúrese de que esté seleccionado Acceso remoto
(acceso telefónico o red privada virtual), como se muestra en la figura 8-4.
4. Haga clic en Siguiente. Se le pregunta si quiere que RAS use VPN, Acceso telefóni-
co o ambos; haga clic en Acceso telefónico y después en Siguiente. Si tiene más de
una conexión de red, elija la que quiera para clientes RAS asignados y haga clic en
Siguiente.
5. Se le pregunta cómo quiere que se asignen las direcciones; deje la opción predeter-
minada Automáticamente y haga clic en Siguiente.
6. Cuando se le pregunte si quiere usar Enrutamiento y acceso remoto para autentificar
solicitudes de conexión o usar el servidor RADIUS, deje la opción predeterminada
No y use Enrutamiento y acceso remoto para autentificar las solicitudes de conexión,
Figura 8-4. Configuración del servicio de acceso remoto.
08 MATTHEWS 01.indd 225 1/14/09 2:22:18 PM

7. Por último, se le muestra un resumen de sus configuraciones, como el que se

presenta a continuación. Seleccione si quiere ver las páginas de Ayuda sobre la
organización de un servidor de acceso remoto y haga clic en Finalizar.
En el panel de la izquierda, el servidor Enrutamiento y acceso remoto ahora debe tener

una flecha verde hacia arriba, indicando que está habilitado.
NOTA Si está configurando RAS en un servidor en Active Directory que no es el con-

trolador de dominio primario y usted no es un administrador de dominio, un administrador
de dominio debe agregar el servidor en que trabaja al grupo Servidores RAS y IAS en la
carpeta Computers, de la ventana Usuarios y equipos de Active Directory, incluyendo
la lista de servidores en Enrutamiento y acceso remoto, en el controlador de dominio pri-
mario. Para dar soporte a la confianza de mensajes DHCP de clientes de acceso remoto,
el administrador de dominio debe configurar las propiedades del Agente de retransmisión
con la dirección IP de su servidor DHCP.
08 MATTHEWS 01.indd 226 1/14/09 2:22:18 PM

Configure puerto y directivas

La tarea final consiste en configurar puerto y directivas de red en el servidor para dar so-
porte a RAS.
1. En el panel de la izquierda, bajo el servidor de Enrutamiento y acceso remoto, haga
clic derecho en Puertos y seleccione Propiedades. Se abrirá el cuadro de diálogo
Propiedades de Puertos.
2. Haga clic en su módem (su puerto de marcado telefónico) y haga clic en Configurar.
Se abrirá el cuadro de diálogo Configurar dispositivo.
3. Haga clic en Conexiones de acceso remoto (sólo de entrada), escriba el número tele-
fónico para este dispositivo, como se muestra a continuación, haga clic en Aceptar
y después nuevamente en Aceptar.
4. De regreso en la ventana Enrutamiento y acceso remoto, haga clic derecho en Di-

rectivas y registro de acceso remoto y seleccione Iniciar NPS. Se abrirá Servidor de
directivas de redes.
5. Haga clic en Directivas de red. En el panel de la derecha, haga clic derecho en Co-
nexiones al servidor de Enrutamiento y acceso remoto de Microsoft y haga clic en
Propiedades. Se abrirá el cuadro de diálogo Propiedades de Conexiones al servidor
de Enrutamiento y acceso remoto de Microsoft.
6. Ya debe estar marcada la casilla de verificación Directiva habilitada. Si no, haga clic
en ésta. Haga clic en Conceder acceso. Para hacer la vida más sencilla, pero menos
segura, puede hacer clic en Omitir propiedades de marcado de cuentas de usuario.
Bajo Tipo de servidor de acceso a la red, haga clic en la flecha hacia abajo y seleccio-
ne Servidor de acceso remoto (VPN-Dial up). Su cuadro de diálogo debe parecerse
al de la figura 8-5.
7. Haga clic en Aceptar y cierre las ventanas Servidor de directivas de redes, Enruta-
miento y acceso remoto y Administrador del servidor que ya están abiertas.
NOTA También debe tener al cliente que llega en la configuración del servidor RAS con
una cuenta de usuario en el servidor. Consulte el capítulo 6.
08 MATTHEWS 01.indd 227 1/14/09 2:22:19 PM

Figura 8-5. Sus directivas de red deben permitir el acceso a Servicio de acceso remoto.
Utilice el servicio de acceso remoto

Con una conexión de marcado en el equipo cliente o invitado (consulte “Establezca una
conexión de marcado telefónico”, en páginas anteriores de este capítulo, para este ejemplo,
equipo portátil en una ciudad remota ejecutando Windows Vista) y un servidor de acceso
remoto configurado y habilitado en el equipo host (consulte las secciones anteriores, para
este ejemplo, servidor en la oficina casera ejecutando Windows Server 2008), puede usar
RAS con estos pasos:
1. Inicie sesión en el cliente de marcado telefónico (aquí el equipo portátil con Vista)
cuyo nombre de usuario y contraseña es posible autentificar con RAS. Después, en
el cliente, haga clic en Inicio|Panel de control, haga doble clic en Centro de redes
y recursos compartidos, haga clic en Conectarse a una red y dé doble clic en la
conexión de marcado telefónico que quiere usar. Se abre el cuadro de diálogo Co-
nectar a Conexión de acceso telefónico.
08 MATTHEWS 01.indd 228 1/14/09 2:22:19 PM

2. Ingrese nombre de usuario y contraseña apropiados, haga clic en el botón Marcar.

Verá mensajes indicando que se marca el número ingresado, se revisa número de
usuario y contraseña, se registra el equipo en la red y se completó la conexión.
Haga clic en Aceptar. El icono de conexión aparecerá en la parte derecha de la
barra de tareas.
3. Utilice la conexión al abrir Explorador de Windows|Mis sitios de red|Toda la
red|Red de Microsoft Windows y finalmente los dominios o grupos de trabajo,
equipos y recursos compartidos a los que quiere acceder.
4. Transfiera información a través de la conexión de marcado telefónico de la misma
forma en que transfiere cualquier información en el Explorador de Windows, ubi-
que la carpeta de destino en el panel de la izquierda, escoja los archivos o carpetas
que se transferirán en el panel de la derecha, después arrastre la información del
panel de la derecha a la carpeta en el panel de la izquierda.
5. Cuando haya terminado de usar la conexión RAS, puede terminarla al hacer doble
clic en el icono de la conexión, en la barra de tareas y clic en el icono de la conexión,
en la ventana Conectarse a una red (que se abrirá en el Centro de redes y recursos
compartidos), después haga clic en Desconectar.
Mientras una conexión de marcado telefónico sea operable, podrá verla en la ventana
Enrutamiento y acceso remoto del servidor; así sabrá quién es al abrir el servidor y hacer
clic en Clientes de acceso remoto, en el panel de la derecha, como se ilustra en la figura 8-6.
Si da clic derecho en el panel de la derecha y clic en Estado, verá cuánta información se ha
transferido; podrá desconectar al usuario, si así se desea.
08 MATTHEWS 01.indd 229 1/14/09 2:22:20 PM

Figura 8-6. Puede ver quién usa el servidor RAS.
CONFIGURE Y DÉ MANTENIMIENTO AL ENRUTADOR

DE WINDOWS SERVER 2008
Los enrutadores son dispositivos de red usados para unir dos redes separadas e indepen-
dientes, como una LAN e Internet. Los enrutadores operan en la capa de red (la tercera) del
modelo de red de interconexión de sistemas abiertos (OSI, Open Systems Interconnection)
y, por tanto, utiliza la dirección IP completa, que consta de los componentes de red y host
(consúltense las secciones del capítulo 5, “El modelo OSI” y “Enrutadores”). Un enrutador
ve todo el tráfico en ambas redes, pero sólo transfiere los paquetes que se direccionan espe-
cíficamente a la otra red. Los enrutadores también proveen una función de traducción de
direcciones de red (NAT, Network Address Translation). NAT permite que su LAN use un
conjunto de direcciones IP que no pueden usarse en Internet, como 10.0.0.9, pero cuando
los usuarios de la LAN acceden a Internet, se les asigna una dirección que puede usarse en
Internet, mientras el enrutador hace la traducción entre ambos. Por último, puede usar un
enrutador para conectar dos redes que utilizan diferentes protocolos, como el de control de
transmisión/protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Proto-
col) e intercambio de paquete entre red (IPX, Internetwork Packet eXchange).
En general, un enrutador es un dispositivo (o “caja”) electrónico independiente sepa-
rado del equipo, al que se conectan dos redes. Una de las conexiones de red puede ser una
conexión telefónica (línea DSL, ISDN o T1) y la otra una conexión Ethernet 10/100BaseT
estándar; también pueden ser dos conexiones Ethernet u otra combinación. Windows Ser-
ver 2008 suministra algunas de las capacidades del enrutador; las más importantes son fun-
ciones para conectar una LAN a Internet o red de área amplia (WAN, Wide Area Network),
NAT y conectar dos redes con protocolos distintos. Para funcionar, Windows Server 2008
debe estar conectado a ambas redes (por ejemplo, Internet y LAN). La conexión LAN es sólo
08 MATTHEWS 01.indd 230 1/14/09 2:22:20 PM

la tarjeta de red (NIC, Network Interface Card) estándar, mientras la conexión a Internet o
WAN es algún tipo de terminal de línea telefónica en el equipo o directamente conectado a
él, como un módem, adaptador ISDN o terminal DSL.
Configure el enrutador de Windows Server 2008

Si quiere configurar una conexión de servidor a Internet capaz de ser usada en toda la red,
entonces el servidor que quiere que sea el enrutador deberá tener conexiones de comuni-
caciones y LAN. Además, debe ser un administrador o tener privilegios de Administrador.
Entonces podrá configurar tal función de enrutador a través de la ventana Enrutamiento y
acceso remoto. Siga estos pasos:
SUGERENCIA Si no está utilizando DHCP, necesita configurar la conexión compartida

a Internet de Conexiones de red. Consulte la siguiente sección “Dé mantenimiento a un
enrutador de Windows Server 2008”.
1. Si aún no está abierta la ventana Enrutamiento y acceso remoto, haga clic en
Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.
Si ya configuró RAS de acuerdo con las páginas anteriores de este capítulo y está
en ejecución, debe deshabilitarlo para instalar Servidor de conexión a Internet, al
hacer clic en Deshabilitar Enrutamiento y acceso remoto. Haga clic en Sí cuando se
le pregunte si quiere continuar.
Si no configuró RAS antes, necesita habilitar la función de servidor Servicios de
Enrutamiento y acceso remoto, como se describió en “Agregue un servicio de enru-
tamiento y acceso remoto”, en páginas anteriores de este capítulo.
2. Haga clic derecho en Servidor de Enrutamiento y acceso remoto y, en cualquier caso,
haga clic en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente
para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente.
3. Haga clic en Traducción de direcciones de red (NAT) y en Siguiente. Si quiere usar
una conexión de Internet existente, haga clic en Utilizar esta interfaz pública para
conectarse a Internet (si su conexión de Internet tiene enrutador propio, como es el
caso con DSL, esta opción estará atenuada).
Si quiere crear una nueva conexión a Internet de marcado telefónico, como la que
podría usarse con un módem, haga clic en Crear una conexión a Internet de mar-
cado a petición y, en cualquier caso, haga clic en Siguiente. Para crear una interfaz
de marcado a petición, haga clic de nuevo en Siguiente, para abrir el Asistente para
interfaz de marcado a petición, donde necesita hacer clic en Siguiente.
4. Acepte el nombre predeterminado de Enrutador remoto o escriba el nombre que
quiera usar para la interfaz y haga clic en Siguiente. Haga clic en Conectar usando
módem, adaptador ISDN (RDSI) u otro dispositivo y haga clic en Siguiente. Se-
leccione el módem o adaptador específico que habrá de usar, dé clic en Siguiente.
Inserte el número telefónico y haga clic en Siguiente.
5. Escoja las opciones que quiere usar. En casi todos los casos, todo lo que necesitará
es la opción predeterminada Enrutar paquetes IP en esta interfaz. Tras seleccionar
08 MATTHEWS 01.indd 231 1/14/09 2:22:20 PM

las opciones necesarias, haga clic en Siguiente. Escriba nombre de usuario, nombre
de dominio y contraseña; confirme la contraseña; y haga clic en Siguiente. Haga clic
en Finalizar dos veces.
Dé mantenimiento al enrutador de Windows Server 2008

Puede ver, probar y dar mantenimiento al enrutador que ha instalado en la ventana Enrutamien-
to y acceso remoto. Con los siguientes pasos, puede localizar el nuevo enrutador, conectarlo a su
destino y ver cómo configurar filtros IP y las horas en que puede usar el enrutador:
1. Si la ventana Enrutamiento y acceso remoto aún no está abierta, haga clic en
Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.
2. Haga clic en Interfaces de red. En el panel de la derecha, deberá ver su interfaz de
marcado a petición, similar a la del autor (Enrutador remoto) como se muestra aquí:
08 MATTHEWS 01.indd 232 1/14/09 2:22:20 PM

3. Haga clic derecho en la entrada de marcado a petición y en Establecer credenciales.

Aquí, puede cambiar nombre de usuario, dominio y contraseña usados para conec-
tarse al ISP. Cuando abre este cuadro de diálogo, la contraseña se elimina y debe
reescribirse. Además, es probable que no requiera insertar un dominio. Haga clic en
Aceptar tras completar la entrada.
4. Haga clic derecho en la entrada de marcado a petición y clic en Conectar. Tal vez es-
cuche el módem marcando y vea un mensaje con el estado “Conectando”. Cuando
se establece la conexión real, el Estado de conexión en el cuadro de diálogo Enruta-
miento y acceso remoto cambia a Conectado.
5. Haga clic derecho en la interfaz de marcado a petición y clic en Establecer los filtros
de marcado a petición IP. Esto le permite especificar direcciones IP que serán las
únicas permitidas en la red o, en su defecto, direcciones IP no permitidas en la red.
Haga clic en Nuevo y añada las direcciones IP, que pueden estar dentro de la LAN o
red remota. Luego de haber establecido los filtros que quiere, haga clic en Aceptar.
6. Haga clic derecho en la interfaz de marcado a petición y clic en Horas para marcado
de salida. Aquí, puede especificar las horas que la conexión de marcado a petición
no estará disponible, al seleccionar una hora determinada y hacer clic en Denegado.
Por ejemplo, si quiere que se bloquee de las 11:00 p.m. del sábado a las 3:00 a.m. del
domingo, el cuadro de diálogo se verá como la imagen siguiente, tras seleccionar las
horas. Después de realizar sus selecciones, haga clic en Aceptar.
7. Haga clic derecho en la interfaz de marcado a petición y clic en Propiedades. Esto le

permite configurar las propiedades de la conexión, incluido número telefónico, tipo
de conexión, varias opciones de seguridad y propiedades de red. Cuando esté lis-
to, haga clic en Aceptar y después cierre la ventana Enrutamiento y acceso remoto.
08 MATTHEWS 01.indd 233 1/14/09 2:22:21 PM

Para utilizar el enrutador, necesita instalar una conexión a Internet en el cliente que se
conecta mediante LAN. Consulte “Configure y use una conexión a Internet” en seguida de la
siguiente sección.
Configure una conexión compartida a Internet

Una conexión compartida a Internet es un pequeño sistema alterno al enrutamiento de ser-
vidor. La conexión compartida a Internet permite que una red pequeña de equipos se co-
necte a Internet mediante un solo equipo que ejecuta Windows Server 2008 y se conecta
físicamente a Internet mediante líneas telefónicas, un módem por cable u otro medio. En
primer lugar, necesita configurar la conexión a Internet, como ya se explicó en este capítulo
y después usar los siguientes pasos para compartir esa conexión.
NOTA La conexión compartida a Internet es una opción al uso del enrutador de Windows
Server 2008 con traducción de dirección de red (NAT), como ya se describió en “Configu-
re un enrutador de Windows Server 2008”, que no pueden estar habilitadas ambas en el
mismo equipo simultáneamente.
SUGERENCIA Debe tener al menos dos conexiones o comunicaciones de red: una para
conectar el equipo a Internet y otra para conectarlo a otros equipos.
compartidos y clic en Administrar conexiones de red.
2. Haga clic derecho en la conexión que quiere compartir y dé clic en Propiedades. En
el cuadro de diálogo Propiedades que se abre, haga clic en la ficha Compartir.
3. Bajo Conexión compartida a Internet, dé clic en Permitir que los usuarios de otras
redes se conecten a través de la conexión a Internet de este equipo, como se muestra
en la figura 8-7.
4. Si lo desea, haga clic en Establecer una conexión de marcado cada vez que un equi-
po de la red intente acceder a Internet.
5. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades. En el cuadro de
diálogo Conexiones de red, deberá ver “Compartida” en la conexión que comparte.
Haga clic en Cerrar, para clausurar el cuadro de diálogo Conexiones de red.
08 MATTHEWS 01.indd 234 1/14/09 2:22:21 PM

Figura 8-7. Opción para compartir una conexión a Internet.
CONFIGURE Y USE UNA CONEXIÓN A INTERNET

Una conexión a Internet es una de las razones principales (y en ciertas ocasiones la única
razón) para ser dueño de un equipo. En los negocios, se hace más trabajo mediante tran-
sacciones de negocio a negocio mediante Internet. Por tanto, es muy importante obtener lo
mejor de la conexión a Internet.
Conexión a Internet
Si un equipo puede conectarse a Internet a través de LAN, la instalación de Windows Server
2008 automáticamente conecta ese equipo a Internet y sin hacer más trabajo. El problema
es que no resulta obvio si está conectado. La única forma de saberlo es usar Internet y ver
qué pasa. Intente esto con el siguiente conjunto de pasos. Para darlos, se supone que no
ha configurado una conexión por módem o marcado telefónico, aunque se asume también
que ha establecido una conexión física entre el equipo e Internet. Esto podría ser una línea
08 MATTHEWS 01.indd 235 1/14/09 2:22:22 PM

telefónica o módem, línea telefónica y enrutador DSL, cable de TV y módem de cable u otro
dispositivo que permita la conexión.
NOTA Para conectarse a Internet, necesita una cuenta existente con un proveedor de
servicios de Internet (ISP); si usa un módem, necesita saber el número telefónico de su
módem para marcar (el número telefónico del ISP del módem); en todos los casos, ne-
cesita nombre de usuario y contraseña para su cuenta. Si quiere usar correo de Internet,
necesita conocer su dirección de correo electrónico, tipo de servidor de correo (POP3,
IMAP o HTTP), nombres de los servidores de correo entrante y saliente, así como nombre
y contraseña de su cuenta de correo.
1. Abra Internet Explorer al hacer doble clic en su icono, si está en el escritorio, al hacer
clic en el menú Inicio y luego en su icono, clic en Inicio|Todos los programas|Internet
Explorer. Se abrirá Internet Explorer.
Si es la primera vez que abre Internet Explorer, se le dirá acerca de la seguridad
mejorada de Internet Explorer. Lea esto y haga clic en el vínculo para aprender más.
En esencia, debe identificar cada sitio que visita como un sitio de confianza.
SUGERENCIA Si no quiere identificar cada sitio y subsitio que visita como sitio de
confianza, puede desactivar la seguridad mejorada de Internet Explorer al hacer clic
en Inicio | Administrador del servidor. En Resumen de servidores, bajo Información de
seguridad, haga clic en Configurar ESC de Internet Explorer. En el cuadro de diálogo
Configuración de seguridad mejorada de Internet Explorer, puede desactivar seguridad
mejorada para grupos de Administradores, Usuarios o ambos.
08 MATTHEWS 01.indd 236 1/14/09 2:22:22 PM

2. En la barra de dirección, escriba http://prodigy.msn.com y oprima enter. Si no ha

desactivado la seguridad mejorada de Internet Explorer, se le preguntará si quiere
agregar el sitio a su zona de sitios de confianza. Haga clic en Agregar, en caso de que
lo desee, haga clic de nuevo en Agregar y luego en Cerrar. Estos pasos son necesa-
rios para cada nuevo sitio que visita, pero no se repetirá aquí.
Si Internet Explorer se abre con la página inicial de MSN (un ejemplo se muestra en
la figura 8-8), ya sabe que tiene una conexión a Internet y puede omitir el resto de
los pasos de esta sección.
3. Si no tiene una conexión a Internet o no está en funcionamiento, verá uno de varios
cuadros de diálogo: un mensaje que le pregunta si quiere trabajar sin conexión, otro
en Internet Explorer indicando que IE no puede desplegar la página Web o un cua-
dro de diálogo Configurar una conexión o red. En todos los casos necesita crear una
nueva conexión a Internet o reparar la existente.
Si Internet Explorer no encuentra Internet y no se abre el cuadro de diálogo Con-
figurar una conexión o red, inícielo al hacer clic en Iniciar|Panel de control, haga
doble clic en Centro de redes y recursos compartidos y haga clic en Configurar
una conexión o red.
4. Haga clic en el tipo de conexión que quiera usar luego en Siguiente. Se le pregun-
ta cómo quiere conectarse a Internet. Verá opciones que coinciden con los medios
que tiene para establecer una conexión, entre marcado telefónico, banda ancha, co-
nexión inalámbrica u otras posibilidades. Haga clic en la que sea adecuada.
08 MATTHEWS 01.indd 237 1/14/09 2:22:22 PM

Figura 8-8. Conexión a Internet y la página de inicio de MSN.
5. Dependiendo de lo que seleccione, se le pedirá la información de inicio de sesión

necesaria para esa opción, como número telefónico, nombre de usuario y contrase-
ña para una opción de marcado telefónico. Inserte la información y, si es necesario,
haga clic en Conectar; de otra forma, haga clic en Cerrar.
6. Una vez más abra Internet Explorer; si se le pregunta, haga clic en Conectar. Si to-
davía no puede conectarse a Internet, tal vez tenga un problema de hardware y, por
ejemplo, necesite reinstalar su módem, en cuyo caso debe ir a “Instale un módem”,
en páginas anteriores de este capítulo, y después regrese aquí; de otra forma, vaya
al paso siguiente.
08 MATTHEWS 01.indd 238 1/14/09 2:22:22 PM

SUGERENCIA Si cree que tiene un módem instalado y no puede conectarse cuando

abre Internet Explorer, revise las Opciones de Internet, en Internet Explorer, al hacer clic
en el botón Herramientas en la barra de comandos, seleccionar Opciones de Internet y
hacer clic en la ficha Conexiones. Vea si tiene una conexión especificada y si marca el
teléfono de la conexión. Si no, haga las correcciones necesarias.
7. Cuando haya instalado en forma correcta su conexión a Internet, se le mostrará

una pantalla de información sobre seguridad. En la barra de direcciones, escri-
ba http//prodigy.msn.com y oprima enter. Se conectará a la página de inicio de
MSN, similar a la que se muestra en la figura 8-8.
Encuentre información en Internet

Cuando se haya conectado a Internet, tal vez quiera ir a páginas diferentes de la página de inicio
de MSN. Existen varias formas de hacerlo, incluidas las siguientes:
▼ Navegar en un sitio Web
■ Ir directamente a un sitio Web
■ Buscar un sitio Web
▲ Configurar una página de inicio predeterminada diferente
Navegue dentro de un sitio Web

Un buen sitio Web ofrece muchas formas de navegar en él. Mientras ve la página de inicio
de MSN, en la figura 8-8, se observan varios términos o frases que se subrayan cuando colo-
ca el cursor sobre ellos. Se trata de vínculos que, cuando se hace clic en ellos, lo llevan a otra
parte del sitio Web. La página de inicio incluye gran cantidad de vínculos de varios tipos,
entre los que se encuentran encabezados, términos y listas de artículos. Además, es común
que exista una opción de Búsqueda, similar a la mostrada en la parte superior de la página
de inicio de MSN. Aquí, puede seleccionar donde quiere buscar (Web, Imágenes, etc.). Inser-
te un término o frase para buscar y haga clic en Buscar.
SUGERENCIA A menudo, si inserta una frase en una búsqueda de texto, se buscará pa-
labra por palabra, no la frase completa. Para corregir eso, en muchos buscadores de texto
puede encerrar la frase entre comillas y la búsqueda se hará para la frase completa.
Internet Explorer también provee herramientas para navegar un sitio: las flechas
Regresar y Adelante, en la barra de herramientas, lo llevan a páginas previas y si-
guientes, respectivamente. Además, las flechas hacia abajo, a la derecha de las flechas
Regresar y Adelante, mostrarán una lista de varias páginas vistas en cada dirección.
08 MATTHEWS 01.indd 239 1/14/09 2:22:23 PM

Vaya directamente a un sitio Web

Para ir directamente a un sitio, debe conocer la dirección o localizador uniforme de recursos
(URL, Uniform Resource Locator), para ese sitio. Con la creciente presencia en publicacio-
nes, membretes y publicidad, encontrará fácilmente un URL de la organización. Cuando lo
tenga, puede insertarlo en la barra de direcciones, en la parte superior de Internet Explorer,
como se muestra a continuación y después oprima enter o dé clic en la flecha verde apun-
tando a la derecha, que lo llevará directamente al sitio. Puede almacenar los URL que usa
con frecuencia en la carpeta Favoritos, el escritorio y la barra Vínculos de Internet Explorer.
Si selecciona una de estas direcciones sin estar conectado a Internet, se le conectará automá-
ticamente (o tal vez deba hacer clic en Conectar, en un cuadro de diálogo de conexión), se
abrirá Internet Explorer y se desplegará el sitio correspondiente a la dirección.
Coloque un URL en Favoritos Puede almacenar un URL en la carpeta Favoritos, al ingresarla o

desplegarla de otra forma en la barra de direcciones de Internet Explorer y hacer clic en el
botón Agregar un favorito. Se abrirá el cuadro de diálogo Agregar un favorito, mostrándole
el nombre que tendrá el sitio en la carpeta Favoritos y permitiéndole colocar el URL en una
subcarpeta, con la opción Crear en.
SUGERENCIA La carpeta Favoritos está en cada área del usuario en el disco duro. Como
opción predeterminada, es C:\Users\nombredeusuario\Favoritos. Debe crearse una copia
de seguridad de vez en cuando.
Coloque un URL en el escritorio Puede colocar un URL en el escritorio o barra de herramien-

tas de Inicio rápido, al arrastrar el icono a la izquierda de la barra de direcciones de Internet
Explorer, hacia el escritorio o la barra de herramientas Inicio rápido. Esto crea un acceso di-
recto que, cuando se hace clic o doble clic en él, se conecta a Internet, abre Internet Explorer
y despliega el sitio.
Coloque un URL en la carpeta Vínculos La carpeta Vínculos es una subcarpeta de Favoritos y
puede estar en la parte superior de la ventana de Internet Explorer. Haga clic derecho en el
área de barras de herramientas y haga clic en Bloquear las barras de herramientas, para blo-
quear la barra Vínculos. Una vez más, haga clic derecho en el área de barras de herramientas
08 MATTHEWS 01.indd 240 1/14/09 2:22:23 PM

y clic en Vínculos. La barra Vínculos aparecerá arriba de las fichas. Puede agregar un URL
a la carpeta Vínculos y a la barra, arrastrando el icono en la barra de direcciones a la barra
Vínculos. También colocarlo en la barra Vínculos, en la ubicación preferida. Puede asimismo
eliminar cualquier vínculo no deseado al hacer clic derecho en éste y seleccionar Eliminar.
Busque un sitio Web

Si no sabe la dirección URL del sitio Web, puede buscarla de dos formas. Si es un sitio Web
recién visitado, puede encontrarlo en el historial de sitios Web. Si no ha entrado al sitio re-
cientemente, puede hacer una búsqueda completa en Internet para encontrarlo.
Revise el historial Para revisar el historial de sus visitas a sitios Web, haga clic en el Centro
de Favoritos y clic en Historial, en la barra de herramientas de Centro de Favoritos. Su historial
aparecerá a la izquierda de Internet Explorer y, como opción predeterminada, mostrará los sitios
visitados por día de la semana actual y después por semana en las últimas semanas. Al abrir un
día o semana, puede ver y elegir una URL visitada y hacer que se despliegue rápidamente.
Puede determinar cuántos días quiere mantener el Historial o eliminarlo al hacer clic en
el botón Herramientas, en la barra de comandos y seleccionar Opciones de Internet. En la
ficha General, del cuadro de diálogo que se abre, bajo Historial de exploración, haga clic en
Configuración; puede configurar Conservar páginas en el historial por estos días. También
en el cuadro de diálogo Opciones de Internet, en la ficha General, bajo Historial de explora-
ción, puede hacer clic en Eliminar y después en Eliminar historial.
NOTA Puede ordenar la lista Historial al hacer clic en la flecha hacia abajo y luego en el
botón Historial, en la barra de herramientas Centro de Favoritos.
Busque en Internet Puede buscar un sitio Web en Internet en tres niveles:

▼ Escriba en la barra de direcciones lo que crea parte de la dirección URL e Internet
Explorer buscará un sitio con la URL del texto que insertó. Por ejemplo, al insertar
“3com” (la compañía) o “united” (por United Airlines), se le llevará al sitio Live
Search de Microsoft, que despliega una lista de posibles URL, como se observa en la
figura 8-9, donde usualmente encontrará el sitio que quiere
SUGERENCIA Puede cambiar la manera en que Internet Explorer responde a la búsque-

da en la barra direcciones (escribir un URL incompleto) al hacer clic en el botón Herramientas,
en la barra de comandos y seleccionar Opciones de Internet; haga clic en la ficha Opcio-
nes avanzadas y desplácese hacia abajo hasta Buscar, desde la barra de direcciones.
■ Haga clic en el cuadro Live Search, en la barra de herramientas en la parte superior
de Internet Explorer; escriba una palabra o frase y dé clic en Buscar (el icono de
lupa). Se desplegará una lista de sitios Web que contiene tal frase o palabra. Luego
puede hacer clic en un sitio en la lista, mismo que se desplegará. Como se describió
en la sugerencia anterior, si quiere buscar una frase completa, necesita colocar la
frase entre comillas
08 MATTHEWS 01.indd 241 1/14/09 2:22:24 PM

Figura 8-9. Puede insertar parte de un nombre de sitio Web para buscarlo.
▲ Utilice otro sitio de búsqueda como Google, Yahoo, Ask o AltaVista, al escribir el
nombre en la barra de direcciones (véase la figura 8-10 para conocer la página de
inicio de AltaVista). En Windows Server 2008, Internet Explorer 7.0 (IE7) depende com-
pletamente del motor de búsqueda de MSN, sin suministrar vínculos directos a otros
motores de búsqueda disponibles. Estos otros sitios de búsqueda proporcionan di-
ferentes resultados para las mismas búsquedas y a menudo vale la pena revisar
varios sitios. Puede hacer esto no sólo cuando busca páginas Web, sino también
cuando busca la dirección postal o de correo electrónico de una persona o quiere
encontrar un negocio, ubicar un mapa, buscar una palabra, encontrar una imagen,
o la referencia en un grupo de noticias y revisar sus búsquedas anteriores
08 MATTHEWS 01.indd 242 1/14/09 2:22:25 PM

Figura 8-10. Existen varios sitios alternos para buscar en Web.
Configure una página de inicio predeterminada diferente

La página que se abre cuando inicia por primera vez Internet Explorer o al hacer clic en el
icono con una casa en la barra de comandos de Internet Explorer es la página principal, su
página de inicio. Por ejemplo, si quiere que la página de inicio de CNN sea su página prin-
cipal, puede hacerlo con estos pasos:
1. Abra Internet Explorer y despliegue la página que desea como su página principal.
2. Haga clic en la flecha hacia abajo después del icono Página principal y luego haga
clic en Agregar o cambiar la página principal.
3. Haga clic en Usar esta página Web como la única página principal y haga clic en Sí.
08 MATTHEWS 01.indd 243 1/14/09 2:22:25 PM

Use las fichas

Internet Explorer 7 (IE7), incluido en Windows Server 2008, ha aumentado la capacidad
para tener varias páginas Web abiertas al mismo tiempo, de modo que se puede ir de forma
sencilla de una a otra, al hacer clic en la ficha asociada con la página. Las fichas residen en
la fila de fichas, inmediatamente bajo la barra de direcciones, junto con Centro de Favoritos y
Agregar un favorito, como se muestra en la figura 8-11. Bajo condiciones normales, sólo se
abre una página a la vez, como en versiones anteriores de Internet Explorer. Si abre una se-
gunda página, reemplazará la primera. Sin embargo, IE7 le da la capacidad para abrir varias
páginas en fichas separadas e ir de una a otra al hacer clic en sus fichas.
Abra páginas en una nueva ficha

Para abrir una página en una nueva ficha:
1. Abra su primera página Web en cualquiera de las formas descritas antes en este capítulo.
2. Haga clic en Nueva pestaña, a la derecha de la fila de fichas u oprima ctrl-t abra una
segunda página Web en cualquiera de las formas ya mencionadas en este capítulo.
O
Escriba una página Web en la barra de direcciones y oprima alt-enter.
O
Escriba una solicitud de búsqueda en el cuadro de búsqueda y oprima alt-enter.
U
Oprima y deje oprimida ctrl, mientras hace clic en un vínculo en una página abierta.
U
Oprima y deje oprimida ctrl conforme hace clic en la flecha a la derecha de un sitio,
en su Centro de Favoritos.
Centro de Pestañas Fichas Página

Favoritos rápidas principal
Agregar Lista de Página Nueva

Favorito pestañas abierta pestaña
Figura 8-11. Las fichas le permiten cambiar de forma rápida entre varios sitios Web.
08 MATTHEWS 01.indd 244 1/14/09 2:22:25 PM

3. Repita cualquiera de las opciones del paso 2, cuando sea necesario para abrir
más páginas.
Vaya de una ficha a otra

Para ir de una ficha abierta a otra:
▼ Haga clic en la ficha de la página que quiere abrir
O
■ Haga clic en Pestañas rápidas, en la fila de fichas u oprima ctrl-q y haga clic en la
vista previa de la página que quiere abrir (véase la figura 8-12)
O
■ Haga clic en Lista de pestañas y luego en la página que quiere abrir
U
■ Oprima ctrl-tab para ir a la siguiente ficha a la derecha, o ctrl-mayús-tab para ir
a la siguiente ficha a la izquierda
U
▲ Oprima ctrl-n, donde N es un número del 1 al 8, para ir a una de las primeras ocho
fichas numeradas, de izquierda a derecha, en el orden en que se abrieron. También
puede oprimir ctrl-9 para ir a la última ficha abierta, que se muestra a la derecha
de la fila de fichas
NOTA Para usar CTRL-N para ir de una ficha a otra en Internet Explorer, necesita usar una
tecla numérica en el teclado principal, no en el numérico.
08 MATTHEWS 01.indd 245 1/14/09 2:22:26 PM

Figura 8-12. Mediante el botón Pestañas rápidas, puede ver vistas miniatura de todas sus
páginas abiertas, dispuestas de manera contigua.
Cierre fichas
Para cerrar una o más fichas:
▼ Haga clic derecho en la ficha de la página que quiere cerrar, haga clic en Cerrar,
en el menú contextual o en Cerrar las otras pestañas, para cerrar todas las páginas
excepto en la que hizo clic
U
■ Oprima ctrl-w o haga clic en su “X”, para cerrar la página actual
O
■ Haga clic en el botón central del ratón (si su ratón tiene uno) en la página que quiera
cerrar
U
▲ Oprima alt-f4 para cerrar todas las fichas (confirme al hacer clic en Cerrar pesta-
ñas, en el cuadro de diálogo que aparece) u oprima ctrl-alt-f4 para cerrar todas
las fichas excepto la seleccionada
SUGERENCIA Oprima sólo la tecla ALT para ver los menús de Internet Explorer; como
una opción alternativa use las opciones de la barra de comandos de IE7.
08 MATTHEWS 01.indd 246 1/14/09 2:22:26 PM

CAPÍTULO 9
Servicios de
información
de Internet (IIS)
versión 7
247
09 MATTHEWS 01.indd 247 1/14/09 1:33:47 PM

E
n este capítulo se hace una introducción a los servicios de información de Internet
versión 7 (IIS 7, Internet Information Services) y la función que juega IIS para Win-
dows Server 2008. En el capítulo se describe cómo instalar, personalizar, mantener,
administrar y migrar a IIS para cumplir varias metas de negocios y trabajo en red.
EXPLORE EL ENTORNO DE IIS 7

IIS es una colección de servicios, protocolos y aplicaciones, integradas en Windows Server
2008 para manejar la interacción del servidor con “la Web”, Internet, intranet (dentro de una
organización) o una extranet, que combina Internet con una o más intranets. IIS es un servi-
dor Web primario, que hospeda páginas Web y aplicaciones para responder a solicitudes de
otros equipos que ejecutan exploradores Web. IIS hace esto al enviar texto, imágenes, audio
y video al equipo que hace la solicitud y al realizar otros servicios Web con éste.
NOTA Windows Vista incluye una versión limitada de IIS 7. Esta versión está diseñada para
gente que desarrolla sitios Web y pequeños negocios, con el fin de integrar un sitio de intranet
muy limitado dentro del negocio. Las limitaciones en Vista dependerán de la versión utilizada.
En el mejor de los casos, con Windows Vista Ultimate, Business o Enterprise, IIS puede dar
servicio sólo a diez conexiones a la vez y algunas características de IIS no están disponibles.
En Windows Server 2008, IIS 7 puede manejar un número ilimitado de clientes y tiene todas
las características disponibles. En este libro se analizará sólo la versión de servidor de IIS 7.
Siempre que utiliza un explorador Web para conectarse a un sitio Web, como www.mi-
crosoft.com, se conecta a un servidor Web; descarga texto, medios e imágenes alojados allí;
después ve esta información en su equipo local. Obviamente, es muy variable la calidad y
complejidad de cada sitio Web, además de la calidad y estabilidad de servidores Web. En
este capítulo se analizarán características y funciones únicas que IIS 7 ofrece y que dan so-
porte a sitios Web de alta calidad y estabilidad de servidor mejoradas.
Aunque es fácil pensar en IIS sólo como un servidor Web, IIS realmente da soporte a
gran variedad de servicios. Las siguientes son algunas de las áreas que representan la diver-
sidad de funciones ofrecidas por IIS:
▼ ASP.NET Las páginas activas de servidor (ASP, Active Server Pages) que usan
.NET Framework de Microsoft son un método para crear elementos dinámicos en
páginas Web. ASP.NET le permite a una página Web responder a cada acción del
usuario (como cargar la página o hacer clic en un objeto en la página), además de
manejar y autentificar formularios basados en Web
■ Web DAV Autoría y versión distribuidas de Web (Web-based Distributed Autho-
ring and Versioning) son un protocolo utilizado para generar aplicaciones Web que
permiten la colaboración en la creación, búsqueda, desplazamiento, copia y elimi-
nación de información basada en Web
■ SharePoint Services Da servicios para crear, actualizar, organizar y retener in-
formación entre un equipo de individuos que comparten información. SharePoint
Services utiliza una estructura de sitio Web generada previamente, en la que
pueden agregarse páginas Web personalizadas y ya elaboradas. Muchas personas
09 MATTHEWS 01.indd 248 1/14/09 1:33:47 PM

Capítulo 9: Servicios de información de Internet (IIS) versión 7 249
pueden agregar información en forma sencilla y actualizar la información en estas

páginas, con la información organizada y almacenada en una base de datos SQL
■ FTP El protocolo de transferencia de archivos (FTP, File Transfer Protocol) es de
intercambio de archivos estándar en la industria, que permite a varios tipos de equi-
po, incluidos servidores, equipos de tamaño mediano y laptops, ejecutar varios sis-
temas operativos para intercambiar archivos en Internet o intranet, en forma rápida
y eficiente. Con FTP, los datos que se ingresan y procesan en un entorno de servidor,
pueden enviarse por FTP a un equipo basado en Windows y entrar automáticamen-
te en una base de datos SQL sin interacción de usuario, mediante el uso de secuen-
cias de comandos que se ejecutan en cada terminal
▲ SMTP El protocolo de transferencia de correo simple (Simple Mail Transfer Pro-
tocol) permite la formación y transferencia de mensajes de texto entre sistemas. En
pocas palabras, SMTP es correo electrónico. Si alguna vez ha usado correo electróni-
co en Internet, ha usado SMTP. En Windows Server 2008, SMTP es parte de Active Di-
rectory y puede utilizarse para vincular sitios de Active Directory mediante Internet.
Con SMTP, las organizaciones de Windows Server 2008 pueden integrarse a través
de Internet con nada más que las tecnologías estándar de Internet
NOTA Windows Server 2008 utiliza el servidor de certificado IIS para mantener intercam-
bio de información cifrada y segura entre dos sitios de Active Directory.
Características de IIS 7
Mientras IIS 7 se basa en una línea importante de versiones anteriores, tiene varias carac-
terísticas mejoradas o nuevas. La versión 7 está integrada de manera más modular, que
permite ajustar a la medida una instalación a tareas particulares necesarias, para seleccionar
sólo los módulos deseados. Además, ahora IIS 7 ofrece una plataforma de servidor unifica-
da para hospedaje Web, ASP.NET, SharePoint Services y Windows Communication Foundation
(que permite la comunicación entre varios equipos en red). En forma adicional, existen me-
joras en las áreas de seguridad, confiabilidad, administración y escalabilidad.
Seguridad
Microsoft hace un esfuerzo continuo para mejorar la seguridad de IIS, incluidos cambios
para reducir áreas de vulnerabilidad sospechosa. Además, IIS 7 incluye varias caracterís-
ticas para mejorar la seguridad, como autentificación implícita avanzada, un proveedor
de servicio criptográfico (Cryptographic Service Provider) seleccionable, configuración de
identidad de proceso de trabajo y deshabilitación de extensiones desconocidas.
▼ Autentificación implícita avanzada Mejora la autentificación implícita mediante
almacenamiento y transmisión de credenciales de seguridad, como contraseñas, en
una técnica de cifrado difícil de romper, llamada hash MD5
■ Proveedor de servicio criptográfico seleccionable Permite que un administrador
permute entre el uso de hardware (CPU, RAM y disco duro) y software (Windows
y el Registro) básicos para el cómputo de funciones de cálculo y almacenamiento
de claves públicas y privadas, utilizadas en cifrado, así como manejo de algunas
o todas estas funciones en una tarjeta inteligente o aceleradora de criptografía
09 MATTHEWS 01.indd 249 1/14/09 1:33:47 PM

■ Configuración de identidad del proceso de trabajo Permite la configuración de

almacenes de aplicaciones, donde se ejecutan procesos Web de servidor, para tener
un conjunto particular, limitado, de privilegios y bloquear a hackers
▲ Deshabilitación de extensiones desconocidas Permite configurar IIS para que
pase sólo extensiones de archivo conocidas y bloquee las desconocidas con un men-
saje de error “acceso denegado”
Confiabilidad
La confiabilidad puede dividirse en dos áreas principales: prevenir que las aplicaciones
fallen (que se finalicen sin solicitarlo) y contener estas fallas para que no afecten al IIS ni al
sistema operativo. Evitar que las aplicaciones de terceros fallen es competencia compartida
entre Microsoft y desarrolladores de aplicaciones, además de que el enfoque para mejorar
la confiabilidad de IIS consiste en la mejor contención de aplicaciones, de modo tal que no
afecten al resto del sistema. Microsoft ha hecho varios cambios en IIS para lograr esto, in-
cluidos establecimiento de una forma de operación dedicada; aislamiento de aplicaciones,
mediante procesos de trabajo y almacenes de aplicaciones; limitación de solicitudes en
cola para una aplicación; establecimiento de un servicio de administración Web (WAS, Web
Administration Service) separado y monitoreo del estado del proceso de trabajo.
▼ Modo de operación dedicado Permite que se ejecuten aplicaciones en un entorno
aislado, en contraste con el modo de aplicación estándar usado en versiones anterio-
res de IIS, donde se ejecutan aplicaciones como parte de un servicio Web. Muchas de
estas mejoras de confiabilidad dependerán del uso de modo de operación dedicado
■ Almacenes de aplicaciones y procesos de trabajo Sirve al aislamiento de aplica-
ciones, mediante la asignación de almacenes de aplicaciones particulares para su
ejecución en procesos de trabajo específicos. Los almacenes de aplicaciones pueden
configurarse con un conjunto de límites de espacio y tiempo, así como para usar
un conjunto de recursos determinado, incluido un procesador particular en un ser-
vidor de varios procesadores. Los almacenes de aplicaciones y recursos de trabajo
requieren el modo de aplicación dedicado
■ Límite de solicitudes en cola Permite la configuración de límites, con un modo
de aplicación dedicado en el número de solicitudes que pueden consultarse para un
almacén de aplicaciones particular. Esto limita la cantidad de recursos de sistema
que un almacén de aplicaciones puede utilizar
■ Servicio de administración Web (WAS) Ofrece un espacio de administración Web
separado de procesos de aplicación, para así mantener funciones aisladas de cual-
quier problema en las aplicaciones Web. WAS se utiliza para configurar almacenes
de aplicaciones y para determinar su estado (estén o no en ejecución) y reiniciarlos
▲ Monitoreo del estado Permite, en el modo de aplicación dedicado, determinar la
manera en que se ejecuta un almacén de aplicaciones y, bajo circunstancias prescritas,
lo termina; asimismo, de forma opcional, lo reinicia. Si el almacén de aplicaciones
ha fallado, se puede terminar y reiniciar de inmediato; si el almacén de aplicacio-
nes está inactivo, puede cerrarse y reiniciarse bajo pedido; si ha fallado varias veces,
09 MATTHEWS 01.indd 250 1/14/09 1:33:48 PM

puede deshabilitarlo e impedir que reinicie; y si ha fallado una parte detectable del
almacén, puede separarlo del proceso y reiniciarlo como otro proceso
Administración
La administración de IIS 7 se maneja mediante una interfaz basada en tareas en el Adminis-
trador de Internet Information Services (IIS) o con una opción de línea de comandos. IIS 7
permite ver el diagnóstico e información de estado acerca del servidor, incluido lo que está
en ejecución. También IIS 7 permite ahora la configuración de permisos de usuario y fun-
ciones para sitios y aplicaciones. En IIS 7, todavía puede utilizar todas las herramientas de
administración de IIS 6, requeridas para la administración de FTP.
▼ Mejoras de metabase Permite la lectura y edición directa de la información de con-
figuración y esquema de IIS, aunque se esté ejecutando, regresar fácilmente a versiones
anteriores de la información de configuración y esquema en caso de corromperse,
además del respaldo y restauración de la información con una contraseña
■ Importación y exportación de configuraciones de sitio Web Proporciona medios
para exportar desde un nodo a un árbol completo de información de configuración
de un sitio Web a un archivo legible que se importa en otro servidor
■ Scripts de líneas de comando Permite la administración directa o indirecta de
sitios Web, FTP, directorios virtuales, aplicaciones Web y configuración de informa-
ción mediante scripts de líneas de comando
▲ Proveedor IIS en WMI Permite administrar y configurar IIS mediante progra-
mación, usando interfaces de programa de instrumentación de administración de
Windows (WMI, Windows Management Instrumentation) para consultar y confi-
gurar la metabase
Escalabilidad
A medida que crece un sitio Web o servicio de hospedaje Web, es necesario que se interrum-
pa lo menos posible al comprador. IIS 7 ha agregado varias características para mejorar esta
capacidad para crecer sin problemas, llamada escalabilidad, que incluye una versión de 64
bits de IIS; uso de agrupación completa en clústeres de Windows; varios procesos de trabajo;
guardado de plantillas ASP en la memoria caché; el uso de seguimiento para capacidad de
planeación y mejor administración del ancho de banda.
▼ Una versión de 64 bits de IIS Permite ejecutar IIS y sus aplicaciones Web en pro-
cesadores Intel y AMD de 64 bits con capacidad para manejar mayores cargas
■ Uso de clústeres de Windows Al permitir el uso de la capacidad de clústeres integra-
da en el sistema operativo, la conexión de varios equipos con recursos compartidos y
la capacidad de equilibrar la carga entre equipos. Ante la falla de un equipo en un
clúster, la carga se cambia automáticamente a otro equipo. IIS 7 usa completamente
la capacidad de clústeres de Windows Server 2008
■ Varios procesos de trabajo Permite ejecutar varias aplicaciones de forma simultá-
nea, cada una en su propio entorno protegido. En equipos con varios procesadores,
es posible ejecutar un determinado trabajo en un procesador dedicado. IIS 7 ofrece
varios procesos de trabajo, cada uno ejecutando una o más aplicaciones
09 MATTHEWS 01.indd 251 1/14/09 1:33:48 PM

■ Guardado de plantillas ASP en la caché Provee fragmentos comunes de secuen-

cias de comandos ASP, llamados “plantillas”, para almacenamiento en caché (que
lo mantiene en memoria activa, susceptible de ser RAM o disco duro), para
que cuando vuelvan a utilizarse plantillas, puedan usarse de forma muy rápida,
ya que están disponibles de forma inmediata y no necesiten recompilarse
■ Seguimiento para planeación de capacidad Permite el análisis de la manera en
que se manejan varias cargas de trabajo con diferentes configuraciones para planear
el hardware necesario a medida que crece la carga de trabajo
▲ Administración de ancho de banda En el caso del control del nivel y calidad del
servicio de usuario a través de la regulación del flujo de ancho de banda, ofrece lí-
mites de cola del almacén de aplicaciones, contabilidad del proceso y límites de
conexión y pausas
Servicios de Internet en IIS 7

IIS 7 publica información mediante servicios y protocolos de Internet estándar, incluidos
World Wide Web (WWW), FTP, SMTP y el protocolo de transferencia de noticias de red
(NNTP, Network News Transfer Protocol).
▼ Servicios WWW Utiliza el protocolo de transferencia de hipertexto (HTTP, Hy-
perText Transfer Protocol) para permitir a los usuarios publicar contenido en Web,
al utilizar el lenguaje de marcado de hipertexto (HTML, HyperText Markup Lan-
guage), el lenguaje extensible de marcado (XML, Extensible Markup Language) y
ASP. Los archivos se colocan en carpetas o subdirectorios conectados a un sitio Web.
Estos documentos pueden verse mediante un explorador de Internet, como Internet
Explorer. Debido a la naturaleza gráfica de HTML, los negocios pueden usar este
formato para desplegar y explicar productos y servicios, además de crear aplicaciones
de comercio electrónico para comprar estos productos y servicios
■ Servicios FTP Se utiliza para transmitir archivos en Internet. Se trata de un proto-
colo antiguo que sirve para la transferencia confiable y rápida de archivos. FTP puede
usarse con un explorador Web por medio de FTP de Web, para agilizar el proceso
de descarga de archivos grandes de sitios Web normales, además de un cliente FTP
heredado independiente, conectado al servidor FTP, que permita el acceso a archi-
vos independientes de los protocolos HTTP. Mientras algunos exploradores Web
pueden utilizarse para acceder a servidores FTP, a menudo se usan clientes FTP
separados. Aunque todos los clientes de Microsoft contienen un cliente FTP como
parte de la pila TCP/IP, este cliente está orientado a DOS y la línea de comandos
(escriba ftp en el indicador de comandos). Varios clientes FTP de 32 bits de ter-
ceros pueden ejecutarse en Windows y proporcionar características adicionales
que no figuran en el cliente FTP integrado. Varios ejemplos son WS_FTP, dis-
ponible en http://www.ipswitch.com/; SmartFTP, disponible en http://www.
smartftp.com/ y Core FTP, disponible en http://www.coreftp.com
■ Servicios SMTP Utilizado para correo electrónico en Internet, SMTP depende de
los protocolos TCP/IP y utiliza servidores de sistema de nombre de dominio (DNS,
09 MATTHEWS 01.indd 252 1/14/09 1:33:48 PM

Domain Name System) en Internet para traducir un nombre de correo electrónico,

como billg@microsoft.com en una dirección IP como 207.46.230.219
▲ Servicios NNTP Permite a un sitio Web hospedar grupos de noticias, que sumi-
nistran intercambio de mensajes encadenados relacionados con un solo tema. Los
mensajes se envían al servidor de noticias y se publican en el grupo de noticias
apropiado. Un grupo de noticias es una comunidad interesada en un tema específico.
La gente de esa comunidad inicia sesión en el grupo de noticias para leer y replicar
los mensajes sobre el tema del grupo de noticias
Como opción predeterminada, los servicios WWW están instalados en todos los casos.
Mediante los servicios WWW, es posible hospedar sitios HTTP gráficos. Los servicios FTP,
SMTP y NNTP añaden elementos a IIS y pueden instalarse de forma opcional en éste. Estos
servicios permiten varias opciones de comunicación. Al utilizar servicios FTP, los ar-
chivos pueden distribuirse en Internet. Los servicios WWW y FTP permiten configurar varios
sitios en un servidor IIS, de modo que, para un usuario en Internet, podría parecer que el
servidor Web incluye varios sitios WWW, FTP o ambos.
CONFIGURACIÓN DE UN SERVIDOR WEB

Cuando configura IIS para hospedaje Web, necesita crear uno o más servidores Web dedica-
dos. En algunas organizaciones más grandes, la posible carga en servidores Web puede ser
importante. Sin embargo, a menudo lo adecuado en organizaciones pequeñas es la instala-
ción de un solo servidor. Es raro que el diseño de dos redes sea exactamente igual, porque
diferentes demandas afectan aun a las instalaciones de red más sencillas.
Cuando se diseña y, por último, instala un servidor Web basado en IIS 7 y Windows
Server 2008, necesita considerar varios factores, sobre todo los servicios que hospedarán el
sitio Web y la conexión de seguridad que implementará el sitio. En el caso de sitios Web que
hospedan información gratuita y disponible para cualquiera, puede usarse el acceso anóni-
mo, donde todos los usuarios que se conectan al servidor Web obtendrán automáticamente
acceso al servidor basado en la cuenta Invitado, sin que se les pida nombre de usuario o
contraseña. Entonces, esta situación permite al usuario pasar información segura al ser-
vidor (como los datos de una tarjeta de crédito en la colocación de un pedido), por medio
de tecnología como SSL (analizada en el capítulo 15). Cuando los datos se hospedan en el
servidor que necesita asegurarse ante el acceso no autorizado, se requiere algún formulario
o autentificación, como la de Windows o Kerberos.
Instale IIS 7
La instalación de Windows Server 2008 no incluye IIS como opción predeterminada, aunque
puede obtener una edición Web Server especializada, donde sí se instala. En los casos donde
IIS no está instalado como opción predeterminada, puede instalarse al seleccionar la función
apropiada en el Administrador del servidor, como se explica más adelante en este capítulo. Al
utilizar la instalación predeterminada de IIS del Administrador del servidor, sólo se instalan
algunas de las muchas características de IIS. En la tabla 9-1 se presenta una comparación entre
los servicios predeterminados y los opcionales (algunos más allá del alcance de este libro).
09 MATTHEWS 01.indd 253 1/14/09 1:33:49 PM

Categoría Servicio Opción Descripción

predeter-
minada
Característi- Contenido estático Sí Páginas de texto HTML e imágenes
cas HTTP descargadas a cada cliente.
comunes
Documento predeter- Sí Especifica una página que se carga
minado automáticamente cuando se abre el sitio.
Navegación de direc- Sí Permite al cliente ver el directorio del sitio Web.
torios
Errores HTTP Sí Permite la personalización del mensaje
de error para el cliente.
Redirección HTTP Redirecciona las consultas del cliente a
una ubicación diferente.
Desarrollo ASP.NET Permite programación orientada a objetos
de aplicacio- en un sitio Web.
nes
Extensibilidad de Permite a los desarrolladores de código agregar
.NET y cambiar las funciones del servidor.
ASP y CGI Capacidad de programación de páginas activas
de servidor (Active Server Page) e interfaz
común de puerta de enlace (CGI, Common Ga-
teway Interface) para automatizar páginas Web.
Extensiones ISAPI La interfaz de programación de aplicaciones de
servidor de Internet (Internet Server Application
Programming Interface) le permite programar
contenido Web dinámico compilado.
Filtros ISAPI Permite la inclusión en programas de una
revisión de todas las solicitudes hechas
al servidor Web.
Inclusión del lado SSI (Server-Side Includes) es una opción para
servidor secuencia de comandos en tiempo real que
genera dinámicamente páginas HTML.
Estado y Registro HTTP Sí Actividad de registro en un sitio Web.
diagnóstico
Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.
09 MATTHEWS 01.indd 254 1/14/09 1:33:49 PM


predeter-
minada
Herramientas de Permite la administración de registros
registro de servidor Web.
Monitor de Sí Captura las solicitudes HTTP para monitorear
solicitudes la actividad de aplicaciones.
Seguimiento Da seguimiento a solicitudes fallidas para detec-
tar y solucionar problemas de rendimiento Web.
Registro Permite la creación de su propio módulo
personalizado de registro.
Registro ODBC Permite la actividad de registro en una
base de datos ODBC.
Seguridad Autentificación Proporciona autentificación compatible con
básica explorador para intranets pequeñas. No se
recomienda para Internet.
Autentificación Autentificación de bajo costo para intranets
de Windows sin firewalls.
Autentificación Autentificación de nivel superior que funciona
implícita con firewalls y servidores proxy.
Autentificación de Utiliza certificados de cliente (ID digitales)
asignaciones de certi- mediante Active Directory para autentificar
ficado de cliente usuarios de sitios Web.
Autentificación de Utiliza certificados de cliente (ID digitales)
asignaciones de certi- a través de IIS para autentificar usuarios
ficado de cliente IIS de sitio Web.
Autorización para Permite adjuntar reglas a un sitio Web para
URL limitar quién lo usa.
Filtro de solicitudes Sí Filtra solicitudes de servidor para limitar los
ataques en éste.
Restricciones Limita el acceso a sitios Web a dominios e
de IP y IP específicos.
dominio
Rendimiento Compresión Sí Provee compresión de contenido estático para
de contenido acelerar su transmisión. Este contenido puede
estático guardarse en caché para reducir la carga en
tiempo real.
Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en

Windows Server 2008 (continúa).
09 MATTHEWS 01.indd 255 1/14/09 1:33:49 PM


predeter-
minada
Compresión de con- Proporciona compresión de contenido dinámico
tenido dinámico para acelerar su transmisión. No puede guardar-
se en caché; por tanto, incrementa la carga
en tiempo real.
Herramientas Consola de adminis- Sí La interfaz de administración primaria de IIS 7
de adminis- tración de IIS para servidores Web remotos y locales (no se
tración usa para FTP ni SMTP).
Scripts y herramien- Se usa para administrar la capacidad de progra-
tas de administra- mación de un servidor Web desde un indicador
ción de IIS de comandos.
Servicio de adminis- Se usa para configurar la interfaz de usuario de
tración IIS 7, el Administrador de Internet Information
Services (IIS) y administración remota de IIS 7.
Compatibilidad con Se usa para ver y administrar secuencias de
la administración de comandos y aplicaciones de IIS 6.
IIS 6
Compatibilidad con Se utiliza para configurar y consultar la metaba-
la metabase de IIS 6 se usada por secuencias de comandos y aplica-
ciones de versiones anteriores de IIS.
Compatibilidad con Permite el uso de la interfaz de escritura de
WMI de IIS 6 secuencia de comandos, de instrumentación
de administración de Windows (WMI) en IIS 7.
Herramientas de Permite el uso de herramientas de escritura de
script de IIS 6 secuencia de comandos de IIS 6 en IIS 7.
Consola de adminis- Permite el uso de la consola de administración
tración de IIS 6 IIS 6, así como la administración de FTP y SMTP.
Servicio de Servidor FTP Permite la creación de un servidor FTP.
publicación
FTP
Consola de adminis- Ofrece opciones para la administración de un
tración de FTP servidor FTP.
Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.
09 MATTHEWS 01.indd 256 1/14/09 1:33:49 PM

Cuando hace una nueva instalación de Windows Server 2008 y hasta indicar otra cosa,
Tareas de configuración inicial se abre automáticamente al concluir la Instalación e iniciar
Windows Server. Cuando cierra la ventana Tareas de Configuración inicial, se abre auto-
máticamente el Administrador del servidor. En cualquier momento, también puede abrir el
Administrador del servidor e instalar IIS 7 con estos pasos:
1. Si el Administrador del servidor no se abre automáticamente en su escritorio, haga clic en
Inicio|Administrador del servidor. Se abrirá la ventana Administrador del servidor.
2. En Resumen de funciones, haga clic en Agregar funciones, luego en Siguiente; tras
leer Antes de comenzar, aparecerá una lista de las funciones de servidor en Selec-
cionar funciones de servidor, del Asistente para agregar funciones.
3. Haga clic en Servidor Web (IIS). Se le pregunta si quiere agregar características re-
queridas para el Servidor Web (IIS). Haga clic en Agregar características requeridas,
luego en Siguiente. Lea Introducción a Servidor Web (IIS) y cualquier información
adicional que quiera. Cuando esté listo, haga clic en Siguiente.
4. De la lista de funciones de servicios, como se observa en la figura 9-1, escoja las que
quiera instalar, con base en lo que quiere hacer con el servidor Web (véase la tabla 9-1).
Figura 9-1. IIS 7 tiene muchas características y módulos que se pueden instalar en forma opcional.
09 MATTHEWS 01.indd 257 1/14/09 1:33:50 PM

5. Cuando esté cómodo con su selección, haga clic en Siguiente. Se muestran funcio-
nes y servicios seleccionados. Si cambia de parecer, haga clic en Anterior, realice los
cambios necesarios y haga clic en Siguiente. Cuando esté listo, haga clic en Instalar.
IIS se instalará con sus selecciones para servicios opcionales y será configurado por
el Asistente para agregar funciones.
6. Cuando la instalación esté completa (puede tomar varios minutos), se le indica que
la instalación tuvo éxito. Haga clic en Cerrar, para completar la instalación.
Migre a IIS 7
El proceso de migración o actualización es dependiente del tipo de servidor Web que se
actualiza:
▼ Usuarios actuales de IIS La instalación de Windows Server 2008 se actualizará a
la versión 7. Una vez que la instalación esté completa, puede ver que IIS se instaló
en la ventana Administrador del servidor, como se muestra en la figura 9-2. Ins-
talación y configuración se hacen de manera automática, en su mayor parte y los
usuarios actuales de IIS tendrán pocos problemas para hacer la transición a IIS 7
■ Usuarios de otros servidores Web Necesitan transferir opciones de configuración
y contenido, además de aplicaciones Web, al entorno de IIS
Figura 9-2. Si está actualizando desde un servidor que ejecuta IIS, IIS 7 se instalará
automáticamente.
09 MATTHEWS 01.indd 258 1/14/09 1:33:50 PM

▲ Sitios con extensiones de servidor de FrontPage La instalación de Windows Ser-

ver 2008 se actualizará a la versión 7, pero no se actualizarán las extensiones de
servidor de FrontPage y el servicio de publicación WWW de IIS se deshabilitará,
para no destruir los metadatos de FrontPage. Puede descargar las extensiones de
servidor FrontPage para IIS 7 en http://www.iis.net/downloads/
SUGERENCIA Si está actualizando desde un servidor Web de Windows y ha eliminado

IIS antes de hacer la actualización mediante Agregar o quitar programas, la instalación de
Windows Server 2008 todavía instalará IIS 7.
Planee la migración
Cuando una organización tiene uno o varios sitios de Internet, intranet o ambos, la planea-
ción es parte esencial de la migración, para mantener la presencia del sitio. Al elegir una ruta
de migración, las consideraciones principales son las siguientes:
▼ Riesgo para el sistema actual y tiempo de reposo total aceptable
■ La función del hardware existente en la nueva instalación
■ Los cambios de contenido esperados para datos Web (¿se esperan las nuevas pági-
nas Web con los nuevos servidores?)
■ La posible carga de red y recursos de red disponibles
▲ Los servicios adicionales que las organizaciones planean agregar
NOTA En algunas organizaciones, cierta cantidad de tiempo de reposo es aceptable y

esperado; sin embargo, en otras organizaciones, como los negocios de comercio electró-
nico, se supone que un sitio Web siempre debe estar disponible. Las migraciones existen-
tes son posibles, con tiempo de reposo de cero, pero resultan muy costosas y es engaño-
so planearlas. Cuando se pide a la mayoría de administradores que definan tiempos de
reposo aceptables del sistema, definen un número muy bajo. Sin embargo, cuando estos
mismos administradores se presentan con costos de soporte para mantener dicho núme-
ro, en general establecen una meta mucho más realista. Así, lo aceptable es encontrar una
relación exponencial e inversa entre el tiempo de reposo permitido, recursos y planeación
necesarios para que la migración tome lugar (cuanto menos sea el tiempo de reposo, ma-
yor será la planeación).
Métodos de migración
Existen al menos tres formas de llevar a cabo una migración a IIS 7, como se describe en las
siguientes secciones.
NOTA Cuando se actualizan servidores Web de Windows, Windows Server 2008 selec-
ciona automáticamente las opciones de instalación, que coinciden con las del sistema en
actualización. Esto significa que IIS sólo se instalará si se encuentra actualmente en un
servidor Web de Windows o al eliminarlo con Agregar o quitar programas.
Migre a una instalación limpia de Windows Server 2008 Realizar una instalación limpia de
Windows Server 2008 y luego usar el Administrador del servidor para instalar IIS 7 en un
09 MATTHEWS 01.indd 259 1/14/09 1:33:50 PM

equipo distinto del servidor Web de producción se denomina servidor de “puesta en

funcionamiento”. Migre configuraciones, contenido y aplicaciones del servidor Web de pro-
ducción al nuevo servidor IIS 7. Pruebe y depure el nuevo servidor antes de implementarlo.
Aunque ésta es una solución ideal, tal vez en muchos casos no sea práctica, debido a soft-
ware, hardware y factores de costo.
Hardware Pros Contras
necesario
Un segundo equi- Tiempo muerto mínimo. Puede Costo elevado. Tal vez necesite
po es necesario, colocar hardware nuevo actuali- hardware nuevo. Sin embargo, el
además del zado en el lugar, al mismo tiem- costo será compensado, al menos
servidor Web de po que realiza la migración. Tam- parcialmente, por el tiempo aho-
producción bién evita desactivar su servidor rrado al realizar la migración, ade-
existente. Web de producción hasta que se más de detectar y solucionar pro-
pruebe e implemente el nuevo blemas que puedan ocurrir duran-
servidor. Luego de implementar, te la migración. Si está ejecutando
si se presentan problemas con el un sitio de comercio electrónico, el
nuevo servidor que no aparecieron ingreso agregado por dejar el sitio
durante la prueba, puede usar el activo puede cubrir parte o todo el
servidor original como respaldo. costo del nuevo equipo.
Migre a un espejo del servidor Web existente Si migra desde un equipo que ejecuta Windows
de Microsoft, puede usar este método. En un segundo equipo, un duplicado de hardware
del que quiere migrar, copie el disco duro existente en el servidor Web de producción usan-
do un producto como Ghost de Symantec; después emplee la instalación de Windows Ser-
ver 2008 para actualizar Windows Server 2008 e IIS 7. Las opciones de configuración Web,
contenido y aplicaciones deberían estar en el nuevo servidor Web como parte de la creación
del espejo. Pruebe y depure el nuevo servidor Web antes de implementarlo. Esta opción le
permite verificar aplicaciones de terceros que se instalarán en el nuevo servidor de espejo,
para ensayar la compatibilidad con Windows Server 2008 e IIS 7.

necesario
Se requiere un se- Tiempo de reposo mínimo. Puede Costo elevado. Tal vez necesite
gundo equipo, du- colocar hardware nuevo actua- nuevo hardware. Sin embargo,
plicado del servi- lizado Tiempo muerto mínimo. el costo será compensado, al me-
dor Web existente. Puede colocar hardware nuevo nos parcialmente, por el tiempo
También necesita actualizado en el lugar, al mismo ahorrado al realizar la migración,
un programa como tiempo que realiza la migración. además de detectar y solucionar
Ghost de Symantec. También evita desactivar su ser- problemas que puedan ocurrir
vidor Web de producción, hasta durante la migración. Si ejecuta
que el nuevo servidor se pruebe un sitio de comercio electrónico, el
e implemente. En seguida de la ingreso agregado por dejar el sitio
implementación, si se presentan activo puede cubrir parte o todo el
problemas con el nuevo servidor costo del equipo nuevo.
que no aparecieron durante la
prueba, puede usar el servidor
original como respaldo.
09 MATTHEWS 01.indd 260 1/14/09 1:33:51 PM

Actualice el servidor Web de producción Si sus circunstancias lo permiten, puede tomar su

servidor Web de producción que ejecuta actualmente Windows e IIS 5 o 6, desactivarlo por
tiempo suficiente para actualizarlo y hacer que se instale Windows Server 2008 e IIS 7. Casi
todas las opciones de configuración Web, contenido y aplicaciones deben migrar completa-
mente al IIS 7 “existente”, en el servidor Web de producción. No obstante, necesitará probar
y depurar completamente el servidor antes de implementarlo.

necesario
No se requiere No hay costo de hardware. Tiempo muerto. Si la instalación
nuevo hardware, del servidor no se realiza de
a menos que se acuerdo con lo planeado, puede
requiera para ser uno de esos fines de semanas
ejecutar Windows muy largos (temidos por los
Server 2008, como administradores). Sin embargo,
en el caso de la en casi todas las tiendas de
memoria. tecnología de la información,
donde el costo es un factor, ésta
puede ser la opción donde no
necesita un segundo servidor.
Implemente la seguridad
IIS 7 inicia “bloqueado”. Necesita instalar ciertos procesos IIS para ejecutar aplicaciones que
pueden causar daño. Entre los elementos de esta condición de bloqueo se incluyen:
▼ No instalar IIS como opción predeterminada en todas las ediciones de Windows
Server 2008, con excepción de Web Server Edition
■ No instalar como opción predeterminada un contenido Web dinámico o servicios
de automatización Web, incluidos ASP, ASP.NET, Inclusión del lado del servidor
y WebDAV, y autorizar que IIS sólo entregue páginas estáticas. Véase la tabla 9-1
para conocer una lista completa (como opción predeterminada, la Web Edition de
Windows Server 2008 tiene ASP y ASP.NET habilitados)
■ No permitir que una aplicación ejecute lo que no se ha asignado ni registrado en IIS
▲ No permitir la edición directa del archivo de configuración de metabase de IIS
No obstante, como opción predeterminada, IIS 7 habilita en todas las ediciones el acceso
anónimo a todo, excepto sitios Web administrativos. Esto significa que una vez en ejecución
el servidor Web, debe tomarse en cuenta la seguridad. Todos los sitios necesitan algún nivel
de seguridad. Es importante asegurar el sitio, pese al tamaño de la compañía o de quién
utilizará el sitio; asimismo, es importante considerar usuarios internos y externos. Estadís-
ticamente, es probable que los usuarios de su propia organización requieran directivas de
seguridad. Al haber seguridad interna débil, es cuando se presentan los problemas grandes.
Al configurar la seguridad, debe desarrollar e implementar directivas para manejar los si-
guientes problemas:
09 MATTHEWS 01.indd 261 1/14/09 1:33:51 PM

▼ Instalación de IIS ¿En qué servidores quiere ejecutar IIS?

■ Contenido Web dinámico ¿Qué tipos de contenido Web dinámico quiere habilitar?
■ Ejecución de aplicaciones ¿Qué extensiones de aplicación quiere asignar en IIS?
■ Configuración de NTFS y permisos IIS ¿Cuáles son las asignaciones a varios grupos?
▲ Certificados de seguridad ¿Cómo se utilizarán y se administrarán?
La instalación de IIS se analizó en páginas previas de este capítulo, mientras la configu-
ración de permisos y el uso de certificados se expondrán brevemente en secciones posteriores
de este capítulo y en el 15. En las dos secciones siguientes se analiza la habilitación de con-
tenido Web dinámico y aplicaciones.
Habilite el contenido Web dinámico

Debido a que, como opción predeterminada, no se instalan servicios de contenido Web di-
námico, como ASP y ASP.NET, proporcionados para ejecutar secuencias de comandos y
aplicaciones en el servidor Web, para habilitarlas sólo necesita instalarlas. En Windows Ser-
ver 2008, esto significa añadir servicios completos en el Administrador del Servidor (debe
ser miembro de la función Administrador del servidor Web, en el servidor local):
1. Haga clic en Inicio, luego en Administrador del servidor. En el árbol del Administra-
dor del servidor, a la izquierda, abra Funciones y haga clic en Servidor Web (IIS).
2. En el panel de contenido, a la derecha, desplácese hacia abajo, hasta ver Servicios de
función, como se ilustra en la figura 9-3.
3. Haga clic en Agregar servicios de función. Haga clic en los servicios de función
deseados. Si aparece el cuadro de diálogo Agregar servicios de función, haga clic en
Agregar características requeridas. Cuando esté listo, haga clic en Siguiente.
4. Revise la lista de servicios de función a ser instalados. Si quiere cambiar algo, haga
clic en Anterior. De otra forma, haga clic en Instalar.
5. Cuando el proceso esté completo, se le notificarán los servicios de función que
se instalaron en forma apropiada. Haga clic en Cerrar y cierre el Administrador
del servidor.
09 MATTHEWS 01.indd 262 1/14/09 1:33:51 PM

Figura 9-3. Habilite el contenido dinámico añadiendo servicios de función específicos

requeridos en el Administrador del servidor.
PERSONALICE Y MANTENGA IIS 7

Tras completar la instalación de IIS, se administra con el Administrador de Internet Infor-
mation Services (IIS). El Administrador de Internet Information Services (IIS) permite la
administración de componentes y servicios de IIS, además de sitios Web hospedados. Puede
abrirse mediante el Administrador del servidor el menú Herramientas administrativas o la
línea de comandos. El administrador IIS es el mismo en todos los casos. La vista del Admi-
nistrador del servidor se muestra en la figura 9-4.
09 MATTHEWS 01.indd 263 1/14/09 1:33:52 PM

Figura 9-4. El administrador IIS abierto en el Administrador del servidor.
Las tres opciones para abrir el Administrador de Internet Information Services (IIS)
(Administrador del servidor, menú Herramientas administrativas y línea de comandos) se
aplican de la siguiente forma:
▼ Haga clic en el icono del Administrador del servidor, en la barra de herramien-
tas Inicio rápido. En el árbol del Administrador del servidor, a la izquierda, abra
Funciones y Servidor Web y haga clic en el Administrador de Internet Information
Services (IIS). Dependiendo de los servicios de función instala-
dos, su ventana Administrador del servidor deberá verse pareci-
da a la figura 9-4
SUGERENCIA También puede abrir el Administrador del servidor, al hacer clic derecho
en Equipo y luego en Administrar.
■ Haga clic en Inicio y en seguida en Herramientas administrativas|Administrador

de Internet Information Services (IIS), como se observa en la figura 9-5. Se abre el
Administrador de Internet Information Services (IIS) de manera independiente
09 MATTHEWS 01.indd 264 1/14/09 1:33:52 PM

SUGERENCIA Para abrir de manera más sencilla el Administrador de IIS en el futuro,

arrastre al escritorio la opción Administrador de Internet Information Services (IIS), del menú
Herramientas administrativas con el botón derecho (oprima y deje oprimido el botón derecho
del ratón conforme lo hace) o arrastre a la barra Inicio rápido y haga clic en Copiar aquí.
▲ Haga clic en Inicio, luego en Ejecutar. Escriba inetmgr y oprima enter. Se

abrirá de nuevo el Administrador de Internet Information Services (IIS)
en una ventana independiente
En todos los casos, la ventana del Administrador de Internet Information Services (IIS)
es la misma. Esto abrirá el acceso a componentes y servicios de IIS, que varían dependiendo
de los servicios de función instalados, además de la capacidad para administrar sitios Web.
Use el Administrador de Internet Information Services (IIS)

El Administrador de Internet Information Services (IIS), mostrado en las figuras 9-4 y
9-5, posee varios controles para personalizar la manera en que opera el servidor Web,
para mantener un nivel de operación alto, a la vez que administrar sitios Web y aplicaciones.
Existen cuatro elementos en las ventanas Administrador de Internet Information Services
(IIS): Barra de navegación, panel Conexiones, Espacio de trabajo y panel Acciones. Hay
un quinto elemento en la ventana, aunque no en el Administrador del servidor: los menús
(Archivo, Ver y Ayuda).
09 MATTHEWS 01.indd 265 1/14/09 1:33:52 PM

Figura 9-5. El Administrador de Internet Information Services (IIS) se abre de manera

independiente, desde Herramientas administrativas y la línea de comandos.
Barra de navegación
La barra de navegación, en la parte superior de la ventana Administrador de Internet Infor-
mation Services (IIS), es muy similar a la barra de dirección en el Explorador de Windows,
con los siguientes controles:
▼ Los botones Atrás y Adelante se desplazan una página en cualquiera de ambas
direcciones
■ Conexiones de servidor permite la selección del servidor que se administrará y
sus conexiones
■ Actualizar página actualiza la página desplegada actualmente
■ Detener detiene la acción actual
■ Página principal abre la página principal del servidor Web seleccionado o el sitio Web
▲ Ayuda abre la Ayuda de IIS
Panel Conexiones
El panel Conexiones, a la izquierda de la ventana del Administrador de Internet Informa-
tion Services (IIS), provee los medios para navegar dentro de un servidor; entre los sitios
09 MATTHEWS 01.indd 266 1/14/09 1:33:52 PM

Web y aplicaciones en un servidor; en un sitio Web y dentro de un almacén de aplicaciones.

El árbol de navegación opera de forma similar al de carpetas en el Explorador de Windows,
con la capacidad para abrir y cerrar nodos. En la parte superior del panel Conexiones se
encuentra la barra de herramientas Conexiones, que contiene hasta cuatro botones, depen-
diendo de su instalación y permisos:
▼ Crear nueva conexión permite conectarse a un servidor Web adicional, sitio Web o
aplicación usando el asistente para conexión
■ Guardar conexiones actuales guarda el conjunto de conexiones actuales desplega-
do en el panel Conexiones
■ Subir lo lleva un nivel arriba en el panel Conexiones
▲ Eliminar conexión elimina el nodo seleccionado en el árbol Conexiones
Espacio de trabajo
El espacio de trabajo en el centro de la ventana Administrador de Internet Information Ser-
vices (IIS) tiene dos vistas: Vista características y Vista contenido. En las figuras 9-4 y 9-5 se
muestra la Vista características predeterminada. Con la instalación mínima predeterminada
de IIS, se pueden utilizar 15 características para administrar IIS:
▼ Autentificación se utiliza para determinar la manera en que los usuarios acceden
al servidor Web o, si están en un sitio Web, la manera en que acceden a éste. Como
opción predeterminada, se habilita la autentificación anónima y debe deshabilitar-
se si quiere usar otros tipos de autentificación, para la instalación de servicios de
función para esos tipos. Véase “Instale IIS 7” y la tabla 9-1, presentadas en páginas
anteriores de este capítulo
■ Compresión reduce el tamaño de los archivos enviados a exploradores para ma-
nejar la compresión y, como resultado, acelerar la transmisión. Como opción
predeterminada, se habilita la compresión de archivos estáticos, pero no la de
archivos dinámicos (véase la tabla 9-1), debido a los recursos de CPU utilizados
en archivos dinámicos comprimidos, simultáneamente conforme se transmiten
■ Documento predeterminado especifica los nombres de archivo que pueden usarse
en un sitio Web hospedado y abrirse automáticamente cuando el usuario de sitio
Web no especifica nombre
■ Examen de directorios permite a un usuario de sitio Web ver y explorar carpetas
y archivos del sitio Web. Aquí no sólo puede habilitar un directorio, deshabilitado
como opción predeterminada, sino también especificar la información disponible
■ Páginas de errores crea y administra mensajes de error personalizados o páginas
Web que se devolverán a los usuarios del sitio Web cuando encuentran determinado
código de estado. En la figura 9-6 se muestra una lista de las páginas predetermina-
das en uso. Se trata de archivos HTML que puede editar o reemplazar directamente
en la página predeterminada, con otra página o URL
■ Asignaciones de controlador determina la manera en que un servidor Web res-
ponde a solicitudes de tipos específicos de archivos y carpetas. Por ejemplo, en el
caso de un archivo estático, se devuelve el propio archivo
09 MATTHEWS 01.indd 267 1/14/09 1:33:53 PM

Figura 9-6. IIS inicia con un conjunto de páginas de error que puede cambiar o reemplazar.
■ Encabezados de respuesta HHTP define información específica (“encabezado”) acerca

de una página Web y especifica el o los valores relacionados con ese encabezado. Por
ejemplo, un encabezado denominado “autor” tendría al autor o autores de la página
■ Registro determina cómo y cuándo IIS registra información acerca del servidor
Web, sitio Web o aplicación. Puede determinar cuándo inician nuevos registros y
qué información se recolecta
■ Tipos MIME administra la lista de tipos de página de extensiones de correo mul-
tipropósito de Internet (MIME, Multipurpose Internet Mail Extensions) que puede
regresar el servidor Web
■ Módulos administra la lista de módulos de código usados por el servidor Web para
procesar solicitudes
■ Almacenamiento en caché de resultados determina los tipos de archivos almace-
nados en caché y la manera en que se hace
■ Certificados de servidor pide y administra certificados enviados a sitios Web
hospedados por sus operaciones seguras
■ Procesos de trabajo muestra y administra aplicaciones (“procesos de trabajo”) ejecu-
tadas en el servidor Web, que muestran porcentaje de CPU y cantidad de memoria
utilizada
■ Delegación de características determina si cada una de las configuraciones de carac-
terísticas anteriores puede ser de sólo lectura o lectura y escritura, como se muestra
en la figura 9-7
▲ Configuración compartida determina si la configuración y las claves de cifrado del
servidor Web se comparten con otro servidor Web IIS
09 MATTHEWS 01.indd 268 1/14/09 1:33:53 PM

Figura 9-7. Cuando delega en el nivel de servidor Web, también lo hace en el nivel de sitio
Web. Cuando delega en el nivel de sitio Web, también lo hace en el nivel de aplicación Web.
Panel Acciones
El panel Acciones, a la derecha de la ventana Administrador de Internet Information Servi-
ces (IIS), despliega acciones disponibles para las características seleccionadas en el Espacio
de trabajo, como verá en las figuras 9-6 y 9-7.
Administre servidores Web de forma remota

Debido a que no siempre es conveniente realizar tareas de administración en el equipo que
ejecuta el servidor Web IIS, IIS 7 ofrece una capacidad de administración remota. Para faci-
litar esto, primero debe habilitar el Servicio de administración.
SUGERENCIA También puede administrar de forma remota un servidor Web, al abrir

el escritorio de cualquier equipo en que tiene permiso, usando la Terminal Servicios de
Windows Server 2008, como se explicará en el capítulo 11, para abrir el Administrador
de Internet Information Services (IIS) del servidor remoto desde ese escritorio.
09 MATTHEWS 01.indd 269 1/14/09 1:33:53 PM

Instale Servicio de administración

Servicio de administración le permite activar y configurar la administración remota de un
servidor Web, además de delegar la administración de servidor Web a no administradores.
Como opción predeterminada, Servicio de administración no está instalado. Para instalarlo:
1. Haga clic en Inicio|Administrador del servidor. En el árbol del servidor en la parte
izquierda de la pantalla, abra Funciones y dé clic en Servidor Web (IIS).
2. Bajo Servidor Web (IIS), a la derecha, recorra la pantalla hacia abajo y haga clic en
Agregar servicios de función.
3. En el Asistente para Agregar servicios de función, diríjase hacia abajo en la lista Ser-
vicios de función, hasta hacer clic en Servicio de administración. Si se le pregunta,
haga clic en Agregar características requeridas.
4. Haga clic en Siguiente y después en Instalar. Cuando la instalación esté completa,

haga clic en Cerrar.
Configure Servicio de administración

Una vez instalado, Servicio de administración se vuelve una característica de IIS para con-
figurarse desde IIS. Como opción predeterminada no se ejecuta y es necesario iniciarlo.
Hágalo así y configúrelo con estos pasos:
1. Abra el Administrador de Internet Information Services (IIS), ya sea al hacer doble
clic en su icono del escritorio, si lo puso ahí como se sugirió antes, o al hacer clic en
Inicio|Herramientas administrativas|Administrador de Internet Information Ser-
vices (IIS). Se abrirá el Administrador de Internet Information Services (IIS), con
una nueva página de inicio, como se muestra en la figura 9-8.
2. En el panel de la derecha, en la página de inicio, haga clic en Conectarse a localhost,
bajo Tareas de conexión.
3. En el panel central de Espacio de trabajo, busque la sección Administración y haga
doble clic en Servicio de administración.
09 MATTHEWS 01.indd 270 1/14/09 1:33:54 PM

Figura 9-8. La página de inicio de IIS aparece cuando se inicia el Administrador de servicio.
4. En el espacio de trabajo de Servicio de administración, haga clic en Habilitar co-

nexiones de manera remota y haga cualquier otro cambio a la configuración que sea
correcto para su situación. Mis configuraciones se muestran en la figura 9-9.
5. En el panel Acciones, haga clic en Iniciar. Se le pregunta si quiere guardar las con-
figuraciones de servicio. Haga clic en Sí. Se inicia el servicio y se inmovilizan las
configuraciones.
Use administración remota de IIS

Una vez que los servicios de administración funcionan, puede abrir y administrar cualquier
servidor IIS en la red de área local con los permisos apropiados. Aquí se muestra cómo:
1. Abra Administrador de Internet Information Services (IIS) al hacer doble clic en su
icono en el escritorio o al hacer clic en Inicio|Herramientas administrativas|Admi-
nistrador de Internet Information Services (IIS).
2. En la página de inicio, haga clic en Conectarse a un servidor. Se abrirá el asistente
Conectar a servidor.
09 MATTHEWS 01.indd 271 1/14/09 1:33:54 PM

Figura 9-8. Debe iniciarse Servicio de administración para administrar un servidor

Web de forma remota.
3. Inserte el nombre del equipo (el nombre de un equipo en la red, como “Servidor2”,
o puede ser una dirección IP, como 192.168.57.62), haga clic en Siguiente, escriba el
nombre de usuario y contraseña y haga clic en Siguiente. Si se le pregunta acerca
de un certificado, haga clic en Conectar y, cuando indique que la nueva conexión se
creó con éxito, haga clic en Finalizar. El nuevo servidor aparecerá en el árbol de servi-
dor, en la parte izquierda del Administrador de Internet Information Services (IIS).
NOTA El puerto administrativo predeterminado en el servidor es 8172, como tal vez haya
notado al configurar Servicio de administración. Si deja ese puerto, no necesita especificar
el puerto cuando inserta el nombre de servidor. Si utiliza algún otro puerto, necesitará in-
sertarlo. Por ejemplo, “Servidor2:8081” o “192.168.57.62:8081”.
4. Abra el nuevo servidor y después las carpetas bajo éste, como se muestra en la figura
9-10. Cuando haya terminado de revisar el servidor remoto, cierre el Administrador
de Internet Information Services (IIS).
09 MATTHEWS 01.indd 272 1/14/09 1:33:54 PM

Figura 9-10. Administración remota de un servidor Web IIS.
Cree sitios Web

Una vez que se hayan configurado servidor y administración, IIS 7 puede hospedar y admi-
nistrar los sitios Web, con la capacidad para manejar uno o varios sitios. Cada sitio puede
aparecer como ubicación separada para los navegadores Web de Internet. Cuando instala
IIS 7, se configura un sitio Web predeterminado. Puede publicar su contenido en este sitio
de forma inmediata. Sin embargo, casi todas las organizaciones inician con un sitio nuevo,
para personalizarse de acuerdo con las necesidades de la organización. Puede agregar nue-
vos sitios a un equipo al lanzar el Asistente para creación de sitio Web con las siguientes
instrucciones:
1. En el Administrador de Internet Information Services (IIS) (que se abre mediante
Inicio|Herramientas administrativas|Administrador de Internet Information Ser-
vices [IIS]), abra el servidor deseado como host y dé clic en la carpeta Sitios.
09 MATTHEWS 01.indd 273 1/14/09 1:33:55 PM

2. En el panel Acciones, haga clic en Agregar sitio Web. Se abrirá el cuadro de diálogo
Agregar sitio Web. Ingrese un nombre para el sitio e inserte o explore la ubicación
física de los archivos del sitio Web.
3. Bajo Enlace, inserte los elementos de la dirección que requiere enlazar a este sitio
(consulte la NOTA relacionada). Por ejemplo, escriba la dirección IP que habrá de
usarse con el sitio o abra el cuadro desplegable y dé clic en la dirección IP del servi-
dor. Acepte el puerto predeterminado 80 y deje Nombre de host en blanco.
NOTA Cada sitio debe tener al menos un componente único de tres elementos de di-
rección (dirección IP, puerto TCP o nombre de host); de otra forma, el sitio no iniciará y
obtendrá un mensaje de error indicando el problema cuando intenta instalarlo. Consulte
“Hospede varios sitios”, en la sección siguiente.
4. Cuando esté listo, haga clic en Aceptar. El nuevo sitio aparecerá en el Administra-
dor de Internet Information Services (IIS), como se muestra en la figura 9-11.
5. Haga clic en Examinar sitio Web para abrir el verdadero sitio Web en su explorador
predeterminado.
Hospede varios sitios

Varios sitos Web pueden hospedarse de manera simultánea en un solo equipo al ejecutar
IIS. Esto da la apariencia de sitios separados y distintos al navegante Web. Cada servidor IIS
tiene capacidad para hospedar uno o más nombres de dominio. Por esta razón, los sitios son
algunas veces conocidos como servidores virtuales.
09 MATTHEWS 01.indd 274 1/14/09 1:33:55 PM

Figura 9-11. El sitio Web predeterminado está enlazado a un puerto TCP, mientras
el segundo sitio está enlazado a una dirección IP.
Un sitio Web tiene tres elementos usados para identificarse en Internet o intranet.
Cuando se consulta, debe tener la capacidad para responder con cada una de las siguien-
tes configuraciones:
▼ Número de puerto
■ Dirección IP
▲ Nombre de encabezado host
Al cambiar uno de estos tres identificadores, puede hospedar varios sitios en un solo equipo:
▼ Números de puerto Al utilizar números de puerto adjuntos, su sitio sólo necesita
una dirección IP para hospedar más de un sitio. Para llegar a su sitio, los clientes ne-
cesitarían adjuntar un número de puerto (a menos que utilicen el número de puerto
predeterminado, 80) al final de la dirección IP estática. El uso de este método de
hospedaje de varios sitios requiere que los clientes escriban la dirección IP numérica
real seguida por un número de puerto, por ejemplo: 192.168.57.62:81. No se pueden
utilizar nombres de host ni “nombres amigables”
■ Varias direcciones IP Para usar varias direcciones IP, debe agregar el nombre de
host y dirección IP correspondiente a su sistema de resolución de nombre, que es
DNS en Windows Server 2008. Entonces los clientes sólo necesitan escribir el nombre
09 MATTHEWS 01.indd 275 1/14/09 1:33:55 PM

de texto en un explorador para llegar a su sitio Web. Es posible hospedar varias

direcciones IP en la misma tarjeta de red
NOTA Si usa el método de varias direcciones IP para hospedar varios sitios en Internet,
también necesitará registrar los nombres de texto con un registrador acreditado InterNIC.
Puede encontrar una lista de registradores acreditados InterNIC en http://www.internic.net/.
▲ Nombres de encabezado de host Los sitios también emplean nombres de encabe-

zado de host con una dirección IP estática para hospedar varios sitios. Al igual que
con el método anterior, todavía tendría que agregar el nombre de host a su sistema
de resolución de nombres. La diferencia es que tan pronto llega una solicitud al
equipo, IIS emplea el nombre de host asignado en el encabezado HTTP para de-
terminar qué sitio solicita un cliente. Si está utilizando este método para hospedar
varios sitios en Internet, también necesitará registrar los nombres de encabezado de
host con InterNIC
NOTA Esté consciente de que los exploradores antiguos no dan soporte a nombres de enca-
bezado de host. Sólo funcionarán IE 3.x y posterior, o Netscape Navigator 3.x y posterior.
Casi todo el hospedaje de varios sitios Web se hace con varios encabezados de host.
Administración del sitio Web

Siempre que su sitio esté en una intranet o Internet, los principios para publicar información
son los mismos. Aquí se muestran los pasos:
1. Los archivos Web se colocan en directorios en el servidor.
2. Los directorios se identifican en IIS como pertenecientes a un sitio Web.
3. Cuando el usuario establece una conexión HTTP con ese sitio, IIS envía los archivos
solicitados al explorador del usuario.
Aunque el proceso para almacenar archivos es simple, parte del trabajo del administra-
dor del sitio Web debe consistir en determinar cómo se implementa el sitio, en qué forma
evolucionará éste y el almacenamiento. La mayoría de administradores Web exitosos se
mantienen ocupados acomodando el contenido Web que cambia de manera constante. Retí-
rese un minuto del contenido y revise los conceptos de administración de la infraestructura
de un sitio Web, desde solicitudes de redireccionamiento hasta modificación dinámica de
páginas Web.
Defina directorios principales

Cada sitio Web debe tener un directorio principal, donde se almacena la información del
sitio raíz. Cuando un usuario inicia sesión en un sitio específico, IIS conoce directorio prin-
cipal y primer documento predeterminado que todos los usuarios ven cuando se conec-
tan, ofreciendo ese documento al explorador del usuario que lo pide para su traducción y
despliegue. Por ejemplo, si el nombre de dominio de Internet del sitio es www.miempre-
09 MATTHEWS 01.indd 276 1/14/09 1:33:55 PM

sa.com, su directorio inicial es C:\website\mysite\, mientras el documento predetermi-

nado es Default.htm; entonces los exploradores usarán el URL www.miempresa.com, que
causa el acceso de IIS a su directorio inicial C:\website\mysite\ y también la transmisión
del archivo Default.htm.
En una intranet, si su nombre de servidor es Mercadotecnia, entonces los exploradores
usarán el URL http://mercadotecnia para acceder a los archivos de su directorio principal.
Cuando se instala IIS o crea un nuevo sitio Web, se crea un directorio principal predetermi-
nado. Las propiedades del sitio Web determinan la ubicación de los archivos.
Cambie el directorio principal

Cuando configura sitios Web y FTP en el mismo equipo, se especifica un directorio inicial di-
ferente para cada servicio (WWW y FTP). El directorio inicial predeterminado para el servicio
WWW es C:\inetpub\wwwroot\. El directorio predeterminado para el servicio FTP es C:\
inetpub\ftproot\. El directorio inicial puede cambiar a cualquier ubicación de la red y presen-
tarse como URL o expresión de ruta. Aquí se muestra cómo cambiar el directorio de inicio:
1. En el Administrador de Internet Information Services (IIS), abra servidor local y
carpeta Sitios, haga clic en Default Web Site para elegirlo y haga clic en Configura-
ción básica en el panel Acciones.
2. Vaya a Ruta de acceso física y escriba el nombre de ruta, el nombre compartido
o URL (sólo WWW) de su directorio, como se muestra a continuación, para el
sitio Web predeterminado. Tiene las siguientes opciones:
▼ Un directorio ubicado en un disco duro de su equipo

■ Un directorio compartido ubicado en otro equipo
▲ Un redireccionamiento a un URL (no disponible con FTP)
Directorios virtuales
Los directorios virtuales permiten acceder a archivos ubicados en un directorio ajeno al di-
rectorio principal. Es una gran ventaja cuando intenta acceder a información para publicar
en una intranet alojada en varias ubicaciones de la red. El uso de directorios virtuales es una
09 MATTHEWS 01.indd 277 1/14/09 1:33:56 PM

forma de vincular esta información de manera más sencilla. Para el explorador, todo parece
estar en una misma ubicación. Para el administrador que debe recolectar todo, tal vez sea
más sencillo almacenar los datos de cada persona en un directorio virtual separado.
Un directorio virtual cuenta con un alias que el explorador Web utiliza para acceder
a dicho directorio. Como beneficio agregado, el uso de un alias suele ser más conveniente
que escribir una ruta de acceso larga y un nombre de archivo. Se hace innecesario cambiar
el URL del sitio cuando cambia el directorio; sólo es indispensable que cambie la asignación
entre alias y ubicación física.
Cree directorios virtuales Tiene la opción de crear directorios virtuales para incluir esos
archivos en su sitio Web, ubicado en directorios distintos del principal. Para usar un direc-
torio en otro equipo, especifique nombre de convención universal de asignación de nombres
(UNC, Universal Naming Convention) del directorio, bajo la forma \\nombredeservidor\
unidad\ruta\nombredearchivo; provea nombre de usuario y contraseña para el permiso de
acceso. Use los siguientes pasos para crear un directorio virtual:
1. En el panel Conexiones, del Administrador de Internet Information Services (IIS),
haga clic en el sitio Web al que quiere añadir un directorio virtual.
2. En el panel Acciones, haga clic en Agregar directorio virtual (o clic derecho en el
sitio y después seleccione esta misma opción en el menú contextual). Se abrirá el cua-
dro de diálogo Agregar directorio virtual.
3. Inserte el alias que quiere utilizar e inserte o explore la ruta que contiene los archi-
vos reales.
4. Haga clic en Aceptar. El directorio virtual aparecerá en el Administrador de Internet
Information Services (IIS), como se indica en la figura 9-12.
Elimine directorios virtuales Para eliminar un directorio virtual, recurra a los siguientes pasos:
1. En el panel Conexiones, del Administrador de Internet Information Services (IIS),
dé clic en el sitio Web con el directorio virtual que quiere eliminar.
2. En el panel Acciones, haga clic en Ver directorios virtuales, en el directorio y luego
en Quitar, en el panel Acciones. Haga clic en Sí, mientras esté seguro de que quiere
eliminar el elemento.
09 MATTHEWS 01.indd 278 1/14/09 1:33:56 PM

Figura 9-12. Los directorios virtuales permiten hacer referencia a archivos fuera del
directorio principal del sitio.
NOTA La eliminación de un directorio virtual no suprime directorio ni archivos físicos

correspondientes.
Detección y resolución de problemas de IIS

Muchos problemas afectan el rendimiento de IIS y sitios Web hospedados. Los problemas
tienen cuatro causas principales: hardware, software, actividad de sitio y configuraciones
incorrectas. El truco está en determinar cuáles de éstos están involucrados y después imple-
mentar una reparación. IIS 7 y el hardware que lo ejecuta son muy complejos e incluyen gran
cantidad de áreas que pueden utilizar configuraciones alternas. Además, efectuar cambios
en un área puede tener consecuencias no previstas en otra. Para atacar la complejidad de
esta situación, IIS 7 ha implementado varias herramientas nuevas y mejores para diagnosti-
car problemas, además de varias características que facilitan la resolución de problemas. Un
beneficio muy obvio de IIS 7 es su diseño modular, que permite suspender la instalación de
servicios de función o características que no están en uso y, por tanto, eliminar dicha área
para evitar que sea un problema.
Diagnóstico y resolución de problemas de servidores Web comienzan por aprender
cuanto puedan respecto a lo que pasa; para ellos, se empieza por examinar los mensajes de
09 MATTHEWS 01.indd 279 1/14/09 1:33:56 PM

error. Entonces podrá revisar los registros que IIS mantiene de la actividad Web e intenta
dar seguimiento a la manera en que responde el sitio a solicitudes Web. Por último, puede
buscar el rendimiento del servidor y ver dónde se encuentran los cuellos de botella.
Revisión de los mensajes de error

Como opción predeterminada, los mensajes de error producidos por Internet Explorer (IE)
son “amigables” y poco informativos, como se muestra en la figura 9-13. Es posible mejorar
esto al desactivar la característica “amigable”:
1. Haga clic en Inicio|Todos los programas|Internet Explorer.
2. En la barra de herramientas de Internet Explorer, haga clic en Herramientas|Opciones
de Internet y clic en la ficha Opciones avanzadas.
3. Recorra hacia abajo la lista de opciones y, bajo el encabezado Examinar, haga clic
para quitar la marca de Mostrar mensajes de error HTTP descriptivos.
Figura 9-13. Los mensajes de error predeterminados de Internet Explorer

no son muy informativos.
09 MATTHEWS 01.indd 280 1/14/09 1:33:57 PM

4. Intente abrir de nuevo la página que generó el error. Si todavía obtiene el mismo
error o uno con todavía menos información, intente revisar el mensaje de error en
IE, en el equipo servidor. Aquí, como opción predeterminada, deberá ver mensajes
de error detallados, como se muestra en la figura 9-14.
5. Si obtiene mensajes de error “amistosos” cuando abre IE directamente en el servi-
dor, abra el Administrador de Internet Information Services (IIS), haga clic en el
sitio Web, en el árbol Conexiones, en la parte izquierda, haga doble clic en Páginas
de errores, en el centro del panel Espacio de trabajo, y en el panel Acciones haga clic
en Modificar configuración de características.
6. En el cuadro de diálogo Modificar configuraciones de páginas de errores, haga clic
en Errores detallados para solicitudes… luego en Aceptar. Ahora, cuando abra el
sitio con error, obtendrá un mensaje detallado como el mostrado en la figura 9-14.
09 MATTHEWS 01.indd 281 1/14/09 1:33:57 PM

Figura 9-14. En las páginas de error detalladas obtendrá sugerencias sobre causas
y posibles reparaciones.
Revise los registros

IIS 7 mantiene extensos registros de lo que ocurre en un servidor Web y sitios hospedados.
Puede personalizar estos registros de acuerdo con sus necesidades y revisarlos de manera
sencilla.
1. Haga clic en Inicio|Herramientas administrativas|Administrador de Internet In-
formation Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en
el servidor cuyos registros quiere configurar; si es necesario, desplácese hacia abajo
en el panel Espacio de trabajo y haga doble clic en Registro.
09 MATTHEWS 01.indd 282 1/14/09 1:33:57 PM

2. Efectúe cualquier cambio deseado a Registro, observe el directorio donde se mantienen

los registros y, en el panel Acciones, haga clic en Aplicar. Intente abrir el sitio Web.
3. Haga clic en Inicio|Equipo y navegue al directorio examinado en el último paso
(%SystemDrive% suele ser la unidad C:). Despliegue las carpetas en el panel de la
izquierda; si no están allí, abra las carpetas Logs y LogFiles y haga doble clic en el
archivo de registro del día que quiera revisar. Se abrirá el Bloc de notas y desplegará
el archivo de registro.
La línea #Fields: del archivo de registro muestra los campos desplegados. (Puede con-
trolar los campos mostrados al hacer clic en Campos, en la característica Registro.) El
significado de los campos predeterminados se muestra en la tabla 9-2.
09 MATTHEWS 01.indd 283 1/14/09 1:33:58 PM

Nombre de campo Descripción

date La fecha en que ocurrió la solicitud.
time La hora en que ocurrió la solicitud.
s-ip La dirección IP del servidor.
cs-method Método HTTP utilizado en la solicitud.
cs-uri-stem Identificador universal de recursos (URI) que es el
objetivo de la solicitud.
s-port Dirección del puerto del servidor.
cs-username Nombre del usuario autentificado. Un guión es
un usuario anónimo.
c-ip Dirección IP del usuario.
cs (user-agent) El explorador utilizado para generar la solicitud.
sc-status Código de estado HTTP (código de error, como 404).
sc-substatus Código de subestado HTTP (código decimal de error,
como 1 en 404.1).
sc-win32-status Código de estado de Windows.
Time-taken Tiempo que toma la solicitud en milisegundos.
Tabla 9-2. Campos predeterminados utilizados en archivos de registro de IIS.
Los códigos de estado y subestado HTTP se describen en varios lugares de Internet,

pero tal vez el mejor sea TechNet de Microsoft en:
http://technet2.microsoft.com/windowsserver/en/library/852e7f92-58c3-
47f3-8b37-8a630839a90d1033.mspx\mfr=true.
Los métodos HTTP se describen en: http://www.w3.org/Protocols/rfc2616/rfc2616-
sec9.html.
Implemente el seguimiento
Seguimiento, un servicio de función de IIS 7 que no está instalado como opción predetermi-
nada, da seguimiento a solicitudes fallidas para diagnóstico y resolución de problemas del
rendimiento Web. Cuando instala, puede establecer un conjunto de reglas que generarán
entradas de registro mientras las reglas se cumplan. Las reglas pueden especificar códigos
de estado, métodos y demás productos finales. Utilice los siguientes pasos para instalar el
servicio de la función, configurar las reglas e implementar el seguimiento:
1. Haga clic en Inicio|Administración del servidor. En el árbol Administrador del
servidor, en la parte izquierda, abra Funciones y dé clic en Servidor Web (IIS).
Desplácese hacia abajo, en el panel de la derecha y haga clic en Agregar servicios
de función.
09 MATTHEWS 01.indd 284 1/14/09 1:33:58 PM

2. Desplácese a Servicios de función, haga clic en Seguimiento y luego en Siguiente, en

Instalar y luego en Cerrar.
3. Haga clic en Inicio|Herramientas administrativas|Administrador de Internet In-
formation Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en
el sitio Web al que quiere dar seguimiento.
4. En el panel Acciones, bajo Configurar, dé clic en Seguimiento de solicitudes con
error, clic en Habilitar, realice cualquier cambio deseado en directorio, número
máximo de archivos de seguimiento o ambos y clic en Aceptar.
5. Desplácese el Espacio de trabajo, en el centro, y haga doble clic en Reglas de
seguimiento de solicitudes con error.
6. En el panel Acciones, haga clic en Agregar, seleccione el contenido al que dará segui-
miento y clic en Siguiente. Seleccione las condiciones e inserte las especificaciones
que generarán una entrada de registro de seguimiento. Seleccione los proveedores de
seguimiento y clic en Finalizar. La norma se agregará a las reglas de seguimiento.
7. Haga clic en Inicio|Equipo, navegue al directorio C:\inetpub\logs\FailedReq-

LogFiles y abra la carpeta que ve. Por último, haga doble clic en el archivo XML.
Internet Explorer abrirá y desplegará el resumen.
8. Haga clic en la ficha Vista compacta, para ver los pasos de seguimiento y detalle de
cada paso, como se ilustra en la figura 9-15.
Revise el rendimiento del servidor

A medida que aumenta el tráfico del servidor Web y comienza a escuchar quejas acerca
de sitios lentos, querrá ver el rendimiento del servidor. El “servidor”, por supuesto, cubre
mucho, incluidos uso de memoria, carga del CPU, velocidad del disco y tráfico de red. El
Monitor de confiabilidad y rendimiento, mostrado en la figura 9-16, puede darle una idea
sustancial del rendimiento de su hardware.
09 MATTHEWS 01.indd 285 1/14/09 1:33:58 PM

Figura 9-15. El seguimiento puede darle muy buena idea de lo que está causando el problema.
Cuando diagnostique y repare problemas de IIS, necesita recolectar una línea base con-
tra la que pueda comparar los problemas. Para ello, aplique una carga de red típica y re-
gistre características de rendimiento del servidor, al utilizar el Monitor de confiabilidad y
rendimiento (“Perfmon”). Esto proporciona una imagen de la manera en que se evalúa el
servidor en relación con CPU, disco, red y memoria. Después, cuando el rendimiento sea
cuestionable, puede comparar la línea base con la situación actual y determinar dónde ocu-
rre un posible cuello de botella. Abra el Monitor de confiabilidad y rendimiento y después
considere y seleccione las medidas de rendimiento que quiere utilizar para establecer una
línea base para su servidor Web.
1. Haga clic en Inicio|Herramientas administrativas|Monitor de confiabilidad y ren-
dimiento o, de forma alterna, haga clic en Inicio, clic en Iniciar búsqueda, escri-
ba Perfmon y oprima enter. Se abrirá el Monitor de confiabilidad y rendimiento,
como se muestra en la figura 9-16.
09 MATTHEWS 01.indd 286 1/14/09 1:33:58 PM

Figura 9-16. El Monitor de confiabilidad y rendimiento da seguimiento al uso de recursos.
2. Haga clic en las flechas hacia abajo, en la parte derecha de cada una de las áreas de
recursos (CPU, Disco, Red y Memoria) y considere la forma en que la información
puede serle de utilidad.
3. En el panel de la izquierda, abra Herramientas de supervisión y haga clic en Mo-
nitor de rendimiento. Al principio, sólo verá el tiempo del procesador. Haga clic
en Agregar (la “X” verde en la barra de herramientas). En el cuadro de diálogo
Agregar contadores, que se abre, desplácese hacia abajo en la lista de contadores
disponibles y dé doble clic en los que esté interesado.
4. Haga clic en los contadores que quiera rastrear y haga clic en Agregar. Apenas haya
agregado todos los contadores que le interesan, haga clic en Aceptar. El Monitor de
rendimiento desplegará el seguimiento de todos los contadores que añadió, como
se muestra en relación con mis opciones, en la figura 9-17 (tal vez obtenga más in-
formación de seguimiento de la que pueda leer).
09 MATTHEWS 01.indd 287 1/14/09 1:33:59 PM

Figura 9-17. El Monitor de confiabilidad y rendimiento le permite dar seguimiento

a varias medidas de rendimiento.
El número de medidas de rendimiento o contadores y su diversidad puede ser atemo-

rizante. En el cuadro de diálogo Agregar contadores, obtendrá más información acerca de
cada contador, al seleccionarlo y hacer clic en Mostrar descripción. La explicación del conta-
dor y cómo se utiliza aparecerá en la parte inferior del cuadro de diálogo, como se observa
en la figura 9-18.
09 MATTHEWS 01.indd 288 1/14/09 1:33:59 PM

Figura 9-18. En la parte inferior del cuadro de diálogo se presenta información acerca
de cada contador disponible.
ENTIENDA Y ADMINISTRE LOS SERVICIOS

DE WINDOWS MEDIA
Servicios de Windows Media le permite la transmisión por secuencias de contenido multi-
media en todo tipo de redes. Estas redes pueden ser desde conexiones a Internet de marcado
telefónico y ancho de banda reducido, hasta redes de área local de ancho de banda elevado.
Servicios de Windows Media (denominado “Servicios de multimedia de transmisión por se-
cuencias”) es una función de servidor que se instala desde el Administrador del servidor:
1. Haga clic en Inicio|Administrador del servidor. En el árbol del servidor, en la parte
de la izquierda, haga clic en Funciones.
2. Bajo Resumen de funciones, en el panel de la derecha, haga clic en Agregar funcio-
nes y haga clic en Siguiente.
09 MATTHEWS 01.indd 289 1/14/09 1:33:59 PM

3. En la lista de funciones, haga clic en Servicios de multimedia de transmisión por se-

cuencias y en Siguiente. Lea la introducción a los servicios de multimedia de trans-
misión por secuencias y dé clic en Siguiente.
4. Si piensa que habrá de utilizarlo, haga clic en Administración basada en Web y
Agente de registro. Si se le pregunta si quiere agregar características requeridas
para Administración basada en Web y Agente de registro, haga clic en Agregar ser-
vicios de función requeridos y en Siguiente.
5. Se le pregunta si quiere usar Protocolo de transmisión en tiempo real (RTSP) o Pro-
tocolo de transferencia de hipertexto (HTTP), pero HTTP está atenuada porque el
puerto 80 es utilizado por conexiones HTTP normales (sin transmisión por secuen-
cias), haga clic en Siguiente, tres veces (pues también está instalando características
adicionales de IIS) y haga clic en Instalar.
6. Cuando se le indica que la instalación terminó, haga clic en Cerrar.
NOTA La transmisión de audio y video por secuencia permite la reproducción de multi-

media en equipos receptores mientras se descargan, en lugar de esperar que se descar-
guen completamente antes de reproducirlos. El Reproductor de Windows Media, incluido
en Windows XP y Vista, puede usarse para reproducir audio y video por medio de trans-
misión por secuencias.
Los Servicios de Windows Media

Al utilizar Servicios de Windows Media, un servidor de medios puede transmitir contenido
de audio y video por secuencias en Web. Para entender por qué esto es importante, es útil
comprender la forma en que trabaja una sesión HTTP típica. En primer lugar, un explorador
Web envía una solicitud de un URL en la red. El servidor Web que hospeda el URL responde
a la solicitud y descarga la información apropiada al explorador. Una vez que las páginas
Web se descargan del sitio, el explorador las despliega. Cuando el usuario hace clic en otro
vínculo, el explorador pide otro URL y el servidor responde. Esto funciona muy bien en
archivos de tamaño pequeño, como una página Web, pero los archivos de video y audio son
tan grandes, que esperar la descarga de los archivos en esta forma es como esperar el hor-
neado de un pastel. Los servicios de Windows Media utilizan la tecnología de transmisión por
secuencias para permitir la carga de un archivo de audio o video mientras todavía se está
descargando. Esto aumenta bastante la satisfacción del usuario que descarga el archivo.
Métodos de transmisión por secuencias

Existen dos formas de transmisión de audio y video por secuencias. Una utiliza un solo
servidor Web; la otra separa las tareas Web de las de transmisión de multimedia por secuen-
cias. El segundo método utiliza un servidor de transmisión de multimedia por secuencias,
para transmitir el audio o video, junto con un servidor Web utilizado para descargar el resto
de la información de la página Web.
Transmisión por secuencia con un Servidor Web El servidor envía los archivos de audio y vi-
deo en la misma forma que haría al enviar cualquier otro archivo. El cliente de transmisión
09 MATTHEWS 01.indd 290 1/14/09 1:34:00 PM

por secuencias almacena, o incluye en búfer una pequeña cantidad del audio o video trans-
mitido por secuencias, y después comienza la reproducción mientras continúa la descarga.
El almacenamiento temporal permite que la multimedia siga reproduciéndose sin interrum-
pirse durante periodos de congestión de red. En realidad, es normal que se interrumpa en
una conexión de marcado telefónico o cualquier otra conexión de baja velocidad. El cliente
recupera los datos en cuanto servidor Web, red y conexión de cliente lo permitan.
Transmisión por secuencia con un servidor multimedia Con un servidor multimedia, el primer
paso consiste en comprimir el archivo multimedia y copiarlo a un servidor multimedia de
transmisión por secuencias especializado (como Servicios de Windows Media de Micro-
soft). Después, se hace una referencia en la página Web para que IIS sepa cuándo y dónde
recuperar los datos de transmisión por secuencias para la página. Luego, los datos se envían
al cliente de tal forma que el contenido se entregue a la misma velocidad que transmite au-
dio y video comprimido. Servidor y cliente se mantienen en contacto durante el proceso de
entrega mientras el servidor multimedia de transmisión por secuencias puede responder a
cualquier retroalimentación del cliente.
Transmisión por secuencia con Servicios de Windows Media Diseñado de manera específica
para la tarea de entregar multimedia mediante transferencia por secuencia bajo pedido o en
vivo, en lugar de varios archivos pequeños de imagen y HTML, un servidor de Servicios de
Windows Media ofrece muchas ventajas sobre servidores Web estándar:
▼ Un rendimiento de red más eficiente
■ Mejor calidad de audio y video para el usuario
■ Soporte a características avanzadas
■ Escalabilidad a un buen costo para un gran número de usuarios
■ Protección de contenido con derechos de autor
▲ Varias opciones de entrega
Servicios de Windows Media, mostrados en forma de diagrama en la figura 9-19, cam-
bia automáticamente al protocolo apropiado, así que la configuración del lado del cliente
se vuelve innecesaria.
Figura 9-19. Los Servicios de Windows Media interactúan con un servidor Web para
proporcionar contenido al explorador del cliente.
09 MATTHEWS 01.indd 291 1/14/09 1:34:00 PM

Administre Servicios de Windows Media

Después de instalar Servicios de Windows Media, puede configurarlo y administrarlo de
manera continua, directamente con la ventana Servicios de Windows Media o mediante
administración Web. Revise la ventana de administración de Windows Media:
Haga clic en Inicio|Herramientas administrativas|Servicios de Windows Media.
Se abrirá la ventana Servicios de Windows Media. Abra el servidor local y haga clic en la
ficha Introducción para desplegar las ventanas mostradas en la figura 9-20. Los vínculos
abren archivos de ayuda que explican cómo completar varias funciones, mientras los botones
realizan funciones específicas. Empiece por probar el servidor Servicios de Windows Media.
Esto no sólo prueba su servidor de transmisión por secuencias, sino también configura la
transmisión por secuencias bajo pedido y describe ciertos conceptos clave sobre los medios
de Windows. Cuando haya terminado, cierre la ventana Servicios de Windows Media.
SUGERENCIA Además de utilizar la ventana Servicios de Windows Media, puede admi-

nistrar Servicios de Windows Media con el Administrador Web, si lo ha instalado. Haga clic
en Inicio | Herramientas administrativas | Servicios de Windows Media (Web).
Figura 9-20. Servicios de Windows Media ofrece los medios de transmisión por secuencias
en varios formatos.
09 MATTHEWS 01.indd 292 1/14/09 1:34:00 PM

CAPÍTULO 10
Red privada virtual
293
10 MATTHEWS 01.indd 293 1/14/09 1:30:45 PM

U
na red privada virtual (VPN, Virtual private network) utiliza una red pública insegura
para administrar el trabajo seguro en red. Lo más común hoy día es que esto signi-
fique extender o conectarse a una LAN mediante Internet, que reemplaza las líneas
arrendadas, redes agregadas de valor dedicado (VAN, Value Added Networks) o ambas, con
un ahorro considerable. VPN permite a un trabajador que viaja conectarse y utilizar la LAN
de una organización al conectarse a Internet y utilizarlo. El ingrediente clave en VPN es la
seguridad. VPN permite utilizar una red pública con un alto grado de certeza de que los datos
que se enviarán estarán asegurados. Puede pensar en VPN como una canalización segura
mediante Internet, que conecta equipos en cualquier punto, como se observa en la figura 10-1.
La información puede viajar a través de la canalización en forma segura, sin preocuparse por
el hecho de que sea parte de Internet. A este concepto de una canalización en Internet se le
denomina entunelamiento. El “túnel” asegurado se logra primero al cifrar los datos, incluido
su direccionamiento e información de secuencia (donde el fragmento individual de datos,
llamado “datagrama”, cabe en un mensaje más largo), que después encapsula o envuelve esos
datos cifrados en un nuevo encabezado de protocolo de Internet (IP, Internet Protocol), con in-
formación de enrutamiento y direccionamiento, como se muestra a continuación. El paquete
saliente puede entonces hilar su camino a través de servidores y enrutadores de Internet sin
exponer su datagrama interno y, como siempre debe ser, todavía cifrado.
Trama encapsulada
Encabezado
Datagrama cifrado
IP
VPN reemplaza las líneas concesionadas entre instalaciones y la necesidad de conexión

de marcación de larga distancia. Por ejemplo, antes de VPN, una compañía necesitaba
una línea concesionada entre la oficina principal y una sucursal en otra ciudad. Con VPN,
cada oficina sólo necesita una conexión local a Internet, tal vez de alta velocidad, que des-
pués se utiliza con VPN para transmitir información en forma segura entre oficinas. En otro
ejemplo, antes de VPN un trabajador en viaje de negocios debía hacer una llamada de larga
distancia en un servidor de acceso remoto para conectarse a la LAN de la compañía incurría
en un cargo de larga distancia. Con VPN, el trabajador utiliza una conexión a Internet del
hotel o coloca una llamada local a un proveedor de servicios de Internet (ISP, Internet Servi-
ce Provider) para conectarse a Internet, que después se utiliza con VPN para conectarse a la
LAN de la compañía. En ambos casos, se logran ahorros de costo importantes.
VPN establece una ruta de acceso segura a través de Internet desde un cliente conec-
tado a Internet en un extremo, hacia un servidor conectado a Internet en el otro. A esto
se llama conexión punto a punto. Una vez que la conexión se establece entre ambos puntos,
transporta la información como si se usara una línea privada, sin preocuparse de los demás
servidores ni enrutadores en la ruta, incluido un alto grado de seguridad. Esto se hace en
Windows Server 2008 y Windows Vista con uno de estos tres protocolos:
▼ Protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol)
■ Protocolo de entunelamiento nivel dos (L2TP, Layer Two Tunneling Protocol)
▲ Protocolo de entunelamiento de conectores seguros (SSTP, Secure Socket Tunne-
ling Protocol)
10 MATTHEWS 01.indd 294 1/14/09 1:30:46 PM

Capítulo 10: Red privada virtual 295
Figura 10-1. La red privada virtual puede hacerse mediante un túnel seguro a través
de Internet.
Protocolo de entunelamiento de punto a punto

El protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol)
fue desarrollado originalmente por Microsoft para crear una VPN con Windows NT 4 y
Windows 9x/Me. PPTP, que incorpora y extiende el protocolo de punto a punto (PPP,
Point-to-Point Protocol) así como cifrado punto a punto de Microsoft (MPPE, Microsoft Po-
int-to-Point Encryption), es el protocolo VPN más simple de instalar de todos y el estándar
de la industria (RFC 2637). Consulte el capítulo 5, bajo “Protocolos de red”, para conocer un
análisis sobre documentos estándar de red denominados solicitudes de comentarios (RFC,
Requests for Comments).
NOTA Si quiere utilizar VPN con Windows NT 4 o Windows 9x/Me, tiene que usar PPTP.
Protocolo de punto a punto

El protocolo de punto a punto (PPP), protocolo base para los tres protocolos de entunela-
miento (PPTP, L2TP y SSTP), se utiliza en muchas áreas de Internet —incluidas conexio-
nes de correo electrónico— y es un estándar de la industria definido en varios RFC, pero
principalmente 1661. PPP opera en la segunda capa, o de vínculo de datos del modelo de
10 MATTHEWS 01.indd 295 1/14/09 1:30:46 PM

interconexión de sistemas abierto (OSI, Open Systems Interconnection), como se ve en el

capítulo 5, bajo “El modelo OSI”; ofrece las funciones de compresión y encapsulamiento de
información, además de la autentificación de cliente y servidor. PPP está construido a partir
de dos protocolos más: el de control de vínculo (LCP, Link Control Protocol), para manejar
conexiones y autentificación, así como el de control de red (NCP, Network Control Proto-
col), para manejar compresión y encapsulamiento. El protocolo de red TCP/IP determina
las propiedades de NCP y la forma en que hace su trabajo.
PPP define la generación de una trama que toma el datagrama generado en la tercera
capa o red del modelo OSI (consulte el capítulo 5, “IP”, bajo “Protocolos de red”), lo compri-
me, encapsula, y añade información de dirección y control, para que se vea como esto:
Delimitador Control de Protocolo Delimitador

Dirección Variable FCS
inicial marco de red final
1 byte de datos 2 bytes
1 byte 1 byte 1 byte 1 byte
La trama PPP
▼ Delimitadores inicial y final marcan el inicio y final de la trama

■ Dirección es la dirección de destino
■ Control de marco es un número de secuencia para mantener el orden apropiado
■ Protocolo de red es el protocolo (IP) usado
■ Dato es el datagrama real que se transfiere
▲ FCS es una secuencia de revisión de marco usada para revisar errores
En PPP, LCP establece la conexión entre servidor y cliente y en seguida negocia entre
ambos equipos para determinar el tipo de autentificación que utilizará, además de varios
parámetros de vínculo, como la duración máxima de la trama. NCP se utiliza para determi-
nar el protocolo de red que habrá de utilizarse y después, basado en eso, la manera en que
el datagrama se comprimirá y encapsulará.
Aunque PPP tiene una función prominente en la autentificación, realmente no la lleva
a cabo; esa función la realiza uno de varios protocolos de autentificación. VPN y Windows
Server 2008 tienen varias opciones de protocolo de autentificación, cada uno con variantes.
Las dos recomendadas son:
▼ Protocolo de autentificación de desafío de saludo de Microsoft versión 2 (MS-CHAP
v2, Microsoft Challenge Handshake Authentication Protocol versión 2)
▲ Protocolo de autentificación extensible-Seguridad de nivel de transporte (EAP-TLS,
Extensible Authentication Protocol-Transport Level Security)
Protocolo de autentificación de desafío de saludo CHAP, el más común de los principales
métodos de autentificación y con más soporte; depende del uso de una contraseña conocida
por cliente y servidor en la autentificación. (CHAP se define en varios RFC, sobre todo el
1994.) Sin embargo, a diferencia de los métodos de autentificación anteriores, la contraseña
no se transmite durante la autentificación. En cambio, el servidor envía una cadena única de
caracteres llamada “cadena de desafío”. El cliente utiliza su contraseña y cadena de desafío
10 MATTHEWS 01.indd 296 1/14/09 1:30:46 PM

para calcular un hash de Compendio de mensaje que devuelve al servidor. Éste también cal-
cula el hash de acuerdo con su conocimiento de contraseña y cadena, que envía y compara
con el hash enviado al cliente. Si ambos hash son idénticos, el cliente se autentifica. Un hash
es un algoritmo o función muy fácil de calcular si conoce el origen de los datos, pero muy
difícil, si no imposible, calcular los datos del hash.
Microsoft ha desarrollado dos variantes de CHAP: MS-CHAP y MS-CHAP v2, diseña-
dos para trabajar desde Windows 9x hasta Vista, además de Windows Server 2003 y 2008,
que se usa con VPN. MS-CHAP difiere de CHAP sobre todo por el uso de un algoritmo
de hash de Compendio de mensaje, al cifrar desafío y forma. MS-CHAP v2 difiere de MS-
CHAP sobre todo porque es más seguro con claves de cifrado más fuertes, al autentificar el
cliente al servidor (como en CHAP y MS-CHAP) y el servidor al cliente, además de propor-
cionar claves de cifrado separadas para enviar y recibir información.
Protocolo de autentificación extensible Si en lugar de una contraseña, utiliza una tarjeta pequeña
u otro dispositivo para identificación, entonces EAP se utiliza para la autentificación. EAP, un
estándar de red definido en la RFC 2284, es una trama de trabajo general que permite un mé-
todo de autentificación arbitrario para negociarse y usarse. Con Windows Server 2008, VPN y
pequeñas tarjetas, EAP-TLS (seguridad de capa de transporte, Transport Layer Security) es el
protocolo de elección. EAP-TLS causa que los certificados se almacenen en el servidor y en una
tarjeta pequeña en el cliente que se intercambiará y, si los certificados se aceptan, para autenti-
ficar cliente y servidor. En el proceso, las claves de cifrado compartidas pueden intercambiarse,
junto con otra información. EAP-TLS proporciona un nivel muy alto de autentificación mutua.
Cifrado punto a punto de Microsoft

Una vez que se ha establecido la conexión PPTP, los extremos autentificados y los detalles
de transmisión negociados (todos ellos funciones de PPP), los datos que se transmiten deben
estar cifrados para ser seguros en Internet. Ésa es la función de MPPE. MPPE puede ofrecer
tres capas de cifrado mediante una clave privada de 40 bits, 56 bits o 128 bits (consulte el ca-
pítulo 15 para conocer una descripción acerca de las claves públicas y privadas, además del
uso de cifrado). Las claves se generan como parte del proceso de autentificación en MS-CHAP,
MS-CHAP v2 o EAP-TLS, así que debe usarse uno de estos métodos de autentificación.
Protocolo de entunelamiento de nivel dos

Mientras Microsoft estaba desarrollando PPTP, Cisco desarrolló un protocolo llamado Re-
envío de capa dos (L2F, Layer Two Forwarding) para hacer VPN. Esto se ha combinado con
PPTP para crear el segundo protocolo soportado por Microsoft en Windows 2000, hasta
Server 2008: L2TP. L2TP se ha vuelto el estándar más reciente de la industria, definido sobre
todo en RFC 2667 y aunque es el protocolo más seguro y robusto de los primeros dos VPN,
tiene muchas similitudes con PPTP, porque usa por completo PPP y, particularmente, lo
extiende para la autentificación, compresión y encapsulamiento. Sin embargo, a diferencia
de PPTP L2TP, como se ha implementado en las últimas versiones de Windows, usa segu-
ridad de protocolo de Internet (IPSec, Internet Protocol Security) para manejar cifrado en
lugar de MMPE (consulte RFC 2888). Esto es lo que hace L2TP más robusto y seguro.
NOTA En Windows Server 2008, L2TP está diseñado para ejecutar redes IP como Inter-
net, sin soporte directo a la ejecución en redes X.25, retransmisión de trama o ATM.
10 MATTHEWS 01.indd 297 1/14/09 1:30:47 PM

Seguridad de protocolo de Internet

IPSec es, en realidad, un conjunto de protocolos de autentificación y seguridad para operar
sin interferencia y en adición a otros protocolos utilizados. Por tanto, L2TP puede utilizar
servicios de autentificación de PPP y luego emplear la autentificación integrada en IPSec.
Como resultado, IPSec suministra seguridad sin divisiones de varios segmentos de una red
que, por ejemplo, comienza en una red privada, sale a una red pública y después vuelve a la
red privada, con la condición de que todas las redes empleen la misma IP. IPSec logra esto
mediante su autentificación y cifrado en la tercera capa o red del modelo OSI, más allá de
PPP, que opera en la segunda capa o vínculo de datos, como se ilustra en la figura 10-2. IPSec
puede utilizarse en una clave de 56 bits estándar de cifrado de datos (DES, Data Encryption Stan-
dard) o DES triple (3DES), que maneja tres claves DES de 56 bits para seguridad más elevada.
Protocolo de entunelamiento de conectores seguros

SSTP es el más reciente de los protocolos de entunelamiento, desarrollado para mejor ma-
nejo de firewalls y proxies Web. SSTP sólo puede utilizarse con Windows vista Service Pack
1 o posterior y Windows Server 2008. SSTP utiliza la capa de conector seguro (SSL, Secure
Socket Layer), con el protocolo de transferencia de hipertexto seguro (HTTPS, HyperText
Transfer Protocol Secure) para cifrar y encapsular tramas PPP, a la vez que transferirlas a tra-
vés del puerto 443 de TCP para pasar a través de firewall y proxies Web. Como en los otros
dos protocolos de entunelamiento, el uso de PPP por parte de SSTP proporciona autentifi-
cación EAP-TLS y MS-CHAP v2, mientras el uso de SSL emplea una opción de seguridad,
utilizada ampliamente en el nivel de transporte para hacer cifrado, negociación de clave y
revisión de integridad.
En la tabla 10-1 se muestra una comparación de los tres protocolos de entunelamiento.
Modelo OSI Protocolos VPN Protocolos de red
Aplicación
Presentación Aplicaciones
Sesión
Transporte
Red
Vínculo
de datos
Física
Figura 10-2. Cómo se relacionan los protocolos VPN con el modelo OSI y los protocolos de red.
10 MATTHEWS 01.indd 298 1/14/09 1:30:47 PM

Área PPTP L2TP SSTP

Uso con Windows 98/Me y NT 4 Sí No No
Uso con Windows 2000, XP, Vista, Sí Sí No
Server 2003
Uso con Windows Vista SP1 y Sí Sí Sí
Server 2008
Instalación sencilla Más fácil Más difícil Difícil
Facilidad de uso Más fácil Más difícil Difícil
Grado de seguridad (los datos Bueno Mejor Mejor
no se pueden leer)
Grado de integridad (los datos Ninguno Bueno Bueno
no se pueden modificar)
Grado de autentificación (fuente Ninguno El mejor Mejor
de datos verificada)
Tabla 10-1. Comparación entre los tres protocolos de entunelamiento.
PREPARE VPN
Para configurar VPN, necesita tener la red y los servicios de acceso remoto (RAS) confi-
gurados y en funcionamiento. Una vez hecho eso, configurar VPN es sólo una tarea de
habilitación y configuración. En el capítulo 6 se describió la manera de configurar la red,
y en el 8 se analizó cómo configurar RAS. Aquí, estos temas se revisarán brevemente, pero
debe consultar los primeros capítulos si tiene preguntas acerca de estos temas.
NOTA Es muy importante que sepa si RAS opera en forma correcta antes de configurar
VPN. Muy a menudo, un problema en RAS hace que VPN no funcione correctamente.
Revise el hardware de red y RAS

El hardware de red y RAS incluye como mínimo un adaptador de red y tal vez un disposi-
tivo de interfaz de comunicación, como un módem, adaptador de red digital de servicios
integrados (ISDN, Integrated Services Digital Network), línea de suscriptor digital (DSL,
Digital Suscriber Line) o enrutador en la red con conexión a una línea de comunicación DSL, T-1
o retransmisión de tramas. Suponiendo que este hardware se ha instalado según las ins-
trucciones del fabricante, entonces lo más probable es que se haya configurado en forma
automática en Windows Server 2008, cuando se instaló el sistema operativo o hardware
y lo detectó el sistema operativo. Aquí sólo debe asegurarse de haber instalado la unidad
correcta y que el dispositivo opera en forma adecuada. Puede hacer ambas cosas con el Ad-
ministrador de dispositivos y estas instrucciones:
1. Haga clic en Inicio|Panel de control y haga doble clic en Administrador de dispositivos.
2. Abra el equipo local y Adaptadores de red y dé doble clic en el adaptador de red que
quiera revisar. Se abrirá el cuadro de diálogo Propiedades correspondiente a ese dis-
positivo, como se muestra en la figura 10-3.
10 MATTHEWS 01.indd 299 1/14/09 1:30:47 PM

Figura 10-3. Puede revisar si un dispositivo está funcionando mediante el Administrador

de dispositivos.
3. Si el dispositivo trabaja en forma correcta, deberá ver una frase que lo indique,
como se observa en la figura 10-3. En este caso, haga clic en Aceptar y cierre el cua-
dro de diálogo Propiedades.
4. Si la NIC no opera en forma correcta, es posible que se le den indicaciones sobre
cuál es el problema. Si se indica que existe un problema con el controlador, haga clic
en la ficha Controlador y luego en Actualizar controlador. En caso de que haya un
problema para compartir recursos, haga clic en la ficha Recursos y vea si señala
dónde está el problema; de ser así, haga clic en Cambiar configuración y realice los
cambios necesarios. Si existe otro inconveniente, no pudo corregir un controlador o
resolver el problema, regrese al capítulo 6, con más detalles sobre la configuración
de un nuevo adaptador de red.
5. Cuando tenga el adaptador de red instalado apropiadamente, cierre su cuadro
de diálogo Propiedades y, si está presente, abra el cuadro de diálogo Propieda-
des, del dispositivo de comunicaciones en su equipo. Debe ver, una vez más, un
resumen del estado del dispositivo. Si se trata de un módem, haga clic en la ficha
Diagnóstico, luego en Consultar módem. Después de esperar unos momentos,
deberá ver una lista de comandos y respuestas. No importa si obtiene “Coman-
do no permitido”, siempre y cuando obtenga respuestas con un aspecto normal,
como aquí se ve (en el capítulo 8 se muestra información más detallada sobre
la configuración de un módem):
10 MATTHEWS 01.indd 300 1/14/09 1:30:48 PM

6. Si el dispositivo opera en forma correcta, haga clic en Aceptar para cerrar el cuadro
de diálogo Propiedades. De otra forma, utilice un procedimiento similar al paso 4
para aislar y corregir el o los problemas. Cuando haya terminado, cierre el cuadro
de diálogo Propiedades y la ventana Administrador de dispositivos.
Aunque tal vez considere que el hardware no es problema, es sabio revisarlo y eliminar-
lo como una posible razón por la que VPN no funciona.
Configure la red
Cuando se instala hardware Plug and Play o Windows Server 2008 está instalado y detecta
hardware de red Plug and Play, los componentes de red de Windows Server 2008 se instalan
automáticamente. Ya que ha determinado que su hardware está instalado y en operación, lo
más probable es que la red también lo esté. Revise esto aquí:
compartidos y observe si está conectado a una red y tal vez a Internet. Si es así, la
red se ha configurado en el servidor que revisa.
2. Haga clic en Ver estado. Se abrirá el cuadro de diálogo Estado de Conexión de área
local y mostrará una importante actividad de bytes enviados y recibidos.
10 MATTHEWS 01.indd 301 1/14/09 1:30:48 PM

3. Haga clic en Propiedades. Debe abrir-

se el cuadro de diálogo Propiedades y
mostrar los componentes configurados
para la conexión. Éstos deben incluir,
como mínimo, Compartir impresoras y
archivos para redes Microsoft y Proto-
colo de Internet versión 4 (TCP/IPv4),
y tal vez Cliente para redes de Micro-
soft, como se muestra aquí.
4. Haga doble clic en Protocolo de Inter-
net versión 4 (TCP/IPv4) para abrir su
cuadro de diálogo Propiedades. Lo que
aparece aquí dependerá de la función
de este equipo en la red. Al menos, un
servidor debe tener una dirección IP
estática o fija (al seleccionar la opción
Usar la siguiente dirección IP) y ser
el servidor DHCP (protocolo de con-
figuración de host dinámico) y DNS
(sistema de nombre de dominio).
5. Cierre Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), Propiedades de
Conexión de área local, Estado de Conexión de área local y Centro de recursos y
redes compartidas.
6. Si encontró en el paso 4 que este servidor tenía una dirección IP fija, entonces revise
DHCP al hacer clic en Inicio|Herramientas administrativas|DHCP y al abrir el ser-
vidor local. Debe ver que la lista de servidores incluya una flecha verde apuntando
hacia arriba (indicando que el servicio está habilitado) y al menos un ámbito.
10 MATTHEWS 01.indd 302 1/14/09 1:30:48 PM

7. Cierre la ventana DHCP. Si cualquiera de los pasos anteriores no produjo los re-
sultados esperados o se observó algún problema, regrese al capítulo 6 y revise la
configuración de red.
8. Si está utilizando Active Directory, haga clic en Inicio|Herramientas adminis-
trativas|Usuarios y equipos de Active Directory, abra el dominio local y después
haga clic en Users. Haga doble clic en el usuario al que quiere permitir la conexión
por marcado telefónico (o cree un nuevo usuario, si es necesario; consulte el ca-
pítulo 6), haga clic en la ficha Marcado, en Permitir acceso y en Aceptar. Cierre la
ventana Usuarios y equipos de Active Directory.
SUGERENCIA Para RAS y, en especial, VPN, necesita una dirección IP estática asigna-
da por una autoridad de Internet. En otras palabras, necesita una dirección IP aceptable
a través de Internet, no una, como 10.0.0.2, asignada por usted.
Configure un servicio de acceso remoto

RAS se habilita en Windows Server 2008, al establecer una función de servidor para éste
como parte de Servicios de directivas y acceso a red, como se describió en el capítulo 8.
Una vez que los Servicios de directivas y acceso de red están configurados, RAS se habilita
y configura a través de Herramientas administrativas. Para esto, deberá tener privilegios
administrativos y usar estos pasos:
1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto, para
abrir la ventana del mismo nombre. El servidor local debe tener una flecha roja apun-
tando hacia abajo, si no está habilitado, o una flecha verde hacia arriba, si lo está.
2. Si RAS no está habilitado, elija el servidor local (el equipo en que trabaja), haga clic
en el menú Acción y clic en Configurar y luego en habilitar Enrutamiento y acceso
remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acce-
so remoto. Haga clic en Siguiente.
3. Haga clic en Acceso remoto (acceso telefónico o red privada virtual), luego en
Siguiente. Haga clic en Acceso telefónico (asegúrese de que funciona, antes de se-
leccionar VPN) y dé clic en Siguiente.
4. Si tiene varias conexiones de red, haga clic en la que quiera que sus clientes RAS
utilicen, luego en Siguiente. Haga clic en Automáticamente, en la opción de asignar
direcciones IP, pues no tiene un servidor DHCP.
5. Haga clic en Siguiente. Seleccione si quiere utilizar el servicio de usuario de acceso
telefónico de autentificación remota (RADIUS, Remote Authentication Dial-In User
Service) para más de una RAS. Proporciona otro nivel de autentificación, necesario
o no. Haga clic en Siguiente.
6. Revise el resumen de su selección, haga clic en Atrás para efectuar cualquier cambio,
después haga clic en Finalizar. Se indica que dé soporte a transmisión de mensajes
DHCP del cliente; el Agente de transmisión DHCP debe estar configurado. Haga
clic en Aceptar. Si su servidor DHCP está en la misma subred que el RAS, como
suele estarlo, no necesita un Agente de transmisión DCHP.
10 MATTHEWS 01.indd 303 1/14/09 1:30:48 PM

Cuando RAS se ha habilitado y configurado, como se hace en los pasos anteriores, su

ventana RAS deberá verse como ésta.
Pruebe RAS
Es muy tentador en este punto adelantarse y configurar VPN; después de todo, ése es el
objetivo. Pero es prudente cerciorarse de que RAS funciona apropiadamente antes de seguir
adelante. Para probar RAS, debe tener una conexión por marcado en un cliente. Se supone
que el cliente ejecuta XP o Vista y que el servidor es Windows Server 2008; ambos tienen
conexión de comunicación, tal vez ya instalada y en ejecución al utilizar el módem (en el
capítulo 8 se muestran instrucciones para instalar un módem).
Configure una conexión de marcado telefónico

Si no ha configurado aún una conexión de marcado telefónico en el cliente, hágalo con
estos pasos:
NOTA Tal vez la interfaz de usuario del cliente sea diferente si utiliza un sistema opera-
tivo diferente de Windows Vista.
1. En un equipo de cliente Windows Vista, haga clic en Iniciar. Si tiene una red o co-
nexión a Internet, haga clic en Conectar a. Si tiene una conexión de marcado telefó-
nico, vaya a la siguiente sección.
2. Si tiene una conexión de red, pero no una conexión de marcado telefónico, haga clic
en Configurar una conexión o red.
3. Si no tiene una conexión de red existente, haga clic en Inicio|Panel de control y
haga doble clic en Centro de redes y recursos compartidos. En el cuadro de diálogo
Centro de redes y recursos compartidos que se abre, haga clic en Configurar una
conexión o red, en el panel Tareas, a la derecha.
4. En cualquier caso, haga clic en Configurar una conexión de acceso telefónico y en
Siguiente. Inserte el número telefónico del servidor incluyendo, si es necesario, un “1”
en el código de área. Escriba nombre de usuario y contraseña provistas por el admi-
nistrador del servidor.
10 MATTHEWS 01.indd 304 1/14/09 1:30:49 PM

5. Ingrese un nombre para la conexión. Si tiene varios perfiles en el cliente, determine

si quiere la conexión para que cualquiera la use y haga clic en Conectar. Debe ser
capaz de conectarse al servidor. Asegúrese de esto antes de seguir adelante.
Utilice RAS
Con una conexión de marcado telefónico configurada en el cliente y un servidor de acceso
remoto, configurado y habilitado en el servidor, puede utilizar RAS con estos pasos:
1. Inicie sesión en el cliente de marcado, como haría normalmente. Después, en el
cliente, haga clic en Inicio|Conectar a, haga clic en la conexión de acceso telefónico
que quiere usar y en Conectar.
2. Conforme sea necesario, ingrese el nombre de usuario apropiado, contraseña y tal
vez el dominio y haga clic en Marcar. Verá mensajes indicando que marca el número
escrito, se revisan nombre de usuario y contraseña, el equipo se está registrando en
la red y la conexión se efectuó. Haga clic en Cerrar. El icono de conexión aparecerá
a la derecha de la barra de tareas.
3. Pruebe la conexión en el cliente al hacer clic en Inicio|Red, y los dominios o grupos
de trabajo, equipos, unidades y carpetas a los que quiera acceder. Si puede ver car-
petas y archivos, la conexión de acceso remoto está funcionando.
4. Pruebe la conexión en el servidor al hacer clic en Inicio|Herramientas administrati-
vas | Enrutamiento y acceso remoto. En la ventana Enrutamiento y acceso remoto,
abra el servidor local y haga clic en Clientes de acceso remoto. Deberá ver que al
menos está conectado un cliente, como éste:
5. Cuando haya terminado de probar la conexión RAS, puede concluirla al hacer

doble clic en el icono de la conexión en la barra de tareas del cliente y después en
Desconectar, en el cuadro de diálogo que se abre.
10 MATTHEWS 01.indd 305 1/14/09 1:30:49 PM

Con RAS totalmente accesible desde un cliente de marcado remoto, sabe que todo, ex-
cepto los componentes VPN únicos, es totalmente operativo en ambos equipos que probó.
Si no funciona su conexión RAS de marcado telefónico, vaya al capítulo 8, donde se analiza
esto en detalle.
CONFIGURE UN SERVIDOR VPN

VPN, como RAS, tiene componentes de cliente y servidor. La instalación más común, descri-
ta aquí, es para el cliente (suponiendo que ejecuta Windows Vista) para tener una conexión
a Internet y que el tráfico viaje por Internet al servidor (suponiendo que ejecuta Windows
Server 2008), donde una terminación VPN se encuentra activa y abre el acceso a la LAN.
Revise cómo se hace esto, primero en cuanto a la configuración del servidor, después en la
configuración necesaria en el cliente.
Reconfigure RAS
VPN requiere que tenga RAS configurado para VPN, así que en las siguientes instrucciones
se supone que ha recorrido los pasos en secciones previas y debe volver a configurar RAS:
1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remo-
to. Haga clic derecho en el servidor local, clic en Deshabilitar Enrutamiento y acceso
remoto. Responda Sí si quiere eliminar el servicio RAS.
2. Con el servidor local todavía seleccionado, haga clic en el menú Acción y dé clic
en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para
instalación de Enrutamiento y acceso remoto. Haga clic en Siguiente.
3. Si tiene dos adaptadores de red en su servidor (uno para VPN y otro para LAN),
haga clic en Acceso remoto (acceso telefónico o red privada virtual), como se mues-
tra en la figura 10-4; de otro modo, haga clic en Configuración personalizada.
Después dé clic en Siguiente. También en Acceso a VPN y en Siguiente. Si aparece,
acepte la opción predeterminada de asignar la dirección IP automáticamente al uti-
lizar su servidor DHCP. En seguida haga clic en Siguiente.
4. Si se le ofrece la opción, decida si usará Servicio de usuario de acceso telefónico
de autentificación remota (RADIUS), para administrar la autentificación de varios
servidores RAS. Si sólo tiene un servidor RAS, la respuesta es obvia; si tiene va-
rios, entonces RADIUS valdría la pena. Haga clic en Siguiente.
5. Se le indica que ha completado con éxito el Asistente para la instalación del servidor
de enrutamiento y acceso remoto. Haga clic en Finalizar.
6. Haga clic en Iniciar servicio. Tal vez se le diga que para dar soporte a la transmi-
sión de mensajes de cliente DHCP, debe estar configurado el Agente de transmisión
DHCP. Si es así, haga clic en Aceptar. Si su servidor DHCP está en la misma subred
que su servidor VPN, no necesita un Agente de transmisión DHCP. RAS se configu-
rará para VPN.
7. En la ventana Enrutamiento y acceso remoto, abra el servidor local y dé clic en
Puertos. Aquí existen inicialmente los puertos 128 PPTP, 128 L2TP y 128 SSTP con-
figurados para VPN, algunos de los cuales se muestran en la figura 10-5.
10 MATTHEWS 01.indd 306 1/14/09 1:30:49 PM

Figura 10-4. Configuración de RAS para VPN.
Figura 10-5. Puertos VPN que se han configurado en RAS.
10 MATTHEWS 01.indd 307 1/14/09 1:30:50 PM

En este punto, necesita seleccionar cuál de los tres protocolos VPN quiere usar y des-
pués configurarlo.
Configure un servidor PPTP

De los tres protocolos de VPN, PPTP es el que se configura con mayor facilidad y puede uti-
lizarse con gran variedad de clientes, desde Windows 95 (con una actualización 1.3 de Red
de marcado telefónico) hasta Windows Server 2008, pero proporciona un nivel de seguridad
más bajo. Puede configurar PPTP y ajustar el número de puertos con estos pasos:
1. Haga clic derecho en Puertos, en el panel de la izquierda, de la ventana Enruta-
miento y acceso remoto, haga clic en Propiedades. Se abrirá el cuadro de diálogo
Propiedades de Puertos.
2. Haga clic en Minipuerto WAN (PPTP), después en Configurar. Se abre el cuadro de
diálogo Configurar dispositivo - Minipuerto WAN (PPTP), como éste.
3. Dado que usa VPN en Internet y no quiere que el cliente marque y entre a través del
módem del servidor, quite la marca de Conexiones de enrutamiento de marcado a
petición (entrada y salida). Configure un número de puertos PPTP razonable que
utilizará y haga clic en Aceptar. Haga clic en Sí, en caso de preferir un número bajo
de puertos (si así lo desea); haga clic en Aceptar para cerrar Propiedades de Puertos.
Cierre la ventana Enrutamiento y acceso remoto.
NOTA En este punto, suele ser una buena idea pasar a “Configure un cliente VPN”, confi-
gurar el cliente e intentar la conexión PPTP como se describe aquí. Cuando PPTP funcione,
puede regresar e intentar L2TP y SSTP, que causan muchos problemas para la mayoría.
Configure un servidor L2TP

L2TP puede utilizarse con Windows 2000 y versiones más recientes de Windows, que sumi-
nistra mayor grado de integridad, autentificación y confidencialidad de datos. También
es más difícil configurar por la necesidad de definir seguridad adicional e infraestructura
10 MATTHEWS 01.indd 308 1/14/09 1:30:50 PM

de autentificación. Debido a que L2TP utiliza IPSec y la forma más común de IPSec usa cer-
tificados de equipo para autentificación, debe tener una autoridad de certificación activa en
red y tenerla configurada para enviar certificados en forma automática a equipos de VPN.
Entonces, los primeros pasos consisten en instalar o confirmar la presencia de una auto-
ridad de certificado y autentificar que está configurada en forma adecuada. Después es
posible configurar los filtros —parte integral de IPSec— y, por último, elegir L2TP a través
de IPSec y configurar sus puertos.
Instale y configure una autoridad de certificado

Si no está seguro de tener instalada una autoridad de certificado en su LAN o sabe que no
lo está, siga estas instrucciones para revisarla o instalarla y configurarla (debe iniciar sesión
como administrador o administrador de dominio):
SUGERENCIA Si no tiene instalado Active Directory, lo va a necesitar, así que debe insta-
larlo antes de instalar Servicios de certificado de Active Directory. Consulte el capítulo 7.
1. Haga clic en Inicio|Administrador del servidor; en el árbol de la izquierda, haga

clic en Funciones; en el panel de la derecha, bajo Funciones, haga clic en Agregar
funciones, luego en Siguiente.
2. Haga clic en Servicios de Certificate Server de Active Directory, si no está ya marca-
do (en caso de estarlo, Servicios de Certificate Server se encuentra instalado en este
quipo y puede saltarse a la siguiente sección). Haga clic en Siguiente, lea el aviso
que pregunta si instala Servicios de Certificado, no podrá cambiar el nombre del
equipo y haga clic una vez más en Siguiente.
3. Haga clic en cada una de las opciones de autoridad de certificación para determinar
los que necesita. Para usar sólo L2TP, es necesaria la primera opción, Entidad de
certificación. Haga clic en Siguiente cuando esté listo.
4. Si no está utilizando Active Directory, deje la opción predeterminada Independien-
te; de otra forma, haga clic en Empresa y, en ambos casos, haga clic en Siguiente.
5. Si está instalando la primera autoridad de certificación, haga clic en CA raíz; de otra
forma, haga clic en CA subordinada, luego en Siguiente.
6. Si no tiene una clave privada o quiere crear una nueva, haga clic en Crear una nueva
clave privada; de otra forma, haga clic en Usar clave privada existente. En cualquier
caso, haga clic en Siguiente. Si está creando una nueva clave, puede seleccionar
proveedor de servicios de cifrado (CSP, Cryptographic Service Provider), tamaño
de la clave y algoritmo de hash. En casi todos los casos, excepto si usa tarjetas inte-
10 MATTHEWS 01.indd 309 1/14/09 1:30:50 PM

ligentes, quizás quiera dejar las opciones predeterminadas, como se muestra en la

figura 10-6. Si está utilizando tarjetas inteligentes, tal vez necesite seleccionar un
CSP manejado por la tarjeta.
Figura 10-6. Puede configurar las opciones criptográficas para su clave privada,
pero en casi todos los casos las predeterminadas son adecuadas.
7. Haga clic en Siguiente, inserte el nombre de la CA y dé clic de nuevo en Siguiente.

Seleccione el periodo de validez o deje la opción predeterminada de 5 años y una
vez más dé clic en Siguiente.
8. Se le muestra dónde se almacenarán las bases de datos de certificado y registro.
Cámbielo si así lo desea y haga clic en Siguiente. Se despliega el resumen de sus
opciones. Si quiere cambiar cualquier cosa, haga clic en Anterior. Cuando esté listo,
haga clic en Instalar.
9. Dé clic en Cerrar cuando se le indique que completó exitosamente la instalación.
Cierre el Administrador del servidor.
Administre una autoridad de certificado

Una vez instalado CA, puede administrarse en la ventana Entidad de certificación. Aquí se
muestra cómo:
10 MATTHEWS 01.indd 310 1/14/09 1:30:51 PM

1. Haga clic en Inicio|Herramientas administrativas|Certification Authority (si acaba de

instalarlo, es probable que Certification Authority esté fuera de la secuencia alfabética).
2. En el panel de la izquierda, abra el servidor local y haga clic en Certificados emiti-
dos. Deberá ver al menos el certificado emitido al servidor, como se muestra aquí
(si no ve el certificado, reinicie el servidor y deberá aparecer el certificado):
3. Haga clic derecho en el certificado, en el panel de la derecha y haga clic en Abrir.

Aquí, puede ver quién lo envió, las fechas en que será válido y el tipo de clave pú-
blica usada. Haga clic en Aceptar para cerrar el certificado.
4. Haga clic derecho en el servidor local; en el panel de la izquierda, seleccione Todas
las tareas. En el submenú, puede detener la emisión de certificados, realizar copias
de seguridad y restaurar el CA.
5. De regreso en el menú contextual con Todas las tareas, haga clic en Propiedades. En el
cuadro de diálogo Propiedades que se abre, haga clic en la ficha Módulo de directivas
y, de nuevo, haga clic en Propiedades. En la ficha Tratamiento de la solicitud puede
seleccionar envío manual o automático de certificados, como se observa aquí:
6. Cierre el cuadro de diálogo Propiedades. De regreso en la ventana Entidad de cer-

tificación, verá una carpeta Solicitudes pendientes. Si seleccionó la emisión manual
de certificados, entonces todas las solicitudes de certificados irán en esta carpeta.
Cuando haya terminado de ver la ventana Autoridad de certificación, ciérrela.
10 MATTHEWS 01.indd 311 1/14/09 1:30:51 PM

Inicie y configure IPSec

IPSec se controla mediante directivas de grupo, que pueden configurarse en varios niveles,
de los cuales el principal es el dominio. Esto significa que debe tener Active Directory (AD)
configurado y el servidor que hospeda VPN debe ser un controlador de dominio. Consulte
el capítulo 7 para conocer cómo configurar AD y los controladores de dominio. Suponiendo
que está en un controlador de dominio AD, inicie y configure IPSec en el nivel de dominio al
configurar primero la administración de directiva de grupo:
1. Haga clic en Inicio|Administrador del servidor, luego haga clic en su servidor, en el árbol
de la izquierda. Abra Funciones y dé clic en Servicios de acceso y directivas de redes.
2. En el panel de la derecha, haga clic en Agregar servicios de función. Dé clic en
Servidor de directivas de redes, Servicios de enrutamiento y acceso remoto, así
como en Protocolo de autorización de credenciales de host. Cuando haga clic en
cada uno, lea su descripción a la derecha. Dé clic en Protocolo de autorización de
credencial de host. Haga clic en Agregar servicios de función requeridos.
3. Dé clic en Siguiente. Acepte la opción predeterminada de seleccionar un certificado
existente para cifrado SSL, haga clic en su nuevo servidor de certificado, y clic en
Siguiente. Haga clic de nuevo en Siguiente en la página Servidor Web (IIS). En la
lista Servicios de función, verá que se han marcado varios servicios.
4. Haga clic en Siguiente y revise las funciones y servicios que está a punto de ins-
talar. Si quiere cambiar algo, haga clic en Anterior. Cuando esté listo, dé clic en
Instalar. Cuando se le diga que la instalación terminó, cierre.
5. Mientras sigue en el Administrador del servidor, en el árbol en la izquierda, haga
clic en Características y, en el panel de la derecha, clic en Agregar características.
En la lista de características, dé clic en Administración de directiva de grupo (si
no está instalado), clic en Siguiente y luego en Instalar. Cuando la instalación esté
completa, dé clic en Cerrar y cierre el Administrador del servidor.
6. Haga clic en Inicio|Herramientas administrativas|Administración de directivas
de grupo. Abra el bosque y los dominios, después abra su dominio. Dé clic derecho
en Default domain policy y luego clic en Editar.
7. En el panel de la izquierda, haga doble clic en Configuración del equipo, Directivas,
Configuración de Windows, Configuración de seguridad y Directivas de seguridad
IP en Active Directory. Haga clic en el menú Acción y en Crear directiva de seguri-
dad IP. Se abre el Asistente para directivas de seguridad IP. Haga clic en Siguiente.
8. Ingrese nombre y descripción de directiva y dé clic en Siguiente. Si sólo usa equipos
con Windows Vista como clientes VPN, no acepte la activación automática de la
regla de respuesta predeterminada, que responde automáticamente a los equipos
remotos requiriendo seguridad. Haga clic en Siguiente, asegúrese de marcar Editar
propiedades, dé clic en Finalizar.
9. Se abrirá el cuadro de diálogo Propiedades para su nueva directiva, con un solo
filtro IP. Haga clic en Agregar. Se abrirá el Asistente para reglas de seguridad.
Clic en Siguiente.
10 MATTHEWS 01.indd 312 1/14/09 1:30:51 PM

10. Haga clic en los extremos del túnel que se especifican con estas direcciones IP e in-
serte la dirección IP del equipo con el que se conectará el servidor. Clic en Siguiente,
Acceso remoto y Siguiente.
11. Haga clic en All IP Traffic, para usar el filtro IP, dé clic en Siguiente y en Permit y, de
nuevo, en Siguiente; después en Finalizar. Cierre el cuadro de diálogo Propiedades
de la directiva.
12. En la ventana Editor de administración de directivas de grupo, dé clic derecho en su
nueva directiva IPSec, en el panel de la derecha, y clic en Asignar, como se muestra
en la figura 10-7. Deje Directivas de seguridad IP, bajo Configuración de seguri-
dad en la ventana abierta Editor de administración de directivas de grupo.
Empiece a emitir certificados

Certificados como IPSec se controlan mediante directivas de grupo en varios niveles. Em-
piece por enviar certificados en el nivel del dominio; al conectar los equipos que los requie-
ran a la LAN, siga estos pasos:
1. En el panel de la izquierda de la ventana Editor de administración de directiva de
grupo, bajo Configuración de seguridad, haga clic en Directivas de clave pública.
En el panel de la derecha, dé clic derecho en Configuración de la solicitud de certi-
ficados automática y clic en Nuevo|Solicitud de certificados automática. Se abrirá
el Asistente para instalación de solicitud automática de certificado.
Figura 10-7. La configuración de IPSec es parte importante de la configuración de L2TP.
10 MATTHEWS 01.indd 313 1/14/09 1:30:51 PM

2. Haga clic en Siguiente, luego en Equipo, como la plantilla de certificado que habrá
de usarse; clic en Siguiente, luego en Finalizar.
3. Con Directivas de clave pública|Configuración de la solicitud de certificados auto-

mática abierta en el panel de la izquierda de la ventana Editor de administración
de directivas de grupo, en el panel de la derecha debe mostrarse Equipo y su ico-
no, como aquí:
4. Haga clic derecho en Equipo y seleccione Propiedades. Deberá ver Equipo, en Tipo
de certificado, además de la autoridad de certificado que configuró y seleccio-
nó antes. Cierre el cuadro de diálogo Equipo y ambas ventanas de Administración
de directiva de grupo.
10 MATTHEWS 01.indd 314 1/14/09 1:30:52 PM

Seleccione y configure L2TP sobre IPSec

El paso final en la configuración de L2TP para ser usado con VPN es seleccionar L2TP sobre
IPSec y configurar los puertos L2TP.
En el panel de la izquierda, abra el servidor local e IPv4 y dé clic en General. En el
panel de la derecha, observe la dirección IP de la LAN, después, clic derecho en
Conexión de área local y en Propiedades.
2. Haga clic en Filtros entrantes, luego en Nuevo. En el cuadro de diálogo Agregar fil-
tro IP, haga clic en Red de destino e inserte la dirección IP de la LAN y una máscara
de subred 255.255.255.255. En Protocolo, clic en UDP, después en Puerto de origen
y Puerto de destino, escriba 500 (dado que se trata de su primer filtro de entrada
IPSec), como se observa en la figura 10-8, y después haga clic en Aceptar.
3. Lo regresa al cuadro de diálogo Filtros entrantes, donde debe seleccionar Descartar
todos los paquetes que no cumplan con los siguientes criterios. Haga clic en Aceptar.
4. De regreso al cuadro de diálogo Propiedades de conexión de área local, haga clic
en Filtros salientes, luego en Nuevo. En el cuadro de diálogo Agregar filtro IP, haga
clic en Red de origen e inserte la dirección IP de la LAN y una máscara de subred
255.255.255.255. En Protocolo, haga clic en UDP, después en Puerto de origen y
Puerto de destino, inserte 500 (dado que éste es su primer filtro de salida IPSec),
luego en Aceptar.
Figura 10-8. L2TP depende sobremanera de los filtros IP.
10 MATTHEWS 01.indd 315 1/14/09 1:30:52 PM

5. En el cuadro de diálogo Filtros salientes, haga clic en Descartar todos los paquetes
que no cumplan con los siguientes criterios. Haga clic en Aceptar dos veces. Cierre
el cuadro Propiedades de Conexión de área local, regrese a la ventana Enrutamiento
y acceso remoto.
6. Haga clic derecho en Puertos, en el panel de la izquierda de la ventana Enrutador y
acceso remoto, dé clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades
de Puertos.
7. Dé clic en Minipuerto WAN (L2TP), después en Configurar. Se abre el cuadro de
diálogo Configurar dispositivo - Minipuerto WAN (L2TP), similar al que se observa
en “Configure un servidor PPTP”.
8. Quite la marca de la casilla de verificación Conexiones de enrutamiento de marcado
a petición (de entrada y salida). Establezca un número razonable de puertos L2TP
que utilizará y dé clic en Aceptar y en Sí, en caso de querer reducir el número de
puertos; haga clic en Aceptar para cerrar Propiedades de Puertos; cierre la ventana
Enrutamiento y acceso remoto.
Configure un servidor SSTP

NOTA SSTP sólo trabaja con Windows Vista SP1 o posterior y Windows Server 2008.
Si ha configurado L2TP, SSTP es fácil, pues en el proceso de configurar L2TP también

estableció la capa de conector seguro (SSL, Secure Sockets Layer), empleada con SSTP. Así
que, de no haber configurado L2TP, recorra dichos pasos y después continúe aquí:
Abra el servidor local, haga clic en Puertos, en el panel de la izquierda de la ventana
Enrutamiento y acceso remoto, y haga clic en Propiedades. Se abrirá el cuadro de
diálogo Propiedades de Puertos.
2. Haga clic en Minipuerto WAN (SSTP), después clic en Configurar. Se abre el cuadro
de diálogo Configurar dispositivo - Minipuerto WAN (L2TP).
3. Establezca un número razonable de puertos SSTP que serán usados y dé clic en
Aceptar. Haga clic en Sí, en caso de reducir el número de puertos (si así lo desea), y
dé clic en Aceptar, para cerrar Propiedades de Puertos.
4. Abra IPv4 en el panel de la izquierda, haga clic en General y en el panel de la dere-
cha, clic derecho en Conexión de área local y clic en Propiedades.
5. En la ficha General, dé clic en Filtros entrantes, luego en Recibir todos los paquetes
excepto aquellos que cumplan los siguientes criterios. Clic en el filtro que estableció
para L2TP, en Eliminar y Aceptar.
6. Clic en Filtros salientes, luego en Transmitir todos los paquetes que no cumplan con los
siguientes criterios. Clic en el filtro que estableció para L2TP, en Eliminar y Aceptar.
7. Clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Conexión de área
local, cierre la ventana Enrutamiento y acceso remoto.
10 MATTHEWS 01.indd 316 1/14/09 1:30:52 PM

Figura 10-9. La firewall se configura automáticamente con excepciones para PPTP

y L2TP, pero debe habilitarse SSTP.
8. Clic en Inicio|Herramientas administrativas|Firewall de Windows con seguri-

dad avanzada. En el panel a la izquierda de la ventana Firewall de Windows, clic
en Reglas de entrada; recorra hacia abajo el panel central, dé clic en Protocolo de
túnel de sockets seguros (SSTP de entrada), en el panel de la derecha haga clic en
Propiedades. Se abrirá el cuadro de diálogo Propiedades SSTP de entrada, como
se observa en la figura 10-9.
9. Asegúrese de que Habilitado está marcado bajo General, después haga clic en Per-
mitir las conexiones. Clic en Aceptar para cerrar el cuadro de diálogo Propiedades,
luego cierre la ventana Firewall de Windows con seguridad avanzada.
CONFIGURE UN CLIENTE VPN

La configuración de un cliente VPN es una tarea relativamente simple. Tal vez necesite con-
figurar una conexión para el cliente que se conecta a Internet, después una conexión entre
cliente y servidor VPN. En Windows 2000, XP y Vista, así como en Server 2003 y 2008, existe
un método automatizado e integrado para ambas tareas, mientras en versiones anteriores
de Windows, debía configurar la conexión de marcado telefónico a Internet y después, sin
la ayuda de un asistente, crear la conexión VPN.
10 MATTHEWS 01.indd 317 1/14/09 1:30:53 PM

Aunque la conexión a VPN de Windows Vista está integrada y automatizada, todavía

se hace en dos pasos: conexión a Internet y al servidor.
Seleccione una conexión a Internet de Windows Vista

Es la conexión estándar a Internet, analizada en otro lugar de este libro; por tanto, si tiene
una conexión a Internet que funciona, puede pasar esta sección.
1. Haga clic en Inicio|Panel de control y doble clic en Centro de redes y recursos com-
partidos. Clic en Configurar una conexión o red.
2. Clic en Conectarse a Internet, luego en Siguiente. Si tiene varias formas de conectar-
se, elija la que desea usar para conectarse y haga clic en Siguiente. Dependiendo de
su selección, escriba cualquier otra información necesaria para la conexión y dé clic
en Siguiente, según lo necesario, después haga clic en Finalizar.
3. Si está utilizando una conexión de marcado telefónico, haga clic en Conectar o
Marcar, según sea necesario, para probar la conexión. Si todas sus opciones son
correctas, debe conectarse. Si no, recorra los tres pasos anteriores para hacer las co-
rrecciones necesarias.
Conéctese a un servidor VPN

La conexión VPN es sólo otra conexión de red.
1. Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel
de control y dé doble clic en Centro de redes y recursos compartidos. En la ventana
del mismo nombre, clic en Configurar una conexión o red.
2. Haga clic en Conectarse a un área de trabajo, después en Siguiente. Clic en No,
Crear una conexión nueva, luego en Siguiente.
10 MATTHEWS 01.indd 318 1/14/09 1:30:53 PM

3. Haga clic en Usar mi conexión a Internet (VPN), inserte un nombre de host regis-
trado (como osborne.com) o dirección IP como 123.10.78.100, su nombre de destino,
según se ilustra en la figura 10-10.
4. Si tiene varios perfiles en el cliente, determine si quiere permitir que otras personas
usen dicha conexión y haga clic en Siguiente.
5. Escriba nombre de usuario y contraseña requeridos por el servidor VPN; seleccione
si quiere guardar nombre de usuario y contraseña para usted o cualquiera emplean-
do este equipo, dé clic en Conectar. Verá varios mensajes breves indicando que se
conecta, luego que está conectado. Haga clic en Cerrar.
6. Dé clic en el tipo de red (Hogar, Trabajo, Público) que la conexión VPN representa,
después haga clic en Cerrar. Debe estar conectado al servidor VPN y ver su co-
nexión en la ventana Centro de redes y recursos compartidos.
7. Haga clic en Administrar conexiones de red. Debe abrirse la ventana Conexiones
de red y tener un aspecto similar al de la figura 10-11. Debe tener la capacidad para
explorar las porciones de la red para la que tiene permisos.
Figura 10-10. Una conexión VPN dependerá de un nombre de host o dirección IP.
10 MATTHEWS 01.indd 319 1/14/09 1:30:53 PM

Figura 10-11. En la ventana Conexiones de red, deberá ver una conexión de red y otra VPN.
8. En el servidor VPN, debe aparecer la conexión en la ventana Enrutamiento y acceso

remoto, al abrir el servidor local y Clientes de acceso remotos. Además, haga clic en
Puertos y desplácese hacia abajo en la lista. Tiene que mostrarse un puerto activo,
como éste:
10 MATTHEWS 01.indd 320 1/14/09 1:30:53 PM

9. Si abrió la ventana Enrutamiento y acceso remoto, ciérrela. En el cliente, en la ven-

tana Conexiones de red, haga clic derecho en conexión VPN, clic en Desconectar.
Si no se conectó, anímese: el autor tampoco lo logró la primera vez. Existen varias
razones para que la conexión no se establezca. Si RAS funcionó, eso elimina muchas posi-
bilidades. Primero intente conectarse con PPTP. Si configuró PPTP y L2TP antes de intentar
la conexión, entonces regrese a “Reconfigure RAS” y use las instrucciones dadas allí y
en las secciones posteriores a “Reconfigure RAS”; para deshabilitar RAS, reestablézcalo sólo
para PPTP, después intente la conexión. Si todavía no funciona, recorra con cuidado todos
los pasos para configurar el servicio que quiere usar y vea qué hizo diferente.
Conéctese con L2TP y SSTP

Una vez que tenga PPTP funcionando y sólo entonces (porque si tiene PPTP funcionando,
ha eliminado muchas posibles áreas de problemas), pruebe L2TP y SSTP (si su hardware lo
permite) con estos pasos:
1. Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel
de control, dé doble clic en Centro de redes y recursos compartidos. En la ventana
Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.
2. Haga clic derecho en su conexión VPN en funcionamiento, dé clic en Propieda-
des. Haga clic en la ficha Funciones de red, en la flecha hacia bajo Tipo de red priva-
da virtual VPN, en el tipo que quiera usar y, por último, en Aceptar, para cerrar el
cuadro de diálogo Propiedades de VPN.
10 MATTHEWS 01.indd 321 1/14/09 1:30:54 PM

3. Haga doble clic en su conexión VPN actualizada, ingrese su nombre y contraseña,

dé clic en Conectar.
4. Vaya al paso 5 en “Conéctese a un servidor VPN”, inmediatamente antes, y vaya al
final de esa sección.
Como ya se mencionó varias veces, L2TP (y en un grado menor SSTP) es demasiado
complejo y tiene muchos elementos que necesita configurar correctamente. Si puede hacer-
lo, su seguridad mejora mucho.
VPN es una herramienta muy útil para trabajadores móviles y, en realidad, vale la pena
todo el problema que toma configurarlo (bueno, casi todo el problema que toma PPTP, ¡no
es seguro que L2TP compense el problema extra!).
10 MATTHEWS 01.indd 322 1/14/09 1:30:54 PM

CAPÍTULO 11
Terminal Services y
Escritorio Remoto
323
11 MATTHEWS 01.indd 323 1/14/09 12:19:23 PM

T
eerminal Services (TS) para Windows Server 2008 permite que un equipo mínimo lla-
mado cliente delgado o terminal se conecte con un servidor de Windows, despliegue el
escritorio y utilice remotamente Windows, mientras éste y sus aplicaciones se ejecutan
en el servidor. El cliente delgado (llamado simplemente “cliente”, a lo largo de este capítulo)
puede ejecutar los sistemas operativos Windows XP, Windows Server 2003, Windows Vista,
Windows Server 2008, software de terceros e incluso diversos sistemas operativos. El cliente
puede acceder al servidor vía Internet. Sólo la interfaz de usuario se ejecuta en el cliente. La
interfaz de usuario envía caracteres de teclado y clics del ratón al servidor. El equipo cliente
puede tener un procesador lento, cantidad modesta de memoria, disco duro pequeño e in-
cluso carecer de disco duro. Para la aplicación que se ejecuta en el servidor, pareciera que el
usuario trabaja en esa máquina, mientras para los clientes, la aplicación pareciera ejecutarse
en sus máquinas, siempre y cuando haya velocidad razonable en la red. Es posible ejecutar
varias sesiones de terminal en el servidor, pero cada cliente verá solamente su propia sesión.
Un uso apropiado de los clientes delgados con TS, consiste en utilizar al servidor como base
de datos centralizada y definir para los clientes un propósito específico, como la captura de
órdenes de compra, etiquetado o seguimiento del inventario, casos en los que resulta bené-
fico que la aplicación y su base de datos relacionada se encuentren en un servidor.
TERMINAL SERVICES
Terminal Services en Windows Server 2008 representa mejoras importantes sobre las ver-
siones previas de TS, que facilitan sobremanera su uso y admininistración. Entre las mejo-
ras más importantes están RemoteApp de TS, Acceso Web de TS, Puerta de enlace de TS,
Agente de sesiones de TS y Conexión a Escritorio remoto 6.0. Estos y otros servicios serán
descritos en este capítulo.
Por qué utilizar Terminal Services

Existen muchas razones para utilizar TS; entre ellas destacan:
▼ Permitir que varios usuarios empleen la misma aplicación, tal vez con una base de
datos común, sobre todo aplicaciones del tipo “línea del negocio” y aplicaciones en
constante actualización o de uso escaso (aplicaciones con gran carga gráfica y mul-
timedia no son buenas candidatas para ejecutarse con TS)
■ Centralizar el enfoque de implementación, administración y mantenimiento de las
aplicaciones en servidores centralizados
■ Controlar las aplicaciones disponibles para los usuarios y cómo configurarlas
■ Utilizar equipos con sistemas operativos anticuados, debido a que no dan soporte a
la última versión de Windows
■ Tener acceso remoto a un equipo (por ejemplo, acceder al equipo de la oficina desde
casa o cuando se está de viaje)
▲ Administrar cantidades variables de servidores mediante administración remota
11 MATTHEWS 01.indd 324 1/14/09 12:19:23 PM

Capítulo 11: Terminal Services y Escritorio remoto 325
Modos y componentes de Terminal Services

TS maneja dos modos distintos:
▼ Modo de servidor de aplicaciones, posibilita que un equipo cliente despliegue un
escritorio de Windows y ejecute aplicaciones remotamente en un servidor
▲ Modo de administración remota, suministra los medios para administrar remo-
tamente un equipo que funciona con Windows Server 2008, incluido IIS (Internet
Information Services, servicios de información de Internet)
TS es parte integral de Windows Server 2008, como lo fue en Windows Server 2003, y
ofrece un conjunto de servicios poderosos de gran alcance. Compañías ajenas a Microsoft,
como Citrix, proveen aplicaciones avanzadas en el área de TS. Dichas aplicaciones pueden
ser ejecutadas sobre Windows Server 2003 y 2008. Se encontrará más información sobre Ci-
trix en el sitio web http://www.citrix.com.
TS trabaja con el protocolo de control de transmisión/protocolo de Internet (TCP/IP,
Transmission Control Protocol/Internet Protocol), de uso común en Windows Server 2008 e
Internet en general; además, utilizan el protocolo de escritorio remoto (RDP, Remote Desk-
top Protocol). RDP es un protocolo extenso que facilita la transmisión simultánea de amplia
gama de datos, incluida información de usuario, la aplicación, licencia de uso y cifrado.
RDP también tiene la capacidad para transmitir información de audio y video.
Los dos modos se implementan en Windows Server 2008, a través de nueve componen-
tes independientes, como se muestra en la figura 11-1:
▼ Administrador de TS, que proporciona las funciones administrativas para TS y Terminal
Server, incluidos visualización y control de las sesiones, así como procesos de usuario
Terminal Services
para Windows Server 2008
Servidor
Administrador Configuración de
de TS Terminal Services
Servidor
Terminal
Web IIS
Server Administrador Puerta de Agente de
Acceso de licencias TS enlace de TS sesiones de TS
RemoteApp Web de TS
de TS
Conexión a
Cliente Escritorio
remoto 6.0
Figura 11-1. Terminal Services utiliza un grupo de nueve componentes independientes

para realizar su función.
11 MATTHEWS 01.indd 325 1/14/09 12:19:23 PM

■ Configuración de Terminal Services, permite determinar las conexiones de TS pre-

sentes en el equipo y sus características, además de la configuración del servidor
■ Terminal Server, es un servicio de función TS que proporciona el núcleo central de
TS; este servicio es responsable de implementar multitareas en el servidor
■ RemoteApp de TS, es un elemento de Terminal Server que ofrece acceso remoto a
los programas estándar de Windows
■ Acceso Web de TS, se instala como un servicio de función, pero es en realidad una
aplicación Web (ejecutable sobre IIS) provee acceso al RemoteApp de TS por medio
de un navegador Web
■ Administrador de licencias TS, es el servicio de función que proporciona la licencia
de acceso de cliente de TS en Windows
■ Puerta de enlace de TS, es el servicio de función que permite acceso, seguro y cifra-
do, desde los usuarios remotos hasta los recursos de una red corporativa conectada
a Terminal Server
■ Agente de sesiones de TS, es el servicio de función a cargo de equilibrar la carga
entre varios servidores de terminal (una “granja”) y realiza la reconexión de un
cliente TS a una sesión existente en dicha granja
▲ Conexión a Escritorio remoto 6.0, es un cliente de software aparte preinstalado en
Windows Server 2008, Windows Vista Business y Ultimate y también puede obtener-
se vía Internet una versión para Windows Server 2003 SP1 o SP2 y para Windows
XP Professional SP2. La conexión de Escritorio remoto 6.0 es necesaria para utilizar
Terminal Services de Windows Server 2008, Terminal Server, RemoteApp de TS,
Acceso Web de TS y Puerta de enlace de TS
PREPARACIÓN DE TERMINAL SERVICES

En esta sección, hablaremos sobre la preparación, configuración y administración de TS,
Terminal Server y otros servicios de función, excepto el Administrador de licencias TS y
Conexión a Escritorio remoto, que se analizarán en secciones posteriores.
Instalación de las funciones de Terminal Services

TS es una función que se instala desde el Administrador del servidor, mientras Terminal
Server, Acceso Web de TS, Administrador de licencias de TS, Puerta de enlace de TS y Agen-
te de sesiones de TS son servicios de función y pueden seleccionarse por separado cuando
se instala la función TS. Configuración de Terminal Services y Administrador de TS se
instalan automáticamente con los servicios de TS, mientras RemoteApp de TS se instala
automáticamente con Terminal Server.
NOTA No se recomienda instalar TS en un controlador de dominio de Active Directory (AD),

pues aumenta los riesgos de seguridad, además de que degrada el rendimiento de Active
Directory, ya que TS utiliza demasiados recursos del equipo. Es necesario ejecutar TS en un
dominio de AD para acceder a ciertas funcionalidades, como el Agente de sesiones de TS y
ofrecer capacidades adicionales a otros TS, como el Administrador de licencias de TS.
11 MATTHEWS 01.indd 326 1/14/09 12:19:24 PM

NOTA Para instalar la función de TS y servicios de función analizados aquí, en caso de no

haberlo hecho ya, será necesario instalar también los Servicios de acceso y directivas de
red, el servidor Web (IIS) y el Servicio de activación de procesos de Windows. El asistente
para agregar funciones nos guiará automáticamente por tales instalaciones adicionales.
1. Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador

del servidor. Haga clic en la opción Funciones, en el panel de la izquierda del Ad-
ministrador del servidor, luego clic en la opción Agregar funciones, ubicada en el
panel de la derecha. Haga clic en Siguiente dos veces, luego seleccione Terminal
Services y haga clic en Siguiente dos veces más.
2. Haga clic en los servicios de función que se deseen instalar. Por ejemplo, clic en Ter-
minal Server, Agente de sesiones de TS (debe estar dentro de un dominio), Puerta
de enlace de TS (haga clic en Agregar características requeridas) y Acceso Web de TS
(haga clic en Agregar características requeridas) y, por último, haga clic en Siguiente.
11 MATTHEWS 01.indd 327 1/14/09 12:19:25 PM

3. Lea la nota sobre la necesidad de instalar cualquier aplicación que se desee ejecutar
con TS y, después de instalar TS, haga clic en Siguiente.
4. Lea sobre la Autentificación a nivel de red y decida si desea utilizarla. Considere
que ésta mejora en forma importante la seguridad, aunque únicamente se encuentra
disponible con el protocolo de Escritorio remoto (RDP) 6.0, incluido sólo en Win-
dows Vista y Windows Server 2008; RDP también puede descargarse vía Internet
para Windows XP SP2 y Windows Server 2003 SP1 o SP2. Haga clic en la opción
deseada, luego en Siguiente.
5. Se solicitará que determine el modo de licencia de TS que desea utilizar. Deje la de-
cisión para más adelante. Cuenta con 120 días para tomar la decisión. Deje marcada
la opción predeterminada, Configurar más adelante, y haga clic en Siguiente.
6. Agregue los usuarios o grupos de usuarios que utilizarán TS haciendo clic en Agre-
gar, Avanzadas y Buscar ahora. Haga doble clic sobre un usuario o grupo de usuarios
de la lista, dé clic en Aceptar. Repita el procedimiento anterior todas las veces que sea
necesario. Al terminar de agregar usuarios y grupos, haga clic en Siguiente.
7. Se nos indicará que la puerta de enlace TS requiere un certificado para utilizar el
protocolo de capa de conector seguro (SSL, Secure Socket Layer) y cifrar las trans-
misiones; tiene tres opciones para un certificado (véase la figura 11-2). Dos de ellas
se explican a continuación:
a.Si ya tiene un certificado en el servidor, haga clic en la primera opción; si el cer-
tificado está en el almacén de certificados de Windows, aparecerá en la lista. En
caso contrario, haga clic en Importar y siga los pasos del Asistente para impor-
tación de certificados. Haga clic en Siguiente todas las veces que sea necesario.
b. Si no tiene certificado, haga clic en la segunda opción; esto creará un certifica-
do autofirmado.
8. Haga clic en Siguiente. Verá la explicación de una directiva de autorización de co-
nexiones de TS (TS CAP), que permite a los usuarios pasar por la Puerta de enlace
de TS y acceder a la red; y la explicación de una directiva de autorización de recur-
sos de TS (TS RAP), que permite a los usuarios pasar por la Puerta de enlace de TS
y usar equipos que ejecuten Terminal Server y otros recursos. Haga clic en Ahora
para crear las directivas y, por último, haga clic en Siguiente.
9. Agregue los grupos de usuario que utilizarán la Puerta de enlace de TS, como se
describió en el paso 7, y dé clic en Siguiente.
10. Escriba el nombre para su TS CAP, acepte la opción predeterminada de usar una con-
traseña, haga clic en Siguiente. Escriba el nombre de su TS RAP, escoja la opción utilizar
grupos específicos de equipos o todos los equipos de la red, dé clic en Siguiente.
11. Si no está instalada, lea la introducción a los servicios de acceso y directivas de red
(Network Policy And Access Services) y haga clic en Siguiente. Acepte la opción
predeterminada para instalar el servicio de función llamado “Servidor de directivas
de redes” y haga clic en Siguiente.
12. Lea la introducción al servidor Web (IIS) y haga clic en Siguiente. Acepte los servicios de
función predeterminados que ya se encuentran marcados y haga clic en Siguiente.
11 MATTHEWS 01.indd 328 1/14/09 12:19:25 PM

Figura 11-2. Debe tener o crear un certificado de seguridad para utilizar

la Puerta de enlace de TS.
13. Revise funciones y servicios de función que serán instalados para implementar TS
y sus servicios. Si desea realizar cualquier cambio, haga clic en Anterior y realice
los cambios. Cuando todo esté listo, haga clic en Instalar. El proceso de instalación
tardará algunos minutos.
14. Haga clic en Cerrar y luego en Sí, para reiniciar su equipo. Después de reiniciar, se
configurarán funciones y servicios de función y se desplegará un mensaje de adver-
tencia indicando que el Administrador de licencias TS no está instalado y se cuenta
con 119 días para instalarlo (el día en que se instaló cuenta como el primero). Por
último, se desplegará un mensaje indicando que el proceso ha concluido con éxito.
Haga clic en Cerrar.
NOTA El mensaje de advertencia desplegado para notificar que el Administrador de

licencias TS no está instalado y se cuenta con tantos días para instalarlo reaparecerá
siempre que el equipo reinicie. A esto se le llama “nagware” (software regañón) y, por
desgracia, Microsoft lo utiliza.
15. Abra Funciones, en la columna de la izquierda del Administrador del servidor, y haga
clic en Terminal Services. En el panel de la derecha, se despliegan cuatro eventos infor-
mativos señalando, entre otras cosas, que se crearon TS RAP, TS CAP y un nuevo
certificado autofirmado; también podemos observar en pantalla los servicios del siste-
ma en ejecución y los servicios de función instalados, como se ilustra en la figura 11-3.
11 MATTHEWS 01.indd 329 1/14/09 12:19:25 PM

Figura 11-3. Los resultados de la instalación de las funciones de TS se muestran en el

SUGERENCIA Para obtener información detallada de cada uno de los eventos informa-
tivos, seleccione uno a la vez y haga clic en Propiedades.
NOTA El componente de Conexión a Escritorio remoto no se instala de manera pre-

determinada en Windows Server 2008, pero se instala automáticamente junto con TS.
Consulte la sección “Use el modo de servidor de aplicaciones”, en páginas posteriores de
este capítulo.
11 MATTHEWS 01.indd 330 1/14/09 12:19:25 PM

Configuración de Terminal Services

Una vez instalada la función TS y el servicio de función Terminal Server, puede configurar
TS utilizando la configuración de TS. Ésta nos permite determinar las conexiones de TS en
el equipo y sus características, además de la configuración del servidor. Sólo puede existir
una conexión por cada tarjeta de red (NIC, Network Interface Card) o adaptador de red en
el equipo, cuando todas las conexiones utilizan RDP con TCP/IP. Por tanto, si sólo tenemos
una NIC o adaptador de red, lo único indispensable es la conexión predeterminada. Sin
embargo, es necesario realizar algunos ajustes importantes en el cuadro de diálogo Propie-
dades de conexión. Revise las configuraciones de la conexión y servidor, disponibles en la
configuración de TS, mediante los siguientes pasos:
1. Abra la ventana de configuración de TS haciendo clic en Inicio|Herramientas
administrativas|Terminal Services|Configuración de Terminal Services.
O bien, en la ventana Administrador del servidor, escoja Funciones y Terminal Ser-
vices, luego haga clic en Configuración de Terminal Services.
En ambos casos, se abrirá la configuración de Terminal Services, dentro del Admi-
nistrador del servidor, como se muestra en la figura 11-4 o en su propia ventana.
Figura 11-4. Es en Configuración de Terminal Services donde se añaden y configuran

conexiones y otras características.
11 MATTHEWS 01.indd 331 1/14/09 12:19:26 PM

2. Agregue conexiones adicionales en caso de contar con más de una NIC o adaptador
de red, al hacer clic en “Crear una conexión nueva”, en el panel Acciones, a la derecha.
Se abrirá el Asistente para la conexión de Terminal Services. Haga clic en Siguiente,
escriba nombre de la conexión y comentario opcional, luego dé clic en Siguiente. Se-
leccione el adaptador de red que habrá de utilizarse y el número de conexiones. Dé
clic en Siguiente, revise la configuración seleccionada, clic en Finalizar.
3. Para cambiar las propiedades de una conexión existente, haga clic derecho en la co-
nexión, como la RDP-TCP predeterminada, después clic en Propiedades. Se abrirá
un cuadro de diálogo mostrando las propiedades de la conexión RDP-TCP.
4. Revisemos cada una de las fichas. Las propiedades que se pueden modificar son
las siguientes:
▼ General Añada un comentario a la descripción de la conexión y cambie el ni-
vel de CIFRADO a Alto
■ Configuración de inicio de sesión Provee un inicio de sesión automático, al
especificar la información de inicio de sesión que se usará siempre y si se solici-
tara una contraseña
■ Sesiones Decida cuándo terminar una sesión de terminal y cómo conectarse
de nuevo, si ocurre una desconexión
■ Entorno Aquí se especifica cuál programa, si existe alguno, deberá iniciarse
cuando el usuario abre una sesión, y a qué carpeta debe señalar
11 MATTHEWS 01.indd 332 1/14/09 12:19:26 PM

■ Control remoto Aquí se determina si permitirá control remoto u observación

de una sesión de terminal de usuario y se establecen las condiciones bajo las
cuales se permite
■ Configuración de cliente Especifica cuáles dispositivos y las capacidades del
cliente estarán disponibles durante una sesión de terminal
■ El adaptador de red Especifica la NIC o adaptador de red que será utilizado
para esta conexión y el número máximo de conexiones que serán permitidas
▲ Seguridad Aquí se determinan los permisos para un grupo o usuario particu-
lar, así como añadir grupos y usuarios elegidos
5. Cuando haya completado cualquier cambio deseado, haga clic en Aceptar para cerrar
el cuadro de diálogo y volver a la ventana Configuración de Terminal Services.
6. Haga clic en Configuración del servidor. La configuración aparecerá en la parte de-
recha de la ventana. Estas propiedades se explican por sí solas. Las modificaciones
se realizan haciendo clic derecho sobre la propiedad, luego clic en Propiedades y al
elegir los parámetros deseados, como se muestra a continuación.
7. Cuando termine de realizar los cambios, haga clic en Aceptar para cerrar el cuadro
de diálogo Propiedades.
11 MATTHEWS 01.indd 333 1/14/09 12:19:26 PM

Administrador de Terminal Services

El administrador de TS nos permite revisar y administrar servidores de terminal en sus
dominios de confianza, incluidos usuarios, procesos y sesiones activos en cada servidor.
Con la Configuración de Terminal Services, es posible abrir el Administrador de TS desde el
menú Inicio y el Administrador del servidor.
NOTA Cuando abrimos el Administrador de TS, se presenta un mensaje que notifica

algunas características, como Control remoto y Conectar, sólo funcionan cuando la herra-
mienta se ejecuta en una sesión de cliente e inhabilitan cuando lo hace en una sesión de
consola o servidor. Es decir, se debe acceder al servidor y ejecutar el Administrador de TS
desde un cliente para usar las características de Control remoto y Conectar.
1. Abra el Administrador de TS haciendo clic en Inicio|Herramientas administra-
tivas|Terminal Services|Administrador de Terminal Services, haga clic en Aceptar
para cerrar la ventana con el mensaje sobre Control remoto y Conectar.
O bien, en el Administrador del servidor, abra Funciones y Terminal Services y, por
último, clic en Administrador de Terminal Services.
En ambos casos, se abrirá el Administrador de TS correspondiente al servidor local.
2. Haga clic en la ficha, en la parte media del panel y la ventana del Administrador del
servidor se verá como en la siguiente figura, si el único usuario fuese el administrador:
3. Si hace clic derecho en una sesión de cliente del panel central, por ejemplo, Ad-
ministrador y abre su menú contextual, es posible desconectar, reconectar si está
desconectado, enviar un mensaje al cliente, tomar control del cliente si este cliente
lo permite, reiniciar el cliente y mostrar el estado de la sesión, que indica los bytes
entrantes y salientes, asimismo tramas y errores generados.
11 MATTHEWS 01.indd 334 1/14/09 12:19:26 PM

NOTA Muchas de las opciones del menú contextual descritas están disponibles también
en el panel de Acciones ubicado del lado derecho.
4. Al hacer clic en la ficha Procesos se muestran los programas en ejecución en la

sesión remota.
5. Cuando termine de explorar el Administrador de TS, ciérrelo.
USE EL MODO DE SERVIDOR DE APLICACIONES

El modo servidor de aplicaciones de TS es un verdadero entorno multiusuario, similar a los
sistemas de tiempo compartido en mainframes populares durante la década de 1970, antes
de la aparición de los equipos personales. Cada uno de los usuarios de los servidores de
aplicaciones tiene una parte independiente del servidor y sus recursos. Eso significa que el
servidor podría sobrecargarse. Los servidores de aplicaciones con cualquier número impor-
tante de usuarios simultáneos (más de cinco) requieren un equipo poderoso (quizás 64 bits),
con una cantidad sustancial de memoria (4 gigabytes [GB] o más, que sólo puede obtenerse
en equipos con procesadores de 64 bits). El cliente, por otra parte, como se describió antes,
no requiere mucho poder para desplegar la interfaz de usuario, recolectar eventos tanto del
ratón como del teclado y transmitir esta información al servidor. Casi todo el procesamiento
se hace en el servidor.
El modo de servidor de aplicaciones usa Terminal Server conjuntamente con Remo-
teApp de TS para ofrecer acceso a aplicaciones específicas del servidor desde un cliente
remoto mediante Conexión a Escritorio remoto (RDC). En la sección anterior, “Preparación
de Terminal Services”, se describió cómo instalar y preparar el servicio completo. En esta
sección, veremos cómo preparar una de ambas formas para utilizar dicho servicio, la ejecu-
ción de programas o aplicaciones en el servidor desde un equipo remoto. Para ello, revisa-
remos un par de pasos preparatorios que es necesario dar, luego veremos cómo preparar y
administrar RemoteApp de TS y, por último, cómo preparar y utilizar RDC.
Prepare Terminal Services

Es necesario realizar varios pasos tras instalar TS y antes de continuar con RemoteApp de
TS y RDC:
▼ Instale programas Después de instalar TS, necesita instalar los programas que
utilizarán los clientes remotos de TS. Si el servidor cuenta con programas instalados
antes de TS, es buena idea desinstalarlos y reinstalarlos. Si están instalando varios
programas con archivos compartidos, como Microsoft Office, es buena idea instalar
todos los programas en el mismo servidor. Por otra parte, si se cuenta con varios
programas de uso excesivo o que tal vez no sean compatibles, es una buena idea
instalarlos en diferentes servidores de TS
11 MATTHEWS 01.indd 335 1/14/09 12:19:27 PM

■ Verifique la configuración Aunque al instalar TS se habilitaron conexiones remo-

tas, es recomendable verificar que estén activas en el servidor
1. Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Del lado iz-
quierdo, bajo el texto Tareas, haga clic en Configuración de Acceso remoto.
2. En el cuadro de diálogo Propiedades del sistema, haga clic en la ficha Acceso re-
moto. En la parte inferior de la ventana verá las tres opciones de Escritorio remoto.
Deberá estar seleccionada la segunda opción, como se muestra a continuación.
3. Si sus usuarios usan RDC 6.0 (disponible como opción predeterminada en Win-
dows Vista, Windows Server 2008 y descargable tanto para Windows XP como
Windows Server 2003), podemos elegir la tercera opción para usar el nivel de
seguridad más alto utilizando Autentificación a nivel de red.
4. Deje el cuadro de diálogo Propiedades de sistema abierto para dar el último
paso preparatorio.
▲ Añada usuarios Los clientes o usuarios de TS deben configurarse como usuarios
en Terminal Server. Pueden ser miembros del grupo Usuarios de Escritorio remoto
o del grupo Administradores. Para aplicar de mejor forma las directivas de gru-
po (consulte el capítulo 15); es recomendable que todos los usuarios remotos sean
miembros del grupo Usuarios de Escritorio remoto, aunque sean además miembros
de otros grupos
11 MATTHEWS 01.indd 336 1/14/09 12:19:27 PM

1. En el cuadro de diálogo Propiedades de sistema, que ya debe estar abierto tras

los últimos pasos realizados, haga clic en Seleccionar usuarios.
2. Haga clic en Agregar. En el cuadro de diálogo Seleccionar Usuarios o Grupos,
escriba los nombres ya configurados en la red o haga clic en Avanzadas, luego
en el botón Buscar ahora para encontrar los nombres. Haga clic sobre uno (o
varios, si mantiene oprimida la tecla ctrl) de la lista Resultado de la búsqueda
y dé clic en Aceptar.
3. Cuando haya añadido los nombres deseados, haga clic en Aceptar. Los nom-
bres deben aparecer en la lista del grupo Usuarios de Escritorio remoto.
4. Si los usuarios de la lista son correctos, haga clic en Aceptar para cerrar el cua-
dro de diálogo Usuarios de Escritorio remoto, después haga clic en Aceptar
una vez más, para cerrar el cuadro de diálogo Propiedades del sistema y, por
último, cierre la ventana Sistema.
Administre RemoteApp de TS
Antes de Windows Server 2008, una conexión remota a Terminal Server desplegaba el escri-
torio del servidor, mientras el cliente podía iniciar las aplicaciones que el usuario deseaba
usar. Con RemoteApp de TS en Windows Server 2008, las aplicaciones específicas están dis-
ponibles para clientes remotos y cuando se ejecutan, dada una velocidad de red razonable,
para el usuario parecerá que la aplicación se ejecuta en su propio equipo. RemoteApp de TS
provee el medio para elegir las aplicaciones que el cliente remoto puede utilizar, así como
el medio para empaquetar y entregar el programa al usuario, además de la forma principal
de administrar a los clientes remotos y su acceso al Terminal Server. Estas funciones son
realizadas con el Administrador de RemoteApp de TS, que puede ser abierto, ya sea desde
el menú Inicio o desde el Administrador del servidor.
11 MATTHEWS 01.indd 337 1/14/09 12:19:27 PM

1. Abra el Administrador de RemoteApp de TS haciendo clic en el menú Ini-

cio|Herramientas administrativas|Terminal Services|Administrador de Remote
App de TS.
O, en el Administrador del servidor, abra Funciones y Terminal Services, luego dé
clic en Administrador de RemoteApp de TS.
En cualquiera de los casos, se abrirá el Administrador de RemoteApp de TS y mos-
trará los datos del servidor local, como se observa en la figura 11-5.
Figura 11-5. El Administrador de RemoteApp de TS determina qué pueden hacer

los clientes remotos.
11 MATTHEWS 01.indd 338 1/14/09 12:19:27 PM

2. En el panel Acciones, ubicado del lado derecho, haga clic en Agregar programas
RemoteApp. Se abrirá el Asistente para RemoteApp.
3. Seleccione los programas que desee que los clientes remotos ejecuten. Para cada uno
de los programas, haga clic en Propiedades. Aparecerá un cuadro de diálogo donde
es posible realizar cambios al nombre, ubicación, alias; marcar si el programa estará
disponible a través de Acceso Web de TS y si el usuario podrá utilizar argumentos
de línea de comando.
11 MATTHEWS 01.indd 339 1/14/09 12:19:28 PM

4. Haga clic en Aceptar cuando termine de configurar las propiedades del programa.
Una vez que haya seleccionado todos los programas que se desean disponibles,
haga clic en Siguiente. Aparecerá la lista de programas seleccionados y sus propie-
dades. Si desea realizar algún cambio, haga clic en Atrás, de otro modo, en Finalizar.
Los programas aparecerán en la lista, en la parte inferior del Administrador de Re-
moteApp de TS.
5. En el cuerpo del Administrador de RemoteApp de TS, se puede hacer clic en la

palabra “Cambiar” ubicada en varias áreas o clic en cualquiera de las tres opciones
del panel de Acciones, ubicada bajo Agregar programas RemoteApp; en cualquiera
de los casos, se abrirá el cuadro de diálogo Configuración de implementación de
RemoteApp.
6. En general, usará la Configuración de implementación de RemoteApp predeter-
minada; sin embargo, es bueno revisarla para conocer en qué consiste y realizar
cambios en el futuro, si fuera necesario. Por ejemplo, si se desea utilizar una firma
digital, la ficha Firma digital es el lugar para añadirla. Haga clic en Aceptar, para
cerrar el cuadro de diálogo Configuración de implementación de RemoteApp.
Distribuya un programa de RemoteApp

Después de identificar una RemoteApp, el Administrador de RemoteApp ofrecerá dos for-
mas para empaquetar y entregar el programa a un usuario remoto:
▼ Crear un archivo de tipo protocolo de escritorio remoto (.rdp) que el usuario pueda
colocar en su escritorio y al hacer doble clic en él, el programa se ejecuta remotamente
▲ Crear un paquete de instalación de Windows (.msi) que el usuario puede colocar
en su menú de Inicio o escritorio y hacer clic o doble clic para ejecutar remotamen-
te el programa
SUGERENCIA Existe una tercera forma para acceder a un programa de RemoteApp

mediante el Acceso Web de TS, que se analizará más adelante en este capítulo.
NOTA Para que un cliente remoto utilice un programa de RemoteApp, el cliente deberá
ejecutar Conexión a Escritorio remoto (RDC) 6.0, incluido en Windows Vista y Windows
Server 2008. RDC 6.0 también está disponible para ser descargado para Microsoft Win-
dows XP SP2 y Windows Server 2003 SP1 o SP2. Consulte la siguiente dirección en
Internet http://support.microsoft.com/default.aspx/kb/925876.
11 MATTHEWS 01.indd 340 1/14/09 12:19:28 PM

Cree un archivo .rdp

Un archivo de protocolo de escritorio remoto es un pequeño programa que, cuando recibe
doble clic, se pone en contacto con Terminal Server e inicia al programa con el que está
asociado en el escritorio del cliente remoto, aunque el programa realmente se ejecute en el
servidor.
1. En el Administrador de RemoteApp de TS (véase cómo abrirlo en la sección “Admi-
nistración de RemoteApp de TS”), haga clic en el programa o mantenga presionada
la tecla CTRL y haga clic en varios programas (si se seleccionan varios programas,
se creará un archivo .rdp independiente para cada uno, aunque la configuración
será la misma para todos los programas seleccionados). Haga clic en Crear archivo
de .rdp, en el panel de Acciones.
2. En el Asistente para RemoteApp, haga clic en Siguiente. Acepte la ubicación pre-
determinada para guardar el archivo o busque una ubicación diferente. Realice
cualquier otro cambio a la configuración (estos ajustes son los mismos que los
establecidos en el Administrador de RemoteApp), dé clic en Siguiente.
3. Revise la configuración que será utilizada para crear el archivo .rdp. Si desea reali-
zar algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar.
Se abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccio-
nada (véase la figura 11-6).
4. Cierre el Explorador de Windows.
11 MATTHEWS 01.indd 341 1/14/09 12:19:28 PM

Figura 11-6. Como opción predeterminada, los archivos de programa .rdp y .msi se
almacenan en el directorio C:\Archivos de programa\Packaged Programs.
Cree un paquete.msi
Un paquete de instalación de Microsoft Windows se instalará por sí solo en el equipo del
cliente, de modo que cuando haga clic en él, en el menú de Inicio o por doble clic en el es-
critorio, se pondrá en contacto con Terminal Server e iniciará la ejecución del programa al
que representa en el escritorio del cliente remoto, aunque en realidad el programa se estará
ejecutando en el servidor.
1. En el Administrador de RemoteApp de TS (consulte la sección anterior “Adminis-
tre RemoteApp de TS”, para conocer la forma de abrirlo), haga clic en un programa
o mantenga oprimida la tecla ctrl para elegir varios programas y haga clic en cada
uno de ellos. (Si se seleccionan varios programas, se creará un paquete .msi inde-
pendiente para cada programa, pero la configuración será la misma para todos los
programas seleccionados al mismo tiempo.) Haga clic en Crear paquete de Win-
dows Installer, en el panel Acciones.
2. En el Asistente para RemoteApp que se abre, haga clic en Siguiente. Acepte la ubi-
cación predeterminada para guardar el archivo o busque un directorio diferente.
Realice cualquier cambio deseado en la configuración (estos ajustes son los mismos
establecidos en el Administrador de RemoteApp de TS) y haga clic en Siguiente.
3. En Configurar paquete de distribución, determine dónde aparecerá el icono de
acceso directo al archivo .msi en la máquina cliente, el escritorio o menú Inicio,
y dé clic en Siguiente.
11 MATTHEWS 01.indd 342 1/14/09 12:19:29 PM

4. Revise la configuración que se usará para crear el paquete .msi. Si se desea realizar
algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar. Se
abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccionada
(véase la figura 11-6).
5. Cierre el Explorador de Windows.
Distribuya un programa de RemoteApp

Tras crear un paquete .msi o archivo .rdp, éste puede distribuirse mediante una de las si-
guientes acciones:
▼ Colocar los archivos en una carpeta compartida en el servidor y que el cliente
los copie en su equipo
■ Colocar los archivos en un CD y que el cliente copie del CD a su equipo
■ Utilizar un proceso existente para la distribución de software como Microsoft
System Management Server
▲ Para el paquete .msi se puede utilizar también una directiva grupal de Active Direc-
tory (consulte el capítulo 15)
Es posible exportar e importar programas y configuración de RemoteApp a otro
Terminal Server o archivo, mediante Exportar configuración de RemoteApp e Importar
configuración de RemoteApp en el panel Acciones, del Administrador de RemoteApp de
TS. También se pueden realizar cambios en las propiedades y eliminar un programa de Re-
moteApp haciendo clic derecho en la lista Programas RemoteApp y clic en Propiedades o Quitar.
Uso de Conexión a Escritorio remoto

con los programas de RemoteApp
Para utilizar los programas de RemoteApp se requiere que RDC 6.0 esté instalado en el
equipo del cliente. Esto se hace automáticamente en Windows Vista Business y Ultimate,
además de Windows Server 2008. Además, en Windows Vista se activa automáticamente y
está listo para su uso. En Windows Server 2008 es necesario activarlo, lo que se realiza de
manera automática cuando instala TS y puede conseguirse manualmente en la ventana
Tareas de configuración inicial o el Administrador del servidor, en la sección Resumen
del servidor. En una nota anterior se explicó cómo obtener RDC 6.0 para Windows XP y
11 MATTHEWS 01.indd 343 1/14/09 12:19:29 PM

Con los programas de RemoteApp, RDC sólo tiene un uso tangencial; lo verá al mo-
mento de arrancar el programa de RemoteApp y luego desaparece.
Uso de un archivo .rdp

Un archivo .rdp es, en cierto modo, un acceso rápido a un programa remoto localizado en
Terminal Server. Su uso es muy simple. Cuando se pone a disposición del cliente en cualquie-
ra de las formas mencionadas en “Distribuya un programa de RemoteApp”, el cliente debe:
1. Arrastrar el archivo .rdp a su escritorio, en caso de estar allí.
2. Ejecutar el programa haciendo doble clic en él. Escriba un nombre de usuario y
contraseña previamente registrada en el servidor. Haga clic en Aceptar.
3. Verifique lo relacionado con el editor, efectúe los cambios deseados en la lista de

dispositivos locales disponibles y dé clic en Sí. Se abrirá la ventana Seguridad
de Windows.
4. Ingrese en Terminal Server con el nombre de usuario y contraseña adecuados. Se
cerrará la ventana de RDC y abrirá la ventana con el programa remoto. El cliente
puede utilizar el programa como si funcionara en su equipo.
5. Cierre el programa para desconectarse o termine la sesión con Terminal Server.
En la figura 11-7 se muestran dos instancias de WordPad (el procesador de palabras
más elemental de Windows Server 2008, usado como ejemplo en esta sección), en ejecución
desde un cliente con Windows Vista.
11 MATTHEWS 01.indd 344 1/14/09 12:19:29 PM

Figura 11-7. Dos instancias del mismo programa pueden ejecutarse en el cliente
en modo nativo y como programas de RemoteApp.
El programa de la izquierda funciona en modo nativo en el cliente, como verá por las
barras del título y menú con el estilo de Windows Vista. El programa a la derecha funciona
remotamente desde Terminal Server y tiene barras de título y menú con el estilo de Win-
dows Server 2008, además de que en la barra de tareas aparece su icono, con la palabra
“(remoto)” al final.
NOTA En la figura 11-7, un archivo de .rdp y un paquete de .msi se muestran como ico-
nos de escritorio del lado izquierdo. El archivo .rdp es el icono de WordPad ubicado en la
parte superior.
Uso de un paquete .msi

Un archivo .msi es un paquete de instalación que instalará el vínculo al programa de Remo-
teApp en el equipo del cliente. Una vez que el vínculo está instalado, hay una opción en el
menú de inicio que brinda acceso al programa remoto ubicado en Terminal Server. Cuando
el paquete .msi se pone a disposición del cliente, en cualquiera de las formas mencionadas
en “Distribuya un programa de RemoteApp”, el cliente debe:
1. Arrastrar el paquete .msi al escritorio, si no está ya allí.
2. Hacer doble clic en el paquete .msi para comenzar la instalación. Aparecerán varios
cuadros de diálogo mostrando información del estado de la instalación y le pregun-
tarán si está de acuerdo con hacer la instalación. Haga clic en Permitir.
11 MATTHEWS 01.indd 345 1/14/09 12:19:29 PM

3. Ejecute el programa haciendo clic en Inicio|Todos los programas. Mueva la barra

de desplazamiento hasta llegar a Programas remotos y haga clic en el programa
remoto que habrá de ejecutarse. Seleccione un nombre de usuario y escriba la con-
traseña correspondiente. Haga clic en Aceptar.
4. Verifique la confiabilidad del servidor, realice los cambios deseados en la lista de

dispositivos locales disponibles y haga clic en Sí. La ventana de conexión con escri-
torio remoto se abrirá.
5. Ingrese en el Terminal Server con el mismo nombre de usuario y contraseña escritos
anteriormente. Aparecerá una ventana que nos pregunta si estamos de acuerdo en
realizar la instalación.
6. Haga clic en Permitir. La ventana de RDC se cerrará y abrirá la ventana con el pro-
grama remoto. El cliente puede usar el programa como si éste funcionara en su
computadora.
7. Cierre el programa para desconectarse o cierre la sesión de Terminal Server.
SUGERENCIA Es posible colocar un acceso directo al programa instalado con el pa-

quete .msi en el escritorio, al abrir el Explorador de Windows, localizar C:\Archivos de
programa\Remote Packages, hacer clic derecho en el programa y seleccionando Enviar a
| Escritorio (crear acceso directo).
11 MATTHEWS 01.indd 346 1/14/09 12:19:29 PM

Configuración y uso de Acceso Web de TS

El acceso Web de TS es una conexión vía Internet a Terminal Server, que permite a un clien-
te utilizar un navegador para ejecutar los programas de RemoteApp de TS en Internet o
intranet. Esto requiere que Internet Information Services (IIS) ya se encuentre instalado en
Terminal Server, como se describió antes en la sección “Instale las funciones de Terminal
Services”. El acceso Web de TS es un servicio de función de Terminal Services que debe
instalarse independientemente de TS. En esa sección se sugirió la instalación de IIS, en caso
de no haber realizado la instalación, regrese a esa sección y hágalo ahora. Con el servicio de
función instalado, configure y use Acceso Web de TS.
NOTA Es necesario tener instalado RDC 6.0 en el cliente para que Acceso Web de TS
funcione. RDC 6.0 está disponible en Windows Vista y Windows Server 2008; además,
puede descargarse para Windows XP SP2 y Windows Server 2003 SP1 o SP2.
Configure Acceso Web de TS

Si el servidor de Acceso Web de TS con IIS 7 y el Terminal Server de RemoteApp de TS están
en el mismo equipo y se han seguido todos los pasos anteriores para configurar y distribuir
los programas de RemoteApp de TS, entonces no es necesaria una configuración adicional
para Acceso Web de TS. Si ambos servidores se encuentran ubicados en diferentes equipos,
entonces continúe con los pasos descritos a continuación. El Acceso Web de TS es una apli-
cación Web que funciona en el servidor Web IIS. Esta aplicación puede configurarse desde
el menú Inicio o la página Web correspondiente, usando un navegador.
1. Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administra-
ción de Acceso Web de TS.
En su defecto, en el servidor de terminal, haga clic en Inicio|Internet, para abrir
Internet Explorer. En el campo de dirección, escriba http://localhost/ts.
En cualquier caso, si es necesario, escriba nombre de usuario y contraseña de un ad-
ministrador local y haga clic en Aceptar. El Acceso Web de TS se abrirá en Internet
Explorer y, si hay un servidor de terminal con programas de RemoteApp de TS en
el servidor Web, Acceso Web de TS mostrará los programas de RemoteApp de TS
configurados, como se muestra en la figura 11-8.
2. Haga clic en Configuración. Aparecerá el Editor de zona en el extremo derecho de
la ventana del navegador. En el campo Nombre de servidor de Terminal Server, es-
criba el nombre del servidor en que se han instalado los programas de RemoteApp
de TS que desea hacer accesibles vía Web.
3. Haga clic en Aplicar, después en Programas RemoteApp. Deberán aparecer los pro-
gramas de RemoteApp de TS que desea que estén disponibles.
Use Acceso Web de TS

Dado que ya efectuó toda instalación y configuración anteriores, el uso por parte del cliente
de Acceso Web de TS es muy simple.
11 MATTHEWS 01.indd 347 1/14/09 12:19:30 PM

Figura 11-8. Acceso Web de TS puede usarse para que se configure a sí mismo.
1. En el equipo del cliente, haga clic en Inicio|Internet para abrir Internet Explorer.
En el campo de dirección, escriba http://nombre_servidor/ts donde nombre_servidor
es el nombre de un equipo en la red local, dirección IP o nombre de dominio plena-
mente calificado (FQDN, Fully Qualified Domain Name).
2. Escriba un nombre de usuario y contraseña, luego haga clic en Aceptar. Si aparece
un mensaje “Control ActiveX no permitido”, haga clic en el mensaje de alerta, en la
barra de la información y clic en Complemento deshabilitado|Ejecutar el control Ac-
tiveX. Por último, haga clic en Ejecutar, en el mensaje de advertencia de seguridad.
Acceso Web de TS se abrirá en el navegador desplegando los programas de Remo-
teApp de TS que se han instalado, de manera similar a como se mostró en la figura
11-8, pero sin la opción Configuración.
3. Haga clic en el programa que desea ejecutar. Aparecerá un mensaje de alerta. Dé clic
en Aceptar para seguir adelante. Quizás aparezca un nuevo mensaje de alerta; si se
muestra, haga clic en Permitir.
11 MATTHEWS 01.indd 348 1/14/09 12:19:30 PM

SUGERENCIA Si nada ocurre cuando hace clic en el programa, entonces es necesa-

rio añadir el servidor de Acceso Web de TS a la zona de sitios confiables en Internet
Explorer. Para ello, en Internet Explorer, dé clic en la opción Herramientas en la barra
de herramientas, luego en Opciones de Internet. Haga clic en la ficha Seguridad; en se-
guida, en la lista de sitios, clic en Sitios de confianza, después en el botón Sitios. En el
campo de texto Agregar este sitio Web a la zona de e ingrese la dirección Web escrita
en el paso 1; si no se encuentra allí, quite la marca de la casilla Requerir comprobación
del servidor…, haga clic en Agregar, en Cerrar, luego en Aceptar para cerrar el cuadro
de diálogo Opciones de Internet.
4. Escriba el nombre de usuario y contraseña y dé clic en Aceptar. Aparecerá un men-

saje ofreciendo información sobre el equipo con que reestablece la conexión y los
recursos están disponibles. Realice cualquier cambio que desee en la lista de recur-
sos y dé clic en Conectar.
5. El programa se abrirá en el cliente y es posible utilizarlo como se haría normalmente.

6. Cuando termine de usar el programa RemoteApp de TS, cierre el programa y, lue-
go, el navegador Web.
Configure la Puerta de enlace de TS

La Puerta de enlace de TS provee acceso seguro a la red interna de una organización donde,
con las credenciales apropiadas, el usuario puede acceder a los recursos en la red, incluidos
equipos, discos e impresoras. La Puerta de enlace de TS cuenta con la misma o más seguridad
que la disponible en L2TP VPN; pero es más fácil instalarla y utilizarla. Más importante aún,
la Puerta de enlace de TS funciona bien con firewalls, de forma que se puede tener una confi-
guración muy férrea de la firewall y pese a ello tener acceso remoto a la red protegida por la
firewall y a través de un traductor de direcciones de red (NAT, Network Address Translator).
11 MATTHEWS 01.indd 349 1/14/09 12:19:30 PM

La Puerta de enlace de TS es un servicio de función en TS. En la sección “Instalación de

las funciones de Terminal Services”, se recomendó instalar Puerta de enlace de TS al mismo
tiempo que TS. Si no ha instalado el servicio de función Puerta de enlace de TS, regrese a la
sección indicada y realice los pasos correspondientes, incluida la identificación o creación
de un certificado de seguridad y directivas de TS CAP y TS RAP.
La Puerta de enlace de TS se controla por el Administrador de Puerta de enlace de TS,
donde es posible controlar, entre otras cosas, quién se conecta, qué recursos utiliza, si el
redireccionamiento está permitido y las características específicas de seguridad en uso. El
Administrador de Puerta de enlace de TS se abre desde el menú Inicio o Administrador
del servidor.
1. Abra al Administrador de Puerta de enlace de TS haciendo clic en Inicio|Herramien-
tas administrativas|Terminal Services|Administrador de Puerta de enlace de TS.
O bien, en Administrador del servidor, abra Funciones y luego Terminal Services,
dé clic en Administrador de Puerta de enlace de TS.
En cualquier caso, se abrirá el Administrador de Puerta de enlace de TS. Haga do-
ble clic en el nombre del servidor, que se mostrará en el panel central para abrir el
servidor de Puerta de enlace de TS, como verá en la figura 11-9.
2. En el panel central:
a. Haga clic en Supervisar conexiones activas para ver una lista de conexiones,
cambiar el límite de conexiones o editar y desconectar una conexión.
Figura 11-9. El Administrador de Puerta de enlace de TS determina lo que pueden hacer

los clientes remotos.
11 MATTHEWS 01.indd 350 1/14/09 12:19:31 PM

b. Haga clic en Ver o modificar propiedades de certificado para examinar la lista

de certificados y sus propiedades o crear uno nuevo.
c. Haga clic en Ver directivas de autorización de conexiones o en Ver directivas de
autorización de recursos para crear una nueva directiva, cambiarla, inhabilitar-
la o eliminar una directiva existente.
3. En el panel Acciones, haga clic en Propiedades para abrir el cuadro de diálogo Pro-
piedades de servidor. En este cuadro es posible limitar el número de conexiones,
elegir el certificado que habrá de utilizarse o crear uno nuevo y administrar diver-
sas características de la Puerta de enlace de TS. Cierre el cuadro de diálogo Propiedades
cuando todo esté listo.
En el panel Acciones, también es posible importar las directivas del servidor de la

Puerta de enlace de TS desde un archivo o exportarlas a éste, para ser usadas con
otros servidores.
La Puerta de enlace de TS debe considerarse una excelente opción a la VPN, que se su-
pone más segura o al menos tan segura como L2TP o SSTP, en definitiva más fácil de instalar
y configurar.
Habilite el Agente de sesiones de TS

El Agente de sesiones de TS trabaja con una “granja” de dos a cinco servidores de termi-
nal, en la que todos sus miembros suministran los mismos programas y servicios a clientes
remotos. El Agente de sesiones de TS separará y equilibrará la carga de TS entre diversos
servidores y reconectará al cliente a una sesión existente en la granja, manteniendo además
la carga equilibrada. Cuando un cliente busca al principio los servicios de terminal, Agente
de sesiones de TS revisará los servidores y asignará al cliente el servidor menos congestio-
nado. Si el cliente debe terminar la sesión o, por alguna razón, se desconecta y luego regresa,
Agente de sesiones de TS reconectará al cliente con el servidor y sesión de los que antes se
desconectó. Si un servidor deja de funcionar, Agente de sesiones de TS pasará automática-
mente ese servidor y buscará uno de los activos. Por último, a cada uno de los servidores se
le puede dar peso relativo en cuanto a su capacidad para manejar la carga de TS, de modo
que a los servidores más poderosos y capaces se les asigne una carga más grande.
11 MATTHEWS 01.indd 351 1/14/09 12:19:31 PM

Para utilizar Agente de sesiones de TS, todos los servidores de la granja deben ejecutar
Windows Server 2008 con la función Terminal Services, los servicios de función Terminal
Server y Agente de sesiones de TS instalados, ya descritos en la sección “Instalación de las
funciones de Terminal Services”, en este mismo capítulo. Para crear la granja, se asigna una
dirección IP a la misma, mientras a todos los servidores se les asigna un registro de DNS a
dicha dirección IP. Este registro activa el Agente de sesiones de TS y la asignación del peso re-
lativo se realiza en cada servidor de la granja mediante Configuración de Terminal Services.
1. Abra Configuración de Terminal Services haciendo clic en Inicio|Herramientas
administrativas|Terminal Services|Configuración de Terminal Services.
En su lugar, en la ventana del Administrador del servidor, abra Funciones, luego
Terminal Services y dé clic en Configuración de Terminal Services.
En cualquier caso, se abrirá Configuración de Terminal Services, en la ventana del
Administrador de servidor o en su propia ventana, como ya se mostró en páginas
anteriores de este capítulo, en la figura 11-4.
2. En la parte inferior del panel central (en el Administrador del servidor), bajo Agente
de sesiones de TS, dé clic derecho en Miembro de una granja del Agente de sesiones
y clic en Propiedades.
11 MATTHEWS 01.indd 352 1/14/09 12:19:31 PM

3. Haga clic en Unirse a una granja del Agente de sesiones de TS y escriba el nombre
de un servidor registrado, dirección IP para el primer servidor o servidor líder de la
granja (esta dirección IP se convierte en la dirección de la granja) y un nombre
para la granja.
4. Haga clic en Participar en el equilibrio de carga del Agente de sesiones, escriba el
peso relativo del servidor, haga clic en Usar redirección de direcciones IP (de lo con-
trario, no se presentará el equilibrio de carga); haga clic en la dirección IP que
habrá de utilizarse para la reconexión y, por último, clic en Aceptar.
Con un número moderado de servidores de terminal, el Agente de sesiones de TS ofrece
una forma excelente para equilibrar y administrar la carga de TS entre ellos.
IMPLEMENTE EL ADMINISTRADOR
DE LICENCIAS DE TS
Un cliente con acceso a Terminal Services puede usar la última versión de Microsoft
Windows y sus aplicaciones, sin contar con una versión de Windows reciente ni las
aplicaciones instaladas. Por tanto, Microsoft cobra cuotas por este servicio mediante
un servidor de licencias para administrar tal función. El servidor de licencias es cualquier
servidor en que está instalada la función de administración de licencias de TS.
La forma en que trabaja el Administrador de licencias de TS es la siguiente: cuando
un cliente se pone en contacto con el servidor de terminal para establecer una conexión,
el servidor se pone en contacto con el servidor de licencias, para determinar si el cliente
cuenta con una licencia de cliente para acceso a Terminal Services (TS CAL, TS Client Access
Licence). De lo contrario, el servidor de terminal solicitará una. Dado que se han comprado
e instalado suficientes TS CAL, el servidor de licencias expedirá la TS CAL y registrará el
hecho en su base de datos. En los primeros 120 días no será necesario contar con un servidor
de licencias y, si se instala uno, publicará licencias temporales gratuitas. Después de los 120
días, se deberán comprar TS CAL de Microsoft e instalarlas en el servidor. Con las TS
CAL adquiridas, el servidor de licencias expedirá licencias de largo plazo o permanen-
tes para dispositivos (equipos) y usuarios.
Licencias de Terminal Server

Para utilizar las licencias del servidor de terminal, la función Administración de licencias de
TS debe estar instalada, activa en la red y también TS CAL. El servidor de licencias puede
ser cualquier servidor en la red que ejecute Windows Server 2008 y, debido al tráfico que
generará, no es recomendable que también sea servidor de terminal. No es necesario que el
servidor de licencias sea un equipo demasiado poderoso y trabaje con servidores de termi-
nal usando Windows Server 2000 y 2003, además de 2008. El servidor de licencias almacena
todas las TS CAL instaladas para la red y todos los servidores de terminal en la red deben
tener acceso rápido al servidor de licencias, antes de permitir a los clientes conectarse con
el servidor de terminal.
NOTA No es necesario tener licencias o un servidor de licencias para utilizar el

Escritorio remoto.
11 MATTHEWS 01.indd 353 1/14/09 12:19:31 PM

Durante la instalación del servicio de función Terminal Server, se le preguntó el tipo de

TS CAL que deseaba utilizar:
▼ Por dispositivo, requiere una TS CAL para cada equipo conectado al servidor de
terminal. Una TS CAL establecida por dispositivo puede ser útil para cualquier
usuario
▲ Por usuario, requiere una TS CAL para cada usuario conectado con el servidor de
terminal y sólo puede ser utilizada en forma conjunta con Active Directory. Una TS
CAL establecida por usuario puede utilizarse en cualquier equipo
SUGERENCIA Para decidir el tipo de licencia necesaria, determine si tiene relativamente

pocos usuarios que utilizan gran cantidad de equipos con TS; entonces debe utilizar TS
CAL por usuario. En casi todos los demás casos, tal vez prefiera TS CAL por dispositivo,
que es la opción predeterminada.
Quizás haya elegido, como se recomendó, dejar la decisión para el periodo de gracia
de 120 días. Se revisará con más detalle este tema cuando se exponga la configuración del
Administrador de licencias de TS.
NOTA Las TS CAL por dispositivo se extienden a un espacio finito de tiempo y se re-
nuevan mientras se mantengan en uso. Si la TS CAL no se ha utilizado en su tiempo de
asignación, se retira del cliente y añade nuevamente al conjunto de TS CAL disponibles,
para ser utilizado con el siguiente dispositivo que intente acceder al servidor de terminal.
El administrador también puede retirar las TS CAL por dispositivo del cliente.
Instale el servicio de función Administrador de licencias de TS

La instalación del servicio de función de Administrador de licencias de TS es similar a la de
otros servicios de función (suponiendo que haya instalado Terminal Services):
11 MATTHEWS 01.indd 354 1/14/09 12:19:32 PM


del servidor. En cualquier caso, en el panel de la izquierda de la ventana del Admi-
nistrador del servidor, haga clic en Funciones y en Terminal Services, y desplace el
panel de la derecha hasta que vea Servicios de función.
2. Haga clic en Agregar servicios de función, seleccione Administrador de licencias TS
y dé clic en Siguiente.
3. Seleccione el alcance con que el servidor de licencias expedirá cada una (véase la
figura 11-10): el grupo de trabajo del que es parte el servidor de licencias, dominio
al que pertenece o el bosque de dominios en que se incluye.
4. Ingrese o seleccione la ruta de la carpeta en que se almacenará la base de datos de
licencias. Haga clic en Siguiente y en el botón Instalar. Por último, cuando se mues-
tre el mensaje indicando que la instalación está completa, haga clic en Cerrar.
Figura 11-10. Para instalar el Administrador de licencias de TS, es necesario establecer el alcance
del servidor de licencias.
11 MATTHEWS 01.indd 355 1/14/09 12:19:32 PM

Active un servidor de licencias de TS e instale licencias

Para emitir licencias, debe activar un servidor de licencias de TS y tener un conjunto de
licencias instaladas. Esto se logra mediante el asistente, para activar el servidor de adminis-
tración de licencias de TS a través de una de las siguientes formas:
▼ Conexión automática el servidor de licencias se conecta directamente con el cen-
tro de activación de Microsoft a través de Internet. Esto implica que el servidor de
licencias cuente con una conexión a Internet
■ Navegador Web un administrador proporciona manualmente la información ne-
cesaria en una página Web, conectado vía Internet al sitio Web de Microsoft, recu-
rriendo a una URL suministrada por el asistente de activación del servidor
▲ Telefónica el administrador puede llamar al centro de soporte a clientes de Micro-
soft en su localidad, utilizando el número telefónico proporcionado por el asistente
de activación del servidor
Una vez que haya decidido la manera en que se pondrá en contacto con el centro de
activación de Microsoft, abra el Administrador de licencias de TS y ejecute el asistente
para activar el servidor:
1. Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administrador
de licencias de TS. Se abrirá la ventana del Administrador de licencias de TS y mostra-
rá el nombre del servidor instalado en pasos anteriores, bajo el estado “No activado”,
como se muestra en la siguiente figura:
2. Haga clic en la opción Todos los servidores, para ver su nuevo servidor en el árbol
de consola del panel de la izquierda; dé clic derecho en el nombre del servidor en
el panel de la izquierda o derecha y, en el menú desplegado, haga clic en Activar
servidor. Se abrirá el Asistente para activar servidor. Dé clic en Siguiente.
3. Seleccione el método de conexión que desee utilizar (Conexión automática, Navegador
Web, Telefónica) y haga clic en Siguiente. Suponiendo que seleccionó el método de Co-
nexión automática, escriba su nombre, compañía y país o región; dé clic en Siguiente.
Escriba su dirección de correo electrónico, unidad organizativa, dirección postal y
4. Aparecerá un mensaje indicando que su servidor de licencias se ha activado con
éxito. Deje seleccionada la opción correspondiente y haga clic en Siguiente para ins-
talar licencias del cliente (en este caso, simuladas). Como opción, quite la marca de
la casilla de verificación y haga clic en Finalizar para dejar la instalación de licencias
del cliente para otro momento. Suponiendo que tomó la primera opción, se abrirá
el Asistente para instalación de licencias, como se ilustra en la figura 11-11.
11 MATTHEWS 01.indd 356 1/14/09 12:19:32 PM

Figura 11-11. Instalación de licencias del cliente en el Terminal Server.
5. Haga clic en Siguiente. Escoja el tipo de programa de licencia que usted o su

organización ha comprado. Tras seleccionar un programa, el cuadro de diálogo
desplegará información sobre este programa y mostrará un ejemplo de código de
licencia. Si la información y código de ejemplo coinciden con el que usted tiene,
6. Ingrese el o los códigos de licencia, haga clic en Agregar, para cada uno y, cuando
haya terminado, dé clic en Siguiente. Dé clic en Finalizar cuando se avise que las
licencias se instalaron con éxito.
11 MATTHEWS 01.indd 357 1/14/09 12:19:32 PM

NOTA Si desea instalar licencias en otro momento, puede hacerlo desde la ventana del
Administrador de licencias de TS, haciendo clic derecho en el nombre del servidor y al
seleccionar la acción Instalar licencias. El asistente de instalación de licencias se abrirá de
la manera descrita en pasos anteriores.
Configure y habilite usuarios

Una vez que haya manejado la administración de licencias, es necesario configurar y activar
usuarios. Para esto, el servidor o dominio deberán tener cuentas de usuario establecidas para
dicho proceso (esto significa que los usuarios deben ser miembros de los grupos Usuarios de
Escritorio remoto, Administradores en el servidor o dominio), la cuenta de usuario debe tener
una contraseña y las cuentas deben estar activadas para TS o conexiones remotas. A continua-
ción se explica cómo lograrlo en un dominio de Active Directory (con un grupo de trabajo,
haría esto con los usuarios y grupos locales del servidor: Inicio|Herramientas administrati-
vas|Administración de equipos, abra Herramientas del sistema además de Usuarios y grupos
locales, luego lleve a cabo pasos similares a los descritos a continuación para un dominio):
1. Haga clic en Inicio|Herramientas administrativas|Usuarios y equipos de Active
Directory. Abra el dominio local, dé clic derecho sobre la opción Users y clic en
Nuevo|Usuario. Se abrirá el cuadro de diálogo Nuevo objeto - Usuario.
2. Ingrese Nombre completo y Nombre de inicio de sesión del usuario y haga clic en
Siguiente. Escriba y confirme la contraseña que habrá de utilizarse, defina cómo po-
drá cambiarse dicha contraseña, haga clic en Siguiente y luego en Finalizar. Repita
estos pasos para registrar a todos los nuevos usuarios que desee.
3. En el panel derecho de la ventana Usuarios y equipos de Active Directory, haga do-
ble clic en uno de los nuevos usuarios recién creados para abrir el cuadro de diálogo
Propiedades de usuario.
4. Haga clic en la ficha “Miembro de”, luego en Agregar. En el cuadro de diálogo Se-
leccionar grupos, haga clic en Avanzadas y después en Buscar ahora, para localizar
grupos. Ubique el grupo Usuarios de Escritorio remoto y dé clic en Aceptar tres veces.
Repita este proceso para todos los usuarios que utilizarán TS o Escritorio remoto.
5. Cierre la ventana Usuarios y equipos de Active Directory, haga clic en Inicio|Panel
de control y doble clic en Sistema. Dé clic en Configuración de Acceso remoto. En la
sección “Acceso remoto” del cuadro de diálogo, haga clic en Permitir las conexio-
nes desde equipos que ejecutan cualquier versión de Escritorio remoto, como ya se
mostró en la sección “Prepare Terminal Services”, después clic en Aceptar y cierre
la ventana Sistema.
UTILICE EL MODO DE ADMINISTRACIÓN REMOTA

El modo de administración remota utiliza el entorno TS en forma similar al modo de servidor
de aplicaciones, pero limitada a un máximo de dos usuarios, quienes deben ser miembros del
grupo de administradores; no exige mucho al servidor ni requiere licencias y puede usarse fá-
cilmente para administrar un servidor sin impacto importante en otros procesos ejecutándose
11 MATTHEWS 01.indd 358 1/14/09 12:19:33 PM

en el servidor. Para lograr lo anterior, no es necesario contar con los componentes de mul-
tiusuario ni planificación de procesos presentes en todo TS, pero sí se utiliza RDC.
Habilite Conexión a Escritorio remoto

Conexión a Escritorio remoto usa el mismo RDC 6.0 ya expuesto en este capítulo. Como
ya se vio, Windows Server 2008 tiene instalado RDC 6.0 en forma predeterminada;
por ello, no requiere acción adicional para tener disponible la aplicación. Sin embargo, como
opción predeterminada, Windows Server 2008 tiene desactivada RDC y, para utilizarla, es nece-
sario activarla. La activación de RDC es muy simple y se realiza mediante los siguientes pasos:
1. Haga clic en Inicio|Panel de control|Sistema y dé clic en Configuración de Acceso
remoto para abrir la ficha del cuadro de diálogo Propiedades del sistema, que ma-
neja la asistencia y Escritorio remoto, mostrado en páginas anteriores de este capítulo
bajo “Prepare Terminal Services”.
2. En la sección Escritorio remoto, en la sección inferior de la ficha, haga clic en Permitir
las conexiones desde equipos que ejecuten cualquier versión de Escritorio remoto.
3. Haga clic en Aceptar cuando se le indique que se habilitará la excepción de Firewall
en Escritorio remoto y dé clic en Aceptar para cerrar el cuadro de diálogo.
Administración mediante la Conexión a Escritorio remoto

Utilizando RDC, es posible realizar casi cualquier función administrativa que sea capaz de
hacer sentado frente al equipo y a través de una LAN, conexión de acceso remoto (RAS)
—como se revisó en el capítulo 8— o Internet, mediante una VPN (consulte el capítulo 10).
Es posible utilizar todas las opciones del Panel de control y Herramientas administrativas,
incluidas las de Active Directory, Administración de equipo, DHCP, DNS, Administrador
del servidor, Escritorio remoto y Programador de tareas.
Dado que el cliente remoto puede tener control total sobre el servidor, es muy importan-
te mantener un esquema de seguridad sólido. Entre los elementos de seguridad que deben
considerarse se encuentran:
▼ Implementación de un firewall en el servidor
■ Utilizar una VPN o puerta de enlace de TS para el acceso vía Internet
■ Utilizar contraseñas robustas para todos los administradores
■ Limitar con cuidado a los individuos o grupos con acceso administrativo remoto
▲ Revisar cuidadosamente las directivas que afectan la administración remota
Uso de la Conexión a Escritorio remoto

RDC no requiere servidor en los extremos de la conexión. Por ejemplo, puede tener Win-
dows Vista Business en un equipo que ejecuta en su oficina y Windows XP Professional
SP2 con RDC 6.0 descargado e instalado en casa, mientras desde el equipo en casa con los
permisos apropiados puede acceder al equipo de la oficina utilizando RDC mediante RAS
o VPN y hacer casi todo en el equipo de la oficina: casi cualquier cosa que podría hacer si
11 MATTHEWS 01.indd 359 1/14/09 12:19:33 PM

estuviera sentado frente a ella. Dado que el equipo de oficina no es realmente un servidor,
se le denomina “host”. El equipo en casa es el cliente. El host debe ser un equipo con Win-
dows Vista Business, Ultimate o Windows Server 2008, pero el cliente puede ser cualquier
equipo en que pueda ejecutar Conexión a Escritorio remoto 6.0 (consulte la sección “Uso
de Conexión a Escritorio remoto con los programas de RemoteApp”, de este capítulo). En
Windows Vista, el cliente está instalado y habilitado como opción predeterminada, pero
en Windows Server 2008 debe habilitarse como se describió en la sección “Habilite Co-
nexión a Escritorio remoto”.
El usuario de RDC debe ser por lo menos miembro del grupo de usuarios de Escrito-
rio remoto en el equipo host y necesita ser un administrador, si desea ejecutar funciones
limitadas a los administradores. Con RDC, sólo un usuario puede usar el equipo host si-
multáneamente, aunque pueden estar activas varias sesiones de usuario. Cuando el cliente
remoto inicia sesión en el host, éste se “bloquea” de modo que ningún otro usuario acceda
a él; aunque los programas en ejecución continuarán ejecutándose, es posible realizar una
conmutación de usuario para moverse a otra sesión de usuario. La conmutación de usuario
también puede usarse en el cliente para cambiar del usuario que usa RDC en el host a
otro usuario y luego volver al anterior.
Ponga en funcionamiento una Conexión a Escritorio remoto

Después de conectarse a un host RDC o servidor TS, puede hacer casi cualquier cosa que ha-
ría si estuviera sentado frente al host. Puede ejecutar programas, acceder a datos y realizar
casi todas las funciones administrativas disponibles. Además, la barra de herramientas de
RDC, o “Barra de conexión”, permite cerrar la ventana de RDC sin cerrar la sesión, de mane-
ra que los programas sigan en ejecución, minimizar la ventana, para trabajar en el escritorio
de la máquina local y maximizar la ventana. Además, existe un icono en forma de alfiler que
determina si la barra de conexión estará siempre visible sobre el escritorio o sólo aparecerá
cuando se coloque el cursor del ratón en la parte superior del centro de la pantalla.
Configure la Conexión a Escritorio remoto

RDC ofrece la capacidad para transferir información entre el equipo host y cliente local en
uso. Esto significa que puede imprimir en la impresora local conectada al cliente (la opción
predeterminada), trabajar con archivos en el host remoto y el cliente local en la misma ven-
tana (no es la opción predeterminada), además de cortar y pegar entre ambos equipos y
documentos en cualquiera de ellas (tampoco es la opción predeterminada). Los recursos del
cliente local se encuentran disponibles en una sesión de RDC y se controlan en las opciones
del cuadro de diálogo de Conexión a Escritorio remoto. Use los siguientes pasos para explo-
rar las diferentes configuraciones que pueden usarse:
1. En cualquier equipo que ejecute RDC 6.0 (en este caso el cliente), haga clic en
Inicio|Todos los programas|Accesorios|Conexión a Escritorio remoto. Se abrirá
el cuadro de diálogo del mismo nombre. Haga clic en Opciones y la ventana se ex-
pandirá mostrando los diferentes controles para el Escritorio remoto en seis fichas,
como se muestra en la figura 11-12.
2. Haga clic en la ficha Mostrar. La opción predeterminada para una LAN es usar
Pantalla completa y la más alta calidad de color (32 bits), si su equipo lo soporta y
11 MATTHEWS 01.indd 360 1/14/09 12:19:33 PM

Figura 11-12. Controles de configuración de Conexión a Escritorio remoto.
deja activa la opción Mostrar la barra de conexión… Si su LAN tiene una elevada
cantidad de tráfico y es lenta, tal vez quiera reducir el tamaño de pantalla y la can-
tidad de colores diferentes.
3. Haga clic en la ficha Recursos locales. Como se observa en la figura 11-13, en esta ficha
es posible determinar si desea traer el sonido del host al cliente y el uso de métodos
abreviados en el teclado. Una vez más, si tiene una conexión de red lenta, ninguna de
las dos cosas anteriores es recomendable. Si desea transferir una pequeña cantidad
de información entre dos equipos usando copiar y pegar, deje seleccionada la opción
Portapapeles; si desea imprimir en la impresora conectada al cliente local, deje selec-
cionada la opción Impresora; si busca transferir una cantidad grande de información
entre ambos equipos, haga clic en Más y escoja la opción Unidades.
4. Si quiere ejecutar un programa cuando abra RDC, haga clic en la ficha Programas,
elija la opción Iniciar el siguiente programa al conectarse y escriba nombre de archivo
y ruta de acceso del programa, además de la carpeta de inicio que habrá de utilizarse.
5. Haga clic en la ficha Rendimiento y escoja la velocidad de la conexión en uso. Con
ello se determinará automáticamente cuáles de las opciones bajo la lista desplegable
de velocidades se seleccionan. Puede realizar cambios en la selección de opciones,
si lo desea.
11 MATTHEWS 01.indd 361 1/14/09 12:19:33 PM

Figura 11-13. Control de los recursos disponibles con RDC.
6. Haga clic en la ficha Opciones avanzadas y, bajo Autentificación del servidor, haga
clic en la lista desplegable. La opción predeterminada, Avisarme, es buena selec-
ción. Si va a realizar una conexión a un servidor de TS de Windows Server 2008 con
puerta de enlace de TS instalada, haga clic en Configuración. La opción predetermi-
nada, Detectar automáticamente la configuración del servidor de puerta de enlace
de TS, es también la más recomendable. Haga clic en Aceptar, para cerrar el cuadro de
diálogo Configuración del servidor de Puerta de enlace de TS.
7. Haga clic en la sección General y escriba el nombre del equipo remoto. Si se van a
utilizar varias configuraciones, guarde la configuración actual haciendo clic en Guar-
dar como, escriba un nombre de archivo y haga clic en Guardar.
8. Por último, dé clic en Conectar, escriba su contraseña y haga clic en Aceptar. Si en la
configuración especificada las unidades de disco locales deberán estar disponibles,
aparecerá un mensaje indicando que continúe con el proceso de conexión sólo si
confía plenamente en el equipo al que conecta. Haga clic en Sí o No.
11 MATTHEWS 01.indd 362 1/14/09 12:19:34 PM

9. Dependiendo de la seguridad en el equipo remoto, es posible que deba escribir su

nombre de usuario y contraseña nuevamente. El escritorio host se abrirá en el escri-
torio del cliente, tal vez ocupando la pantalla completa, si así fue configurado.
10. Mueva el puntero del ratón a la parte central superior de la ventana y aparecerá la
barra de la conexión de RDC. Si desea conservar la barra de conexión en la pantalla,
haga clic en el alfiler del lado izquierdo.
11. En este momento puede realizar cualquier acción en el host para la que tenga per-
miso. Cuando termine de utilizar RDC, salga realizando lo siguiente:
▼ Haga clic en Cerrar, de la barra de conexión. Esto deja al usuario conectado y
cualquier programa en ejecución permanecerá así. Si se reinicia la conexión de
RDC con el equipo remoto y nadie ha ingresado de manera local, la conexión
regresa a la misma sesión que dejó
▲ Haga clic en Inicio|Cerrar sesión. Esto terminará su sesión con el equipo re-
moto y detendrá la ejecución de todos los programas en uso. Si se reinicia la
conexión de RDC con el equipo remoto, se iniciará una nueva sesión
Utilice Escritorio remoto

Casi todo lo que puede hacer en las ventanas de Escritorio remoto o Terminal Server resulta
obvio; es lo mismo que utilizar directamente Windows. Sin embargo, existen dos funciones
únicas en este entorno. En el siguiente ejemplo muestra cómo trabajan.
Guardado en un disco local Con la configuración predeterminada, todos los archivos y di-
rectorios a los que se hace referencia durante una sesión de RDC o TS están en el host o
servidor. Si se hace referencia a una carpeta del disco C:, la opción predeterminada corres-
ponderá al disco C: del host o servidor. Si en el cuadro de diálogo Conexión a Escritorio
remoto se especifica que las unidades de disco local estén disponibles, entonces podrán
usarse los discos del host/servidor así como los del equipo local. Por ejemplo, si tras habili-
tar las unidades de disco local cuando se conecta, trabaja en el host/servidor y hace clic en
Guardar como, las unidades de disco en que guarda los archivos serán host y cliente.
Se recomienda tener cuidado con la terminología. Es necesario conocer los nombres
asignados a los equipos cliente y host, además de sus unidades. Usualmente, los discos host
o servidor aparecen primero y, si carecen de nombre, se denominarán “Disco local (C:)”,
donde la palabra local se refiere al host o servidor. Los discos del cliente se denominarán
“C en cliente”, donde cliente es el nombre del equipo cliente. De esta forma, es muy sencillo
utilizar cualquiera de las unidades.
Uso de la impresora local Con la configuración predeterminada, todas las impresiones se
realizan directamente en la impresora predeterminada del cliente. Por ejemplo, si se abre
el cuadro de diálogo Imprimir, desde un programa que se ejecuta en el host, aparecerá la
impresora predeterminada del cliente.
11 MATTHEWS 01.indd 363 1/14/09 12:19:34 PM

Si desea utilizar una impresora diferente, tiene tres opciones:

▼ Instale otra impresora en Windows durante la sesión de RDC o TS haciendo clic, si está
en Windows Vista, en Inicio|Panel de control. Luego, haga doble clic en Impresoras
■ Seleccione una impresora diferente a la predeterminada en el equipo cliente antes
de iniciar una sesión de RDC o TS
▲ Desactive el uso de la impresora local en el cuadro de diálogo Conexión a Escritorio
remoto, al iniciar la conexión. Esto le permitirá utilizar la impresora predetermina-
da en el host/servidor
11 MATTHEWS 01.indd 364 1/14/09 12:19:34 PM

PARTE V
Administración de
Windows Server
2008
365
12 MATTHEWS 01.indd 365 1/14/09 2:16:03 PM

12 MATTHEWS 01.indd 366 1/14/09 2:16:03 PM
CAPÍTULO 12
Administración del
almacenamiento y los
sistemas de archivos
367
12 MATTHEWS 01.indd 367 1/14/09 2:16:03 PM

L
a tarea fundamental de un servidor es almacenar, recuperar y administrar archivos.
Si esto no se realiza de manera fácil y eficiente, entonces hay pocas razones para tener
un servidor. En este capítulo se describe cómo maneja Windows Server 2008 tal fun-
ción. En el proceso, se analizarán estructura y sistemas utilizados para almacenamiento de
archivos y características administrativas de Windows Server 2008 en esta área.
ALMACENAMIENTO Y SISTEMAS DE ARCHIVOS

Windows Server 2008 está diseñado para trabajar en una amplia gama de ambientes
computacionales, en conjunto con otros sistemas operativos. Por tanto, la estructura de
su almacenamiento de archivos debe ser flexible. Esto se manifiesta en los tipos de almace-
namiento disponibles y los sistemas de archivos que Windows Server 2008 puede utilizar.
Tipos de almacenamiento
Antes de Windows 2000, sólo existía un tipo de almacenamiento, llamado almacenamiento
básico, que permitía una unidad dividida en particiones. Windows Server 2000 añadió el
almacenamiento dinámico, para la creación dinámica de volúmenes. Hoy día es posible elegir
(disco por disco) el tipo de almacenamiento que se desea utilizar, pero sólo puede usarse un
tipo de almacenamiento por unidad. Así que para tener ambos tipos de almacenamiento en
un equipo, es necesario que cuente con dos o más unidades.
Almacenamiento básico
El almacenamiento básico, para particionar un disco duro, es el tipo predeterminado de
almacenamiento en Windows Server 2008 y el utilizado en las versiones de Windows ante-
riores a 2000, incluidos Windows NT y MS-DOS. Particionar un disco significa utilizar software
para dividir una unidad de disco en particiones, que actúan como si fueran unidades de dis-
co independientes. Existen particiones primarias y extendidas. (Las particiones son iguales
que los volúmenes simples, analizados a lo largo de este capítulo.)
NOTA Windows Server 2008 hace una distinción poco clara entre particiones y volúme-
nes. En general, a las divisiones de discos primarios se les denominaba particiones, mientras
a las divisiones de los discos dinámicos se les denominaba volúmenes. En Windows Server
2008, los discos primarios tienen “particiones primarias” y “particiones extendidas” bajo el en-
cabezado “Volumen”. Además, si hace clic derecho en un objeto con capacidad de alma-
cenamiento, aparece un menú desplegable con las opciones “Extender volumen”, “Reducir
volumen” y “Eliminar volumen”. En general, se puede considerar que volúmenes y particiones
son lo mismo. La única diferencia verdadera es que los volúmenes se pueden extender en
dos o más unidades, mientras las particiones se limitan a una sola. Debido a las opciones de
menús en Windows Server 2008, hablaremos de objetos de almacenamiento “volúmenes” y
utilizaremos también los términos “partición primaria” y “partición extendida”.
Las particiones primarias reciben una letra de unidad, se formatean por separado y uti-
lizan para arrancar o iniciar el equipo. Pueden existir hasta cuatro particiones primarias en
una sola unidad. Sólo una partición a la vez puede ser la activa (es decir, la partición usada
12 MATTHEWS 01.indd 368 1/14/09 2:16:04 PM

Capítulo 12: Administración del almacenamiento y los sistemas de archivos 369
para arrancar el equipo). Es posible colocar sistemas operativos diferentes en distintas par-
ticiones y arrancarlos con independencia de cualquiera de ellas (se le denomina arranque
“dual”, aunque hoy día se pueden tener tres o más particiones de arranque). Como cada
partición se formatea por separado, otro uso de las mismas es colocar los datos en una parti-
ción, mientras programas y sistema operativo en otra, que permite dar formato nuevamente
en cualquier momento a la partición donde residen los programas y el sistema operativo, sin
afectar los datos y viceversa.
NOTA El arranque dual tiene algunas limitaciones o desventajas. Consulte “Decida si

recurre a un arranque dual”, en el capítulo 2.
Una partición en una unidad de disco puede ser partición extendida, en lugar de par-
tición primaria, de forma que sólo puede haber tres particiones primarias si existe una
partición extendida. Una partición extendida no tiene letra de unidad ni recibe formato; en
cambio, una partición extendida se divide en unidades lógicas, cada una de las cuales recibe
una letra de unidad y un formato independiente. Una partición extendida con unidades ló-
gicas permite dividir un disco en más de cuatro segmentos. No es necesario contar con una
partición primaria para crear una partición extendida.
Usualmente, las particiones o volúmenes se crean y modifican mientras realiza una
instalación en limpio del sistema operativo. Sin embargo, en Windows Server 2008 es po-
sible utilizar Administración de discos (consulte “Administración de discos”, en páginas
posteriores de este capítulo) para crear un nuevo volumen, si hay espacio suficiente sin
particionar, eliminar o comprimir un volumen, para crear espacio adicional sin particionar.
Si elimina un volumen, se pierde todo su contenido y debe formatear de nuevo cualquier
partición nueva creada. Sólo se puede reducir un volumen si existe espacio libre.
Almacenamiento dinámico
El almacenamiento dinámico utiliza una sola partición que abarca un disco completo,
actualizado a partir de un almacenamiento básico. Esta partición única se puede dividir
en volúmenes. Los volúmenes, en su forma más simple son iguales a las particiones,
pueden llegar a contar con características adicionales. Los cinco diferentes tipos de vo-
lúmenes son los siguientes:
▼ Volúmenes simples Identifican el espacio en disco de una sola unidad y son lo
mismo que las particiones
■ Volúmenes distribuidos Identifican al espacio de disco en 2 a 32 unidades de
disco. El espacio se utiliza secuencialmente, como haría en un disco único. Cuando
se llena la primera unidad, se utiliza la segunda y así sucesivamente. Si algún disco
del volumen distribuido falla, el volumen completo también
■ Volúmenes reflejados Son un par de volúmenes simples ubicados en dos unidades
de disco separadas, en las que se escribe simultáneamente la misma información. Si
un disco falla, el otro puede ser usado sin problema
■ Volúmenes en franjas Identifican al espacio de disco de 2 a 32 unidades de disco,
donde un fragmento de datos se escribe en cada unidad al mismo tiempo. Esto hace
lectura y escritura muy rápidas, pero si cualquiera de los discos falla, el volumen
completo se colapsa
12 MATTHEWS 01.indd 369 1/14/09 2:16:04 PM

▲ Volúmenes RAID-5 Se trata de volúmenes en franjas que incluyen al menos tres

discos donde se ha agregado información de corrección de errores, de tal forma que
si algún disco falla, puede reconstruirse la información. (RAID son las siglas de Re-
dundant Array of Independent Disks: conjunto redundante de discos independientes;
como opción, de Redundant Array of Inexpensive Disks: conjunto económico de discos
independientes)
SUGERENCIA De hecho, almacenamiento reflejado y seccionado son dos de los tres

niveles RAID compatibles con Windows Server 2008, RAID-5 es el tercero. El almacena-
miento reflejado es el nivel 1 y el seccionado es el 0. Es necesario contar con hardware
especial (controladores de disco) para realizar almacenamiento reflejado, seccionado y en
volúmenes RAID-5.
Es posible modificar el almacenamiento en tiempo real sin necesidad de reiniciar el equipo.

Mediante Administración dinámica de volúmenes (analizada más adelante en este capítulo), es
posible actualizar de almacenamiento básico a almacenamiento dinámico, además de agregar,
eliminar y modificar el tamaño de los volúmenes, sin reiniciar el equipo (aunque sí es necesa-
rio reiniciar tras la conversión inicial a almacenamiento dinámico). No es posible actualizar
hacia almacenamiento dinámico en equipos portátiles ni discos extraíbles.
Sistemas de archivos
Los sistemas de archivos determinan la forma en que los datos se almacenan en un disco e
integran la estructura o formato de los datos. Cuando formatea un disco, se debe especificar
el sistema de archivos que utilizará. En Windows Server 2008 es posible elegir entre FAT
(File Allocation Table, tabla de asignación de archivos), FAT32 y NTFS (New Technology
File System, sistema de archivos de nueva tecnología).
Sistemas de archivos FAT y FAT32

FAT fue el sistema de archivos originalmente utilizado en MS-DOS y las primeras versiones
de Windows, desde Windows 3.x hasta Windows para trabajo en grupos. Las versio-
nes iniciales de Windows 95 utilizaron VFAT (virtual FAT), Windows 95 OSR2 (por el
fabricante del equipo original, OEM Service Release 2, versión 2 de servicio de OEM) y en el
caso de Windows 98, FAT32. FAT es un sistema de archivos de 16 bits con un tamaño máxi-
mo de partición de disco de 512 MB; FAT usa un nombre de archivo con un máximo de ocho
caracteres y extensión de tres. VFAT es también un sistema de archivos de 16 bits, pero con
soporte a particiones de disco de hasta 2 GB y permite nombres de archivo largos de hasta
255 caracteres. FAT32 es un sistema de archivos de 32 bits, permite particiones de disco de
más de 2 TB (Terabyte o billones de bytes) y funciona con nombres de archivo largos. En
Windows NT, 2000, Server 2003 y 2008, las particiones FAT pueden llegar a 4 GB.
FAT, VFAT y FAT32 almacenan información mediante un incremento de tamaño fijo del
disco, llamado clúster. Los clústeres extienden su tamaño de 512 bytes a 64 KB, dependiendo
del tamaño de la partición de disco, como se muestra en la tabla 12-1. Por tanto, a medida
que se incrementa el tamaño de la partición, el tamaño mínimo del clúster también. Un clús-
ter grande puede ser muy ineficiente si almacena gran cantidad de archivos. FAT32 lleva a
cabo una mejora significativa en el tamaño mínimo del clúster y es un beneficio importante
en los discos grandes de hoy día.
12 MATTHEWS 01.indd 370 1/14/09 2:16:04 PM

Partición del disco Clústeres FAT y VFAT Clúster FAT32

0 a 31 MB 512 bytes 512 bytes
32 a 63 MB 1 KB 512 bytes
64 a 127 MB 2 KB 512 bytes
128 a 255 MB 4 KB 512 bytes
256 a 511 MB 8 KB 4 KB
512 a 1023 MB 16 KB 4 KB
1024 a 2047 MB 32 KB 4 KB
2 a 4 GB 64 KB 4 KB
4 a 8 GB 4 KB
8 a 16 GB 8 KB
16 a 32 GB 16 KB
33 GB y más 32 KB
Tabla 12-1. Tamaños de clúster que corresponden a varios tamaños de partición.
Como casi todos los archivos son considerablemente más grandes que el tamaño del
clúster, se requieren varios clústeres para almacenar un archivo. La FAT cuenta con un re-
gistro para cada archivo, que contiene nombre del archivo, fecha de creación, tamaño total
y dirección en el disco del primer clúster utilizado por el archivo. Cada clúster tiene la di-
rección del que le sigue y precede. Un clúster dañado puede romper la cadena de clústeres,
que a menudo causa que el archivo sea ilegible. En ocasiones, algunos programas de utile-
rías pueden recuperar el archivo utilizando diversas técnicas, incluida la lectura inversa de
la cadena de clústeres. El resultado común es la obtención de clústeres huérfanos que sólo
pueden eliminarse.
Los clústeres pueden escribirse en cualquier parte del disco. Si existe espacio disponible,
se escriben en secuencia; si no, se distribuyen a lo largo del disco. A esto se le llama frag-
mentación y puede causar que el tiempo de carga de archivos sea realmente largo. Existen
programas de utilerías, incluido Windows Server 2008, para desfragmentar una partición,
reubicando los clústeres de manera tal que todos los de un archivo sean colocados continua-
mente (consulte “Desfragmentación de unidad”, en páginas posteriores de este capítulo).
Sistema de archivos NTFS

NTFS fue desarrollado para Windows NT con características que lo hacen más seguro y
menos susceptible a errores de disco que FAT o FAT32. Se trata de un sistema de archivos
de 32 bits que puede utilizar volúmenes realmente grandes (mayores a 2 TB) y nombres de
archivo de hasta 255 caracteres, incluidos espacios, mayúsculas y minúsculas. Lo más impor-
tante es que NTFS representa el único sistema de archivos que utiliza completamente todas
las características de Windows Server 2008, como dominios y Active Directory.
NOTA NTFS también puede utilizarse en Windows 2000, Windows XP, Windows Server
2003 y Windows Vista.
12 MATTHEWS 01.indd 371 1/14/09 2:16:04 PM

Una de las características más importantes de NTFS es la que suministra seguridad de

archivo y directorio, mientras FAT y FAT32 no lo hacen. Esto significa que en FAT o FAT32,
si alguien obtiene acceso al disco, tendrá a su disposición todos los archivos y directorios.
Con NTFS, cada archivo y directorio tiene una lista de control de acceso (ACL, Access Control
List), que contiene los identificadores de seguridad (SID, Security Identifiers) de los usuarios y
grupos con permiso de acceso al archivo.
Otras características disponibles en NTFS, que no están en FAT o FAT32, son las siguientes:
▼ Cifrado de archivos
■ Compresión de archivos
■ Administración de almacenamiento remoto (sólo en Windows 2000 Server y Win-
dows Server 2003 y 2008)
■ Cuotas de disco
▲ Rendimiento mejorado con unidades de disco grandes
Las primeras cuatro características se analizan en páginas posteriores de este capítulo.
El rendimiento mejorado con unidades de disco grandes ocurre porque NTFS no tiene el
problema para aumentar el tamaño del clúster conforme aumenta el tamaño del disco.
La suma de todo esto indica que NTFS es muy recomendable. La única situación en que
no sería deseable utilizar NTFS es cuando quiere tener dos sistemas operativos en el mismo
equipo y uno de ellos no puede leer NTFS; aun en este caso, la mejor solución será utilizar
otro equipo para ejecutar dicho sistema operativo y utilizar NTFS con Windows Server 2008.
Convierta una unidad FAT o FAT32 a NTFS

En general, convertiría una unidad FAT o FAT32 a NTFS mientras instala Windows Server
2008. En el capítulo 3 se presentan las instrucciones para hacerlo. También es posible con-
vertir un volumen o unidad FAT o FAT32 en cualquier momento realizando lo siguiente:
▼ Dar formato al volumen o a la unidad
▲ Ejecutar el programa Convert.exe
En la sección “Administración de discos”, ilustrado en páginas posteriores de este capítulo, se
analiza el formateo, que elimina todo el contenido del volumen o unidad. Con el uso de Convert.exe
se preserva este contenido. Dé los siguientes pasos para utilizar el programa Convert.exe:
NOTA Para muchos de los pasos descritos en este capítulo es necesario iniciar sesión
como Administrador o alguien con permisos de Administrador.
1. Haga clic en Inicio|Símbolo del sistema. Se abrirá la ventana Símbolo de sistema.

2. En el indicador de comandos, escriba convert unidad: /fs:ntfs y oprima enter, don-
de unidad es la letra del volumen o unidad física que se desea convertir. Si le interesa
ver una lista con los nombres de archivos que se están convirtiendo, puede añadir
un espacio en blanco y /v después de /fs:ntfs. Se convertirá el volumen o unidad.
3. Cuando vea el mensaje “conversión completa” en el indicador de comandos, escri-
ba exit y oprima enter.
12 MATTHEWS 01.indd 372 1/14/09 2:16:05 PM

Convert.exe tiene los siguientes interruptores:

▼ /fs:ntfs Especifica que el volumen se convertirá a NTFS
■ /v Especifica que Convert se ejecutará en modo detallado
■ /cvtarea:nombre_archivo Especifica un archivo contiguo en el directorio raíz que
será el marcador de posición para los archivos de sistema NTFS. Convert utilizará
este archivo para almacenar los metadatos de los archivos de NTFS, como la tabla
maestra de archivos (MFT, Master File Table), para incrementar la eficiencia de Con-
vert y disminuir la fragmentación del volumen NTFS resultante
■ /nosecurity Especifica que la configuración de seguridad en los archivos y direc-
torios convertidos permitirá a todos los usuarios acceder a ellos
▲ /x Indica que el volumen se desmontará, de modo que se desconectarán todas las
conexiones establecidas con el volumen
La única forma de regresar un volumen o unidad a FAT o FAT32 después de convertido
a NTFS es reformateándolo.
Administración del sistema de archivos

El sistema de archivos de Windows Server 2008 se extiende más allá de una sola unidad, inclu-
so de las unidades en un solo equipo, a todas las unidades de una red. También puede incluir
volúmenes almacenados fuera de línea en una cinta o disco. La administración de este siste-
ma es compleja y Windows Server 2008 cuenta con un conjunto importante de herramientas
para manejarlo. Entre ellas están las siguientes:
▼ Función Servicios de archivo
■ Administración de acceso y almacenamiento
■ Administración de discos
■ Administración volúmenes dinámicos
■ Sistema de archivos distribuido
▲ Copias de seguridad de Windows Server
SERVICIOS DE ARCHIVO Y ADMINISTRACIÓN DE DISCOS

En Windows Server 2008, la función de servicios de archivo abarca todas las funciones ne-
cesarias para administración del almacenamiento y el disco, incluidos:
▼ Proveer la funcionalidad de un servidor independiente de archivos
■ Administrar y compartir los recursos del sistema del almacenamiento
▲ Configurar y administrar dispositivos y opciones del sistema del almacenamiento
12 MATTHEWS 01.indd 373 1/14/09 2:16:05 PM

La función Servicios de archivo no se instala, como opción predeterminada, pero en el

momento en que se ingresa al Centro de redes y recursos compartidos, se activa la opción
Uso compartido de archivos y la función Servicios de archivo se instala automáticamente.
Si por alguna razón no está instalada, siga estos pasos. En todos los casos, abra la ventana
Servicios de archivo, como se describe en el paso 4:
1. Haga clic en Inicio|Administrador del servidor. En la sección Resumen de funcio-
nes, haga clic en Agregar funciones. Se abrirá el Asistente para añadir funciones.
2. Haga clic en Servicios de archivo, después en Siguiente. Lea el mensaje de introduc-
ción y clic en Siguiente, una vez más.
3. Haga clic en Servicios de archivo, en Siguiente y, por último, en Instalar. El proceso
puede tardar unos minutos. Cuando termine, aparecerá un mensaje indicando que
la instalación ha terminado con éxito. Haga clic en Cerrar.
4. En el panel de la izquierda, abra Funciones y luego dé clic en Servicios de archi-
vo, en el panel de la derecha, como lo muestra la figura 12-1.
Figura 12-1. Servicios de archivo es un depósito para almacenamiento y administración

del disco en Windows Server 2008.
12 MATTHEWS 01.indd 374 1/14/09 2:16:05 PM

Con la habilitación de la función Servicios de archivo, también se instalan las fun-

ciones Servidor de archivo y Administrador de almacenamiento y recursos compartidos.
El conjunto completo de servicios de funciones disponibles con Servicios de archivo se
describe a continuación.
▼ Servidor de archivos, suministra un recurso de red para almacenar información
(archivos o programas) que otros miembros de la red pueden utilizar, siempre y
cuando cuenten con los permisos apropiados. El servidor de archivos también faci-
lita el respaldo de recursos de almacenamiento de red
■ Administración de almacenamiento y recursos compartidos, permite compartir
directorios, unidades y otros objetos de almacenamiento en una sola consola de ad-
ministración, en lugar de requerir cuadros de diálogo separados para cada dispositivo.
Administración de almacenamiento y recursos compartidos se utiliza también en las
redes de almacenamiento local (SAN, Storage Area Network), para ofrecer números de
unidad lógica (LUN, Logical Unit Numbers) para asignar espacio de almacenamiento
■ Sistema de archivos distribuido (DFS), facilita un medio flexible y tolerante a fa-
llas para compartir archivos y realizar réplicas, utilizando:
▼ Espacios de nombres DFS, permiten agrupar directorios compartidos en varios
servidores bajo un único espacio de nombres estructurado, como si se tratara de
un solo directorio con varios subdirectorios ubicados en un único servidor
▲ Replicación DFS, sincroniza el contenido de carpetas comunes en varios ser-
vidores en una red. Con el uso del protocolo de compresión diferencial remota
(RDC, Remote Differential Compression), porciones de archivos que han cam-
biado en un servidor se replican a través de la red
■ Administrador de recursos del servidor de archivos (FSRM), brinda los informes,
filtros y controles para administrar contenido, tipo y cantidad de información alma-
cenada en servidores mediante cuotas y vigilancia de archivo definidas
■ Servicios para el sistema de archivos de red (NFS), proporciona elementos para
intercambio y transferencia de archivos entre servidores que ejecutan Windows Ser-
ver 2008 y UNIX, a través del protocolo NFS (Network File System)
■ Servicio de búsqueda de Windows, permite que los clientes de la red busquen
rápidamente archivos en el servidor donde tal servicio está activo. El Servicio de
búsqueda de Windows y la indización (que se verá más adelante) no pueden ejecu-
tarse al mismo tiempo
▲ Servicios de archivo de Windows Server 2003, proporciona compatibilidad con
sistemas antiguos, por medio de dos servicios:
▼ Servicio de replicación de archivos (FRS), para sincronizar el contenido de carpe-
tas comunes ubicadas en varios servidores, de manera similar a la Replicación DFS,
que permite la inclusión de servidores Windows 2000 y Windows Server 2003
▲ Servicio de indización, es una opción heredada del Servicio de búsqueda de Win-
dows concentrada en la catalogación de información antes de realizar la búsqueda,
luego utiliza dicho catálogo o índice para encontrar rápidamente la información
12 MATTHEWS 01.indd 375 1/14/09 2:16:06 PM

Administración de almacenamiento y recursos compartidos

Administración de almacenamiento y recursos compartidos, nueva característica de Win-
dows Server 2008, suministra una ubicación única para crear, administrar y compartir
almacenamiento en una red. Administración de almacenamiento y recursos compartidos
administran las unidades de almacenamiento lógico en una red, en contraste con Adminis-
tración de discos, descrita más adelante, para manejar unidades de almacenamiento físico
en la red. Administración de almacenamiento y recursos compartidos utiliza su propio pa-
nel dentro del Administrador del servidor y cuenta con dos asistentes para proporcionar
las siguientes funciones:
▼ Asistente para aprovisionar almacenamiento, para crear y configurar particiones o
volúmenes, dividiendo el sistema de almacenamiento en unidades lógicas, cada una
con un número de unidad lógica (LUN, Logical Unit Number); también configura
dichas unidades, que incluyen asignación de nombre compartido, tipo de almacena-
miento y tamaño, además de identificación de los servidores que las utilizarán
▲ Asistente para aprovisionar carpetas compartidas ofrece recursos para crear, com-
partir y administrar directorios, incluida la asignación del nombre compartido de la
carpeta y sus permisos, ubicación y protocolo para compartir archivos
Es posible abrir Administración de almacenamiento y recursos compartidos desde el
Administrador del servidor o Herramientas administrativas:
del servidor. Luego abra Funciones y dé clic en Servicios de archivo y Administra-
ción de almacenamiento y recursos compartidos.
En su defecto, haga clic en Inicio|Herramientas administrativas|Administración
de almacenamiento y recursos compartidos.
En cualquier caso, se abrirá la ventana del Administrador de almacenamiento y
recursos compartidos (mostrada en la figura 12-2) o el panel correspondiente en el
El panel central tiene dos fichas: Recursos compartidos y Volúmenes. Como se
muestra en la figura 12-2, la sección de Recursos compartidos muestra las carpe-
tas compartidas o recursos compartidos del servidor local en dos partes: una para
recursos compartidos públicos y otra para recursos compartidos privados o admi-
nistrativos, que incluyen $ como último carácter en su nombre. Esto evita que se
muestren a usuarios convencionales.
2. Haga clic en la ficha Volúmenes, que presenta una lista de las particiones físicas o
volúmenes, creados en los dispositivos de almacenamiento conectados con el servi-
dor local. Como se observa en la figura 12-3, a menudo existe una elevada correla-
ción entre directorios y recursos compartidos y los volúmenes físicos, pero no hay
limitante para compartir carpetas individuales en una partición, pues casi todos los
sistemas tienen una carpeta pública compartida.
3. Regrese a la ficha Recursos compartidos, haga clic derecho en uno de los recursos
de la lista, luego seleccione Propiedades. Se abrirá el cuadro de diálogo Propieda-
des. Puede ingresar una descripción del recurso y hacer clic en Avanzadas para
abrir un nuevo cuadro de diálogo. En éste, es posible establecer una cantidad límite
12 MATTHEWS 01.indd 376 1/14/09 2:16:06 PM

de usuarios para el recurso, habilitar filtros que determinan quién podrá ver las car-
petas y, en la ficha Almacenamiento en caché, seleccione cómo estará disponible el
Figura 12-2. Administración de almacenamiento y recursos compartidos permite

gestionar recursos.
Figura 12-3. Administración de almacenamiento y recursos compartidos también permite

gestionar volúmenes físicos.
12 MATTHEWS 01.indd 377 1/14/09 2:16:06 PM

contenido del recurso compartido sin conexión. Cuando haya terminado, haga clic
en Aceptar, para cerrar el cuadro de diálogo Opciones avanzadas.
4. De regreso al cuadro de diálogo de Propiedades, haga clic en la ficha Permisos. Ahí,

en la parte superior, es posible establecer permisos para usuarios con acceso a este
directorio en la red; en la parte inferior, puede establecer permisos para quienes
tienen acceso local. Abra los cuadros de diálogo respectivos, establezca los permisos
deseados, cierre los cuadros de diálogo convenientes y, cuando esté listo, cierre el
cuadro de diálogo Propiedades.
12 MATTHEWS 01.indd 378 1/14/09 2:16:06 PM

5. Haga clic en la ficha Volúmenes, luego clic derecho en un volumen. El menú con-
textual muestra opciones para extender el tamaño de la partición, formatearla o
eliminarla y modificar sus propiedades. Haga clic en Propiedades.
6. El cuadro de diálogo Propiedades que se abre es muy similar al cuadro de diálogo

de unidades en varias versiones de Windows. Aquí puede cambiar el nombre del
volumen, elegir entre comprimir o indizarlo; además de revisar, desfragmentar y
respaldar el volumen; revisar características del hardware y propiedades de seguri-
dad, así como crear copias “instantáneas”. Cierre el cuadro de diálogo Propiedades
cuando esté listo para continuar.
NOTA Las opciones en el menú contextual que se abre cuando hace clic derecho en un
recurso compartido o volumen están disponibles en la parte inferior del panel Acciones,
luego de seleccionar un recurso compartido o volumen.
12 MATTHEWS 01.indd 379 1/14/09 2:16:07 PM

Use el Asistente para aprovisionar almacenamiento

El Asistente para aprovisionar almacenamiento permite crear, configurar y administrar
volúmenes.
1. En el panel Acciones del Administrador de almacenamiento y recursos com-
partidos, haga clic en Aprovisionar almacenamiento. Se abrirá el Asistente para
aprovisionar almacenamiento solicitando información sobre el lugar donde desea
crear el nuevo volumen (un disco existente o dispositivo de almacenamiento co-
nectado). Haga su elección y clic en Siguiente.
2. Seleccione el disco específico, LUN o subsistema y dé clic en Siguiente. Ingrese el
tamaño del volumen y, una vez más, haga clic en Siguiente. Especifique la letra de
unidad o punto de montaje y clic en Siguiente.
3. Elija si desea dar formato a la unidad, ingrese una etiqueta para volumen y tama-
ño de la unidad de asignación, decida si desea dar formato rápido a la unidad y
dé clic en Siguiente.
4. Revise su configuración, haga clic en Anterior si requiere realizar algún cambio y en
seguida haga clic en Crear. Cuando el proceso se complete, obtendrá una confirma-
ción similar a la mostrada en la figura 12-4. Haga clic en Cerrar.
Figura 12-4. El Asistente para aprovisionar almacenamiento permite crear un volumen

para compartirlo mediante el Asistente para aprovisionar carpetas compartidas.
12 MATTHEWS 01.indd 380 1/14/09 2:16:07 PM

Utilice el Asistente para aprovisionar carpetas compartidas

El Asistente para aprovisionar carpetas compartidas permite crear, configurar y administrar
recursos compartidos.
1. En el panel Acciones del Administrador de almacenamiento y recursos comparti-
dos, haga clic en Aprovisionar recurso compartido. Se abrirá el Asistente para apro-
visionar carpetas compartidas, solicitando que identifique el recurso que se desea
compartir, como se muestra en la figura 12-5.
2. Haga clic en Examinar, seleccione una carpeta o clic en Crear nueva carpeta, escriba
el nombre y haga clic en Aceptar. Clic en Siguiente. Si desea cambiar los permisos
NTFS, clic en Sí, cambiar los permisos NTFS; clic en Editar permisos; realice los
cambios necesarios; clic en Aceptar.
SUGERENCIA Si no se ejecutó el Asistente para aprovisionar almacenamiento y desea

crear un volumen para compartir con el Asistente para aprovisionar carpetas compartidas,
puede aprovisionar almacenamiento desde este último asistente haciendo clic en el botón
Aprovisionar almacenamiento, ubicado en la primera pantalla del asistente.
Figura 12-5. El Asistente para aprovisionar carpetas compartidas permite crear recursos
compartidos en los volúmenes del servidor.
12 MATTHEWS 01.indd 381 1/14/09 2:16:07 PM

3. Haga clic en Siguiente. Seleccione el protocolo para compartir archivos entre el pro-
tocolo de bloque de mensaje de servidor SMB (Server Message Block) —recurso pri-
mario para compartir archivos en Windows— y el protocolo del sistema de archivos
de red (NFS), requerido si existen servidores con sistema operativo UNIX en la red.
4. Escriba cualquier comentario respecto al uso del recurso compartido y, si alguna de
las configuraciones avanzadas necesita modificarse, haga clic en el botón Avanza-
das, realice los cambios necesarios y haga clic en Aceptar y en Siguiente.
5. Seleccione el tipo de permisos que serán utilizados con este recurso compartido y dé
clic en Siguiente. Elija si desea publicar el nuevo recurso compartido en un espacio
de nombres del sistema de archivos distribuido (DFS, Distributed File System), que
agrupa carpetas compartidas en múltiples servidores para incrementar y simplificar
la disponibilidad (debe crear antes un espacio de nombres DFS), dé clic en Siguiente.
6. Revise la configuración creada (un ejemplo se muestra en la figura 12-6 y, de ser necesa-
rio, haga clic en Anterior para realizar cambios y una vez finalizado, haga clic en Crear).
Dé clic en Cerrar cuando se indique que el recurso compartido se creó correctamente.
Figura 12-6. El proceso para aprovisionar un recurso compartido permite configurar todas
las características del recurso compartido.
12 MATTHEWS 01.indd 382 1/14/09 2:16:08 PM

Administración de discos
Administración de discos ofrece los medios para gestionar dispositivos de almacenamiento
físico, local y remotamente a través de la red. La administración del disco incluye parti-
ción, compresión, desfragmentación y establecimiento de cuotas, además de la seguridad
del almacenamiento. Como ya se mencionó, Administración de discos trabaja con los dispo-
sitivos de almacenamiento físico, mientras Administración de almacenamiento y recursos
compartidos lo hace con objetos de almacenamiento lógicos. Diversas funciones de almace-
namiento pueden realizarse en ambos entornos. Administración de discos se abre desde el
Administrador de equipos o el Administrador del servidor:
Haga clic en Inicio|Herramientas administrativas|Administración de equipos. En
la ventana del Administrador de equipos, haga clic en Almacenamiento, en el panel
de la izquierda, luego clic en Administración de discos.
De no ser así, clic en Inicio|Administrador del servidor. En el panel de la izquierda
del Administrador del servidor, abra Almacenamiento y haga clic en Administra-
ción de discos.
En cualquier caso, aparecerá el panel Administración de discos, como se muestra en
la figura 12-7.
Figura 12-7. Administración de discos proporciona una vista física desde la que puede
administrar el almacenamiento.
12 MATTHEWS 01.indd 383 1/14/09 2:16:08 PM

Panel Administración de discos

El panel Administración de discos tiene dos secciones principales: una lista de texto de par-
ticiones o volúmenes y unidades en la parte superior, asimismo una representación gráfica
de los mismos objetos en la parte inferior. Explore el panel Administración de discos:
1. Haga clic derecho en un objeto en la columna de volúmenes de la lista de texto,
aparecerá un menú contextual.
Desde este menú, es posible abrir o explorar el volumen para ver su contenido en el
Explorador de Windows (ambas opciones hacen lo mismo); seleccionar el volumen
que será el activo (de arranque); cambiar la letra y ubicación de la unidad; dar forma-
to o eliminar el volumen, si no es el activo o del sistema; ampliar o reducir el tamaño
del volumen; abrir el cuadro de diálogo Propiedades del volumen y obtener ayuda.
2. Haga clic derecho en uno de los volúmenes a la derecha de la representación grá-
fica, en la parte inferior del panel. Verá un menú similar al mostrado en el paso 1
(dependiendo del tipo de partición, tal vez vea algunas diferencias).
3. Haga clic derecho en una unidad, a la izquierda de la representación gráfica. Verá un
menú contextual para la unidad que permite convertirla en disco dinámico, en caso
de hacer clic en un disco básico que no es extraíble y se encuentra en un equipo de es-
critorio, no en una laptop. Este menú también permite convertir la unidad en un disco
GPT, abrir el cuadro de diálogo Propiedades de la unidad y hacer clic en Ayuda.
NOTA El uso de una tabla de partición GUID (GPT, GUID Partition Table), en lugar de
discos MBR, permite tener más de cuatro particiones y es necesario en discos cuyo tama-
ño excede los 2 TB.
12 MATTHEWS 01.indd 384 1/14/09 2:16:08 PM

4. Haga clic en el menú Acciones o en Acciones adicionales, en el panel Acciones. Aquí

puede actualizar rápidamente el estado actual de los objetos de almacenamiento;
reexaminar los discos, que sólo suele hacerse cuando el equipo se reinicia y utiliza
para mostrar una unidad añadida o extraída sin reiniciar el equipo (intercambio en
caliente); mostrar el menú correspondiente al volumen o unidad seleccionado (To-
das las tareas) y acceder a la opción de ayuda.
Personalice el panel Administración de discos

Es posible personalizar el panel Administración de discos con la barra de herramientas y el
menú Ver. Tal vez use mucho Administración de discos, de modo que valdrá la pena tomar-
se tiempo para personalizarlo:
1. Haga clic en el menú Ver. Las primeras dos opciones nos permiten determinar lo
que habrá en las secciones superiores e inferiores del panel. Como opción predeter-
minada, la lista de volúmenes aparece en la parte superior mientras la vista gráfica
en la inferior. La tercera opción a ambas vistas consiste en desplegar una lista de
unidades de disco, que contiene la misma información presente en la vista gráfica.
2. Pruebe varios cambios para ver si alguna le agrada más que la predeterminada. En la fi-
gura 12-8 se muestra una opción compacta con una lista de discos en la parte superior y
una lista de volúmenes en la inferior. Seleccione la distribución de su preferencia.
3. Haga clic en el botón Configuración, a la derecha de la barra de herramientas o abra
nuevamente el menú Ver y haga clic en Configuración. Se abrirá el cuadro de diá-
logo Configuración. En la ficha Apariencia, es posible seleccionar colores y tramas
utilizados para representar los diversos tipos de particiones y volúmenes.
12 MATTHEWS 01.indd 385 1/14/09 2:16:08 PM

Figura 12-8. Una distribución alterna para el panel Administración de discos.
4. Seleccione los colores que desee utilizar y luego haga clic en la ficha Escala. En
ésta es posible seleccionar la forma en que los discos y sus regiones (volúmenes) se
muestran gráficamente en relación con los demás. Mostrar los discos de acuerdo
con su capacidad utilizando una escala logarítmica es quizá la mejor opción, si se
cuenta con unidades y volúmenes de tamaños sustancialmente diferentes.
5. Tome las decisiones que considere más apropiadas y haga clic en Aceptar. Abra
nuevamente el menú Ver y haga clic en la opción Personalizar. Se abrirá el cuadro
de diálogo Personalizar lista. En éste es posible personalizar la ventana principal
(denominada “MMC” en el cuadro de diálogo, por Microsoft Management Conso-
le, consola de administración de Microsoft), además del panel Administración de
discos (llamado Complemento).
6. Realice diversos cambios, vea su efecto y configure la ventana según su agrado.
Cuando haya terminado, haga clic en Aceptar para cerrar el cuadro de diálogo Per-
sonalizar vista.
Propiedades de unidad y volumen

Existen cuadros de diálogo de propiedades independientes para unidades y volúmenes. Lo
que antes pudo considerarse propiedades de una unidad son en realidad propiedades de un
volumen. Lo verá por sí mismo a continuación:
12 MATTHEWS 01.indd 386 1/14/09 2:16:09 PM

Figura 12-9. Cuadro de diálogo Propiedades del dispositivo para una unidad de disco.
1. Haga clic derecho en una unidad, en la parte izquierda de la vista gráfica, y dé clic
en Propiedades. Se abrirá el cuadro de diálogo Propiedades del dispositivo, similar
al de la figura 12-9. Se trata de un cuadro principalmente informativo, aunque es
posible detectar y solucionar fallas en la unidad, establecer directivas de escritura
en caché, abrir el cuadro de diálogo Propiedades de cada uno de los volúmenes de
la unidad, actualizar o cambiar controladores de la unidad y visualizar la nomen-
clatura de la unidad.
2. Haga clic en la ficha Volúmenes y después en uno de los volúmenes de la lista, en la
sección inferior del cuadro de diálogo, después en Propiedades. Se abrirá el cuadro
de diálogo Propiedades del volumen, como se observa en la figura 12-10 (muy similar
al cuadro de diálogo mostrado en “Administración de almacenamiento y recursos
compartidos”, pero con secciones adicionales). Este cuadro de diálogo también pro-
vee información, pero, a diferencia del de Propiedades del dispositivo, es un lugar
primordialmente dedicado a la realización de tareas con volúmenes. Muchas de
estas tareas se analizan en otras partes de este capítulo, aunque las opciones para
compartir y seguridad se exponen en el capítulo 15.
3. Haga clic en cada una de las secciones del cuadro de diálogo Propiedades, para
ver las diferentes características y herramientas disponibles. Dos de éstas, que no
se analizarán en otro lugar, son el panel de Comprobación de errores ubicado en la
ficha Herramientas y la ficha Hardware.
12 MATTHEWS 01.indd 387 1/14/09 2:16:09 PM

Figura 12-10. Cuadro de diálogo Propiedades de una partición o volumen.
4. Haga clic en la ficha Herramientas y luego en Comprobar ahora, en la sección

Comprobación de errores. Se abrirá el cuadro de diálogo Comprobar disco; explica
que tiene la opción de reparar automáticamente errores en el sistema de archivos
—como clústeres perdidos—, además de examinar y tratar de recuperar datos en un
sector defectuoso del disco.
5. Seleccione el tipo de comprobación de disco que desea realizar y haga clic en Iniciar.
Si la unidad que revisa se encuentra en un servidor activo, aparecerá un mensaje
indicando que la revisión no podrá realizarse; al mismo tiempo consulta si desea
realizar la comprobación la siguiente ocasión que reinicie el equipo. Seleccione la
opción deseada haciendo clic en Programar comprobación de disco o Cancelar.
6. Haga clic en la ficha Hardware. Aquí se presenta una lista de todas las unidades
del equipo. Si selecciona una unidad y hace clic en Propiedades, aparecerá otro
cuadro de diálogo Propiedades del dispositivo (el mismo abierto en el paso 1 y que
se muestra en la figura 12-9).
12 MATTHEWS 01.indd 388 1/14/09 2:16:09 PM

7. Haga clic en la ficha Personalizar (no en el cuadro de diálogo Propiedades del vo-
lumen en que se ha instalado Windows Server 2008). Esta ficha permite seleccionar
la plantilla para el contenido de la carpeta y la imagen a utilizar como icono de la
carpeta. Todas las demás fichas se analizan en otro lugar.
8. Al terminar de revisar el cuadro de diálogo Propiedades del volumen, haga clic en
Aceptar para cerrarlo.
NOTA El cuadro de diálogo Propiedades de un volumen puede abrirse haciendo clic

derecho en el volumen y seleccionando la opción Propiedades.
Agregue o quite una unidad de disco

Si tiene hardware que permita intercambio “en caliente” (adición y eliminación de unidades
de disco estándar, que no suelen ser extraíbles, mientras el equipo está en funcionamiento)
o cuenta con unidad de disco extraíble, que puede retirarse mientras el equipo está en fun-
cionamiento, Windows Server 2008 provee diversas herramientas para dar soporte a esta
acción sin reiniciar el equipo. En general, un equipo realiza una exploración de sus unida-
des de disco para determinar los recursos disponibles cuando arranca y reinicia. Windows
Server 2008 puede realizar esta exploración mientras el equipo está en funcionamiento, me-
diante la opción Volver a examinar los discos, ubicada en el menú Acción o en el menú
Acciones adicionales, ubicado en el panel Acciones. Si una unidad de disco se retira sin la
preparación necesaria, se pueden generar errores, como la pérdida de información o sus-
pensión del equipo. Para solucionar esto, el asistente Hardware de Windows Server 2008
cuenta con una opción para desconectar o expulsar, e incluso colocar un icono en la barra
de tareas para esta acción.
PRECAUCIÓN No agregue o quite una unidad de disco mientras el equipo está en eje-
cución, a menos que esté seguro de que el hardware del disco da soporte a esa acción.
Podrían ocurrir daños significativos tanto en la unidad como en el equipo, incluso ambos.
Agregue un disco
Es posible agregar un disco extraíble o con soporte para intercambio activo, simplemen-
te colocándolo en su ranura y empujándolo. Después de agregar físicamente el disco,
Windows Server 2008 lo reconocerá con frecuencia y mostrará un mensaje con una o más
opciones de lo que puede hacer con el disco. Si
Windows no reconoce el disco, haga clic en el
panel Administración de discos y después en
la opción Volver a examinar los discos, ubica-
da en el menú Acción. En seguida de la explo-
ración, la unidad debe aparecer en el panel
Administración de discos y se puede traba-
jar en ella, incluidos partición y formateo de
acuerdo con lo que desee (consulte la siguiente
“Particionamiento y formateo de unidades”, en
una sección posterior).
12 MATTHEWS 01.indd 389 1/14/09 2:16:10 PM

Si utiliza un disco con datos ya empleado en otro equipo, simplemente use la opción
Volver a examinar los discos, como ya se indicó. Tras la exploración, el nuevo disco será
marcado como “externo”, si Windows Server 2008 detecta que es un disco dinámico de otro
equipo con Windows Server 2008 (que almacena sus propios datos de configuración). Haga
clic derecho en el disco, haga clic en Importar disco y siga las indicaciones que se presenten.
Quite una unidad

Si desea quitar una unidad que cuente con las características de intercambio activo o ex-
traíble, es importante preparar la unidad para dicho evento, notificando a Windows Server
2008 que la unidad será retirada, antes de hacerlo. Sabiendo esto, Windows evitará realizar
escrituras adicionales en la unidad y efectuará cualquier tarea específica del hardware, como
detener el giro de la unidad, la expulsión del disco o ambas. Dependiendo de la unidad y la
manera en que se ha implementado en Windows Server 2008, se tienen distintas formas de
indicarle al sistema operativo que desea quitar la unidad.
En algunos dispositivos, como las unida-
des extraíbles, es posible hacer clic derecho en
la unidad, a la izquierda de la vista gráfica del
panel Administración de discos, y hacer clic en
la opción Expulsar. El disco será preparado y
expulsado. Otros dispositivos cuentan con co-
mandos similares.
Con los discos extraíbles se cuenta con un
icono Quitar hardware de manera segura; está ubicado del lado derecho de la barra de ta-
reas. Al hacer doble clic en este icono, se abre un cuadro de diálogo en que es posible hacer
clic en Detener, seleccionar el dispositivo y hacer clic en Aceptar para preparar el retiro del
disco. Aparecerá un mensaje indicando que el disco puede retirarse. Haga clic en Aceptar
para cerrar el cuadro de diálogo.
12 MATTHEWS 01.indd 390 1/14/09 2:16:10 PM

Particionamiento y formateo de unidades

El primer paso en la preparación de un disco para su uso consiste en particionarlo y luego
formatearlo. La partición sólo puede realizarse cuando existe espacio sin asignar en la uni-
dad (espacio no utilizado por una partición o volumen existente). Si no cuenta con espacio
sin asignar, entonces la única manera de crear un nuevo volumen es borrando o reduciendo
(comprimiendo) el tamaño de una partición existente. Por tanto, empiece por borrar y re-
ducir volúmenes; agregar y extender volúmenes, formatearlos, agregar unidades lógicas y
cambiar letras de unidad.
NOTA Espacio libre es la cantidad de espacio disponible para crear unidades lógicas de
particiones extendidas. El espacio sin asignar no está disponible para nadie.
PRECAUCIÓN Al eliminar un volumen y luego formatearlo se elimina toda la información

del volumen. Asegúrese de que eso busca hacer antes de ejecutar los comandos.
Elimine volúmenes
Para eliminar un volumen, al igual que con el resto de las funciones de partición y forma-
teo, debe tener abierto el panel Adminis-
tración de discos. Haga clic derecho en el
volumen que habrá de eliminarse y clic en
Eliminar volumen. Aparecerá un mensaje
notificándole que todos los datos se per-
derán en el volumen. Clic en Sí, para con-
tinuar con la eliminación del volumen. El
volumen es eliminado y el espacio que
utilizaba queda sin asignar.
Reduzca volúmenes
La capacidad para reducir y ampliar volúmenes directamente es nueva en Windows Ser-
ver 2008. Haga clic derecho en el volumen que desea reducir y escoja la opción Reducir
volumen. Ingrese la cantidad de espacio que habrá de reducir del volumen y haga clic en
Reducir. La reducción tomará algunos minutos. Cuando esté completa, el espacio liberado
quedará sin asignar.
12 MATTHEWS 01.indd 391 1/14/09 2:16:11 PM

Agregue volúmenes simples

La adición de un volumen simple es un poco más compleja y, por ello, hay un asistente es-
pecial para ello. Para agregar un volumen:
1. Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple.
Se abrirá el Asistente para nuevo volumen simple.
2. Haga clic en Siguiente. Seleccione el tamaño de la partición. El tamaño máximo co-
rresponde al espacio sin asignar y el mínimo es 8 MB, como se muestra en la figura
12-11. Cuando haya seleccionado el tamaño, haga clic en Siguiente.
3. Asigne una letra a la unidad. Aparecerá una lista con las opciones disponibles, se-
gún las letras del alfabeto, excepto las que ya están en uso como letras de unidad
en el equipo. Aparecen dos opciones más: puede hacer que este nuevo volumen sea
una carpeta en cualquier otra unidad que dé soporte a rutas de unidad (casi todas lo
hacen) y puede dejar la letra de la unidad sin asignar. Seleccione la opción deseada
y haga clic en Siguiente.
4. Seleccione cómo desea formatear el volumen (si lo hay), la etiqueta que habrá de uti-
lizarse y si se desea habilitar la compresión de archivos y carpetas, como se muestra
en la figura 12-12. Después haga clic en Siguiente.
5. Revise las opciones seleccionadas y, si desea realizar algún cambio, utilice el botón
Atrás para realizarlos.
6. Cuando todas las opciones estén como desea, haga clic en Finalizar. Se creará y for-
mateará el volumen de acuerdo con sus indicaciones.
Figura 12-11. Es posible elegir el tamaño del volumen que desea crear.
12 MATTHEWS 01.indd 392 1/14/09 2:16:11 PM

Figura 12-12. Al crear un nuevo volumen, puede etiquetarlo y formatearlo.
SUGERENCIA Una buena razón para adjuntar un nuevo volumen a una unidad y carpeta
existentes es aumentar el espacio disponible en una carpeta compartida vacía del servi-
dor, de tal forma que los usuarios puedan seguir utilizando un directorio existente para
almacenar y acceder a archivos.
NOTA Los primeros tres volúmenes que se crean automáticamente son particiones pri-
marias. Al crear un cuarto volumen con espacio sin asignar, la cuarta partición y espacio
sin asignar se convierten en una partición extendida con un nuevo volumen y espa-
cio libre. Sólo es posible tener cuatro volúmenes en una partición primaria. Sin embargo,
una partición extendida puede dividirse en 23 unidades lógicas.
Extienda volúmenes
La capacidad para extender y reducir directamente los volúmenes es nueva en Windows
Server 2008. Para extender volúmenes, debe contarse con espacio sin asignar en el disco.
1. Haga clic derecho en el volumen que desea extender y luego haga clic en Extender
volumen. Se abrirá el Asistente para extender volúmenes. Haga clic en Siguiente.
12 MATTHEWS 01.indd 393 1/14/09 2:16:11 PM

2. Seleccione el espacio sin asignar que utilizará para extender el volumen y haga clic
en Siguiente.
3. Revise su configuración. Haga clic en Atrás si quiere cambiarla, luego clic en Fina-
lizar cuando esté listo. Puede tardar algunos minutos realizar la extensión. Cuando
haya terminado, el volumen mostrará el espacio adicional.
Formatee volúmenes
Por lo general, un volumen se formateará cuando lo cree, como se describió en la sección
anterior, pero es posible formatear el volumen en cualquier momento. Los siguientes pasos
describen cómo hacerlo:
NOTA Si intenta formatear el volumen en que está instalado Windows Server 2008, apa-
recerá un cuadro de diálogo con un mensaje indicando que esto no es posible.
1. Haga clic derecho en el volumen al que se de-

sea dar formato, luego clic en Formatear. Se
abrirá un pequeño cuadro de diálogo pidién-
dole la etiqueta, sistema de archivos y tamaño
de la unidad de asignación.
2. Elija los parámetros adecuados y haga clic en
Aceptar. Aparecerá un mensaje de adverten-
cia notificando que se borrarán todos los datos
en el volumen. Haga clic en Aceptar para que
se formatee la unidad.
Agregue unidades lógicas

El proceso para agregar unidades lógicas a una partición extendida es exactamente el mis-
mo que se sigue para crear un nuevo volumen, como se describió en la sección “Agregue
volúmenes simples”, en páginas anteriores de este capítulo:
1. Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple.
Se abrirá el asistente para Nuevo volumen simple. Haga clic en Siguiente.
2. Especifique el tamaño del volumen y haga clic en Siguiente. Si lo desea, escoja la letra de
unidad o identifique la carpeta en que se montará el volumen y haga clic en Siguiente.
3. Seleccione la forma en que desea se formatee la unidad lógica, haga clic en Siguien-
te, revise las opciones seleccionadas y haga clic en Finalizar. La unidad lógica se
creará como usted especificó.
4. Repita del paso 1 al 3 para todas las unidades lógicas que desee (recuerde que el
límite máximo es 23).
Cambie letras de unidad

El cambio de la letra de una unidad es un proceso similar al de las funciones previas:
12 MATTHEWS 01.indd 394 1/14/09 2:16:12 PM

1. Haga clic derecho en el volumen o unidad lógica cuya letra de unidad desea cam-
biar y haga clic en la opción Cambiar la letra y rutas de acceso de unidad. Se abrirá
el cuadro de diálogo con el mismo nombre.
2. Se pueden añadir letras de unidad y rutas de acceso adicionales a las existentes,
editar letras de unidad existentes para modificarlas, y eliminar (borrar) unidades,
rutas existentes o ambas.
3. Haga clic en Agregar, Cambiar o Quitar; complete la información necesaria; haga
clic en Aceptar (aparecerá un mensaje notificando que el cambio en las letras de uni-
dad puede causar que un programa que dependa de la unidad deje de funcionar);
y haga clic en Cerrar.
Compresión de datos
La compresión de datos permite almacenar más información en determinada cantidad de
espacio en disco. Diferentes tipos de archivo se comprimen en forma diferente. Por ejemplo,
algunos formatos de archivos gráficos, como .tif, pueden comprimirse por debajo del 20%
de su tamaño original, mientras otros formatos de archivos gráficos, como .jpg, no pueden
llegar al 90% de su tamaño debido a que, por su naturaleza, ya cuentan con cierto grado de
compresión. Archivos, carpetas y volúmenes comprimidos pueden utilizarse de la misma
manera que datos sin comprimir. Se descomprimen a medida que se leen y se comprimen
nuevamente al guardarse. El lado negativo de la compresión es que todas las acciones rela-
cionadas con archivos (lectura, escritura, copiado, etc.) toman más tiempo.
La compresión de datos en Windows Server 2008 es muy diferente de esquemas de compre-
sión anteriores, con los que la única opción era comprimir el volumen completo. En Windows
Server 2008 es posible comprimir un volumen, carpeta o archivo. También comprimir auto-
máticamente archivos sin uso en un periodo determinado, como una forma de archivarlos.
NOTA La compresión de datos en Windows Server 2008 sólo puede aplicarse en volú-
menes formateados en NTFS; el tamaño del clúster no debe ser mayor de 4 KB.
Comprima volúmenes
Para comprimir un volumen, abra el panel Administración de discos y siga los siguientes pasos:
1. Haga clic derecho en el volumen que habrá de comprimirse y luego haga clic en la
opción Propiedades. Aparecerá el cuadro de diálogo Propiedades, mostrado ya en
la figura 12-10.
2. Haga clic en la casilla de verificación Comprimir esta unidad para ahorrar espacio
en disco y dé clic en Aceptar. Aparecerá un cuadro de diálogo preguntando si desea
comprimir sólo la carpeta raíz (por ejemplo, D:\) o todas las subcarpetas y archivos
en la carpeta raíz.
12 MATTHEWS 01.indd 395 1/14/09 2:16:12 PM

NOTA Es posible comprimir una carpeta sin afectar sus subcarpetas y, a su vez, éstas
pueden comprimirse sin hacerlo con la carpeta que las contiene.
3. Realice la selección que considere adecuada y haga clic en Aceptar. Aparecerá un

cuadro de mensaje indicando que realiza la compresión. Cuando el cuadro desapa-
rezca, la compresión estará completa.
NOTA Para descomprimir datos, siga los pasos dados para comprimirlos, pero en orden
inverso. En el caso de un volumen, quite la selección de la opción del cuadro de diálogo
Propiedades y confirme que desea realizar la descompresión.
Comprima archivos y carpetas

Es posible comprimir archivos y carpetas de manera individual. Esto se realiza desde el
Explorador de Windows o desde Equipo, como se describe a continuación:
1. Abra el Explorador de Windows o Equipo, haga clic derecho sobre el archivo o la
carpeta, y seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades del
archivo o carpeta.
2. Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanza-
dos, como se muestra en la figura 12-13.
Figura 12-13. Es posible comprimir volúmenes, carpetas y archivos.
12 MATTHEWS 01.indd 396 1/14/09 2:16:13 PM

3. Haga clic en Comprimir contenido para ahorrar espacio en disco y luego haga clic
en Aceptar, dos veces, para cerrar los cuadros de diálogo Atributos avanzados y
Propiedades. Se abrirá el cuadro de diálogo Confirmación de cambio de atributos,
preguntando si desea aplicar los cambios sólo a la carpeta o si desea incluir sus
subcarpetas y archivos contenidos en ella.
4. Seleccione la opción que prefiera y luego dé clic en Aceptar. La compresión se reali-
za. Si el archivo o carpeta es suficientemente grande como para que la compresión
tome un minuto o más, verá un mensaje que indica cómo se realiza la compresión.
Si se abre de nuevo el cuadro de diálogo Propiedades del archivo o carpeta, se mostra-
rán los tamaños real y en el disco, como se ilustra en la figura 12-14.
NOTA Todos los archivos y carpetas tienen un valor de Tamaño en disco, pero en archi-
vos y carpetas sin comprimir suele ser más grande que el real, pues el tamaño mínimo del
clúster requiere más espacio del necesario para el archivo o carpeta.
Figura 12-14. La compresión de una carpeta puede ahorrar una buena cantidad de espacio.
12 MATTHEWS 01.indd 397 1/14/09 2:16:13 PM

Utilice archivos comprimidos NTFS

Si realiza la compresión únicamente de algunos archivos y carpetas, será deseable conocer
cuáles están comprimidos y cuáles no, además de entender cómo se comportan cuando
se les copia o mueve. Para saber qué archivos y carpetas están comprimidas y cuáles no,
Windows Server 2008 cambia, como opción predeterminada, el color con que se despliegan
archivos y carpetas comprimidos (el color de fondo de sus etiquetas). Si desea modificar
esta característica, haga clic en el menú Herramientas del Explorador de Windows, haga clic
en Opciones de carpeta y, en la ficha Ver, del cuadro de diálogo Opciones de carpeta que se
abre y localice la opción Mostrar con otro color los archivos NTFS comprimidos o cifrados.
Cuando está copiando o moviendo archivos y carpetas comprimidas, el proceso es un

poco más lento y no siempre termina como comenzó. Las siguientes reglas aplican cuando
se copian o mueven archivos comprimidos:
▼ Cuando copia un archivo o carpeta comprimido en su volumen original o entre volú-
menes NTFS, el archivo o carpeta hereda la compresión de la carpeta al que se copia
■ Cuando copia un archivo o carpeta comprimido a un volumen FAT o disco flexible,
el archivo o carpeta se descomprime
■ Cuando mueve un archivo o carpeta comprimido en su volumen original, el archi-
vo o carpeta conserva su compresión original
■ Cuando mueve un archivo o carpeta comprimido entre volúmenes NTFS, se hereda
la compresión de la carpeta a la que se mueve
▲ Cuando mueve un archivo o carpeta comprimido a un volumen FAT o disco flexi-
ble, el archivo o carpeta se descomprime
Desfragmentación de unidad
Como ya se explicó en la sección “Sistemas de archivos”, los archivos se componen de pe-
queños segmentos llamados clúster y estos clústeres no siempre pueden almacenarse en
una región contigua del disco. El resultado es la fragmentación de archivos, lo que ocasiona
un incremento en el tiempo de acceso al archivo. Windows Server 2008 tiene una utilería
para desfragmentar archivos de un volumen, que podría estar formateado como FAT, FAT32
o NTFS. Para desfragmentar un volumen siga los pasos:
1. En el panel Administración de discos, haga clic derecho sobre el volumen a desfrag-
mentar, luego clic en la opción Propiedades.
2. En el cuadro de diálogo Propiedades, haga clic en la ficha Herramientas, luego en
Desfragmentar ahora. Se abrirá el cuadro de diálogo Desfragmentador de disco.
12 MATTHEWS 01.indd 398 1/14/09 2:16:13 PM

3. Windows Server 2008 analizará las unidades y notificará si el rendimiento del

equipo podría mejorar aplicando la desfragmentación. Si es así, haga clic en Des-
fragmentar ahora.
4. Seleccione los discos o volúmenes a desfragmentar, haga clic en Aceptar. Dependien-

do de la cantidad de información en el volumen, esta operación tomará tiempo.
5. Cuando la desfragmentación esté completa, haga clic en botón Cerrar, en Desfrag-
mentador de disco, después clic en Aceptar en el cuadro de diálogo Propiedades.
NOTA Desfragmentador de disco consume una cantidad considerable de recursos del

procesador y hace muy lento el acceso al disco. Por ello es importante realizar la desfrag-
mentación cuando el uso del equipo sea mínimo.
SUGERENCIA Puede programar el proceso de desfragmentación para que se realice de

manera periódica.
Cuotas de disco
Con NTFS, puede monitorear, establecer directivas y límites al espacio en disco utilizado en
un volumen, así como asegurarse que un usuario no ocupe más espacio en disco del desea-
do. Esto es muy importante en servidores de archivos conectados a Internet o intranet. Para
establecer cuotas, dé los siguientes pasos:
1. En el panel Administración de discos, haga clic derecho en el volumen en que desee
establecer cuotas y clic en Propiedades.
2. En el cuadro de diálogo Propiedades, haga clic en la ficha Cuota y, luego, en Habi-
litar la administración de cuota. Establezca límites y opciones de registro de cuota
para este volumen. En la figura 12-15 se muestra un ejemplo de configuración.
3. Una vez realizada la configuración, haga clic en Aceptar. Tras haber utilizado el volu-
men por un tiempo, abra nuevamente la ficha Cuota, en el cuadro de diálogo Pro-
piedades y dé clic en Valores de cuota para abrir la ventana Entradas de cuota. En ésta
se muestra quién usa el volumen y cómo dicho uso afecta las cuotas establecidas.
4. Cierre la ventana Entradas de cuota y haga clic en Aceptar, para cerrar el cuadro de
diálogo Propiedades.
NOTA Las cuotas de disco se reportan utilizando el nombre de inicio de sesión del usua-
rio dentro de un volumen. Cuando se calcula el uso de cuotas, se ignora compresión y
espacio libre reportado al usuario es el espacio restante de su cuota.
12 MATTHEWS 01.indd 399 1/14/09 2:16:14 PM

Figura 12-15. La configuración de cuotas de disco evita que un usuario use un espacio
compartido desproporcionado en un volumen.
Cifrado de archivos y carpetas

El sistema de archivos NTFS de Windows Server 2008 permite el cifrado individual de ar-
chivos y carpetas. Con un archivo cifrado, aunque alguien acceda al equipo, no tendrá ac-
ceso al archivo. El usuario que cifró el archivo será el único con acceso de lectura al archivo.
Ningún otro usuario podrá leer el archivo (en el capítulo 15 se analiza en mayor detalle el
cifrado de archivos y carpetas). Para cifrar un archivo o carpeta siga los siguientes pasos:
1. En Explorador de Windows o Equipo, haga clic derecho en el archivo o carpeta que
desea cifrar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.
2. Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanza-
dos, como ya se mostró en la figura 12-13.
12 MATTHEWS 01.indd 400 1/14/09 2:16:14 PM

3. Haga clic en Cifrar contenido para proteger datos; luego, clic dos veces en Aceptar.
Si en el paso 1 seleccionó un archivo, aparecerá un mensaje indicándole que ha ele-
gido cifrar un archivo sin cifrar su carpeta y que, en caso de modificarse, el software
de edición podría almacenar una copia temporal no cifrada del archivo. Se le pedirá
que elija entre cifrar el archivo y su carpeta (recomendado) o cifrar sólo el archivo.
Seleccione la opción que considere apropiada y haga clic en Aceptar.
NOTA Si trata de cifrar una carpeta, aparecerá un mensaje de advertencia, preguntando si

se desea aplicar el cifrado sólo a la carpeta o también a subcarpetas y archivos de la carpeta.
Si cierra sesión en el equipo y alguien más inicia sesión en éste o alguien intenta acceder
al archivo en red, el archivo será ilegible. Además, si observa el archivo en el Explorador
de Windows, tendrá, como opción predeterminada una etiqueta en un color diferente, que
indica que está cifrado.
NOTA No es posible cifrar y comprimir un archivo o carpeta. Una vez realizada una de
estas acciones, la otra no podrá ser realizada.
IMPLEMENTE LA ADMINISTRACIÓN
DE VOLÚMENES DINÁMICOS
La administración de volúmenes dinámicos permite crear, modificar o replicar un volumen
sin reiniciar el equipo, utilizando discos y almacenamiento dinámicos. Un disco dinámico
tiene sólo una partición en la que es posible crear volúmenes. Los volúmenes simples son
iguales a los dinámicos, con excepción de que estos últimos son dinámicos (pueden modifi-
carse sobre la marcha), pueden abarcar varios discos e incluyen tipos adicionales de hardware
avanzado (seccionado, reflejado y RAID-5).
NOTA Server 2008 ha negado un beneficio importante a los discos dinámicos: la capacidad
para extender y comprimir volúmenes, acciones que sí son realizables en discos comunes.
12 MATTHEWS 01.indd 401 1/14/09 2:16:14 PM

Convierta a almacenamiento dinámico

Casi todos los discos comunes pueden convertirse fácilmente a discos dinámicos. Esto
aplica a la mayor parte de discos, excepto los de equipos portátiles y extraíbles. Además,
el disco debe contar con 1 MB de espacio sin asignar y Windows Server 2008 sólo puede
instalarse en un volumen dinámico, si dicho volumen se ha generado desde un volumen
de arranque. Para realizar la conversión siga los siguientes pasos:
PRECAUCIÓN La única forma de regresar un disco dinámico a su estado original, es eli-

minando todos sus volúmenes y, por tanto, cada archivo en esos volúmenes, luego hacer
clic derecho en la unidad y seleccionar Convertir en disco básico.
1. En el panel Administración de disco, haga clic derecho en uno de los discos a la

izquierda de la vista gráfica y después seleccione Convertir en disco dinámico, en el
menú contextual.
2. Confirme la selección del disco que desea convertir y haga clic en Aceptar. Se abrirá
el cuadro de diálogo Discos para convertir, mostrando la información del disco o
discos que habrán de convertirse. Si hace clic en Detalles, se mostrarán los volúme-
nes a ser creados automáticamente en el disco.
3. Haga clic en Aceptar, si abrió Convertir detalles, luego clic en Convertir. Aparecerá
un mensaje advirtiendo que no será posible iniciar un sistema operativo desde el
disco, excepto desde el volumen de arranque actual, en caso de existir. Se solicitará
confirmación para continuar.
4. Si desea, en realidad, realizar la conversión, haga clic en Sí y luego en Aceptar. La
conversión comenzará. Cuando termine, si se ha convertido un volumen de arran-
que, aparecerá un mensaje notificando que el equipo reiniciará. Haga clic en Acep-
tar; en caso contrario verá que todas las particiones primarias y unidades lógicas
han sido cambiadas a volúmenes simples, como se muestra en la siguiente figura.
12 MATTHEWS 01.indd 402 1/14/09 2:16:15 PM

Cree volúmenes
Puede crear un nuevo volumen dentro del espacio sin asignar de una unidad dinámica. Esto
se realiza siguiendo estos pasos:
1. Haga clic derecho en el espacio sin asignar de una unidad dinámica y clic en la op-
ción Nuevo volumen simple. Aparecerá el Asistente para nuevo volumen simple.
2. Elija o escriba el tamaño del nuevo volumen y haga clic en Siguiente. Asigne una letra
de unidad o elija montar el volumen en una carpeta NTFS vacía y dé clic en Siguiente.
Elija la forma en que quiere formatear la unidad y dé clic una vez más en Siguiente.
3. Confirme los pasos que desee dar; si es necesario, vuelva y corrija los innecesarios,
y dé clic en Finalizar. El volumen será creado y formateado.
NOTA Para extender o reducir un volumen dinámico se sigue el mismo proceso que para
un volumen simple, mismo que ya se describió en este capítulo, en la sección “Particiona-
miento y formateo de unidades”.
Cree un volumen distribuido

Un volumen distribuido puede incluir espacio de 2 a 32 discos, aunque para el usuario tendrá
el aspecto de un solo volumen. De esta forma se obtiene un volumen más grande, pero riesgo-
so, pues cada disco añadido al volumen incrementa la posibilidad de que éste falle si uno de
los discos se colapsa. Para crear un volumen distribuido proceda con los pasos siguientes:
SUGERENCIA En Windows Server 2008 puede crear volúmenes distribuidos, secciona-

dos y reflejados a partir de unidades básicas o dinámicas, pero las primeras se convertirán
en dinámicas en el proceso, con la desventaja de que cualquier sistema operativo que inclu-
yan, aparte del actual, ya no podrá utilizarse para arrancar el equipo. Además, una unidad
distribuida, seccionada o reflejada no puede utilizar espacio del disco de arranque actual.
1. En Administración de discos, haga clic derecho en un área de espacio sin asignar en

uno de los discos que se incluirá en el volumen y clic en Nuevo volumen distribui-
do. Se abrirá el Asistente para nuevo volumen distribuido. Dé clic en Siguiente.
2. Seleccione los discos que desea incluir en el volumen distribuido y la cantidad de
espacio que utilizará en cada uno, como se muestra en la figura 12-16.
3. Haga clic en Siguiente. Asigne una letra de unidad o carpeta para montar el volu-
men y clic una vez más en Siguiente.
4. Especifique cómo desea formatear la carpeta o escoja que el nuevo volumen se
monte en una carpeta NTFS vacía y dé clic en Siguiente. Seleccione cómo formatear
el nuevo volumen y haga clic una vez más en Siguiente.
5. Confirme las tareas que desee realizar y haga clic en Finalizar. El volumen se creará
y formateará; el resultado final se mostrará en ambos discos.
12 MATTHEWS 01.indd 403 1/14/09 2:16:15 PM

Figura 12-16. Los volúmenes distribuidos pueden usar espacio de varios discos
básicos y dinámicos.
PRECAUCIÓN Un volumen distribuido no puede ser seccionado ni reflejado, ni es toleran-

te a fallas, y cualquier error en uno de los discos se convierte en falla para todo el volumen.
USO DEL SISTEMA DE ARCHIVOS DISTRIBUIDO

El sistema de archivos distribuido (DFS, Distributed File System) permite crear un direc-
torio, llamado espacio de nombres, que abarca varios directorios de archivos y permite a
los usuarios buscar y localizar fácilmente archivos o carpetas distribuidos en la red. Para los
usuarios de DFS (archivos diseminados a lo largo de la red) colocados en un espacio de
nombres, aparecerán como si estuvieran ubicados en un mismo servidor, lo que facilita su
uso si tuviera que accederse a ellos en los servidores donde realmente están ubicados. Los
usuarios sólo necesitan dirigirse a un único lugar en la red, el espacio de nombres, para
acceder a archivos ubicados en diferentes lugares. DFS también puede recolectar (o replicar
en grupos de replicación) archivos y carpetas de diferentes servidores para uso local, como
crear una copia de seguridad de ellos. DFS también puede ser parte de un grupo de trabajo
o dominio de Active Directory, donde la distribución de la información en diversos contro-
ladores de dominio ofrece cierto grado de tolerancia a las fallas.
Existen varias razones importantes para utilizar dominios basados en DFS. Éstos utilizan
Active Directory para almacenar la topología DFS, o configuración, de DFS, proporcionando
una interfaz común para la gestión de archivos. Además, al utilizar Active Directory, tiene
replicación automática a los otros controladores de dominio dentro del dominio.
12 MATTHEWS 01.indd 404 1/14/09 2:16:15 PM

Servidor Equipo Equipo

de archivos uno dos
Espacio de
Carpeta Carpeta Carpeta Carpeta
nombres uno
uno dos tres cuatro
Espacio de nombres
Carpeta
uno
Destinos de carpeta
Carpeta
dos
Carpeta Carpeta
Espacio de cinco seis
nombres dos
Equipo
tres
Figura 12-17. Un espacio de nombres DFS puede contener diversos destinos de carpetas
a partir de varios equipos diferentes.
Puede considerar que un espacio de nombres DFS es como una carpeta principal vir-
tual, con capacidad para contener subcarpetas virtuales con vínculos, como accesos directos
de Windows, llamados destinos de carpetas, a las carpetas reales en diferentes equipos (tal vez
servidores de archivos) en toda la red, como se muestra en la figura 12-17.
Cree un sistema de archivos distribuido

DFS es un servicio de función en Servicios de archivo que debe instalarse. En este proceso
puede crear uno o más espacios de nombres. Luego podría utilizar Administración de DFS
para agregar, modificar y administrar espacios de nombres, además de añadir y administrar
grupos de replicación.
Instale y configure DFS

Para agregar DFS a Servicios de archivo, crear y agregar datos en uno o más espacios
de nombres:
1. Dé clic en Inicio|Administrador del servidor. Abra Funciones y haga clic en Ser-
vicios de archivo. Recorra el panel derecho hasta ver la ficha Servicios de función.
Haga clic en Agregar servicios de funciones.
2. En el asistente Agregar servicios de función, haga clic en Sistema de archivos distri-
buido (DFS) y haga clic en Siguiente.
3. Ingrese un nombre para el espacio de nombres DFS o escoja la opción para crear un
espacio de nombres más adelante. Haga clic en Siguiente. Si debe elegir entre crear
un espacio de nombres basado en dominios o uno independiente, lea la descripción
de cada uno de ellos en la ventana del asistente y haga clic en la opción deseada y
luego en Siguiente.
12 MATTHEWS 01.indd 405 1/14/09 2:16:16 PM

4. En la ventana Configurar espacio de nombres, haga clic en Agregar para añadir car-
petas de destino al espacio de nombres. En el cuadro de diálogo Agregar carpeta a
espacio de nombres, haga clic en Examinar para seleccionar una carpeta de destino.
5. En el cuadro de diálogo Buscar carpetas compartidas, el servidor predeterminado
es el local. Si desea compartir carpetas de ese servidor en su espacio de nombres,
haga clic en Mostrar carpetas compartidas. Seleccione la primera unidad o carpeta
en ese servidor que desea agregar a su espacio de nombres y pulse Aceptar. Escriba
el nombre a utilizar en el espacio de nombres y haga clic en Aceptar.
6. Repita los pasos 4 y 5 todas las veces que necesite para agregar todas las carpetas
compartidas al espacio de nombres del servidor local y servidores remotos. Cuan-
do haya agregado todas las carpetas al espacio de nombres, como se muestra en la
figura 12-18, haga clic en Siguiente.
7. Revise los mensajes informativos que aparecen y dé clic en Instalar. Cuando aparezca
el mensaje de que la instalación se ha completado correctamente, haga clic en Cerrar.
Inicie Administración de DFS

La administración de DFS puede iniciarse a través del menú Herramientas administrativas
y el Administrador del servidor:
Haga clic en Inicio|Herramientas administrativas|DFS Management. En el panel
de la izquierda, haga clic en Administración de DFS.
O bien, haga clic en Inicio|Administrador del servidor. En el panel izquierdo del
Administrador del servidor, abra el menú Funciones y Servicios de archivo y dé clic
en Administración de DFS.
En cualquier caso, el panel Administración de DFS aparecerá, como se muestra en
la figura 12-19.
NOTA Tras instalar DFS, es probable que pasen varios minutos antes de que aparezca
la opción Administrador de DFS, en Administrador del servidor.
12 MATTHEWS 01.indd 406 1/14/09 2:16:17 PM

Figura 12-18. Un espacio de nombres puede contener carpetas compartidas,

incluidas las unidades de disco, de cualquier equipo en la red.
Administración del Sistema de archivos distribuido

En Administración de DFS, es posible agregar un nuevo servidor de espacio de nombres,
en seguida añadir en él nuevos espacios de nombres, o añadir nuevos espacios de nombres
al servidor local. Ambos procesos duplican esa parte de instalación y configuración DFS.
Consulte “Instale y configure DFS”, en páginas anteriores de este capítulo. Además, en Ad-
ministración de DFS es posible administrar espacios de nombres existentes, así como crear
y administrar grupos de replicación.
Administre espacios de nombres en DFS

En Administración de DFS, es posible realizar diversas funciones administrativas sobre es-
pacios de nombres existentes, incluidas adición y eliminación de carpetas del espacio de
nombres, además de la administración de carpetas de destino en una carpeta en el espacio
de nombres, como se describe a continuación (el panel DFS debe estar abierto en este mo-
mento en su pantalla):
12 MATTHEWS 01.indd 407 1/14/09 2:16:17 PM

Figura 12-19. Administración de DFS permite acceder y administrar datos tanto en una
red LAN como en una red WAN.
1. Con el Administrador de DFS abierto en la ventana del Administrador del servidor

o la propia ventana, abra la opción Administración de DFS, ubicada en el panel de
la izquierda, haga clic en la opción Espacios de nombres. Aquí es posible añadir un
nuevo servidor de espacio de nombres o añadir más espacios de nombres que se
van a mostrar mediante las opciones correspondientes en el panel Acciones.
2. Abra la opción Espacios de nombres en el panel de la izquierda, dé clic en el ser-
vidor y espacio de nombres con los que desea trabajar. Las carpetas en el espacio
de nombres se muestran en el panel central, como se puede ver en la figura 12-20.
Desde el panel Acciones es posible añadir nuevas carpetas al espacio de nombres
seleccionado, además de identificar la carpeta de destino para esas nuevas carpetas.
También es posible delegar permisos de administración para el espacio de nombres,
quitar espacios de la pantalla y eliminarlos.
12 MATTHEWS 01.indd 408 1/14/09 2:16:18 PM

Figura 12-20. Administración de DFS permite agregar, eliminar y replicar espacios

de nombres, carpetas de espacios de nombres y carpetas de destino.
3. Con un espacio de nombres seleccionado, haga clic en una de las carpetas de la lista
en el panel central. Haga clic derecho en la carpeta elegida o use las opciones del
panel Acciones, para adicionar una carpeta de destino y replicar, mover, cambiar
nombre o eliminar carpetas del espacio de nombres.
Administre la replicación DFS

La replicación DFS sincroniza datos iguales ubicados en varios servidores. Cuando la repli-
cación DFS detecta que estos datos han cambiado en cualquiera de los servidores, replica los
bloques modificados, no los archivos completos, en todos los servidores. La replicación DFS
usa el protocolo de compresión remota diferencial (RDC, Remote Differential Compression)
para determinar cuáles bloques se han modificado en un archivo y luego replicar rápidamente
estos cambios. Si dos o más servidores cambian un archivo simultáneamente, la replicación
DFS emplea una heurística de resolución de conflictos llamada “El último escritor gana”, para
escoger cuál archivo será replicado en la red. Sin embargo, los archivos perdedores se mueven
a una carpeta especial, de manera que se conservan, en caso de ser necesarios.
NOTA Para utilizar la replicación debe estar en un dominio.
Para configurar y utilizar replicación DFS, debe crear primero un grupo de replicación,
luego establecer una agenda de ésta y, por último, habilitar la replicación. El proceso de
administración abarca edición del grupo, cambios de agenda y deshabilitación de la repli-
cación. Revisemos brevemente el proceso a través de los pasos siguientes, para los cuales se
asume que el Administrador de DFS está abierto en su propia ventana o el panel central del
Administrador del servidor:
12 MATTHEWS 01.indd 409 1/14/09 2:16:18 PM

1. En el panel de la izquierda, abra la opción Administración de DFS y dé clic en Re-

plicación. En el panel Acciones, haga clic en Nuevo grupo de replicación. Se abrirá
el Asistente para nuevo grupo de replicación.
2. Seleccione el tipo de grupo de replicación que desea crear, ya sea multipropósito o
para recopilación de datos, y dé clic en Siguiente.
3. Ingrese el nombre del grupo de replicación, escriba una descripción e ingrese o
explore, si lo desea, el nombre del dominio. Haga clic en Siguiente. Haga clic en
Agregar, para seleccionar dos o más equipos para el grupo de replicación.
4. En el cuadro de diálogo Seleccionar equipos, haga clic en Avanzadas y, luego, en
el botón Buscar ahora. Mantenga oprimida la tecla ctrl mientras hace clic en los
equipos que desea incluir, como se muestra en la figura 12-21. Una vez que haya
terminado, haga clic en Aceptar dos veces y después clic en Siguiente.
5. Haga clic en Aceptar, para iniciar el servicio de replicación. Lea acerca de los tipos
de topología, seleccione el correcto para usted y haga clic en Siguiente. Determine
si la replicación será continua o sujeta a una agenda específica. En el segundo caso,
haga clic en Editar agenda, escoja los horarios de replicación y ancho de banda que
habrá de utilizarse y haga clic en Aceptar y luego en Siguiente.
Figura 12-21. Los equipos que formarán parte del grupo de replicación deben pertenecer
a un mismo bosque de dominio.
12 MATTHEWS 01.indd 410 1/14/09 2:16:19 PM

6. Seleccione el miembro principal, que será autoridad en caso de que dos o más miem-
bros contengan la misma información o los mismos cambios. Haga clic en Siguiente.
7. Haga clic en Agregar para seleccionar las carpetas que habrán de replicarse. Haga
clic en Examinar, seleccione la carpeta que habrá de replicar, pulse Aceptar, escoja un
nombre para la carpeta y permisos deseados y dé clic en Aceptar. Repita estos pasos
para todas las carpetas que desee replicar. Cuando termine, haga clic en Siguiente.
8. Al principio, todos los miembros están deshabilitados. Haga clic en un miembro y
luego en Editar. Haga clic en Habilitar y en Examinar, seleccione una ruta y haga
clic dos veces en Aceptar. Repita este paso para todos los miembros y después
12 MATTHEWS 01.indd 411 1/14/09 2:16:19 PM

9. Revise la configuración elegida. Si desea realizar algún cambio, haga clic en Ante-
rior. Cuando todo esté listo, haga clic en Crear. Cuando aparezca el aviso de que el
grupo de replicación se creó, haga clic en Cerrar. Aparecerá un mensaje notificando
que se puede presentar cierto retraso conforme Active Directory replica la configu-
ración. Haga clic en Aceptar.
10. En el panel central, haga clic en el nuevo grupo de replicación; en el panel Accio-
nes verá que puede añadir un nuevo miembro, nuevas carpetas de replicación, nuevas
conexiones y nueva topología. También es posible crear un informe de diagnóstico,
verificar la topología, delegar permisos de administración, editar la agenda, elimi-
nar al grupo de la pantalla y borrar al grupo.
Instale y use otros servicios de archivo

Existen otros cuatro servicios de archivo que no hemos analizado aún:
▼ Administrador de recursos del servidor de archivos (FSRM), provee los medios
para administrar tipo y cantidad de información en los servidores y para establecer
cuotas, generar informes e implementar vistas con esa información
■ Servicios para Network File System (NFS), implementa el protocolo NFS para
permitir la transferencia de archivos entre equipos con sistema operativo UNIX y
Windows Server 2008
■ Servicio Búsqueda de Windows, ofrece una búsqueda rápida y mejorada de archi-
vos en el servidor para los clientes
▲ Servicios de archivo de Windows Server 2003, provee compatibilidad con los
servicios de archivo de Windows 2000 Server y Windows Server 2003, agregando
el servicio de replicación de archivos (FORMULARIOS, File Replication Service)
y el servicio de Index Server en Windows Server 2008
Instale otros servicios de archivo

Todos éstos son servicios de función, que se instalan desde el Administrador del Servidor:
1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, abra
Funciones y haga clic en Servicios de archivo. En el panel central localice la ficha
Servicios de función y haga clic en Agregar servicios de función.
2. En el asistente Agregar servicios de función, haga clic en el servicio de función
que desee añadir (veremos FSRM y el Servicio Búsqueda de Windows) y dé clic
en Siguiente.
3. Seleccione los volúmenes que desea supervisar con FSRM y haga clic en Opciones.
En el cuadro de diálogo Opciones de supervisión de volumen, especifique el um-
bral de uso de volumen en que desea ser notificado y seleccione los informes que
habrán de generarse (haciendo clic en un informe fuera de la casilla de verificación,
con una descripción del informe que aparece del lado derecho). Cuando esté listo,
haga clic en Aceptar y luego en Siguiente.
12 MATTHEWS 01.indd 412 1/14/09 2:16:19 PM

4. Seleccione la carpeta en que desea almacenar los informes, o seleccione la opción de

recibir informes por correo electrónico y escriba la información necesaria; después
5. Escoja los volúmenes que desea indizar para el servicio Búsqueda de Windows y
6. Revise la configuración realizada, haga clic en Anterior si desea realizar algún
cambio y luego clic en Instalar. Cuando aparezca un mensaje indicando que la
instalación ha concluido correctamente, haga clic en Cerrar.
NOTA Se le indicará que los volúmenes elegidos para indización quizás no se añadan a
la lista que habrá de indizarse, pues el Servicio Búsqueda de Windows no ha sido iniciado.
Esto se puede realizar más adelante mediante el Panel de control.
Uso del Administrador de recursos del servidor de archivos

FSRM se abre desde Herramientas administrativas o Administrador del servidor.
1. Haga clic en Inicio|Herramientas administrativas|Administrador de recursos del
servidor de archivos.
En su defecto, haga clic en Inicio|Administrador del servidor. En el panel de la
izquierda del Administrador del servidor, abra Funciones, Servicios de archivo, Ad-
ministrador de almacenamiento y recursos compartidos; haga clic Administrador
de recursos del servidor de archivos.
12 MATTHEWS 01.indd 413 1/14/09 2:16:20 PM

En cualquier caso, aparecerá la ventana o panel del Administrador de recursos del

servidor de archivos.
2. En el panel de la izquierda, elija Administrador de recursos del servidor de archivos

y dé clic en Configurar opciones en el panel Acciones. Se abrirá el cuadro de diálogo
Opciones del Administrador de recursos del servidor de archivos. En el cuadro de
diálogo es posible modificar la configuración del correo electrónico al que se envia-
rán notificaciones e informes; especificar el intervalo de tiempo entre notificaciones,
además de editar y revisar diversos informes (véase la figura 12-22); especificar
dónde se desea guardar los informes y determinar si desea registrar la actividad de
filtrado de archivos. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opcio-
nes del Administrador de recursos del servidor de archivos.
Figura 12-22. Windows Server 2008 proporciona diversos informes para apoyar
la administración de los servicios de archivo.
12 MATTHEWS 01.indd 414 1/14/09 2:16:20 PM

3. Haga doble clic en Administración de cuotas y luego en Cuotas. Aparecerán las

unidades que identificó durante la instalación para administración de cuotas.
4. Haga clic en una de las unidades, luego en la opción Crear cuota, del panel Accio-
nes. En el cuadro de diálogo Crear cuota:
a. Escriba o examine la ruta que describe el volumen o carpeta para la que desea
crear una cuota.
b. Elija ya sea crear cuota en la ruta especificada, crear cuotas en subcarpetas nue-
vas o según una ruta especifica, pulsando Aplicar plantilla autom.
c. Seleccione entre Derivar propiedades de esta plantilla de cuota, que deberá se-
leccionar o Definir propiedades de cuota personalizadas, que deberá ingresar
en el cuadro de diálogo Propiedades de cuota.
d. Revise el resumen de propiedades de cuota, realice cualquier cambio necesario
y, cuando todo esté listo, haga clic en Crear.
5. Haga clic en Plantillas de cuota, en el panel de la izquierda, para ver una lista de cuotas
disponibles. Haga doble clic en una plantilla para revisar y editar sus detalles o clic en
la opción Crear plantilla de cuota, ubicada en el panel Acciones, para crear una.
12 MATTHEWS 01.indd 415 1/14/09 2:16:20 PM

6. En el panel de la izquierda, abra la opción Administración del filtrado de archivos

y dé clic en Filtros de archivos y, en el panel Acciones, haga clic en Crear filtro de
archivos. En el cuadro de diálogo Crear filtro de archivos ingrese o examine en busca
de una ruta a la que aplicará el filtro; decida si desea utilizar una plantilla de fil-
tro de archivos o crear una nueva y luego haga clic en Crear.
7. En el panel Acciones, haga clic en Crear excepción al filtro de archivo para identifi-
car una ruta y grupos de archivos que serán excluidos del filtrado.
8. En el panel de la izquierda haga clic en Plantillas de filtro de archivos para obtener
una lista de plantillas de filtro de archivos actual. Haga clic derecho en una de ellas
para editar, eliminar esa plantilla o crear un nuevo filtro de archivos a partir de esa
plantilla. En el panel Acciones haga clic en Crear plantilla de filtro de archivos, para crear
una nueva plantilla de filtros desde cero.
9. En el panel de la izquierda, haga clic en Grupos de archivos para crear, editar y
borrar grupos de tipos de archivo, con base en la extensión de los archivos, para
utilizarlos en los filtros de archivo.
10. En el panel de la izquierda, haga clic en Administración de informes de almacenamien-
to, para programar una nueva tarea de informes, agregar o quitar informes de una tarea
de informes, generar un informe de inmediato y editar o eliminar tareas de informes.
COPIAS DE SEGURIDAD DE WINDOWS SERVER

Copias de seguridad de Windows Server es nueva en Windows Server 2008, empleada para
minimizar el impacto que tendría perder información en un volumen, a causa de una falla
en el hardware de una unidad o equipo, así como el borrado accidental de uno o más archi-
vos por cualquier razón. Copias de seguridad de Windows Server reemplaza la caracterís-
tica copias de seguridad de NT, utilizada en versiones anteriores de Windows Server, con
base en tres asistentes, y es más rápida y fácil de utilizar. Se pueden crear copias de segu-
ridad de un servidor completo o volúmenes seleccionados. A su vez, copias de seguridad
en otro disco o discos duros, discos extraíbles, así como en CD y DVD reescribibles, pero
ya no es posible crear copias de seguridad en cintas. Una vez que haya creado una copia de
seguridad de cualquier información de interés, es posible restaurar dicha información en el
equipo y disco original u otros equipos y discos.
Tipos de copias de seguridad

Los siguientes son tres tipos de copias de seguridad:
▼ Copia de seguridad regular o completa Duplica todos los archivos selecciona-
dos para el medio de almacenamiento de la copia de seguridad, además de marcar
los archivos como archivados (el bit de archivado se coloca en cero)
■ Incremental Copia todos los archivos nuevos o modificados desde la última copia
de seguridad regular o incremental. El bit de archivado se coloca también en cero,
para que los archivos no se respalden nuevamente
12 MATTHEWS 01.indd 416 1/14/09 2:16:21 PM

▲ Copia Copia todos los archivos seleccionados, pero sin colocar en cero el bit de archiva-
do, de forma que no afecte la creación de copias de seguridad regulares o incrementales
Si sólo utiliza el tipo regular de copias de seguridad, el tiempo de creación será mayor,
pero el de recuperación de datos menor. Si usa una combinación de creación de copias de se-
guridad regulares e incrementales, las copias serán más rápidas y utilizarán menos espacio de
almacenamiento, pero la recuperación de datos tomará más tiempo. Es necesario determinar
cuáles recursos son más importantes (tiempo de creación de copias o recuperación, o espacio
de almacenamiento). Dado que es más común crear copias de seguridad con frecuencia y re-
cuperarlas en ocasiones, la mejor opción es optimizar el tiempo de creación de copias.
Instale e inicie Copias de seguridad de Windows Server

Copias de seguridad de Windows Server no está instalada por omisión. Para utilizarla, es
necesario instalarla en el Administrador del servidor.
1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, haga
clic en Características, luego en la opción Agregar características, ubicada en el pa-
nel de la derecha.
2. En el Asistente para agregar características, abra Características de Copias de segu-
ridad de Windows Server y haga clic en Copias de seguridad de Windows Server.
Como muchas otras características de Windows Server 2008, Copias de seguridad
de Windows Server cuenta con un conjunto completo de herramientas de línea de
comando para configurar y operar las copias de seguridad de Windows Server des-
de una ventana de símbolo de sistema. El uso de herramientas en línea de comando
está más allá del alcance de este libro.
3. El Asistente para agregar características le indicará que el disco de recuperación de

Windows es necesario para instalar Copias de seguridad de Windows Server. Haga
clic en Agregar características requeridas. Haga clic en Siguiente y, por último, en
Instalar. Cuando se le notifique que la instalación ha concluido correctamente, haga
clic en Cerrar.
4. Inicie Copias de seguridad de Windows Server desde el Administrador del servi-
dor, que deberá estar abierto, al abrir Almacenamiento y hacer clic en Copias de
seguridad de Windows Server. Como opción, es posible iniciar las copias de se-
guridad de Windows Server desde Herramientas administrativas haciendo clic en
Inicio|Herramientas administrativas|Copias de seguridad de Windows. En cual-
quier caso, se abrirá el panel o ventana Copias de seguridad de Windows Server. En
la figura 12-23 se muestra el panel Copias de seguridad de Windows Server, poste-
rior a la configuración de una copia de seguridad de programada y la configuración
de una copia de seguridad de una vez.
12 MATTHEWS 01.indd 417 1/14/09 2:16:21 PM

Use Copias de seguridad de Windows Server

Copias de seguridad de Windows Server utiliza tres asistentes para:
▼ Hacer copia de seguridad de programación: asistente para programar copia
de seguridad
■ Hacer copia de seguridad una vez: asistente para hacer copia de seguridad una vez
▲ Recuperar desde una copia de seguridad: asistente para recuperación
Figura 12-23. Copias de seguridad de Windows Server proporciona una interfaz

sencilla y fácil de utilizar.
Programe una copia de seguridad

La mejor forma de realizar copias de seguridad consiste en realizarlas de manera periódica
o programada, de modo que continuamente se crean copias de seguridad de la información
nueva y modificada. Para programar una copia de seguridad se utiliza el Asistente para
programar copia de seguridad (el panel o ventana Copias de seguridad de Windows Server
debe estar abierto):
NOTA Para crear una copia de seguridad, es necesario conocer cuáles volúmenes de-
sea incluir en la copia, con cuánta frecuencia se realizarán las copias, en qué momento
y dónde se almacenarán. Es necesario, además, dedicar un disco completo (no sólo un
volumen) para la copia de seguridad.
1. En el panel Acciones, haga clic en Hacer copia de seguridad de programación. Se
abrirá el Asistente para programar copia de seguridad. Lea la introducción y haga
clic en Siguiente.
2. Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de
copias de seguridad previas o si ésta es la primera copia de seguridad o no nece-
sita acceder a copias de seguridad anteriores. Haga clic en Sí para continuar; en
12 MATTHEWS 01.indd 418 1/14/09 2:16:21 PM

caso contrario haga clic en No, dé clic en Cancelar para cerrar el Asistente para
programar copia de seguridad, haga clic en Inicio|Símbolo de sistema, haga clic
en Ejecutar como administrador y escriba wbadmin restore catalog-backuptarget:
ubicación de la última copia. Cuando termine, regrese al paso 1.
3. Elija si desea programar una copia de seguridad completa del servidor o copia de
seguridad personalizada donde sea posible decidir cuáles volúmenes incluyen la
copia y dé clic en Siguiente.
4. Si se va a realizar una copia de seguridad personalizada, seleccione los volúmenes
a ser incluidos en la copia, quite la marca de los que no se desea incluir (véase la
figura 12-24) y haga clic en Siguiente. Los volúmenes que contienen un sistema
operativo deben incluirse en la copia de seguridad.
5. Seleccione si desea crear la copia de seguridad una o más veces al día y la hora en
que desea realizarla. Haga clic en Siguiente. Haga clic en Mostrar todas las unida-
des disponibles, seleccione el disco en que desea almacenar la copia de seguridad,
haga clic en Aceptar, luego en el disco deseado y, por último, en Siguiente. Se le
Figura 12-24. Es posible crear una copia de seguridad de todo el servidor o sólo
algunos volúmenes.
12 MATTHEWS 01.indd 419 1/14/09 2:16:22 PM

recordará que los discos seleccionados serán formateados; haga clic en Sí para con-
tinuar y formatear las unidades seleccionadas, o haga clic en No.
6. Se solicitará la etiqueta para identificar al disco. Haga clic en Siguiente. Se le mostrará

la agenda de creación de copias de seguridad. Si desea hacer modificaciones, haga clic
en Anterior. Cuando todo esté listo, haga clic en Finalizar. Se formateará el disco des-
tinado a copias de seguridad. Cuando el formateo esté completo, haga clic en Cerrar.
En el panel Copias de seguridad de Windows Server, verá cómo está programada la
próxima copia de seguridad, tal cual se muestra en la siguiente figura:
NOTA La unidad que se utilizará para almacenar las copias de seguridad estará dedica-
da a dicho propósito y no será posible explorarla con Explorador de Windows, pero sí será
visible en el Administrador de discos con la etiqueta definida en el paso 5.
12 MATTHEWS 01.indd 420 1/14/09 2:16:22 PM

Cambie una copia de seguridad programada

Para cambiar una copia de seguridad programada, regrese al Asistente para programar co-
pia de seguridad:
1. Con el panel Copia de seguridad de Windows Server abierto, haga clic en Asistente
para programar copia de seguridad, ubicado en el panel Acciones. El asistente se
abrirá indicando que ya está programada la realización de una copia de seguridad y
preguntará si se desea modificarla o detenerla, como se muestra en la figura 12-25.
2. Si hace clic en Modificar y luego en Siguiente, se recorren de nuevo los mismos pa-
sos seguidos en la programación de la copia de seguridad. Si se hace clic en Detener
y luego en Siguiente, se le notificará que la programación de la copia de seguridad
será cancelada y el disco destinado a las copias de seguridad será liberado. En am-
bos casos, haga clic en Finalizar para completar el proceso.
3. Cuando la programación de la copia de seguridad se haya modificado o detenido,
haga clic en Cerrar.
Figura 12-25. Utilice el Asistente para programar copias de seguridad para modificar y detener
una copia de seguridad programada.
12 MATTHEWS 01.indd 421 1/14/09 2:16:23 PM

Realice una copia de seguridad de una vez

Una copia de seguridad de una vez puede ser copia manual, donde se eligen los volúmenes
que se copiarán y luego se ejecute la acción (de nuevo se supone que el panel de Copias de
seguridad de Windows Server está abierto):
1. En el panel Acciones, abra el Asistente para hacer copia de seguridad una vez. Elija
entre utilizar las mismas opciones empleadas en el Asistente para programar copias
de seguridad o elegir opciones diferentes y dé clic en Siguiente.
2. Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de
copias de seguridad previas, si ésta es la primera copia de seguridad o no necesi-
ta acceder a copias de seguridad previas. Haga clic en Sí para continuar; en caso
contrario, haga clic en No y Cancelar, para cerrar el Asistente para hacer copia de
seguridad una vez. Haga clic en Inicio|Símbolo de sistema, haga clic en Ejecutar
como administrador y escriba wbadmin restore catalog-backuptarget: ubicación
de la última copia. Cuando termine, regrese al paso 1.
3. Elija entre realizar una copia de seguridad de todo el servidor o personalizada, eli-
giendo los volúmenes que habrán de copiarse. Haga clic en Siguiente.
4. Seleccione el volumen o volúmenes que habrán de respaldarse (si está marcada la
opción Habilitar la recuperación del sistema, entonces los volúmenes del sistema
operativo se incluirán en la copia de seguridad). Haga clic en Siguiente.
5. Seleccione el tipo de almacenamiento para la copia de seguridad, entre unidades
locales o carpetas compartidas remotas, y dé clic en Siguiente. Elija el volumen de
destino. Haga clic en Siguiente.
6. Haga clic en Copia de seguridad de copia para dejar sin cambio los registros de
estatus y aplicación de la copia de seguridad, o haga clic en Copia de seguridad
completa de VSS para actualizar los registros. Haga clic en Siguiente.
7. Confirme la configuración de la copia de seguridad. Si es necesario, haga clic en An-
terior y realice cualquier modificación necesaria. Cuando todo esté listo, haga clic
en Copia de Seguridad. La creación de la copia de seguridad comienza generando
una copia instantánea de los volúmenes incluidos en la copia de seguridad. Luego
se realiza la copia de seguridad, como se muestra en la figura 12-26.
8. Cuando la copia de seguridad esté completa, haga clic en Cerrar.
12 MATTHEWS 01.indd 422 1/14/09 2:16:23 PM

Figura 12-26. El proceso de creación de la copia de seguridad generalmente es lento.
Optimice el rendimiento de las copias de seguridad

Es posible realizar tres tipos de copias de seguridad: completas, incrementales o una combi-
nación de ambas. Una adecuada selección del tipo de copia de seguridad permite optimizar
la velocidad del proceso y el impacto en la carga de trabajo en el servidor.
1. Con el panel Copias de seguridad de Windows Server abierto, haga clic en la opción
de Configurar opciones de rendimiento, en el panel Acciones. Se abrirá el cuadro de
diálogo para optimizar el rendimiento de las copias de seguridad, como se muestra
en la figura 12-27.
2. Lea la configuración alterna de cada una de las opciones y seleccione la que consi-
dere más apropiada. Si escoge la opción Personalizar, deberá elegir las opciones de
copias de seguridad de cada volumen. Haga clic en Aceptar cuando todo esté listo.
Utilice el Asistente para recuperar

copias de seguridad
El propósito de crear copias de seguridad es recuperar información que por alguna razón
se ha perdido. Existen diferentes circunstancias bajo las cuales se pierde información y ésta
puede afectar desde un solo archivo o carpeta hasta un disco completo. Por tanto, debe ser
posible recuperar datos considerando diversas circunstancias. Copias de seguridad de Win-
dows Server puede hacer esto y la manera de lograrlo se define con los pasos siguientes:
12 MATTHEWS 01.indd 423 1/14/09 2:16:23 PM

Figura 12-27. Es posible acelerar el proceso de realización de copias de seguridad

a costa del rendimiento del servidor, o no.
1. Haga clic en Inicio|Herramientas administrativas|Copias de seguridad de Win-

dows Server. Se abre la ventana de Copias de seguridad de Windows Server. En el
panel Acciones, haga clic en la opción Recuperar.
2. Seleccione el servidor desde el que desea recuperar la información, ya sea el servi-
dor local u otro. Haga clic en Siguiente. Seleccione la fecha y hora en que fue reali-
zada la copia de seguridad, como se muestra en la figura 12-28.
3. Haga clic en Siguiente. Seleccione los objetos que quiere recuperar, archivos y car-
petas, volúmenes o aplicaciones y dé clic en Siguiente. Si se seleccionan archivos y
carpetas, abra volumen y carpetas necesarias y haga clic en carpetas y archivos a
recuperar. Mantenga oprimida la tecla ctrl para seleccionar varios elementos.
4. Cuando se hayan seleccionado todos los elementos que desee recuperar, pulse Si-
guiente. Escoja el destino de la recuperación y cómo desea manejar los casos de
archivos duplicados. Cuando todo esté listo, haga clic en Siguiente.
5. Revise la configuración. Haga clic en Anterior para realizar cualquier cambio ne-
cesario, después clic en Recuperar. La recuperación se llevará a cabo. Cuando se le
notifique que la recuperación está completa, haga clic en Cerrar.
12 MATTHEWS 01.indd 424 1/14/09 2:16:24 PM

Figura 12-28. Las copias de seguridad que habrá de recuperar se seleccionan de acuerdo
con la fecha y hora en que se realizaron.
Cree un disco de recuperación

Si algo le sucede a la unidad del sistema, es posible utilizar una copia de seguridad para
recuperar los archivos, pero es necesario contar con algo que nos permita arrancar el equipo
y restaurar el sistema para luego recuperar los archivos. Este “algo” es un disco de recupera-
ción. Para crearlo, es necesario contar con los discos de instalación de Windows Server 2008
o los archivos de dichos discos copiados en el disco duro.
1. Haga clic en Inicio|Todos los programas|Mantenimiento|Crear un disco de
recuperación.
2. Seleccione la unidad donde escribirá el disco de recuperación, inserte un disco en
blanco en dicha unidad y haga clic en Crear disco.
3. Inserte el disco de instalación de Windows Server 2008 en la unidad y pulse Con-
tinuar. Los archivos serán tomados del disco de instalación, luego se le pedirá que
retire el disco de instalación e inserte un disco nuevo.
4. Haga clic en Aceptar. Cuando se haya creado el disco, se le explicará cómo utilizarlo
(consulte la siguiente sección); haga clic dos veces en Cerrar.
12 MATTHEWS 01.indd 425 1/14/09 2:16:24 PM

Utilice un disco de recuperación

Un disco de recuperación sustituye los discos de instalación de Windows Server 2008 en
modo de recuperación. Con un disco de recuperación y una copia de seguridad del sistema,
es posible recuperarse de diferentes fallas. Para utilizar un disco de recuperación:
1. Inserte el disco de recuperación en su unidad, reinicie el equipo y oprima la tecla
enter para arrancar desde el CD/DVD. Iniciará la instalación de Windows Server
2008. En las pantallas de idioma, hora y teclado haga clic en Siguiente.
2. En la pantalla de instalación, haga clic en Reparar el equipo. Se le indicará que
el acceso a la unidad está bloqueado. Se le dará la opción de cargar la contraseña
de acceso desde un medio extraíble (una clave USB) o escribirla manualmente.
3. Haga clic en la opción deseada y luego en Siguiente. Cuando se introduzca la con-
traseña, se le indicará que tiene acceso a la unidad. Haga clic en Finalizar.
4. Si cuenta con varios sistemas operativos en el equipo, elija el que desea recuperar y
dé clic en Siguiente.
5. A continuación tendrá la opción de realizar una restauración completa del servidor, me-
diante una herramienta de diagnóstico de memoria o abriendo una ventana de Símbolo
de sistema, donde es posible utilizar comandos en línea para solucionar el problema.
6. Si elige realizar una restauración completa, todas las unidades, incluidos los discos
externos y DVD, se analizan en busca de una copia de seguridad. Si cuenta con una
copia de seguridad conformada por múltiples DVD, es necesario colocar el último
DVD del conjunto en la unidad.
7. Cuando se localice la copia de seguridad, haga clic en Siguiente y siga las instruc-
ciones para completar la restauración.
12 MATTHEWS 01.indd 426 1/14/09 2:16:24 PM

CAPÍTULO 13
Configuración y
administración de
impresoras y faxes
427
13 MATTHEWS 01.indd 427 1/14/09 1:27:55 PM

A
unque se sigue hablando de una sociedad donde los medios electrónicos eliminarán
la necesidad de usar papel, no parece que esto vaya a ocurrir a corto plazo. Por ello,
la capacidad para transferir información de un equipo de cómputo al papel y otros
medios resulta muy importante y es una funcionalidad relevante de Windows Server 2008.
Windows Server 2008, Windows Vista Business y Windows Vista Ultimate pueden funcio-
nar como servidores de impresión.
NOTA Pese a que Windows Vista Business y Ultimate pueden utilizarse como servido-
res de impresión, están limitados a diez usuarios concurrentes y no pueden dar servicio
a usuarios Macintosh ni UNIX, mientras Windows Server 2008 no cuenta con límite de
usuarios y sí es capaz de dar soporte a usuarios de Macintosh y UNIX.
En este capítulo veremos cómo se estructura el sistema de impresión de Windows Ser-
ver 2008, cómo instalarlo y administrarlo y las fuentes requeridas para impresión, además
de configurar y utilizar los Servicios de impresión, nueva característica en Windows Server
2008. Por último, el capítulo terminará con un análisis del servidor de fax, otra característica
nueva de Windows Server 2008.
EL SISTEMA DE IMPRESIÓN DE WINDOWS SERVER 2008

Mientras Windows Server 2008 puede imprimir de forma muy similar a las versiones ante-
riores de Windows y la mayoría de conceptos son idénticos, incorpora una nueva función
(Servicios de impresión) que incluye servicios de función de Servidor de impresión, Impre-
sión vía Internet y el Servicio Line Printer Daemon (LPD) para UNIX. Sin embargo, tómese un
momento para asegurarse de que está familiarizado con los conceptos básicos de impresión y
comprende los requisitos de recursos.
Conceptos básicos de impresión

Podrá parecer obvio lo que es una impresora, pero al utilizar el término “imprimir”, de-
bemos recordar que también es posible “imprimir” en un archivo e “imprimir” en un fax.
Además, aunque al “imprimir” en una impresora de red se usa un dispositivo de impresión
físico, para el equipo local esta forma de “imprimir” sólo representa una dirección de red
como destino. Entonces ¿qué es una “impresora” para Windows Server 2008?
▼ Impresora Es el nombre con que se identifica un conjunto de especificaciones uti-
lizadas para imprimir, entre las que se encuentran, sobre todo, puertos de hardware
(LPT1 o USB1), puertos de software (ARCHIVO o FAX) y direcciones de red
■ Controlador de impresión El software que indica al equipo cómo llevar a cabo la
tarea de impresión; el controlador es parte del sistema de especificaciones
■ Dispositivo de impresión La pieza de hardware que realiza la impresión. Los dis-
positivos de impresión locales están conectados mediante un puerto de hardware al
equipo que solicita la impresión; los dispositivos de impresión en red se conectan con
otro equipo o directamente a la red
▲ Servidor de impresión Es el equipo a cargo de la impresión y al que se conecta el
dispositivo de impresión
13 MATTHEWS 01.indd 428 1/14/09 1:27:55 PM

Capítulo 13: Configuración y administración de impresoras y faxes 429
Requisitos básicos de impresión

La impresión básica en Windows Server 2008 tiene los siguientes requisitos obligatorios:
▼ Uno o más equipos en la red configurados como servidores de impresión, con uno
o más dispositivos de impresión locales conectados, así como una o más impresoras
independientes, conectadas directamente a la red
■ El servidor de impresión debe funcionar con Windows Server 2008, Windows Vista
Business o Ultimate, pero recuerde que si usa Windows Vista Business o Ultimate,
habrá un límite de diez usuarios concurrentes, al que ni los usuarios de Macintosh
o UNIX en red podrán acceder para emplear impresora
■ El servidor de impresión debe contar con espacio suficiente en disco para manejar
la carga de impresión esperada. Ésta varía enormemente según el caso, por lo que
no existe regla al respecto. Observe el tamaño de los documentos que suelen impri-
mirse en su organización y analice, en un caso extremo, cuántos de esos documentos
podrían ser enviados a impresión simultáneamente. Si diez personas de una oficina
comparten una impresora y sus impresiones más grandes son de casi 2 MB, entonces
tal vez 20 MB sea suficiente espacio, pero sería ideal asignar entre 50 y 100 MB
▲ Debe contar con memoria suficiente para manejar la carga de impresión. Se requiere
un mínimo de 128 MB y, para una carga realista de impresión, 256 MB sería adecua-
do. Al abastecer un servidor con la cantidad adecuada de memoria, se asegura su
mejor funcionamiento
CONFIGURACIÓN BÁSICA DE IMPRESIÓN

La configuración básica de la impresión se realiza a través del panel de control:
Haga clic en Inicio|Panel de control y luego haga doble clic en Impresoras.
La ventana Impresoras que se abre contiene un icono Agregar impresora que da paso al
Asistente para agregar impresoras. Este asistente nos guiará en el proceso de configurar las
impresoras disponibles en el equipo local.
13 MATTHEWS 01.indd 429 1/14/09 1:27:56 PM

Tras hacer doble clic en el icono Agregar impresora (o clic en la opción Agregar impreso-
ra, de un panel de tareas), la primera pregunta que hará el asistente será si se desea agregar
una impresora local o de red:
▼ Impresora local Se encuentra directamente conectada al equipo frente en el que
está sentado
▲ Impresora en red Se conecta a otro equipo o directamente a la red y está comparti-
da o configurada para que otros puedan utilizarla
Agregue impresoras locales

Para agregar una impresora conectada al equipo local, dé los siguientes pasos (se supone
que el asistente Agregar impresoras está abierto, como se describió en la sección anterior):
SUGERENCIA Antes de instalar una impresora local, asegúrese de que está unida al conec-
tor (puerto) correcto del equipo; está conectada a la corriente eléctrica; los cartuchos de
tinta estén en buen estado y correctamente instalados; cuenta con papel y está encendida.
¡Estas recomendaciones simples incluyen casi todas las razones por las que una impre-
sora no funciona!
NOTA Si cuenta con una impresora conectada al equipo mediante un puerto serial uni-
versal (USB, Universal Serial Bus), como casi todas las impresoras nuevas, Windows
Server 2008 la instalará automáticamente y aparecerá en la ventana Impresoras. En este
caso, no es necesario dar los pasos siguientes.
1. Haga clic en Agregar una impresora local. El asistente Agregar impresora inten-
tará detectar la impresora. Si la detección es correcta, el asistente le indicará que
ha encontrado la impresora y la instalará. Luego le preguntará si desea probarla
imprimiendo una página. Si no se detecta la impresora, aparecerá un mensaje de
notificación, en este caso vaya al paso 3.
2. Haga clic en Sí, para probar la impresora y luego en Siguiente. Aparecerá el nombre de
la impresora, el puerto al que está conectada e información adicional. Pulse Finali-
zar. Si seleccionó Imprimir una página de prueba, ésta se imprimirá. Si la página se
imprime en forma satisfactoria, haga clic en Aceptar; en caso contrario, haga clic en
Solucionar problemas de impresora y siga las indicaciones mostradas en pantalla.
A partir de aquí puede omitir el resto de las instrucciones de esta sección.
3. Si la impresora local que desea configurar no es detectada, será necesario instalarla
manualmente; comience por seleccionar el puerto al que está conectada la impreso-
ra. Además del puerto USB, otro también muy común y que se detecta automática-
mente es LPT1, el primer puerto paralelo. Si se trata de una impresora serial, será
necesario utilizar el puerto COM2, debido a que, en general, el puerto COM1 tiene
conectado un módem. Seguido de elegir un puerto, haga clic en Siguiente. Aparece-
rá una lista de fabricantes y sus modelos de impresoras.
4. Haga clic en el nombre del fabricante de la impresora en la lista ubicada en el lado
izquierdo y luego elija el modelo de la impresora en la lista de la derecha, como se
13 MATTHEWS 01.indd 430 1/14/09 1:27:56 PM

muestra a continuación. Si la impresora no aparece en la lista, pero cuenta con un dis-

co que incluye el controlador reciente de Windows, haga clic en el botón Usar disco.
Si la impresora no aparece en la lista ni se cuenta con los discos de los controladores,
haga clic en Windows Update para conectarse al sitio de Microsoft en Internet y
buscar ahí un controlador para la impresora.
5. Cuando seleccione el fabricante de la impresora y modelo, haga clic en Siguiente. Si

se le pregunta cuál versión de controlador desea utilizar (el controlador instalado u
otro), decida por su opción deseada y haga clic en Siguiente. Acepte el nombre pre-
determinado o escriba uno para la impresora, indique si desea que esta impresora
sea la predeterminada y dé clic en Siguiente.
6. Seleccione si desea compartir la impresora, acepte el nombre de recurso compartido
asignado o escriba uno nuevo. Si ha elegido compartir la impresora, escriba ubicación
y cualquier comentario adicional en los campos correspondientes después dé clic en
Siguiente. Decida si desea imprimir una página de prueba y haga clic en Finalizar.
7. Si decide imprimir una página de prueba, ésta se imprime de inmediato. Si la im-
presión es satisfactoria, dé clic en Cerrar. En caso contrario, haga clic en Solucionar
problemas de impresora y siga las instrucciones que ahí se presentan.
Cuando se cierra el cuadro de diálogo del asistente Agregar impresora, deberá ver la
impresora que recién añadió, representada con un icono, en la ventana Impresoras.
13 MATTHEWS 01.indd 431 1/14/09 1:27:57 PM

SUGERENCIA Si su impresora se instaló automáticamente y tiene CD para ella, quizá se

pregunte si debe reinstalar la impresora recurriendo al CD. Casi todos los controladores
de impresión en Windows Server 2008 son proporcionados por el fabricante y probados
por Microsoft, por lo que deben funcionar perfectamente. A menos que la impresora haya
sido fabricada luego del lanzamiento de Windows Server 2008 (febrero de 2008) el con-
trolador provisto por Windows Server 2008 deberá ser, al menos, la misma versión, si no
es que una más reciente que la incluida en el CD. Por otra parte, el CD para la impresora
puede incluir software para habilitar características adicionales de la impresora como fax,
escáner, copiadora, etcétera.
Configuración de impresoras de red

La configuración de impresoras de red requiere configurar un equipo cliente, de manera
que pueda utilizar impresoras localizadas en algún lugar de la red:
▼ Las conectadas a otro equipo
▲ Las conectadas directamente a la red
Los procesos para configurar cada una de éstas difieren entre sí
Configure impresoras conectadas a otros equipos

El proceso para configurar el acceso a impresoras conectadas a otros equipos (que suele con-
siderársele configuración de una impresora de red) se logra mediante los pasos siguientes
(asumiendo que el asistente Agregar impresora aún se encuentra abierto, como se describió
en la sección “Configuración básica de impresión”):
1. En la pantalla del asistente Agregar impresora, haga clic en la opción Agregar una
impresora de red, inalámbrica o Bluetooth, y dé clic en Siguiente. Windows buscará
una impresora en Active Directory, si se encuentra conectada a uno o en la red, si se
encuentra conectada a un grupo de trabajo. En caso de que no se encuentre la im-
presora a instalar, haga clic en la opción La impresora deseada no está en la lista.
2. Se abrirá la siguiente pantalla del asistente Agregar impresora. Es posible añadir
una impresora escribiendo un nombre de impresora único, mediante la notación de
la convención universal de asignación de nombres (UNC, Universal Naming Con-
vention), como \\Servidor1\HPLJ4550), buscando una impresora en la red local o
escribiendo la dirección de red TCP/IP de la impresora (si el equipo se encuentra en
un dominio de Active Directory, el cuadro de diálogo podría ser diferente).
13 MATTHEWS 01.indd 432 1/14/09 1:27:57 PM

3. Cuando haya seleccionado una impresora, haga clic en Siguiente. Decida si la im-
presora que está instalando será la predeterminada y dé clic en Siguiente. Aparecerá
un mensaje notificándole que la impresora se ha instalado con éxito. Si desea probar
la impresora, haga clic en el botón Imprimir una página de prueba. Si la página se
imprime correctamente, haga clic en Cerrar; en caso contrario, dé clic en Solucionar
problemas de impresora y siga las instrucciones que ahí se indican. Cuando todo
esté listo, cierre la ventana de ayuda y haga clic en Cerrar y luego en Finalizar.
Una vez más, cuando regrese a la ventana de Impresoras, aparecerá un icono para la
nueva impresora en red. Este icono incluye un cable en la parte inferior para indicar que es
una impresora de red.
13 MATTHEWS 01.indd 433 1/14/09 1:27:57 PM

Configure impresoras conectadas directamente a la red

Una impresora conectada directamente a la red cuenta con un protocolo en su interior
para comunicarse en la red. Este protocolo, en casi todas las impresoras recientes, es
TCP/IP. Si la impresora usa el protocolo TCP/IP, el servidor DHCP le asignará una di-
rección IP (consulte el capítulo 6 para conocer más sobre TCP/IP y DHCP); también es
posible asignar una dirección IP directamente a la impresora durante su configuración. Antes
de comenzar el proceso de configuración de este tipo de impresora, es necesario conocer
el protocolo empleado y cómo se direcciona. A continuación se presentan los pasos para
configurar una impresora conectada directamente a la red mediante el protocolo TCP/IP
y una dirección IP conocida:
SUGERENCIA Las impresoras recientes que se conectan directamente a las redes,

cuentan con una forma de determinar la dirección IP asignada por el servidor de DHCP o
para recibir manualmente una dirección IP. Por ejemplo, en las impresoras de las series
HP OfficeJet 7200, 7300, 7400 y Photosmart 2570, 2600 y 2700, se oprime el botón Setup,
se elige Network y View Network Settings para ver o imprimir una página de configuración,
incluida la dirección IP. En lugar de seleccionar View Network Settings, si selecciona Ad-
vanced Setup es posible asignar una dirección IP.
1. En la ventana Impresoras, haga doble clic en Agregar impresora y clic en Agregar
una impresora de red, inalámbrica o Bluetooth. Si la impresora no se localiza auto-
máticamente, haga clic en la opción La impresora deseada no está en la lista.
2. Haga clic en Agregar una impresora por medio de una dirección TCP/IP o nombre
de host y clic en Siguiente.
3. En Tipo de dispositivo, elija la opción Dispositivo TCP/IP de la lista desplegable e ingrese
la dirección IP. Observe cómo se llena automáticamente el campo Nombre de puerto.
13 MATTHEWS 01.indd 434 1/14/09 1:27:57 PM

4. Haga clic en Siguiente. El asistente intentará identificar y configurar la impresora. Si

la operación es correcta, aparecerá un mensaje con el nombre por omisión, pregun-
tando si desea utilizar la impresora como predeterminada. Elija una opción y haga
clic en Siguiente.
5. Decida si quiere compartir la impresora; si es así, escriba el nombre con el que desea
compartirla, ubicación y cualquier comentario adicional. Cuando todo esté listo,
6. Aparecerá un mensaje indicando que la nueva impresora se ha añadido correcta-
mente. Si lo desea, puede imprimir una página de prueba. Si la página de prueba
se imprime en forma satisfactoria, haga clic en Cerrar; en caso contrario, haga clic
en Solucionar problemas de impresión y siga las instrucciones que ahí se presentan,
cierre la ventana de ayuda cuando haya terminado y, por último, haga clic en Ce-
rrar. Haga clic en Finalizar cuando la configuración esté completa.
Al volver a la ventana de Impresoras, aparecerá la nueva impresora; sin embargo, el
icono de ésta no incluirá un cable en la sección inferior para indicar que es una impresora
de red, sino un icono tradicional, como si la impresora estuviera directamente conectada al
equipo y no a la red, como se muestra en la siguiente figura:
AJUSTE LA CONFIGURACIÓN DE LA IMPRESORA

Como regla general, la configuración predeterminada de una impresora trabaja bien en casi to-
das las situaciones, de manera tal que, a menos que exista una situación única, es recomendable
mantener la configuración predeterminada. Sin embargo, es importante conocer las opciones
con que cuenta; por tanto, revise las configuraciones que pueden utilizarse para controlar su
impresora (tales opciones varían dependiendo de la impresora que se está configurando).
Las opciones de configuración están contenidas en el cuadro de diálogo Propiedades,
mostrado en la figura 13-1. Se accede a éste al abrir la ventana Impresoras (haga clic en
menú Inicio|Panel de control, luego doble clic en Impresoras); dé clic derecho en el icono
de la impresora que se desea configurar y escoja la opción Propiedades. Para hacer más
clara la explicación, es posible agrupar las fichas del cuadro de diálogo Propiedades en con-
figuración impresora, impresión y usuario.
13 MATTHEWS 01.indd 435 1/14/09 1:27:58 PM

Figura 13-1. Una impresora es configurada en su cuadro de diálogo Propiedades.
Configure impresoras
La configuración de la impresora se relaciona con el control de la propia impresora. En la
sección General (mostrada en la figura 13-1), es posible cambiar el nombre de la impresora,
identificar su ubicación y escribir un comentario sobre ella. También es posible cambiar la
configuración de diseño, papel y, si está disponible, el color, además de imprimir una página
de prueba; en la ficha Puertos, puede modificar el puerto de la impresora, añadir, borrar
y configurar puertos, habilitar y deshabilitar la comunicación bidireccional con la impresora y
configurar la cola de impresión. En la ficha Configuración del dispositivo, es posible modi-
ficar el formato asignado a cada bandeja, cómo manejar la sustitución de fuentes y opciones
de configuración disponibles para instalarse. Su impresora puede tener opciones diferentes
o adicionales, por lo que se recomienda revisar estas fichas para su impresora. Casi to-
das las opciones de configuración de una impresora se explican por sí solas, como nombre y
localización; hay otras cuyo valor original sólo se modifica en raras ocasiones, como puerto
y comunicación bidireccional. Sin embargo, otros elementos requieren una explicación adicio-
nal: cola de impresión, prioridad de la impresora y asignación de bandejas de impresión.
13 MATTHEWS 01.indd 436 1/14/09 1:27:58 PM

Cola de impresión
La cola de impresión permite tener dos o más dispositivos de impresión asignados a una
impresora. Los dispositivos de impresión pueden ser locales o conectados directamente a
la red, pero deben compartir el mismo controlador. Cuando los trabajos de impresión se
envían a la impresora, Windows determina cuál de los dispositivos físicos está disponible
y envía el trabajo a dicho dispositivo. Esto elimina la necesidad de que el usuario determi-
ne cuál dispositivo de impresión está disponible, permite mejor distribución de carga entre
dispositivos de impresión y administración de varios dispositivos, a través de una sola de-
finición de impresora.
Es posible configurar una cola de impresión siguiendo los pasos descritos a continuación:
1. Instale todas las impresoras, como ya se describió en la sección “Configuración bá-
sica de impresión”.
2. En la ventana Impresoras, haga clic derecho en la impresora a la que se dirigirán
todos los trabajos y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades
de la impresora.
3. Haga clic en la ficha Puertos y luego en la opción Habilitar la cola de la impresora.
4. Haga clic en cada uno de los puertos a los que está conectado un dispositivo de im-
presión que desea agregar a la cola de impresión, como se muestra a continuación:
5. Cuando se hayan elegido todos los puertos, haga clic en Aceptar para cerrar el cua-
dro de diálogo Propiedades.
6. Si la impresora que contiene la cola de impresión no está seleccionada como pre-
determinada, haga clic derecho en la impresora y clic en la opción Establecer como
impresora predeterminada.
NOTA El icono de la impresora predeterminada tiene una marca de selección sobre él,
sin la opción Establecer como impresora predeterminada.
13 MATTHEWS 01.indd 437 1/14/09 1:27:58 PM

Prioridad de la impresora
Se puede realizar la acción inversa a la creación de colas de impresión asignando varias
impresoras a un solo dispositivo de impresión. La principal razón para esto es contar con
dos o más configuraciones para un mismo dispositivo. Por ejemplo, si desea que se asignen au-
tomáticamente dos o más prioridades a los trabajos dirigidos a un mismo dispositivo de
impresión, es posible crear dos o más impresoras apuntando al mismo puerto de impresión
y dispositivo físico, pero con diferentes prioridades. Así, puede tener trabajos de alta prio-
ridad asignados a una impresora con prioridad de 99, así como trabajos de baja prioridad
asignados a impresoras con prioridad 1.
Para crear varias impresoras con un solo dispositivo de impresión, utilice los siguien-
tes pasos:
1. Instale todas las impresoras, como ya se describió en la sección
“Configuración básica de impresión”, sólo que deberá asignar
el mismo puerto a todas las impresoras. Establezca un nombre
para cada impresora en el que indique, además, su prioridad,
por ejemplo, “Impresora de alta prioridad” e “Impresora de
baja prioridad”.
2. En la ventana Impresoras, haga clic derecho en la impresora de alta prioridad y clic
en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.
3. Haga clic en la ficha Opciones avanzadas, escriba 99 como valor de prioridad, como
se muestra en la figura 13-2, y dé clic en Aceptar.
4. De manera similar, haga clic derecho en las otras impresoras, haga clic en Propieda-
des, vaya a la ficha Opciones avanzadas, escriba valores de prioridad entre 1 y 98 y
Figura 13-2. Es posible tener diferentes prioridades para una misma impresora.
13 MATTHEWS 01.indd 438 1/14/09 1:27:58 PM

Los trabajos con prioridad alta se imprimirán antes que los trabajos con prioridad baja,
si se colocan en la cola al mismo tiempo.
Asigne bandejas de impresión

Dependiendo de su impresora, ésta puede tener más de una bandeja y, como resultado, es
posible colocar diferentes tipos y tamaños de papel en cada bandeja. Si asigna tipos y ta-
maños de papel a cada bandeja en el cuadro de diálogo Propiedades, mientras un usuario
solicita un tipo y tamaño de papel en el momento de imprimir, Windows Server 2008 desig-
nará automáticamente la bandeja correcta para dicho trabajo de impresión. A continuación
se explica cómo asignar tipo y tamaños de papel a las bandejas:
1. En la ventana Impresoras, haga clic derecho en la impresora cuyas bandejas desea confi-
gurar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.
2. Haga clic en la sección Configuración del dispositivo. Abra cada una de las ban-
dejas, escoja tipo y tamaño de papel que contendrá, de forma similar a como se
muestra en la figura 13-3.
3. Cuando haya establecido tipo y tamaño de papel de cada bandeja, haga clic en Aceptar.
Figura 13-3. Es posible asignar diferentes tipos de papel a diferentes bandejas que serán
utilizados de manera automática cuando lo requiera un trabajo de impresión.
13 MATTHEWS 01.indd 439 1/14/09 1:27:59 PM

Configuración de impresión
La configuración de la impresión se relaciona con el control del proceso de impresión, no de
la impresora ni de los trabajos de impresión. La configuración de la impresión se gestiona en la
ficha Opciones avanzadas del cuadro de diálogo Propiedades de la impresora, como el
ya mostrado en la figura 13-2. Como se mencionó antes, en casi todos los casos la configura-
ción predeterminada es la correcta y sólo debe modificarse en situaciones particulares. Dos
excepciones a esto son la configuración de la cola impresión y el uso de página de separa-
ción, que se revisan a continuación.
Configure la cola de impresión

Casi siempre, el tiempo que toma imprimir un documento es considerablemente más largo
que transferir la información de una aplicación a una impresora. Por tanto, la información
almacenada en disco en un formato especial de preimpresión y luego Windows, en una tarea
en segundo plano, alimenta a la impresora con toda la información que puede manejar. A este
almacenamiento temporal en disco se le denomina inclusión en cola. En casi todos los casos,
será deseable utilizar la cola de impresión, en lugar de que la aplicación espere a la impresora.
Sin embargo, existe un par de opciones de configuración que deben tomarse en cuenta.
▼ Iniciar la impresión cuando la última página haya entrado en la cola Al esperar
la impresión hasta que la última página se coloque en la cola, esta acción termina
más rápido y el usuario regresa lo antes posible a la aplicación, pero la impresión
tomará más tiempo
▲ Empezar a imprimir de inmediato La impresión terminará lo antes posible, pero
la aplicación estará más tiempo detenida
No existe una opción correcta. Usualmente, la opción predeterminada, Empezar a impri-
mir de inmediato, proporciona una buena solución; pero si usted desea volver a la aplicación
en el menor tiempo posible, entonces elija esperar hasta que la última página haya entrado en
la cola.
Use páginas de separación

Si tiene diferentes trabajos en una impresora, quizás valga la pena tener una página de se-
paración entre ellos (una hoja de papel en blanco entre los trabajos), para identificar más fá-
cilmente dónde termina un trabajo y comienza el otro. También es posible utilizar el archivo
que crea una página de separación para que una impresora pase de PostScript (un lenguaje
de impresión) a PCL (Printer Control Language, lenguaje de control de impresora) en im-
presoras Hewlett-Packard (HP) y compatibles. Cuatro ejemplos de archivos de separación
(con extensión .sep) se incluyen en Windows Server 2008:
▼ Pcl.sep Imprime una página de separación antes del inicio de cada trabajo de im-
presión en impresoras compatibles con PCL. Si la impresora maneja PostScript y
PCL, se colocará en modo PCL
■ Pscript.sep No imprime una página de separación, pero las impresoras que mane-
jan PostScript y PCL son colocadas en modo PostScript
13 MATTHEWS 01.indd 440 1/14/09 1:27:59 PM

■ Sysprint.sep Imprime una página de separación antes del inicio de cada trabajo
de impresión, en impresoras compatibles con PostScript
▲ Sysprtj.sep Realiza la misma acción que Sysprint.sep, pero en idioma japonés
NOTA Los archivos de separación funcionan para impresoras compatibles con HP y

PostScript. No funcionan con todas las impresoras.
Si conoce o cuenta con un manual de lenguajes PCL o PostScript (incluso ambos), es

posible abrir y modificar estos archivos (o copias de ellos), con cualquier editor de textos,
como el Bloc de notas, para ajustarlos a propósitos particulares. Estos archivos se encuen-
tram como opción predeterminada, en la carpeta C:\Windows\System32.
Configure usuarios
La configuración de usuarios se relaciona con el control de aquellos que utilizan una im-
presora. Cuando se configuró la impresora por vez primera, se le pidió definir si deseaba
compartirla y qué otros usuarios de la red la utilizarían. La configuración de usuarios per-
mite cambiar dicha decisión en la ficha Compartir, del cuadro de diálogo Propiedades de
impresora, en que se habilita y deshabilita esta opción, mientras en la ficha Seguridad del
mismo cuadro de diálogo se establecen los permisos para varios grupos de usuarios.
NOTA Las opciones para compartir y de seguridad son controladas por el equipo al que
está conectada directamente la impresora. Una impresora en red es vista como si tuviera
conexión directa con todos los equipos de la red y, por tanto, todas ellas pueden configu-
rarla; sin embargo, cada configuración sólo se aplica en trabajos de impresión del equipo
donde fue realizada.
Si comparte una impresora, la ficha Seguridad determina quién tiene permiso para uti-
lizarla, controlarla y hacer cambios, como se observa en la figura 13-4. Los cuatro tipos de
permisos y funciones permitidos son los siguientes:
▼ Imprimir Permite al usuario conectarse a una impresora y utilizarla, así como
cancelar, detener, reanudar y reiniciar sus propios trabajos de impresión
■ Administrar impresoras Permite al usuario controlar las propiedades de la impreso-
ra, que incluye establecer permisos, compartir la impresora, cambiar sus propiedades,
eliminarla y cancelar todos los trabajos de impresión
■ Administración de documentos Permite a los usuarios controlar todos los traba-
jos de impresión, incluidas las acciones para cancelar, detener, reanudar y reiniciar
trabajos de impresión de otros usuarios
13 MATTHEWS 01.indd 441 1/14/09 1:27:59 PM

Figura 13-4. Si comparte una impresora, debe determinar los permisos para cada
grupo de usuarios.
▲ Permisos especiales Indica que al usuario se le han asignado permisos especiales,

mediante el botón Opciones avanzadas y el cuadro de diálogo Configuración de
seguridad avanzada
Para cada persona o grupo en la lista Nombres de grupos o usuarios, es posible selec-
cionar los permisos que desea otorgar. Los permisos determinan si se permite o niega cierto
conjunto de funciones. Denegar un permiso tiene precedencia sobre permitirlo; por tanto, si
una función es denegada en un lugar y permitida en otro, será denegada.
PRECAUCIÓN Si se niega un conjunto de funciones para el grupo Todos, entonces se

estará negando a todos los usuarios la posibilidad de realizar esas funciones, aunque en
lo individual alguno de ellos tuviera permiso para realizarla.
Si se desea tener un nivel más detallado de permisos, haga clic en el botón Opciones
avanzadas, ubicado en la parte inferior de la ficha Seguridad. Se abrirá el cuadro de
diálogo Configuración de seguridad avanzada. Seleccione ahí un permiso específico y
haga clic en Editar. Esto permite refinar los detalles de lo que el permiso incluye, como
se muestra a continuación:
13 MATTHEWS 01.indd 442 1/14/09 1:28:00 PM

Cuando termine de revisar los permisos, cierre los tres cuadros de diálogo abiertos.
NOTA En el capítulo 15 se explican con mayor detalle los permisos.
CONTROL DE UNA COLA DE IMPRESIÓN

Conforme las aplicaciones envían trabajos a impresión, éstos se colocan, como opción pre-
determinada, en el disco para luego enviarse a la impresora según la velocidad que ésta
puede manejar. Si se envían varios trabajos de impresión casi al mismo tiempo, se formarán
en cola esperando que el trabajo previo termine. Controlar esta cola es una función admi-
nistrativa importante que incluye detener y reanudar impresiones, cancelar impresiones,
redirigir documentos y cambiar las propiedades de un documento. Estas tareas se manejan
en una ventana de la impresora, similar a la que se muestra en la figura 13-5, que se abre al
hacer doble clic en la impresora correspondiente, en la ventana Impresoras.
Ponga en pausa, reanude y reinicie una impresión

Mientras se realiza la impresión, quizás necesite ponerla en pausa. Esto puede ser causado por
la impresora (por ejemplo, para cambiar el papel), en cuyo caso sería necesario detener
por un momento todos los trabajos de impresión. Esto también puede ser provocado por un
documento, situación en que podría detener la impresión de ese documento (por ejemplo,
debido a algún problema con el mismo, como algún carácter provocando que la impresora
se comporte erráticamente). En Windows Server 2008, es posible poner en pausa y reanudar
13 MATTHEWS 01.indd 443 1/14/09 1:28:00 PM

Figura 13-5. Los documentos en la cola de una impresora pueden ponerse en pausa,
cancelarse, reanudarse y reiniciarse.
la impresión de todos los documentos, además de poner en pausa, reanudar y reiniciar la

impresión de un documento.
Ponga en pausa y reanude la impresión de todos los documentos

Poner en pausa y reanudar la impresión de todos los documentos significa, en esencia, pau-
sar y reanudar la impresora. Los siguientes pasos indican cómo hacerlo:
1. En la ventana de la impresora, como la mostrada en la figura 13-5, haga clic en el
menú Impresora y luego en la opción Pausar la impresión. En la barra de título
aparecerá la palabra “Pausado”, y en el menú Impresora, del lado izquierdo de la
opción Pausar impresión, aparecerá una marca de selección.
2. Para reanudar la impresión, haga clic una vez más en el menú Impresora y luego en
la opción Pausar la impresión, que está marcada. El texto “Pausado” desaparecerá
de la barra de título y la marca de selección desaparecerá de la opción Pausar
la impresión, en el menú Impresora.
13 MATTHEWS 01.indd 444 1/14/09 1:28:00 PM

Ponga en pausa, reanude y reinicie la impresión de un documento

Cuando desea interrumpir la impresión de uno o más documentos en la cola de impresión,
pero no todos, puede hacerlo y reanudar la impresión donde se quedó o reiniciarla desde el
principio del documento. Los siguientes pasos indican cómo hacerlo:
1. En la ventana de la impresora, seleccione el documento o documentos que desea de-
tener, haga clic en el menú Documento y seleccione la opción Pausa. En la columna
Estado correspondiente al documento seleccionado aparecerá el valor “Pausado”.
2. Para reanudar la impresión donde el documento se quedó, haga clic derecho en el
documento y clic en Reanudar. En la columna Estado aparecerá el valor “Impri-
miendo” para el documento seleccionado.
3. Para reiniciar la impresión desde el inicio del documento, seleccione el documento
y haga clic en Reiniciar. En la columna Estado aparecerán los valores “Reiniciando”
e inmediatamente después “Imprimiendo”.
NOTA Si desea modificar el orden de impresión de los documentos, no es posible de-

tener el documento en impresión y esperar que ocurra un cambio en el orden. En primer
lugar, deberá terminar o cancelar la impresión del documento actual. Es posible detener
documentos que no se están imprimiendo. Por ejemplo, si desea imprimir de inmediato el
tercer documento en la cola de impresión y en ese momento se imprime el primero, deberá
permitir que termine la impresión del primer elemento o cancelarla. Luego, puede poner en
pausa el segundo documento antes de que comience su impresión; el tercer documento
comenzará a imprimirse cuando haya terminado el primer documento.
Cancele la impresión
Es posible cancelar una impresión al nivel de la impresora, que retira todos los trabajos en la
cola de esa impresora o el nivel del documento, que cancela los documentos seleccionados.
Un trabajo cancelado se elimina de la cola de impresión. A continuación se indica cómo can-
celar, primero, un trabajo de impresión, luego todos los trabajos en la cola de impresión.
1. En la ventana de la impresora, seleccione el trabajo o trabajos que desea cancelar.
Haga clic en el menú Documento y seleccione Cancelar. Se le preguntará si está
seguro de cancelar los trabajos seleccionados. Haga clic en Sí. El trabajo o trabajos
desaparecerán de la ventana y no estarán más en la cola de impresión.
2. Para cancelar todos los trabajos en la cola de impresión, haga clic en el menú Impre-
sora y escoja Cancelar todos los documentos. Se le preguntará si está seguro de que
desea cancelar todos los documentos. Haga clic en Sí. Todos los trabajos desapare-
cerán de la cola de impresión y la ventana.
Redireccione documentos
Si cuenta con dos impresoras que comparten el mismo controlador, puede redirigir los tra-
bajos localizados en la cola de impresión de una de ellas a la cola de la otra, aunque esté en
red, donde los trabajos se imprimirán sin que el usuario se vea obligado a reenviarlos. Esto
se logra cambiando el puerto al que se dirige la impresora:
13 MATTHEWS 01.indd 445 1/14/09 1:28:01 PM

1. En la ventana de la impresora, haga clic en el menú Impresora, seleccione Propie-

dades y dé clic en la ficha Puertos.
2. Si la segunda impresora se encuentra en la lista de puertos, selecciónela y haga clic
en Aceptar, para cerrar el cuadro de diálogo Propiedades. En caso contrario, haga
clic en Agregar puerto, con lo que se abrirá el cuadro de diálogo Puertos de impre-
sora. Haga clic en el tipo de puerto “Local Port”, luego en el botón Puerto nuevo;
se abrirá el cuadro de diálogo Nombre del puerto.
3. Escriba el nombre UNC de la impresora (por ejemplo, \\Servidor1\HPCLJ4550)
dé clic en Aceptar.
4. Haga clic dos veces en Cerrar. La cola de impresión se redirigirá a la otra impresora.
Cambie las propiedades de un documento

Un documento en la cola de impresión cuenta con un cuadro de diálogo Propiedades, mos-
trado en la figura 13-6, que se abre al hacer clic derecho en el documento y elegir la opción
Propiedades. Esto le permite establecer la prioridad relativa que se usará en la impre-
sión del documento, de 1 —la más baja— a 99 —la más elevada—, a cuál usuario en sesión
se le notificará cuando el documento esté impreso y la hora del día en que se desea impri-
mir el documento.
Establezca la prioridad
Un documento impreso en una impresora cuyo valor predeterminado es de prioridad (con-
sulte “Prioridad de la impresora”, en páginas anteriores del capítulo) se define en prioridad
1, la menor. Si desea imprimir otro documento antes que el primero y éste aún no ha empe-
zado a imprimirse, asigne al segundo documento una prioridad superior a 1, arrastrando
el deslizador de prioridad a la derecha.
A quién notificar
La impresora puede notificar al propietario de un documento cualquier situación especial que
ocurra durante la impresión del documento y también cuando la impresión del documento
termine. El propietario es el usuario que envió el documento a la impresora. En algunas oca-
siones es útil notificar a otro usuario. Esto se logra colocando el nombre del otro usuario en el
cuadro de texto Notificar, ubicado en el cuadro de diálogo Propiedades del documento.
Establezca la hora de impresión

En general, un trabajo se imprime apenas alcanza el inicio de la cola de impresión. Es po-
sible modificar esto para establecer un periodo en particular, en la ficha General, del cua-
dro de diálogo Propiedades del
documento (véase la figura 13-6).
Esto permite que trabajos
grandes, capaces de acaparar la
cola de impresión, se impriman
en un momento con poca o nula
carga en la impresora.
13 MATTHEWS 01.indd 446 1/14/09 1:28:01 PM

Figura 13-6. Cuadro de diálogo Propiedades de un documento en la cola de impresión.
ADMINISTRE LAS FUENTES

Una fuente es un conjunto de caracteres con el mismo diseño, tamaño, grosor y estilo. Una
fuente es un miembro de una familia de tipos, donde todos los miembros tienen el mismo dise-
ño. La fuente de 12 puntos Arial negrita cursiva es miembro del tipo Arial con tamaño de 12
puntos, grosor en negritas y estilo cursivo. Los sistemas que ejecutan Windows Server 2008
tienen muchas fuentes, incluidas las siguientes:
▼ Fuentes residentes Incorporadas en la impresora
■ Fuentes de cartucho Almacenadas en cartuchos conectados a la impresora
▲ Fuentes de software Almacenadas en un disco del equipo al que está conectada la
impresora y que se transfieren a la impresora cuando son requeridas
13 MATTHEWS 01.indd 447 1/14/09 1:28:01 PM

Windows Server 2008 incluye varias fuentes de software, y existen muchas más que
agregar de otros orígenes, incluido Internet o automáticamente cuando se instala una apli-
cación. El trabajo de administración de fuentes consiste en minimizar el tiempo que toma
transferir las fuentes a la impresora y mantener disponibles las necesarias. Minimizar el
tiempo de descarga significa que, siempre que sea posible, se utilizarán las fuentes residen-
tes y de cartucho. Disponibilidad de una fuente significa que las fuentes a usar están en el
disco del servidor de impresión, mientras las que no desea no se encuentran en el disco, des-
perdiciando espacio y tiempo de manejo. En esta sección, revisará las fuentes de Windows
Server 2008, cómo agregar y quitar fuentes y cómo utilizar fuentes.
Fuentes en Windows Server 2008

Hay tres fuentes de software en Windows Server 2008:
▼ Fuentes de contorno Almacenadas como conjunto de comandos para dibujar un
carácter particular. Como resultado, las fuentes pueden ser escaladas a cualquier
tamaño (por ello se les denomina fuentes escalables) y pueden girarse. Las fuentes
de contorno son las utilizadas en pantalla e impresora. Windows Server 2008 da
soporte a tres tipos de fuentes de contorno: TrueType desarrolladas por Microsoft
para Windows 95; OpenType (también desarrolladas por Microsoft), como exten-
sión del tipo TrueType con mayor cantidad de formas —versales y versalitas—,
incluso más detalle en las mismas; asimismo, Type 1 y PostScript, desarrolladas por
Adobe Systems, Inc. Todas las fuentes de contorno en Windows Server 2008 son
fuentes OpenType
NOTA En Windows 95/98, las fuentes de contorno de Microsoft fueron identificadas como
TrueType y se colocaron en su icono las letras “TT” para identificarlas. De Windows 2000 en
adelante, las mismas fuentes fueron identificadas OpenType con esquemas TrueType y se
les agregó una “O” a sus iconos para identificarlas.
■ Fuentes de mapa de bits También llamadas fuentes de barrido, se
encuentran almacenadas como imagen de mapa de bits para un
tamaño, grosor e impresora específicos. No pueden escalarse ni
girarse. Se incluyen para compatibilidad con sistemas antiguos y
casi nunca se utilizan. Las fuentes de mapa de bits, en Windows
Server 2008, tienen una letra A en sus iconos
▲ Fuentes vectoriales Son creadas con segmentos de línea que pueden ser escaladas
y giradas. Se utilizan principalmente en plotters, pero no en impresoras ni pantalla
Se puede ver y trabajar con las fuentes instaladas en Windows Server 2008 abriendo
la ventana Fuentes, mostrada en la figura 13-7, haciendo clic en Inicio|Panel de control y
haciendo doble clic en Fuentes.
Si no ha instalado ninguna otra fuente y tampoco una aplicación ha instalado fuentes pro-
pias, verá 197 fuentes en el sistema de Windows Server 2008. Las fuentes con una O en el icono
13 MATTHEWS 01.indd 448 1/14/09 1:28:02 PM

Figura 13-7. Algunas de las muchas fuentes de Windows Server 2008.
son OpenType o TrueType, están firmadas digitalmente y son archivos con extensión .ttf. Las
fuentes con las letras TC en sus iconos son fuentes de tipo OpenType o TrueType sin firma
digital y son archivos con extensión .ttc. Las fuentes con una A en el icono son fuentes de
tipo mapa de bits o vectoriales, sin firma digital y con extensión .fon. Las fuentes de tipo
TrueType antiguas que están disponibles en versiones antiguas de Windows tienen las letras
TT en su icono, sin firma digital, con extensión .ttf.
En la ventana Fuentes, es posible ver una fuente haciendo doble clic en su icono. Esto
abre una ventana donde se muestra la fuente en varios tamaños e información acerca de ella,
como se ilustra en la figura 13-8. En esta ventana, es posible imprimir la fuente haciendo clic
en el botón Imprimir. En algunas ocasiones es práctico guardar un cuaderno con ejemplos
impresos de todas las fuentes disponibles en el servidor de impresión.
13 MATTHEWS 01.indd 449 1/14/09 1:28:02 PM

Figura 13-8. Haga doble clic en una fuente para desplegar ejemplos de ella en varios tamaños.
Agregue y elimine Fuentes

Es posible agregar fuentes adicionales a
las instaladas en Windows Server 2008,
aplicando los siguientes pasos:
1. Haga clic en Inicio|Panel de con-
trol y doble clic en Fuentes. Se
abrirá la ventana Fuentes, como
en la figura 13-7.
2. Haga clic en el menú Archivo y
escoja la opción Instalar nueva
fuente. Abra la unidad y carpeta
donde está contenida la fuente
que se desea instalar (puede ser
un CD-ROM, dispositivo USB u
otro disco duro en la red), como
se muestra a continuación:
13 MATTHEWS 01.indd 450 1/14/09 1:28:02 PM

3. Seleccione de la lista las fuentes que desea instalar (mantenga oprimida la tecla ma-
yús y haga clic para seleccionar fuentes contiguas en la lista o mantenga oprimida
la tecla ctrl y haga clic para seleccionar fuentes que no son contiguas) y después dé
clic en Instalar. Cuando la instalación esté completa, haga clic en Cerrar. Las nuevas
fuentes instaladas aparecerán en la ventana Fuentes.
Es posible eliminar fuentes; para ello, sólo necesita seleccionar la fuente y luego oprimir
la tecla supr. Como opción, es posible hacer clic derecho en la fuente y luego en la opción
Eliminar. En cualquier caso, se le preguntará si está seguro de eliminar la fuente. Haga clic
en Sí para confirmar la eliminación de la fuente. En caso de que haya cometido un error y
desee recuperar la fuente, la encontrará en la Papelera de reciclaje.
Utilice fuentes
Las fuentes suelen utilizarse o aplicarse en las aplicaciones. Por ejemplo, en Microsoft Word
es posible seleccionar una línea de texto y luego abrir la lista de fuentes, como se muestra en
la figura 13-9. Cada aplicación es diferente, pero todas tienen una función similar. Una ca-
racterística interesante de las versiones recientes de Microsoft Word y muchas aplicaciones
es que puede revisar el aspecto de la fuente en la lista, como se ve en la figura 13-9.
Figura 13-9. Las fuentes se utilizan en aplicaciones como se muestra aquí en Microsoft Word 2007.
13 MATTHEWS 01.indd 451 1/14/09 1:28:03 PM

El uso correcto de las fuentes puede ser un activo importante en la transmisión de un

mensaje de forma correcta, pero también puede afectar al mismo si se utiliza en forma in-
apropiada. Las dos reglas principales que habrán de considerarse en el uso de las fuentes
son: no utilizar demasiadas fuentes y emplear fuentes complementarias juntas. En un do-
cumento de una sola página, tal vez baste utilizar dos tipos (y se pueden usar los estilos
negritas y cursivas para tener hasta ocho fuentes distintas), mientras en un documento más
largo es apropiado utilizar tres (y hasta cuatro) tipos. Las fuentes complementarias son
más subjetivas. Arial y Times Roman suele considerárseles complementarias entre sí, al
igual que Futura y Garamond, además de Palatino y Optima. En cada uno de estos pares,
un tipo (por ejemplo, Arial) es sans serif (sin los pequeños decorados en los extremos) usada
para títulos y encabezados, mientras el otro tipo (por ejemplo, Times Roman) es serif (con
decorados en los extremos) empleada para el cuerpo del texto. Existen, por supuesto, mu-
chas otras opciones y consideraciones en el uso sofisticado de fuentes.
CONFIGURE Y USE SERVICIOS DE IMPRESIÓN

Servicios de impresión ofrece un medio centralizado para administrar la impresión en red,
tanto a otros servidores de impresión e impresoras en red (las conectadas directamente a
la red), como al servidor local. Es posible instalar y vigilar la actividad de las impresoras
en red y servidores de impresión, además de configurar sus permisos, prioridades e im-
presión temporal a disco. Además de observar las colas de impresión y redirigir las colas
de impresión, si es necesario. Los servicios de impresión tienen tres servicios de función:
Servidor de impresión, Impresión en Internet y el Servicio LPD, para UNIX.
Instale los servicios de impresión

Servicios de impresión son una función instalada en el Administrador del servidor.
1. Haga clic en Inicio|Administrador del servidor. En el panel a la izquierda del
Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de
funciones, haga clic en la opción Agregar funciones ubicada en el lado derecho.
En el Asistente para añadir funciones que se abre, haga clic en Siguiente.
2. En la lista de funciones, haga clic en Servicios de impresión y clic en Siguiente. Lea
la introducción a los servicios de impresión y la información adicional y haga clic
en Siguiente.
3. Seleccione los servicios de función que desee instalar, entre los siguientes:
a. Servidor de impresión, ofrece la función de Administrador de impresión para

varias impresoras en red y servidores de impresión.
13 MATTHEWS 01.indd 452 1/14/09 1:28:03 PM

b. Servicio LPD, permite a equipos basados en UNIX imprimir en las impresoras

compartidas conectadas al servidor local.
c. Impresión en Internet, permite a los usuarios con el cliente de impresión en In-
ternet instalado, recurrir a un navegador Web para conectarse a las impresoras
compartidas del servidor e imprimir en ellas mediante el protocolo de impresión
en Internet (IPP, Internet Printing Protocol). El servicio de función Impresión en
Internet también crea un sitio Web desde el que los usuarios pueden adminis-
trar trabajos de impresión en el servidor.
4. Si selecciona Impresión en Internet sin el servidor Web (IIS) instalado, se abrirá el
cuadro de diálogo Agregar servicio de función requerido, indicando que se instala-
rá el servidor Web (IIS) y otros servicios de función necesarios. Haga clic en el botón
Agregar servicios de función requeridos.
5. Haga clic en Siguiente. Si eligió impresión en Internet y necesita instalar el servidor Web
(IIS), lea la página de introducción al servidor Web (IIS) (consulte el capítulo 9), haga
clic en Siguiente, escoja los servicios de función de IIS o deje la selección predetermina-
da (esto último es lo más recomendable) y una vez más haga clic en Siguiente.
6. Se le muestran funciones y servicios de función elegidos para su instalación. Si los
datos que aparecen no son correctos, haga clic en Anterior y realice las modificacio-
nes necesarias. Cuando todo esté listo, haga clic en Instalar.
7. Cuando la instalación finalice, haga clic en Cerrar.
NOTA Administración de impresión puede administrar un servidor de impresión (un equipo al

que se ha conectado una impresora), que ejecute Windows 2000 o una versión posterior.
Administre impresoras e impresión

Los servicios de impresión instalan Administración de impresión en el Administrador del
servidor (véase la figura 13-10) y en el menú Herramientas administrativas. En esencia, son
lo mismo, excepto que Administración de impresión, ubicado en la ventana Administra-
dor del servidor, sólo permite la administración de impresoras locales conectadas al servidor
donde se ejecuta el Administrador de servidor. En el resto de esta sección se utilizará Admi-
nistración de impresión, localizado en el menú Herramientas administrativas, pero cuando
haga referencia al servidor de impresión local y sus impresoras, se utilizará Administración
de impresión ubicado en la ventana del Administrador del servidor.
13 MATTHEWS 01.indd 453 1/14/09 1:28:03 PM

Figura 13-10. Administración de impresión está disponible en la ventana Administrador

de servidor como en el menú Herramientas administrativas.
Administre servidores de impresión en red

De acuerdo con la instalación inicial, Administración de impresión sólo administra al servi-
dor de impresión local y sus impresoras. Para administrar otros servidores de impresión e
impresoras, los servidores deben añadirse al Administrador de impresión. Para ello:
1. Haga clic en Inicio|Herramientas administrativas|Administración de impresión.
En el panel de la izquierda, haga clic derecho en Administración de impresión y
escoja la opción Agregar o quitar servidores.
2. Escriba los nombres de uno o más servidores de impresión, separándolos con co-
mas o haga clic en el botón Examinar, busque el servidor y haga clic en el botón
Seleccionar servidor. Haga clic en el botón Agregar a la lista.
3. Cuando todos los servidores que desee administrar estén en la lista, haga clic en
Aceptar. Abra servidores de impresión en el panel de la izquierda de Adminis-
tración de impresión: deberá ver todos los servidores recién añadidos, como se
muestra a continuación:
13 MATTHEWS 01.indd 454 1/14/09 1:28:04 PM

Agregue impresoras a Servidores de impresión

Para administrar las impresoras ubicadas en servidores de impresión remotos, debe notifi-
car al Administrador de impresión sobre su existencia.
1. Con la ventana Administración de impresión abierta, como se describió en la sec-
ción anterior, haga clic derecho en el servidor al que está conectada la impresora y
haga clic en la opción Agregar impresora.
2. Se abrirá el Asistente para la instalación de impresoras de red, haga clic en un mé-
todo de instalación y clic en Siguiente.
3. Haga clic en la impresora que desea instalar y después en Siguiente. Si se le pide, iden-
tifique el controlador que desea utilizar y haga clic en Siguiente. Ingrese el nombre de
la impresora y determine si desea compartirla. De hacerlo así, escriba el nombre del
recurso compartido, su ubicación y un comentario. Después haga clic en Siguiente.
4. Revise la configuración de la impresora mostrada; haga clic en Atrás para realizar cualquier
cambio necesario; luego clic en Siguiente. Se instalan la impresora y su controlador.
5. Cuando se le indique que la instalación ha concluido, puede elegir entre imprimir una
página de prueba o instalar otra impresora. Una vez todo listo, haga clic en Finalizar.
Administre la impresión
Una vez que haya instalado los servidores de impresión e impresoras conectadas a ellos,
es posible seleccionar una o más impresoras, en un servidor o mediante un filtro en todos
los servidores, en Administración de impresión y administrar esa impresora o grupo de
impresoras, como se describió en páginas anteriores de este capítulo. Esto le permite, en-
tre otras tareas, administrar las acciones para compartir, pausar, reanudar, cancelar todos
los trabajos, cambiar nombre y eliminar la impresora.
13 MATTHEWS 01.indd 455 1/14/09 1:28:04 PM

Los filtros permiten especi-

ficar un atributo de impresora y
seleccionar sólo las impresoras
que cuentan con dicho atributo.
Además de utilizar filtros duran-
te el proceso de administración,
también es posible recibir un aviso
vía correo electrónico o solicitar
que se ejecute una secuencia de
comandos cuando una impresora
cuenta con los atributos especi-
ficados por un filtro. Es posible
utilizar uno de los cuatro filtros personalizados estándar, mostrados a la derecha o crear un
filtro personalizado. Para crear un nuevo filtro personalizado haga lo siguiente:
1. Abra Administración de impresión, como ya se describió en “Administre servido-
res de impresión en red”, en el panel de la izquierda, haga clic derecho en Filtros
personalizados y seleccione Agregar nuevo filtro de impresora.
2. En el Asistente para nuevo filtro de impresora que se abre, escriba un nombre para
el filtro, ingrese una descripción, haga clic en Mostrar número total de impresoras
junto al nombre del filtro de impresora y dé clic en Siguiente.
3. Seleccione un campo y una condición y escriba un valor. Repita esta operación to-
das las veces que sea necesario, como se muestra en la figura 13-11. Cuando todo
esté listo, haga clic en Siguiente.
Figura 13-11. Los filtros pueden ser muy específicos para seleccionar un conjunto determinado
de impresoras en una red.
13 MATTHEWS 01.indd 456 1/14/09 1:28:04 PM

4. Si desea recibir una notificación por correo electrónico, haga clic en la opción co-
rrespondiente y capture la información necesaria. Si desea ejecutar una secuencia
de comandos, elija Ejecutar script, capture la ruta de acceso y los argumentos de la
secuencia de comandos y luego haga clic en Finalizar.
Transfiera una carga de impresión

Si una impresora tiene una cantidad considerable de trabajo acumulado y desea descargarla,
para acelerar la impresión u otro motivo, es posible hacerlo con Administración de impresión.
1. Con la ventana Administración de impresión abierta, como se describió en la sec-
ción “Administre servidores de impresión en red”, en el panel de la izquierda, haga
clic derecho en el servidor con la carga a transferir y haga clic en la opción Exportar
impresoras a un archivo.
2. En el asistente Migración de impresoras que se abre, revise los objetos que se ex-
portarán y haga clic en Siguiente. Escriba un nombre para el archivo o haga clic en
Examinar para localizar un archivo y haga clic en Siguiente. Se exportarán las colas
de impresión e información de los archivos. Haga clic en Finalizar.
3. De regreso a Administración de impresión, en el panel de la izquierda, haga clic de-
recho en el servidor al que desea transferir la carga haga clic en Importar impresoras
desde un archivo. Una vez más, se abrirá el asistente Migración de impresoras.
4. Ingrese el nombre del archivo o haga clic en el botón Examinar, para localizar el
archivo, clic en Siguiente. Se importarán las colas de impresión y su información.
Seleccione el modo de importación, escoja entre sobrescribir impresoras existentes
o mantener impresoras existentes e importar copias y seleccione cómo se mostrará
la lista de impresoras en el directorio.
5. Haga clic en Siguiente. Se realizará la importación. Cuando se indique que la im-

portación está completa, dé clic en Finalizar.
13 MATTHEWS 01.indd 457 1/14/09 1:28:05 PM

CONFIGURE Y USE UN SERVIDOR DE FAX

El Servidor de fax ofrece una opción de administración centralizada para el envío de
faxes en el servidor local y la red a que se está conectado. Con Servidor de fax, es posible en-
viar y recibir faxes, además de administrar dispositivos de fax conectados a la red, su
uso y configuración.
Instale Servidor de fax

El Servidor de fax es una función de servidor instalada desde el Administrador del servidor:
NOTA El Servidor de fax requiere que se hayan configurado Servicios de impresión. En

las siguientes instrucciones se supone que ya se han instalado los servicios de impresión,
como se describió antes en este capítulo.
1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda del

Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de
funciones, dé clic en la opción Agregar funciones, ubicada en el panel a la derecha.
En el Asistente para agregar funciones que se abre, haga clic en Siguiente.
2. En la lista de funciones, haga clic en Servidor de fax. (Si no instaló Servicios de
impresión, como ya se indicó en este capítulo, se le notificará que debe instalarlos;
para ello, haga clic en Añadir servicios de función requeridos.) Haga clic en Siguien-
te. Lea la introducción al Servidor de fax, así como cualquier información adicional
que requiera y después clic en Siguiente.
3. Agregue usuarios de fax al hacer clic en Agregar, ingresar nombres de usuarios o clic
en el botón Avanzadas, en Buscar ahora, en los nombres que desee añadir (mantenga
oprimida la tecla ctrl para seleccionar varios usuarios) y dos veces en Aceptar.
4. Haga clic en Siguiente y escoja los usuarios que pueden acceder a la bandeja de entra-
da del servidor de fax: sólo los asistentes de enrutamiento o todos los usuarios. Haga
clic en Siguiente. Si escogió la primera opción, será necesario que los elija usando el
mismo proceso descrito en el paso 3. Haga clic en Siguiente cuando todo esté listo.
5. Revise sus opciones. Si desea realizar un cambio, haga clic en Anterior. Cuando esté
listo, haga clic en Instalar, después en Cerrar cuando se le indique que la instalación
ha concluido correctamente.
Una vez completada la instalación y, tal vez, después de reiniciar el servidor, aparecerá
la función Servidor de fax y sus servicios de función, como se muestra en la figura 13-12.
El servicio de función de fax también está disponible al hacer clic en Inicio|Herramientas
administrativas|Administrador del servicio de fax.
Habilite fax y escáner de Windows

Fax y escáner de Windows es la herramienta de fax en Windows Vista, disponible una vez
que ha instalado la función de Servidor de fax. Fax y escáner de Windows suministran el
medio para enviar y recibir faxes en el servidor, tanto para administrar la recepción como
13 MATTHEWS 01.indd 458 1/14/09 1:28:05 PM

para enviar faxes. Es posible enviar un fax al escanear directamente un documento y luego
enviarlo, además de “imprimir” en el fax desde una aplicación como Microsoft Word. Fax y
escáner de Windows requieren que el servidor cuente con un fax módem y línea telefónica
conectada (consulte el capítulo 8 para conocer cómo configurar y trabajar con módems).
Figura 13-12. La función Servidor de fax permite envío y recepción de faxes en el servidor local,
además de la administración del envío y recepción de faxes en la red.
Fax y escáner de Windows es una herramienta del Administrador de servidor que se

instala por separado. Además, es necesario instalar un dispositivo de fax.
Instale Fax y escáner de Windows

1. Haga clic en Inicio|Administrador de servidor. En el panel de la izquierda, haga
clic en Características y, en el panel de la derecha, clic
en Agregar características.
2. En la lista de características, haga clic en Experiencia de
uso y en Siguiente. Dé clic en Instalar y en Cerrar; cuan-
do se le indique que el equipo debe reiniciarse, haga
clic en Sí para reiniciarlo.
3. Tras reanudar la instalación y completarla, haga clic en Cerrar para terminar.
13 MATTHEWS 01.indd 459 1/14/09 1:28:05 PM

Instale un dispositivo de fax
NOTA Es posible abrir la ventana Fax y escáner de Windows desde el Administrador del
servidor, ya sea con el Administrador del servicio de fax abierto, o desde la ventana Admi-
nistrador del servicio de fax abierta desde Herramientas administrativas, haciendo clic en
el icono Consola de fax, ubicado en la barra de herramientas.
1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la

ventana Fax y escáner de Windows, como se muestra en la figura 13-13.
2. Haga clic en Nuevo fax, clic en Conectarse a un módem fax, escriba el nombre del
módem fax y dé clic en Siguiente.
3. Seleccione si el módem fax deberá responder automáticamente a las llamadas en-
trantes o notificar al usuario.
4. Si aparece un mensaje indicando que el Firewall de Windows ha bloqueado algunas
funciones de este programa, haga clic en Desbloquear.
5. Cuando la configuración termine, aparecerá la ventana Nuevo fax. Consulte la sec-
ción “Envíe un mensaje por fax”, en la siguiente página.
Figura 13-13. Fax y escáner de Windows permite el envío y la recepción de faxes

en Windows Server 2008.
13 MATTHEWS 01.indd 460 1/14/09 1:28:06 PM

Envíe y reciba faxes

Fax y escáner de Windows permite enviar y recibir faxes de manera directa, de la misma
forma que haría con un correo electrónico; se envía un fax desde un programa, como Micro-
soft Word, lo que se logra especificando “fax” como impresora; y luego se permite escanear
documentos que serán incluidos en el fax.
Envíe un mensaje por fax

Para enviar un mensaje por fax como si fuera correo electrónico:
1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows, dé clic en
Nuevo fax. Después de la primera vez que haya hecho clic en Nuevo fax, la ven-
tana Nuevo fax aparecerá de inmediato, como se muestra en la figura 13-14.
2. Seleccione una portada, si desea una (consulte “Cree una portada de fax”, en páginas
posteriores de este capítulo), escriba el número telefónico que habrá de utilizarse
para enviar el fax (o clic en el botón Para y seleccione un número telefónico de su
lista de contactos), escriba el asunto del nuevo fax y cualquier comentario adicional
para la portada y luego el mensaje.
Figura 13-14. La ventana de mensaje Nuevo fax tiene el aspecto de un formulario de mensaje
de correo electrónico.
13 MATTHEWS 01.indd 461 1/14/09 1:28:06 PM

3. Haga clic en Vista previa, en la barra de herramientas, para ver la portada antes
o después de añadir el texto al fax. También es posible incluir documentos e imáge-
nes haciendo clic en los botones respectivos en la barra de herramientas.
4. Cuando todo esté listo, haga clic en el botón Enviar. Se cerrará la ventana Nuevo fax
y aparecerá el cuadro de diálogo Revisión del estado del fax, donde, al dar clic en
el botón Ver detalles, es posible revisar el estado de los faxes que se envían. (Si no
aparece el cuadro en la ventana Fax y escáner de Windows, dé clic en Herramientas
y seleccione Monitor de estado del fax.)
5. Apenas se haya enviado el fax, se verá reflejado en su estado en el cuadro de diálogo.

Al terminar, cierre el cuadro de diálogo y la ventana Fax y escáner de Windows.
Envíe un fax al “imprimirlo”

Imprimir un fax es tan fácil como cualquier otro método de impresión.
1. Abra un documento en un programa, Microsoft Word, por ejemplo. En éste, haga
clic en el menú Archivo o el botón de Microsoft Office y clic en Imprimir. Abra la
lista de impresoras, dé clic en fax y Aceptar. Aparecerá el cuadro de diálogo Nuevo
fax con el documento de Word incluido en la sección de archivos adjuntos.
13 MATTHEWS 01.indd 462 1/14/09 1:28:06 PM

2. Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”.
Si ésta es la primera vez que utiliza el fax, aparecerá primero el cuadro de diálogo
de configuración, como se describió en la sección “Instale un dispositivo de fax”.
Digitalice y envíe por fax un documento

Para digitalizar y enviar por fax un documento (asumiendo que tiene un escáner conec-
tado al servidor):
1. Encienda el escáner y coloque el documento que desea digitalizar en él.
2. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la
ventana Fax y escáner de Windows.
3. Haga clic en Nueva digitalización, en la barra de herramientas. Se abrirá el cuadro
de diálogo Nueva digitalización. El escáner recién instalado deberá aparecer en el
área superior izquierda. Cambie de escáner, si lo desea.
4. Elija color, tipo de archivo y resolución que desea utilizar y haga clic en Vista previa.
La imagen en el escáner aparecerá en un cuadro de diálogo.
5. Ajuste los márgenes alrededor de la página, arrastrando las líneas punteadas en los
cuatro lados. Cuando todo esté listo, haga clic en Digitalizar.
13 MATTHEWS 01.indd 463 1/14/09 1:28:07 PM

Figura 13-15. Con un escáner, es posible digitalizar y enviar por fax cualquier documento.
6. La imagen digitalizada aparecerá en la ventana Fax y escáner de Windows. Cuando

la digitalización esté completa, haga clic en Reenviar como fax, como se presenta
en la figura 13-15. La ventana Nuevo fax se abrirá con la imagen digitalizada inclui-
da como documento adjunto.
7. Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”. Si
es la primera vez que utiliza el fax, aparecerá el cuadro de diálogo de configuración,
como se describió en la sección “Instale un dispositivo de fax”.
Reciba un fax
Para recibir un fax se utiliza la ventana Fax y escáner de Windows y es necesario tener con-
figurado el fax, como se describió en la sección anterior “Instale un dispositivo de fax”.
13 MATTHEWS 01.indd 464 1/14/09 1:28:08 PM

1. Con el módem fax conectado al equipo y una línea telefónica, con el fax configura-
do, cuando recibe una llamada telefónica también recibirá un mensaje en la pantalla
indicando una llamada entrante; en estas condiciones puede dar clic en el mensaje
para recibir la llamada como fax. Es posible descolgar el teléfono y ver si se escucha
un tono de fax para luego hacer clic en el mensaje.
2. Si se seleccionó que no se le notifique de la recepción de un fax (recepción automá-
tica) en la configuración del fax (véase la sección anterior “Instale un dispositivo de
fax”), es posible ver el estado de un fax haciendo clic en el menú Herramientas —de la
ventana Fax y escáner de Windows— y clic en la opción Monitor de estado de fax.
Ahí, es posible revisar cuándo se recibe un fax.
3. Si se hace clic en el mensaje entrante, aparecerá el cuadro de diálogo Revisar estado
del fax. Al hacer clic en el botón Ver detalles, es posible consultar los eventos del fax
conforme ocurren. Una vez recibido el fax, también se recibirá un mensaje al
respecto y lo desplegará el cuadro de diálogo Revisar estado del fax.
4. Para ver y posiblemente imprimir un fax, haga clic en Inicio|Todos los progra-
mas|Fax y escáner de Windows y haga clic en la opción Fax ubicada en la parte
inferior izquierda.
5. Si se abre la ventana Fax y escáner de Windows mientras el fax es recibido, haga clic
en Entrante —del panel de navegación— y observe cómo se recibe el fax.
6. Cuando haya recibido el fax, haga clic en Bandeja de entrada en el panel de navega-
ción, recorra la lista de faxes ubicada en la parte superior y haga clic en el fax que
desea ver. Éste será desplegado en la parte inferior del panel.
13 MATTHEWS 01.indd 465 1/14/09 1:28:08 PM

7. Con un fax seleccionado y desplegado, es posible utilizar la barra de herramientas

para responder el fax, enviando un nuevo fax al remitente; reenviar el fax a uno o
más destinatarios; reenviar el fax como correo electrónico o eliminar el fax. También
es posible hacer clic derecho en la imagen del fax del panel y, en el menú desplega-
do, ver, aumentar o disminuir el tamaño, guardar e imprimir el fax.
8. Cuando termine, cierre la ventana Fax y escáner de Windows.
Cree una portada de fax

Windows Server 2008 incluye cuatro portadas de fax, además de un editor de portadas de
fax, donde es posible modificar una de las portadas incluidas o crear una propia. Para mo-
dificar una portada existente haga lo siguiente:
1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows y en la opción
Fax, ubicada en la esquina inferior izquierda.
2. Haga clic en el menú Herramientas y en la opción Portadas. Haga clic en Copiar,
seleccione una de las cuatro portadas estándar y haga clic en Abrir (para este
ejemplo se seleccionó el archivo generic.cov). Seleccione la portada y haga clic en
Abrir. La portada se abrirá en el Editor de portadas de fax, como se ilustra en la
figura 13-16.
PRECAUCIÓN Las cuatro portadas estándar contienen campos codificados añadiendo da-
tos en forma automática. Si se modifican, se perderá la capacidad del llenado automático.
3. Utilice las herramientas ubicadas en la barra de herramientas Dibujo, para modifi-

car una portada existente, de tal modo que cree una nueva portada.
4. Cuando haya formado la portada de su agrado, dé clic en el botón Guardar, para al-
macenarla con el nombre actual o clic en el menú Archivo y seleccione Guardar como,
para darle a la portada un nuevo nombre. Cierre el Editor de portadas de fax y el cua-
dro de diálogo Portadas de fax, además de la ventana Fax y escáner de Windows.
Administre el envío de faxes en red

La administración del envío de faxes en red es manejada por el Administrador de servicio de
fax, al que tiene acceso desde el Administrador del servidor o Herramientas administrativas.
Haga clic en Inicio|Herramientas administrativas|Administrador del servicio de fax.
En su defecto, haga clic en Inicio|Administrador del servidor y, en el panel de la iz-
quierda, abra la opción Funciones, luego la opción Servidor de fax.
13 MATTHEWS 01.indd 466 1/14/09 1:28:09 PM

Figura 13-16. La creación de una portada de fax propia le permite dar identidad propia
a su negocio o actividad.
En cualquier caso, abra Fax en el panel de la izquierda, en caso de que ésta no se encuen-
tre ya desplegada, como se muestra en la figura 13-17.
Agregue un dispositivo de fax

Windows Server 2008 reconoce e instala automáticamente todos los dispositivos de fax
Plug and Play. Para que el Administrador del servicio de fax muestre el dispositivo, cierre
y abra de nuevo el Administrador de servidor, abra Servidor de fax|Fax|Dispositivos y
proveedores|Dispositivos y, si es necesario, oprima f5 para actualizar la vista.
13 MATTHEWS 01.indd 467 1/14/09 1:28:09 PM

Figura 13-17. El Administrador del servicio de fax es la opción “Fax”, disponible en el Administrador
del servidor y la ventana Administrador del servicio Microsoft fax.
Configure un dispositivo de fax

1. En el panel de la izquierda del Administrador del servicio de fax, abra la opción
Fax|Dispositivos y proveedores|Dispositivos, haga clic derecho en el módem que
aparece en el panel derecho o central, dependiendo del Administrador del servicio
de fax que esté utilizando y haga clic en Propiedades, para abrir el cuadro de diálo-
go Propiedades del módem.
13 MATTHEWS 01.indd 468 1/14/09 1:28:09 PM

2. En la sección General, escriba una descripción, identificador del destinatario y re-

mitente (en general, el número telefónico), seleccione si desea contar con respuesta
manual o automática.
3. En la ficha Módem FSP de Microsoft, puede habilitar la opción de respuesta adap-
table, si el módem cuenta con esta característica.
4. Tras configurar el módem, haga clic en Aceptar.
13 MATTHEWS 01.indd 469 1/14/09 1:28:10 PM

14 MATTHEWS 01.indd 470 1/14/09 12:21:31 PM
CAPÍTULO 14
Administración de
Windows Server
2008
471
14 MATTHEWS 01.indd 471 1/14/09 12:21:31 PM

U
na de las fortalezas más grandes de Windows Server 2008 es la disponibilidad de
herramientas administrativas para controlar las diversas facetas del sistema opera-
tivo. El propósito de este capítulo es dar un vistazo a las herramientas de propósito
general, que no forman parte de la configuración de red, administración de archivos ni
impresión. La descripción de estas herramientas se divide en dos partes: herramientas de
administración del sistema y usuarios. Las primeras son para facilitar la ejecución de dife-
rentes áreas del sistema operativo y equipo que no se han descrito antes. La administración
de usuarios del equipo con sus diversas necesidades y particularidades, tanto en grupos
como de manera individual, es una tarea importante para la que Windows Server 2008 ha
destinado recursos considerables.
El área de administración del sistema tiene tres características principales para adminis-
trar Windows Server 2008: el Administrador del servidor, Herramientas administrativas y
Panel de control. Las tres se han mencionado en diversas ocasiones en este libro, sobre todo
el Administrador del servidor. Por ello, este capítulo se concentrará en las áreas del Panel de
control y las Herramientas administrativas no mencionadas.
USE EL PANEL DE CONTROL

La ventana Panel de control, en la figura 14-1, ha sido parte de Windows durante mucho
tiempo. Es una carpeta con diversas herramientas para controlar y mantener la información
de configuración, sobre todo del hardware de sistema. El contenido del Panel de Control de
Windows Server 2008 puede variar en gran medida respecto a versiones previas de Win-
dows, debido a la capacidad del Administrador del servidor para instalar sólo las funciones,
servicios de función y características necesarias. Algunas herramientas del Panel de control
relacionadas con funciones específicas se describieron cuando se habló de esas funciones.
Aquí se describirán las siguientes herramientas del Panel de control:
SUGERENCIA En Windows Server 2008, puede elegir entre dos vistas del Panel de
control, la Vista clásica predeterminada y la Ventana principal del Panel de control, la
predeterminada en Windows Vista. La Vista clásica, que muestra todas las herramientas
disponibles, suele ser más fácil de usar y ahorra algunos pasos.
▼ Reproducción automática
■ Programas predeterminados
■ Administrador de dispositivos
■ Centro de accesibilidad
■ Opciones de carpeta
■ Teclado
■ Mouse
■ Configuración regional y de idioma
■ Sistema
▲ Barra de tareas y menú Inicio
14 MATTHEWS 01.indd 472 1/14/09 12:21:31 PM

Capítulo 14: Administración de Windows Server 2008 473
Figura 14-1. La Vista clásica predeterminada del Panel de control muestra todas las
herramientas instaladas.
Muchas de las otras herramientas del Panel de control se describen en otros lugares
de este libro o están fuera del alcance de éste. Antes de analizar cualquiera de las herra-
mientas, abra el Panel de control y observe las herramientas disponibles haciendo clic en
Inicio|Panel de control.
Debido a la gran cantidad de variaciones, es probable contar con herramientas diferen-
tes a las mostradas en la figura 14-1, dependiendo del hardware y software con que cuente
y los componentes de Windows Server 2008 instalados.
Reproducción automática
Reproducción automática permite determinar qué debe ocurrir cuando se in-
serta o conecta en el equipo un CD, DVD, tarjeta de memoria, memoria USB u
otro objeto.
1. En el Panel de control, haga doble clic en Reproducción automática. Se abrirá la
ventana Reproducción automática, como se ilustra en la figura 14-2.
14 MATTHEWS 01.indd 473 1/14/09 12:21:31 PM

Figura 14-2. La especificación de las acciones de Reproducción automática evita

determinarlas una y otra vez.
2. Para cada tipo de dispositivo multimedia, haga clic en la lista desplegable y escoja la
acción de su interés cuando ese tipo de dispositivo multimedia se conecte al equipo.
3. Al terminar, haga clic en Guardar.
NOTA Si no elige un tipo de dispositivo en la ventana Reproducción automática y luego in-

serta ese tipo de medio, surgirá un cuadro de diálogo preguntando qué desea hacer. En ese
cuadro de diálogo, puede especificar que siempre desea ejecutar la acción seleccionada.
Programas predeterminados
Hacer doble clic en el icono Programas predeterminados, del Panel de control, le permite
abrir una de tres ventanas que, en dos casos, son para especificar una asociación entre tipos
de archivo y programas. La tercera ventana es de Reproducción automática, ya descrita.
14 MATTHEWS 01.indd 474 1/14/09 12:21:32 PM

La primera opción, Establecer programas predeterminados, permite seleccionar el pro-

grama que se desea utilizar para un fin particular y todos sus archivos relacionados. Por
ejemplo, es posible seleccionar el uso de Internet Explorer para navegar y abrir archivos
Web relacionados.
La segunda opción, Asociar un tipo de archivo o protocolo con un programa, permite iden-
tificar el programa que se desea abrir con un tipo de archivo particular. Haga clic en la
extensión del archivo que desea cambiar, después en Cambiar programa y doble clic en el pro-
grama que desea utilizar.
Administrador de dispositivos
El Administrador de dispositivos, mostrado en la figura 14-3, sirve para vi-
sualizar y configurar todo su hardware en un solo lugar. De inmediato verá
si tiene un problema de hardware; por ejemplo, en la figura 14-3 el controla-
dor de sonido multimedia tiene un problema, que se indica con un icono de
signo de admiración. Es posible abrir el dispositivo directamente haciendo
doble clic en él y resolver el problema. En muchos casos, esto se logra actua-
lizando los controladores. El botón Reinstalar el controlador, ubicado en la ficha General,
abrirá el cuadro de diálogo Actualizar software de controlador, que le será de ayuda. Dos
problemas comunes que suelen solucionarse son un controlador faltante o erróneo (como
en el caso de la figura 14-3), o el uso incorrecto de recursos, algunas veces debido a que los
correctos no estaban disponibles. Si se abre el cuadro de diálogo Propiedades de un disposi-
tivo y se observa la sección General, se obtiene un reporte rápido del estado del dispositivo.
La ficha Controlador permite actualizar, desinstalar o deshabilitar el controlador, mientras
la ficha Detalles ofrece información detallada sobre el dispositivo.
14 MATTHEWS 01.indd 475 1/14/09 12:21:32 PM

Figura 14-3. El Administrador de dispositivos provee información de cualquier falla

en el hardware.
Centro de accesibilidad
El Centro de accesibilidad permite al usuario con limitaciones físicas usar más fácilmente
Windows Server 2008. El cuadro de diálogo Centro de accesibilidad, mostrado en la figura
14-4, se abre al hacer doble clic en la opción Centro de accesibilidad, del Panel de control.
En la mitad superior de la ventana aparecen cuatro opciones predeterminadas y todo lo
que necesita hacer es oprimir la barra espaciadora cuando la opción que quiera esté se-
leccionada (tiene un borde rectangular). En la mitad inferior de la ventana aparecen siete
opciones para facilitar el uso o reemplazo de monitor, teclado, ratón y audio. En
cada ventana que se abre con dichas opciones se presenta una serie de opciones
que habilitan y configuran la mejor accesibilidad. Muchas de estas características se
repiten en diferentes ventanas. En la tabla 14-1 se presenta un resumen de estas
características, así como la manera en que se habilitan y deshabilitan.
14 MATTHEWS 01.indd 476 1/14/09 12:21:32 PM

Figura 14-4. Windows Server 2008 provee diversas características para mejorar
la accesibilidad al equipo para personas con limitaciones físicas.
Opciones de carpeta
El elemento Opciones de carpeta, en el Panel de control, permite personalizar la forma en que
carpetas y archivos se muestran y manejan en diferentes ventanas de Windows Server 2008,
incluidas las del explorador de Windows y Equipo. El cuadro de diálogo Opciones de carpeta
se abre al hacer doble clic en el icono Opciones de carpeta, del Panel de control;
también es posible acceder al cuadro de diálogo haciendo clic en el menú He-
rramientas y seleccionando Opciones de carpeta en el Explorador de Windows
o en Equipo. El cuadro de diálogo Opciones de carpeta tiene tres fichas: Gene-
ral, Ver y Buscar.
14 MATTHEWS 01.indd 477 1/14/09 12:21:33 PM

Área Opción Descripción Habilitar o deshabilitar

Teclado Teclado Permite que el ratón u otro dispositivo Centro de accesibilidad.
en pantalla puntero seleccione teclas a partir de
una imagen en pantalla.
Teclado Teclas Permite al usuario simular el efecto de Oprima la tecla mayús, a
especiales pulsar un par de teclas, como ctrl+a, la derecha o izquierda del
oprimiendo una tecla a la vez. Las te- teclado, cinco veces conse-
clas mayús, ctrl y alt “permanecen” cutivas.
oprimidas hasta que oprime una segun-
da tecla, que Windows Server 2008 in-
terpreta como si se hubieran oprimido
ambas teclas al mismo tiempo.
Teclado Teclas Emite un sonido cuando se oprimen la Mantenga oprimida la te-
interruptoras teclas bloq mayús, bloq num o bloq cha bloq num por cinco
despl. segundos.
Teclado Teclas de filtro Permiten al usuario oprimir dos veces Mantenga oprimida la te-
una tecla en sucesión rápida y que se cha mayús derecha por
interprete como un solo tecleo, además ocho segundos.
de reducir la velocidad de repetición
del teclado.
Teclado Configuración Controla el retardo entre repeticiones, Centro de accesibilidad.
del teclado velocidad de repetición y velocidad de
parpadeo del cursor.
Sonido Notificación Despliega un indicador visual cada Abra el Centro de accesi-
visual de vez que el equipo emite un sonido. El bilidad y haga clic en Usar
sonidos indicador puede ser una barra de tí- texto y alternativas visua-
tulos activa, una ventana activa o un les para los sonidos.
escritorio intermitentes.
Sonido Subtítulos Indica a los programas compatibles Abra el Centro de accesi-
de texto que desplieguen leyendas cuando se bilidad y haga clic en Usar
usan sonidos y pronunciaciones. texto y alternativas visua-
les para los sonidos y haga
clic en Activar los subtítu-
los de texto para los diálo-
gos leídos.
Monitor Ampliador Aumenta el tamaño del área de la pan- Centro de accesibilidad.
talla alrededor del puntero del ratón.
Monitor Narrador Lee el texto en la pantalla. Centro de accesibilidad.
Monitor Contraste alto Utiliza colores de alto contraste y fuen- Oprima juntas las teclas
tes especiales para facilitar el uso de la mayús izquierda, alt e
pantalla. impr pant.
Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad (Continúa).
14 MATTHEWS 01.indd 478 1/14/09 12:21:33 PM

Área Opción Descripción Habilitar o deshabilitar

Monitor Opciones Cambia la velocidad a la que parpadea Siempre activo.
del cursor el cursor, además del ancho del cursor
y el punto de inserción de texto.
Ratón Punteros Establece el color y tamaño de los pun-
del ratón teros del ratón. Centro de accesibilidad.
Ratón Teclas de Permite al usuario utilizar el teclado Oprima al mismo tiempo
ratón numérico para mover el puntero del las teclas mayús izquierda,
ratón en la pantalla, en lugar de utili- alt y bloq num.
zar el ratón.
Ratón Configuración Controla la velocidad del doble clic e Centro de accesibilidad
del ratón intercambio de los botones primario y
secundario entre otras opciones.
Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad.
14 MATTHEWS 01.indd 479 1/14/09 12:21:33 PM

SUGERENCIA Existe una diferencia importante entre abrir Opciones de carpeta desde el
Panel de control y desde Equipo o Explorador de Windows. Desde el Panel de control, se
configura como opción predeterminada para aplicar la configuración a todas las carpetas;
desde Equipo o Explorador de Windows, se establece que la configuración afecte sólo
a la carpeta en uso, a menos que se haga clic en la opción Aplicar a todas las carpetas,
en la ficha Ver.
General
La ficha General permite seleccionar la manera de manejar tres situaciones distintas:
▼ Tareas Permite seleccionar entre mostrar el panel de tareas del lado izquierdo de
la ventana o utilizar la Vista clásica de Windows. La mejor opción depende de cada
usuario. El panel de tareas ofrece un medio sencillo de ejecutar tareas comunes,
como copiar o mover archivos o carpetas; sin embargo, ocupa más espacio y no
puede mostrarse con el panel de carpetas
■ Examinar carpetas Permite elegir entre abrir una nueva ventana siempre que una
carpeta nueva se abre o utilizar repetidamente la misma ventana. Abrir una nue-
va ventana para cada carpeta es conveniente si le interesa comparar el contenido
de dos carpetas, pero también congestiona la pantalla. La opción predeterminada,
también la más popular, es utilizar la misma ventana
▲ Acciones al hacer clic en un elemento Permite configurar si quiere abrir una car-
peta o archivo mediante un clic —como haría en un navegador Web— o con doble
clic, como se hace tradicionalmente en Windows. Si se elige un solo clic, entonces
es posible elegir elementos con sólo señalar el elemento seleccionado. Si elige doble
clic, un solo clic servirá para seleccionar el elemento. Para los nuevos usuarios, la
opción de un solo clic ahorra tiempo y confusión entre lo que significa un clic o
dos. Si ha utilizado el doble clic por años, es difícil dejar de hacerlo, de modo que si
intenta probar el uso de un solo clic, podría terminar confundido
Ver
La ficha Ver determina cómo se visualizan los archi-
vos, carpetas y sus atributos en Equipo o Explorador
de Windows. La lista Configuración avanzada cuen-
ta con diversas opciones que pueden ser activadas y
desactivadas según las preferencias personales. En
particular, el autor prefiere activar las opciones Mos-
trar la ruta completa en la barra de título, Mostrar
todos los archivos y carpetas ocultos, además de des-
activar Ocultar extensiones de archivos y Ocultar ar-
chivos protegidos. Cada usuario puede probar dife-
rentes opciones de configuración y siempre es posible
regresar a la configuración predeterminada, al hacer
clic en el botón Restaurar valores predeterminados.
14 MATTHEWS 01.indd 480 1/14/09 12:21:33 PM

Buscar
La ficha Buscar determina qué buscará y cómo opera una búsqueda. En general, la con-
figuración predeterminada es el punto medio ideal entre velocidad y una búsqueda
satisfactoria. El uso de un índice puede aumentar la velocidad de búsqueda, pero si se
activa la función Servicio de Búsqueda en Windows (inhabilitada como opción prede-
terminada), se reemplazan las opciones de indizado con las asociadas al servicio. El uso de
lenguaje natural en las búsquedas permite rastrear mediante frases comunes en español
como “reporte financiero de la semana pasada”.
Teclado
La opción Teclado, en el Panel de control, permite establecer una configuración para el te-
clado. El cuadro de diálogo puede abrirse desde la opción de configuración del teclado en
el Centro de accesibilidad. La ficha Velocidad permite configurar la rapidez
y retraso de la repetición. Es posible hacer clic en el cuadro de texto de esta
sección para verificar la configuración. En esta sección también es posible
configurar la velocidad de intermitencia del cursor (aunque la relación con el
teclado es mínima).
La ficha Hardware muestra la descripción del dispositivo que Windows cree está
utilizando y, mediante Propiedades, se abre el acceso a los controladores que el dispo-
sitivo utiliza.
Mouse
La opción Mouse en el Panel de control permite establecer una configuración para el ra-
tón. Se trata del mismo cuadro de diálogo que puede abrirse desde la opción de configu-
ración del ratón en el Centro de accesibilidad. La ficha Botones permite configurar el ratón
para utilizarlo con la mano derecha o izquierda. Esto se logra invirtiendo el
orden de los botones primario y secundario. Es posible también ajustar la
velocidad con que dos clics se interpretan como doble clic, además de activar
y desactivar el Bloqueo de clic, para arrastrar objetos sin mantener oprimido
el botón del ratón.
14 MATTHEWS 01.indd 481 1/14/09 12:21:34 PM

La ficha Punteros permite seleccionar o crear un esquema del aspecto de los punteros
del ratón en diferentes situaciones. La ficha Opciones de puntero permite configurar la rapi-
dez con que se mueve el puntero, activar la opción de que éste se desplace automáticamente
al botón predeterminado de un cuadro de diálogo al abrirlo, mostrar el rastro del puntero
mientras se mueve el ratón, ocultar el puntero mientras se escribe y mostrar la ubicación
del puntero cuando se oprima la tecla ctrl. Esta última opción es muy útil en una laptop,
donde tiende a perderse de vista el puntero.
La ficha Rueda (en caso de contar con un ratón que tenga incluida una rueda) per-
mite determinar el grado de desplazamiento vertical y horizontal que realizará la rueda.
De forma similar a la ficha Hardware del cuadro de diálogo Teclado, la de este cuadro de
diálogo muestra la descripción del dispositivo, le permite detectar y solucionar problemas
relacionados con él y, al hacer clic en Propiedades, se permite acceso a los controladores que
el dispositivo usa.
Configuración regional y de idioma

Se abre desde el Panel de control, ilustrado en la figura 14-5. Permite determinar cómo se
visualizarán números, fechas, moneda y horas en el equipo, además del idioma que habrá de
utilizarse. Al seleccionar la ubicación primaria del equipo, Francia, por ejemplo, el resto de las
configuraciones, incluidos formatos de número, monedas, hora y fecha, cambian automática-
mente para aplicar los formatos estándares de la ubicación actual. Luego es posible realizar
cambios en las configuraciones de números, moneda, tiempo, etcétera, además de personali-
zar cómo desea desplegar esos elementos haciendo clic en Personalizar este formato.
Figura 14-5. Configuración regional e idioma controla el formato que se da a números,

fechas, horas y monedas.
14 MATTHEWS 01.indd 482 1/14/09 12:21:34 PM

La ficha Ubicación permite establecer la ubicación utilizada por el software para deter-
minar dónde se encuentra el usuario, para varios fines, como el reporte del clima. La ficha
Teclados e idiomas permite seleccionar el idioma en que el usuario escribirá en forma prede-
terminada, además de instalar o desinstalar paquetes de idiomas complementarios. La ficha
Administrativo permite establecer el idioma utilizado por los programas que no utilizan
codificación Unicode, además de copiar la configuración regional e idioma a la cuenta pre-
determinada del usuario o cuentas de usuario de sistema.
NOTA La configuración personalizada para números, moneda, hora y fechas sólo se

mantiene mientras se use la misma ubicación. Cuando se cambia a una nueva región y
luego se vuelve a la original, la configuración personalizada no regresará, pero es posible
utilizar un perfil independiente para evitar que esto ocurra. Consulte la sección “Emplee
perfiles de usuario” en páginas posteriores de este capítulo.
Sistema
Al hacer doble clic en Sistema, en el Panel de control, se abrirá la ventana Sistema, mostrada
en la figura 14-6. También puede abrirse al dar clic derecho en Equipo y seleccionar Pro-
piedades. Al hacer clic en Administrador de dispositivo, se abre la ventana Administrador
de dispositivos, ya descrita en este capítulo y mostrada en la figura 14-3. Al pulsar clic en
Configuración de Acceso remoto, Configuración avanzada del sistema y Cambiar la configu-
ración, se abren las secciones respectivas del cuadro de diálogo Propiedades del sistema.
Figura 14-6. La ventana Sistema es una pantalla informativa y puerta de enlace

a otras opciones de configuración.
14 MATTHEWS 01.indd 483 1/14/09 12:21:34 PM

La primera ficha permite dar al equipo una descripción, así como cam-
biar su nombre e identificación en la red. Al hacer clic en Cambiar, es posible
escribir un nuevo nombre y unirse a un dominio o grupo de trabajo.
NOTA Si el equipo es un controlador de dominio, no será posible modificar su identifica-

ción en la red ni conectarla a un dominio diferente.
Hardware
La ficha Hardware permite abrir el Administrador de dispositivos, que también se abre al
hacer doble clic en la opción Administrador de dispositivos ubicada en el Panel de control,
como ya se describió en este capítulo. También es posible abrir el cuadro de diálogo Con-
figuración de controladores de Windows Update, que maneja la forma en que Windows
Update busca nuevos controladores de dispositivo.
Opciones avanzadas
La ficha Opciones avanzadas, del cuadro de diálogo Propiedades del sistema, brinda acceso
a la configuración de dos características del sistema operativo:
NOTA También existe una sección llamada Perfiles de usuario, que se describe más
adelante en este mismo capítulo, bajo el tema “Emplee perfiles de usuario”.
14 MATTHEWS 01.indd 484 1/14/09 12:21:35 PM

▼ Rendimiento Optimiza el rendimiento entre las aplicaciones en ejecución y ser-

vicios ejecutándose en segundo plano, como sucedería en un servidor de archivos
o impresión; también es posible identificar los efectos visuales que se desean y de-
terminar la cantidad de espacio en disco, a destinar para archivos temporales de
paginación y almacenamiento de memoria en disco. Por último, en opciones de ren-
dimiento se le pregunta cómo quiere usar la Prevención de ejecución de datos, que
evita que los programas ejecuten código en las áreas reservadas de la memoria de
sistema. Esto proporciona protección contra amenazas a la seguridad
▲ Inicio y recuperación Aquí es posible seleccionar el sistema operativo que se uti-
lizará para iniciar el sistema, el tiempo que habrá de esperarse para la selección
manual del sistema operativo y las acciones que habrán de seguirse, si se presenta
una falla del sistema
Barra de tareas y menú Inicio

La ventana Propiedades de la barra de tareas y el menú Inicio, mostrada en la figura 14-7,
puede abrirse desde el Panel de control (con la opción “Barra de tareas y menú Inicio”) o ha-
ciendo clic derecho en un área vacía de la barra de tareas y eligiendo la opción Propiedades.
Esta ventana permite determinar cómo deberá visualizarse la barra de tareas, qué elementos
están presentes en ésta, si se utilizará el menú Inicio con su nueva apariencia o en su versión
clásica, además de personalizar apariencia y contenido del menú Inicio.
14 MATTHEWS 01.indd 485 1/14/09 12:21:35 PM

Figura 14-7. Debido a su uso frecuente, la barra de tareas y el menú Inicio deberían
configurarse para facilitar su uso.
USE EL ADMINISTRADOR DE TAREAS

El Administrador de tareas de Windows permite ver y controlar qué se ejecuta en Windows
Server 2008. Puede abrir el Administrador de tareas, mostrado en la figura 14-8, al dar clic
derecho en un área vacía de la barra de tareas, elegir el Administrador de tareas (o la com-
binación de teclas ctrl+alt+supr) y seleccionar Iniciar el Administrador de tareas. La ficha
Aplicaciones muestra las tareas en ejecución y permite finalizar una tarea, cambiarla o crear
una nueva abriendo un programa, carpeta, documento o recurso de Internet.
La ficha Procesos muestra los procesos cargados. Éstos incluyen los programas necesa-
rios para aplicaciones en ejecución, además de los procesos del sistema operativo activos.
Es posible visualizar gran cantidad de información para cada uno de los procesos y selec-
cionar lo que se desea desplegar seleccionando el menú Ver|Seleccionar columnas, como
14 MATTHEWS 01.indd 486 1/14/09 12:21:35 PM

Figura 14-8. El Administrador de tareas de Windows es el “tablero de instrumentos”

que suministra controles e información sobre lo que ocurre.
se muestra a continuación. Tras seleccionar las columnas que desea desplegar, es posible
organizarlas al arrastrar sus encabezados y ordenar la lista al hacer clic en la columna que
desea ordenar. Para terminar cualquier proceso, escójalo y haga clic en Finalizar proceso.
14 MATTHEWS 01.indd 487 1/14/09 12:21:35 PM

Figura 14-9. La ventana Servicios permite control manual de muchos de los servicios
de Windows.
La ficha Servicios muestra muchos de los ya disponibles en Windows Server 2008. Al

hacer clic en Servicios se abre la ventana Servicios, que muestra cada uno y sus detalles; per-
mite iniciar, detener y configurar cada uno de los servicios. Si hace doble clic en un servicio,
se abre el cuadro de diálogo Propiedades (mostrado en la figura 14-9).
PRECAUCIÓN Windows inicia y detiene casi todos los servicios de manera automática;
sólo deben iniciarse o detenerse de manera manual en situaciones en que busque corregir
alguna falla.
La ficha Rendimiento, mostrada en la figura 14-10, despliega la manera en que las tareas
en ejecución usan el CPU y la memoria del equipo y cuáles son los componentes de ese uso.
Esta información es muy importante en servidores con gran carga de trabajo. Es posible
ver si CPU o memoria (incluso ambos) alcanzan su límite y qué hace el sistema para mane-
jarlo. Si se cuenta con múltiples CPUs, es posible ver el uso de cada uno y asignar activida-
des a determinado procesador haciendo clic derecho en los procesos, en la ficha Procesos.
También es posible establecer la prioridad de un proceso al hacer clic derecho en él, en la
ficha Procesos. Si hace clic en Monitor de recursos, se abre la ventana del mismo nombre,
que ilustra el uso del disco y red, además de CPU y memoria.
La ficha Funciones de red muestra cómo se usa una conexión de red en particular. Si
cuenta con varias tarjetas o adaptadores de red en el equipo, aparecerán en la parte inferior
de la ventana y es posible seleccionar la que se desea revisar. La escala en la gráfica cambia
automáticamente para dar la lectura más precisa posible.
14 MATTHEWS 01.indd 488 1/14/09 12:21:36 PM

Figura 14-10. La ficha Rendimiento puede indicarle si CPU o memoria están sobrecargados.
La ficha Usuarios muestra los usuarios conectados al servidor. Es posible desconectar,

terminar la sesión o enviar un mensaje a cualquiera de ellos.
USE LA CONSOLA DE ADMINISTRACIÓN

DE MICROSOFT
La consola de administración de Microsoft (MMC, Microsoft Management Console) es una
interfaz a la que puede agregar herramientas de administración y luego personalizarlas.
Es posible crear varias consolas diferentes que contengan, cada una, diferentes herramien-
tas para distintos propósitos administrativos y almacenar dichas consolas como archivos
.msc. Existen dos tipos de herramientas administrativas que es posible agregar en una
MMC: herramientas independientes —denominadas complementos— y funciones añadidas
—llamadas extensiones—. Las extensiones funcionan con complementos determinados, dis-
ponibles para éstos. Las extensiones se añaden automáticamente a algunos complementos,
mientras otros requieren una selección manual de sus extensiones. El ejemplo de un com-
plemento con extensiones automáticas es el Administrador de equipos y una de sus muchas
extensiones: el Desfragmentador de disco. Existen dos modos para crear consolas: el modo
Autor, en el que las consolas pueden agregarse y revisarse, mientras en el modo Usuario,
la consola está inmovilizada y no puede modificarse. El modo Usuario tiene, además, una
opción de acceso completo y dos opciones de acceso limitado.
14 MATTHEWS 01.indd 489 1/14/09 12:21:36 PM

Windows Server 2008 incluye varias consolas predeterminadas utilizadas en capítulos

anteriores. Éstas, a las que hemos llamado “ventanas” (porque eso son), se localizan en la
carpeta Herramientas administrativas (Inicio|Herramientas administrativas) e incluyen el
Administrador de equipos, la Herramienta de diagnóstico de memoria, el Programador de
tareas y muchas otras. Todas las consolas preconstruidas se encuentran en modo Usuario y
no pueden modificarse.
NOTA El contenido del menú Herramientas administrativas depende de las funciones

instaladas por el Administrador de servidor.
Cree una consola MMC

Permite administrar varios equipos remotos en la red. En esta consola única, se añadiría al
Administrador de equipos para tales unidades. Por tanto, como administrador del servidor,
sería posible ver en forma remota gran parte de la información administrativa de los equi-
pos remotos, como se muestra en la figura 14-11. Utilice las siguientes instrucciones para
crear una consola similar a la mostrada en la figura:
NOTA Para dar el siguiente conjunto de pasos, como en casi todo este capítulo, es nece-
sario iniciar una sesión como administrador.
1. Haga clic en Inicio|Ejecutar. En el cuadro de diálogo Ejecutar, escriba mmc y haga

clic en Aceptar. Se abrirá la MMC mostrando únicamente Raíz de consola, la venta-
na en que se añaden los complementos.
14 MATTHEWS 01.indd 490 1/14/09 12:21:36 PM

Figura 14-11. MMC permite administrar discos en varios equipos.
2. Haga clic en el menú Archivo y escoja Agregar o quitar complemento. Se abrirá el

cuadro de diálogo del mismo nombre.
14 MATTHEWS 01.indd 491 1/14/09 12:21:37 PM

3. Haga clic en cualquiera de los complementos que desconozca para ver su descrip-
ción, en la parte inferior del cuadro de diálogo.
4. Tras echar un vistazo a todos los complementos deseados, dé doble clic en Admi-
nistrador de equipos. Se abrirá el cuadro de diálogo Administrador de equipos,
pidiendo que elija entre el equipo local u otro. Tal vez quiera o no incluir el equipo
local en esta consola. Suponga que sigue las instrucciones y hace clic en Finalizar.
En el cuadro de diálogo Agregar o quitar complementos aparecerá la opción Admi-
nistrador de equipos (Local).
5. Haga doble clic en Administrador de equipos por segunda vez, haga clic en la op-
ción Otro equipo, busque el de su elección, luego de localizarlo, haga clic en Finali-
zar. Aparecerá el Administrador de equipos correspondiente al segundo equipo, en
el cuadro de diálogo Agregar o quitar complementos.
6. Repita el paso 5 para todos los equipos que desee administrar desde la nueva consola.
En el cuadro de diálogo Agregar o quitar complementos, seleccione una instancia del
Administrador de equipos, del lado derecho y clic en Editar extensiones. Se desple-
gará la lista de extensiones, como se muestra a continuación.
7. Verá que la opción predeterminada es seleccionar todas las extensiones, que ya hizo.
Si se desea eliminar algunas de las extensiones, haga clic en la opción Sólo habilitar
las extensiones seleccionadas, quite la marca de las extensiones no deseadas (al hacer
esto una vez, se aplicará a todos los complementos del Administrador de equipos).
14 MATTHEWS 01.indd 492 1/14/09 12:21:37 PM

8. Luego de completar todos los cambios deseados para las extensiones, haga clic en
Aceptar para cerrar el cuadro de diálogo Extensiones, dé clic de nuevo en Aceptar
para cerrar el cuadro de diálogo Agregar o quitar complementos. Se le regresa a la
MMC y sus complementos aparecen en el panel de la izquierda. Abra varios de los
complementos y extensiones para tener una vista similar a la figura 14-11.
9. En la MMC, haga clic en el menú Archivo y escoja Opciones, para abrir el cuadro
de diálogo Opciones. Ahí es posible seleccionar entre Modo autor y Modo usuario.
Revise la descripción de lo que significa cada modo, así como la descripción de cada
una de las opciones del modo Usuario.
10. Cuando haya seleccionado el modo que desea utilizar, haga clic en Aceptar, para
cerrar el cuadro de diálogo Opciones y volver a la ventana MMC.
11. Una vez más, dé clic en el menú Archivo y seleccione Guardar como. Escriba un nom-
bre que signifique algo y dé clic en el botón Guardar. Por último, cierre la MMC.
Utilice una consola MMC

Las consolas personalizadas se almacenan en la carpeta Herramientas administrativas del
área del administrador en su disco duro (C:\Usuarios\Administrador\AppData\Roa-
ming\Microsoft\Windows\Menú Inicio\Programas\Herramientas administrativas). Si no
ha creado una o más consolas personalizadas, tampoco tendrá aquí una carpeta Herramientas
administrativas, pero, tras crear la primera consola, la carpeta se crea en forma automática y la
nueva consola se coloca en su interior. Ésta no es la misma carpeta Herramientas admi-
nistrativas con todas las consolas integradas, aunque cuando inicia sesión como Administrador,
ambas carpetas Herramientas administrativas
se abrirán como si fueran la misma desde el
menú Inicio|Todos los programas:
1. Haga clic en Inicio|Todos los progra-
mas | Herramientas administrativas
| su consola (no el menú Herramien-
tas administrativas que se encuentra
a la derecha del menú Inicio).
2. Abra uno de sus equipos remotos y
revise Administrador de almacena-
miento y discos.
3. Cuando termine de ver qué puede
hacer con la nueva consola, ciérrela.
14 MATTHEWS 01.indd 493 1/14/09 12:21:37 PM

EXPLORE EL REGISTRO
El Registro es el depósito central de toda la información de configuración en Windows
Server 2008. Contiene las configuraciones aplicadas en el Administrador del servidor, el
Panel de control, muchos de los cuadros de diálogo Propiedades y Herramientas adminis-
trativas. Casi todos los programas obtienen información sobre el equipo local y el usuario
actual desde el Registro y escriben información en éste para ser usada por el sistema ope-
rativo y otros programas. El Registro es una base de datos jerárquica compleja que casi en
ningún caso puede modificarse directamente. La mayor parte de los valores almacenados
en el Registro puede modificarse en el Administrador del servidor, el Panel de control,
cuadros de diálogo Propiedades o Herramientas administrativas.
PRECAUCIÓN Si edita el Registro directamente, podría realizar algún cambio erróneo

que inutilice el sistema fácilmente, por lo que es muy recomendable editar el Registro de
manera directa, sólo como última opción para aplicar un cambio.
Una vez consciente de la advertencia anterior, vale la pena entender y dar un vistazo al Re-
gistro. El Editor del registro de Windows Server 2008 permite ver y hacer cambios al Registro.
SUGERENCIA Si se realiza un cambio inservible en el Registro, es posible restaurarlo

con la información que contenía la última vez que el equipo inició, si reinicia el equipo y
oprime la tecla F8 inmediatamente después de la pantalla inicial. Haga clic en La última
configuración válida conocida utilizada y oprima la tecla ENTER. Se utilizará la copia de se-
guridad más reciente del Registro para arrancar el equipo.
Inicie el Editor del Registro al hacer clic en Inicio|Ejecutar, escriba regedit y dé clic en
Aceptar. En el panel de la izquierda, abra varias carpetas para darse una idea de lo que es el
Registro, como se muestra en la figura 14-12.
Claves y subárboles
El Registro consta de dos claves primarias, o subárboles (HKEY_USERS y HKEY_LOCAL_
MACHINE) y tres claves subordinadas, también llamadas subárboles (HKEY_CURRENT_
USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT). HKEY_CURRENT_USER
está subordinada a HKEY_USERS, mientras HKEY_CURRENT_CONFIG y HKEY_CLAS-
SES_ROOT están subordinadas a HKEY_LOCAL_MACHINE. Cada uno de los cinco sub-
árboles es una carpeta en el Editor del Registro, todas mostradas en el mismo nivel para
facilitar su uso. El propósito de cada subárbol es el siguiente:
HKEY_USERS
Contiene la información predeterminada común a todos los usuarios y usada siempre que
un usuario inicia sesión.
▼ HKEY_CURRENT_USER Contiene las preferencias o perfil del usuario conectado
al equipo. Esto incluye contenido del escritorio, colores de la pantalla, configuración
del Panel de control y contenido del menú Inicio. La configuración aquí almacenada
14 MATTHEWS 01.indd 494 1/14/09 12:21:37 PM

Figura 14-12. El Registro es una base de datos con estructura jerárquica compleja.
tiene precedencia sobre la almacenada en HKEY_LOCAL_MACHINE, donde están

duplicadas. En páginas posteriores de este capítulo, en la sección “Emplee perfiles
de usuario”, se describe cómo configurar y administrar los perfiles de usuario
HKEY_LOCAL_MACHINE
Contiene la configuración del equipo y sistema operativo sin relación con el usuario. In-
cluye tipo y modelo de CPU; cantidad de memoria; teclado, ratón y puertos disponibles en
hardware; controladores, fuentes y configuración de los diversos programas.
▼ HKEY_CURRENT_CONFIG Maneja el perfil de hardware de la configuración
actual del equipo. Incluye unidades, puertos y controladores necesarios para el
hardware instalado
▲ HKEY_CLASSES_ROOT Contiene el registro de los tipos de archivo, rela-
cionados con sus respectivas extensiones de archivo, para los programas que
pueden abrirlos
14 MATTHEWS 01.indd 495 1/14/09 12:21:38 PM

Claves, subclaves y subárboles

En cada una de las claves primarias o subárboles existen claves de nivel inferior y, dentro de
tales claves, subclaves; a su vez, dentro de las subclaves hay subclaves de nivel inferior y así
sucesivamente para muchos niveles. Por ejemplo, en la figura 14-13 se muestra una subclave
nueve niveles abajo de HKEY_LOCAL_MACHINE. Puede asumirse que claves y subcla-
ves son carpetas con otras carpetas en su interior y más carpetas dentro de esas carpetas.
Varias de las claves inmediatamente bajo las dos claves primarias (HKEY_LOCAL_MA-
CHINE y HKEY_USERS) son agrupaciones profundas de claves y subclaves. Estas claves
(BCD, Components, SAM, Security, Software y System), llamadas subárboles, se almacenan
en archivos separados en la carpeta C:\Windows\System32\Config (asumiendo una ins-
talación predeterminada). Cada subárbol tiene al menos dos archivos y muy a menudo
tres o más. El primer archivo, sin extensión, es el Registro que contiene la información
actual del registro. El segundo archivo, con la extensión .log, es una bitácora de cambios
efectuados en el archivo Registro. El tercer archivo, con la extensión .sav, es el respaldo de
La última configuración válida conocida del Registro (se dice que es la última configuración
válida conocida pues el equipo inició con dicha configuración). El último tipo de archivo
Registro, con extensión .evt, da seguimiento a los eventos conforme ocurren en el Registro.
Figura 14-13. Por lo general, existen muchas subclaves dentro de cada clave en el Registro.
NOTA La clave SAM toma su nombre de Security Account Manager (administrador de

cuenta de seguridad). Ésta se utiliza para almacenar nombre de usuario y contraseña en
equipos locales.
14 MATTHEWS 01.indd 496 1/14/09 12:21:38 PM

Es posible trabajar con los subárboles para almacenar un grupo determinado de valores
de configuración, hacer cambios en dichos valores y luego restaurar los valores originales o
añadir éstos a los nuevos. A continuación se describen los comandos del menú Archivo en
el Editor del Registro que permiten hacerlo:
▼ Exportar Se utiliza para guardar un subárbol seleccionado en el disco o dispositi-
vo de almacenamiento externo. Para utilizar este comando, haga clic en el subárbol,
después en el menú Archivo. Seleccione Exportar, haga clic en una carpeta, escriba
un nombre y haga clic en Guardar. Es posible restaurar o cargar un subárbol al-
macenado; o hacer clic derecho en un subárbol y clic en Exportar, para lograr el
mismo objetivo
■ Importar Se utiliza para reemplazar un subárbol existente en el Registro. Para utili-
zar este comando, seleccione el subárbol que habrá de reemplazarse. Haga clic en el
menú Archivo, seleccione Importar, dé clic en una unidad y carpeta, escriba o selec-
cione un nombre y haga clic en Abrir. El subárbol restaurado sobrescribirá al actual
■ Cargar subárbol Se utiliza para agregar un subárbol almacenado a uno existente.
Para utilizar este comando seleccione HKEY_LOCAL_MACHINE o HKEY_USERS,
haga clic en el menú Archivo y seleccione Cargar subárbol. Haga clic en una unidad
y carpeta, escriba o seleccione un nombre y haga clic en Abrir. Cuando se solicite,
escriba el nombre que desea asignar al subárbol que habrá de cargarse y clic en
Aceptar. Se crea una nueva subclave con el nombre establecido. Ahora, el software
que ya conoce de su existencia puede utilizar este recurso
▲ Descargar subárbol Se utiliza para eliminar un subárbol cargado (este proceso no
puede realizarse si se trata de un subárbol restaurado). Para descargar un subárbol
cargado, elíjalo, haga clic en el menú Archivo y escoja Descargar subárbol.
NOTA Es posible realizar una copia completa del Registro sin identificar las claves o
subárboles de manera individual. En el Editor del Registro, haga clic en el icono Equipo,
ubicado en la parte superior del árbol del Registro. Haga clic en el menú Archivo, seleccio-
ne Exportar, haga clic en una unidad y carpeta en que se almacenará el archivo, escriba
un nombre y haga clic en Guardar.
Entradas y tipos de datos

En el nivel más bajo del árbol del Registro, se pueden observar entradas de datos en el panel
de la derecha para una clave seleccionada. Todas las entradas de datos cuentan con tres ele-
mentos: un nombre del lado izquierdo, un tipo de datos al centro y un dato en el lado derecho.
En la figura 14-13 se observan dos entradas de datos del lado derecho. El tipo de datos
determina cómo interpretar y utilizar el dato. Además, el Editor del Registro tiene un
editor para cada tipo de datos. En la tabla 14-2 se ofrece el nombre de cada tipo de datos,
su editor y descripción.
SUGERENCIA Es posible abrir de manera automática el editor correspondiente a cada

tipo de datos haciendo doble clic en el nombre ubicado en la columna izquierda de la en-
trada de datos.
14 MATTHEWS 01.indd 497 1/14/09 12:21:38 PM

Tipo de datos Editor Descripción

REG_BINARY Binary Un valor simple expresado en el Editor del
Registro como número hexadecimal; en
general es un número complejo, analizado
y utilizado para establecer directivas.
REG_DWORD Dword Un valor simple compuesto por un nú-
mero hexadecimal de ocho dígitos como
máximo; usualmente es un número sim-
ple, como los decimales 16, 60 o 1 024.
REG_SZ String Una cadena de caracteres simple, como un
nombre de archivo; puede incluir espacios
en blanco.
REG_EXPAND_SZ String Una cadena de caracteres simple con una
variable que el sistema operativo reem-
plaza con su valor actual; un ejemplo es
la variable de entorno Systemroot, reem-
plazada con el directorio raíz de Windows
Server 2008 (como opción predetermina-
da, C:\Windows).
REG_MULTI_SZ Multi- Varias cadenas de caracteres separadas
String por espacios en blanco, comas u otro signo
de puntuación, de manera que cada cade-
na no puede contener espacios en blanco,
comas u otro signo de puntuación.
REG_FULL_RESOURCE_DESCRIPTOR Array Una serie de números hexadecimales que
representan una matriz, utilizada para al-
macenar una lista de valores.
Tabla 14-2. Tipos de datos usados en el Registro.
TRABAJE CON EL PROCESO DE ARRANQUE

El proceso de arranque o encendido de Windows Server 2008 es nuevo y, de alguna manera,
más simple que en Windows Server 2003. Este proceso puede ser controlado y es probable
que presente problemas que pueden ser atendidos. Por ello, es importante entender qué suce-
de durante el arranque, qué se ve en la pantalla y los archivos en uso.
Pasos en el proceso de arranque

El proceso de arranque tiene cinco etapas principales: prearranque, arranque, carga, ini-
cialización e inicio de sesión. En cada una de estas etapas se dan varios pasos que cargan y
utilizan archivos. En cada una de estas etapas revise el proceso que ocurre, la manera en que
se usa cada archivo determinado y lo que se despliega en pantalla.
Prearranque El prearranque es un proceso dependiente del hardware, habilitado por el siste-
ma básico de entrada-salida (BIOS, Basic Input-Output System). Este proceso se inicia cuando
14 MATTHEWS 01.indd 498 1/14/09 12:21:38 PM

enciende o reinicia el equipo. El primer paso que se da es la revisión del hardware disponible y
su condición, empleando la rutina de prueba automática de encendido (POST, Power-On Self
Test). Luego el BIOS ejecuta la carga inicial de programa (IPL, Initial Program Load), que loca-
liza el dispositivo de arranque y, si el dispositivo es un disco duro, se lee el registro maestro de
arranque (MBR, Master Boot Record) del primer sector del disco. En caso contrario, se obtiene
la información equivalente del dispositivo de arranque. A partir de esta información, se obtie-
nen datos de la partición, se lee el sector de arranque e inicia el programa del administrador
de arranque de Windows (Bootmgr.exe). En la pantalla, verá la comprobación de la memoria,
identificación del hardware y búsqueda del dispositivo de arranque.
Arranque El administrador de arranque de Windows lee los datos de configuración de
arranque (BCD, Boot Configuration Data) y, si existe más de una partición de arranque, pre-
guntará al usuario cuál partición desea utilizar, además del sistema operativo. Si no se rea-
liza una selección en un tiempo preestablecido, se cargarán la partición predeterminada y el
sistema operativo correspondiente. Si Windows Server 2008 está en proceso de arranque, se
ejecutará el programa cargador de arranque de Windows (Winload.exe). Si tiene más de un
perfil de hardware, puede oprimir la tecla barra espaciadora para seleccionar el que desea
utilizar (por ejemplo, una laptop que en ocasiones usaría con una estación fija). Si oprime la
tecla barra espaciadora, puede elegir el perfil de hardware que desee; en caso contrario,
se utiliza el predeterminado.
Carga Una vez realizada la selección de sistema operativo y el perfil de hardware, se des-
pliega la pantalla de “presentación” de Windows Server 2008, con una barra móvil al cen-
tro. Mientras esto sucede, el cargador de arranque de Windows carga al núcleo del sistema
operativo, la capa de abstracción de hardware ofrece la interfaz entre el sistema operativo y
un conjunto particular de hardware, el archivo de Registro y los controladores de los dispo-
sitivos básicos de hardware, como teclado, monitor y ratón.
Inicialización El núcleo del sistema operativo se inicializa y toma control sobre el carga-
dor de arranque de Windows, inicia la interfaz gráfica, completa el Registro con la clave
HKEY_LOCAL_MACHINE\HARDWARE y la subclave HKEY_LOCAL_MACHINE\SYS-
TEM\SELECT (conocida como “conjunto clon de control”), además de cargar el resto de los
controladores de dispositivo. Por último, inicia el administrador de la sesión, que ejecuta
cualquier archivo de comandos en tiempo de ejecución, crea un archivo de paginación para
el Administrador de memoria virtual, genera vínculos con el sistema de archivos que pue-
den utilizarse con los comandos de DOS y, al final, inicia el subsistema de E/S para manejar
todas las entradas y salidas de Windows Server 2008.
Inicio de sesión Inicia la interfaz gráfica de usuario (GUI, Graphic User Interface) de Win-
dows Server 2008 y despliega la pantalla de inicio de sesión. Tras iniciar correctamente una
sesión se arrancan los servicios necesarios, el último conjunto de control correcto se escribe
en la base del conjunto clon de control y se ejecutan los programas de inicio.
Control del proceso de arranque

Windows Server 2008 proporciona la utilería Configuración del Sistema (véase la figura
14-14) para ejercer cierto control en el proceso de arranque. Con él, es posible determinar el
modo de inicio: normal, de diagnóstico y selectivo; determine cuál de los diversos sistemas
14 MATTHEWS 01.indd 499 1/14/09 12:21:39 PM

Figura 14-14. La utilería Configuración del sistema permite controlar el proceso de arranque.
operativos es el predeterminado, cuáles opciones utilizar, cuáles servicios están habilitados

y cuáles aplicaciones se ejecutan desde el inicio, además de ejecutar diversas herramientas,
como Restauración del sistema y Monitor de rendimiento.
Para ejecutar la utilería Configuración del sistema:
1. Haga clic en Inicio|Herramientas administrativas|Configuración del sistema.
2. En ficha General, seleccione el modo de inicio.
3. Haga clic en la ficha Arranque, escoja el sistema operativo que se utilizará como
opción predeterminada y dé clic en Establecer como predeterminado.
4. Haga clic en la ficha Servicios, revise los servicios en ejecución y desmarque cual-
quier servicio que no desee ejecutar la próxima vez que el equipo arranque.
5. Haga clic en la ficha Inicio de Windows, revise las aplicaciones en ejecución y desmar-
que cualquier aplicación que no desee ejecutar la próxima vez que el equipo arranque.
6. Haga clic en la ficha Herramientas, seleccione la herramienta que desee abrir y haga
clic en Iniciar.
7. Haga clic en Aceptar cuando termine de utilizar la utilería Configuración del sistema.
Corrija problemas de arranque

Diversas situaciones pueden causar que un equipo no arranque. Para contrarrestar este
hecho, Windows Server 2008 cuenta con varias características que ayudan a sortear el
problema y le permiten corregirlo. Entre estas características se encuentran:
14 MATTHEWS 01.indd 500 1/14/09 12:21:39 PM

▼ Volver a la última configuración válida conocida de los archivos de Registro

▲ Utilizar la opción de arranque en Modo seguro y Opciones avanzadas
Regrese a la última configuración válida conocida

de los archivos de Registro
Si un equipo no completa correctamente el proceso de arranque y hace poco intentó instalar
un nuevo elemento de hardware o software o modificó el Registro, el problema suele deberse
a que el Registro intenta cargar un controlador de dispositivo que no funciona apropiada-
mente, así como el resultado de algún otro problema en el Registro. En general, conocería la
razón del problema tras la etapa de inicialización o inicio de sesión. La solución más rápi-
da para un problema con el Registro consiste en volver a la última configuración correcta de
los archivos del Registro, siguiendo los pasos descritos a continuación:
1. Reinicie el equipo y oprima f8, inmediatamente después de seleccionar el dispositi-
vo de arranque (u oprima f8, inmediatamente después de que aparezca la pantalla
de presentación del equipo).
2. Utilice las flechas del teclado para elegir La última configuración válida conocida
y luego oprima enter. Se utilizará La última configuración válida conocida de los
archivos de Registro para iniciar Windows Server 2008.
SUGERENCIA Los archivos de La última configuración válida conocida del Registro se

almacenaron la última vez que completó correctamente el proceso de arranque e inicio de
sesión en Windows Server 2008.
El uso de La última configuración válida conocida y la Recuperación automática del

sistema son los únicos medios automatizados para reparar un problema al arrancar Windo-
ws Server 2008. El resto de las técnicas requieren que trabaje manualmente con los archivos
necesarios para arrancar Windows Server 2008.
Utilice el Modo seguro y otras opciones avanzadas

Modo seguro utiliza los controladores mínimos predeterminados para arrancar los servicios
básicos de Windows Server 2008, con la idea de que, en este modo, pueda solucionar el
problema que evita el arranque normal. Modo seguro inicia con los mismos pasos utiliza-
dos para iniciar la última configuración válida conocida, excepto que selecciona uno de los
tres modos seguros: Modo seguro, Modo seguro con funciones de red y Modo seguro con
símbolo del sistema. El modo seguro básico no incluye funciones de red y trabaja con una
interfaz gráfica de Windows mínima. La segunda opción de modo seguro añade capacida-
des de red y la tercera coloca al usuario en un símbolo del sistema; por lo demás, estas dos
opciones son iguales a la primera.
Cuando arranca en Modo seguro, se observa en la pantalla una lista de controladores, a
medida que se cargan. Si el arranque falla en algún punto, es posible observar el último con-
trolador cargado. Una vez que se ingresa en Windows, si no cuenta con un ratón disponible,
será necesario recordar la combinación de teclas rápidas con las que se realizan funciones
importantes, como las mostradas en la tabla 14-3.
14 MATTHEWS 01.indd 501 1/14/09 12:21:39 PM

Mientras trabaja en Modo seguro, es muy útil la ventana Información del sistema, como
se muestra en la figura 14-15. Para abrir la ventana Información del sistema haga clic en
Inicio|Todos los programas|Accesorios|Herramientas de sistema|Información del siste-
ma. En la ventana Información del sistema, son muy valiosas las secciones Recursos de
hardware|Conflictos/uso compartido, Componentes|Dispositivos con problemas y Entor-
no de software|Ejecutando tareas.
Función Combinación de teclas rápidas

Abrir menú Inicio ctrl+esc
Abrir menú contextual mayús+f10
Cerrar ventanas activas alt-f4
Abrir la ayuda f1
Abrir Propiedades alt+enter
Buscar por archivos o carpetas f3
Cambiar de tarea alt+esc
Cambiar de programa alt+tab
Cambiar de sección ctrl+tab
Activar las teclas del ratón mayús izquierda+alt izquierda+bloq num
Deshacer crtl+z
Tabla 14-3. Combinación de teclas rápidas disponibles al trabajar en Modo seguro.
De manera adicional a las opciones de Modo seguro y La última configuración válida

conocida, el menú Opciones avanzadas tiene las siguientes opciones. Éstas son adicionales a
la opción Iniciar Windows normalmente y a oprimir la tecla esc (con lo que vuelve al menú
de opciones del sistema operativo).
▼ Habilitar el registro de arranque Registra en el archivo ntbtlog.txt todos los even-
tos que toman lugar durante el arranque, localizadas como opción predeterminada
en la carpeta C:\Windows. En el archivo se registra la carga de todos los archivos
del sistema y los controladores, como se muestra a continuación, de manera tal
que puede observar si alguno falló mientras se cargaba. El registro de los eventos que
toman lugar durante el arranque se realiza en todas las opciones avanzadas de
arranque, excepto en La última configuración válida conocida
14 MATTHEWS 01.indd 502 1/14/09 12:21:39 PM

Figura 14-15. La ventana Información de sistema puede ser útil para rastrear un problema.
■ Habilitar video de baja resolución (640x480) Inicia Windows en modo de pantalla

de baja resolución (VGA), con una definición de 640×480, utilizando un controlador
válido conocido, como opción predeterminada. El resto de los controladores y ca-
pacidades se carga normalmente. El modo VGA también se utiliza en la opción de
Modo seguro
■ Modo de restauración de servicios de directorio Restaura Active Directory en
controladores de dominio y luego inicia en Modo seguro, utilizando el modo nor-
mal de video y mantiene disponible el ratón. En los equipos que no son controladores
de dominio, esta opción es igual a Modo seguro
▲ Modo de depuración Esta opción habilita el depurador de Windows y luego
arranca el equipo con la configuración normal. Esto permite trabajar en secuencias
de comandos que podrían interferir con el proceso correcto de arranque
NOTA Si usa un equipo de 64 bits y la versión x64 de Windows Server 2008, aparecerán
dos opciones avanzadas adicionales: Deshabilitar el reinicio automático cuando se pre-
senta una falla (que permite observar la causa de la falla) y Deshabilitar la firma forzada de
controladores (que permite el uso de controladores sin firma).
14 MATTHEWS 01.indd 503 1/14/09 12:21:40 PM

USE DIRECTIVAS DE GRUPO

Las directivas de grupo proporcionan los medios para establecer los estándares y pautas que
una organización desea aplicar al uso de sus equipos. Las directivas de grupo pretenden
reflejar las políticas generales de una organización y pueden establecerse de manera jerár-
quica desde un equipo local en el extremo inferior, a un sitio particular, dominio y varios
niveles de unidades organizativas (OU, Organizational Unit) en el extremo superior. En
general, las unidades de nivel inferior heredan directivas de las unidades superiores, aun-
que es posible bloquear las de alto nivel, además de forzar su herencia, si se desea. Las
directivas de grupo se dividen en directivas de usuario, que prescriben lo que puede hacer
un usuario, mientras las directivas del equipo determinan lo que está disponible en un equi-
po. Las directivas de usuario son independientes del equipo en que el usuario trabaja y se
mantienen aunque el usuario cambie de equipo. Cuando el equipo se enciende (arranca),
las directivas de grupo del equipo correspondientes se cargan y almacenan en el Registro
en HKEY_LOCAL_MACHINE. Cuando el usuario inicia una sesión en un equipo, las di-
rectivas de grupo para el usuario correspondiente se cargan y almacenan en el Registro en
HKEY_CURRENT_USER.
Las directivas de grupo pueden ser muy benéficas para la organización e individuos
que la integran. Todos los equipos de una organización pueden ajustarse automáticamente
a cualquier usuario que inicie una sesión. Entre esto se incluye un escritorio personalizado
con un menú Inicio personalizado y un conjunto único de aplicaciones. Las directivas de
grupo controlan el acceso a archivos, carpetas y aplicaciones, además de la capacidad para
cambiar configuración del sistema y aplicaciones, así como eliminar archivos y carpetas.
Las directivas de grupo pueden automatizar tareas cuando un equipo se enciende o apaga
y cuando un usuario inicia o cierra una sesión. Además, las directivas de grupo pueden
almacenar automáticamente archivos y accesos directos en carpetas específicas.
Cree y cambie directivas de grupo

Las directivas de grupo pueden existir en el nivel del equipo local, sitio, dominio y la OU.
Aunque el proceso para crear o cambiar directivas de grupo es el mismo para niveles de
sitio, dominio y OU, es suficientemente diferente en el nivel del equipo local para que valga
la pena describirlo por separado.
Cambie directivas de grupo en el nivel del equipo local

Cada equipo con Windows Server 2008 sólo tiene una directiva de grupo local creada du-
rante la instalación y almacenada por omisión en C:\Windows\System32\GroupPolicy.
Dado que sólo puede existir una directiva de grupo local, no es posible crear otra, pero sí es
posible editar la directiva existente siguiendo los pasos descritos a continuación:
1. Haga clic en Inicio|Ejecutar, escriba gpedit.msc y oprima enter o haga clic en
Aceptar. Se abrirá la ventana Editor de directivas de grupo local.
2. Abra varios niveles del árbol ubicado del lado izquierdo, de manera que llegue a
un nivel que muestre directivas y sus valores asignados del lado derecho, como se
muestra en la figura 14-16.
14 MATTHEWS 01.indd 504 1/14/09 12:21:40 PM

Figura 14-16. Edite las directivas de grupo propiedades como inicio para el uso de directivas.
3. Haga doble clic en una directiva para abrir su cuadro de diálogo. En éste es posible
cambiar los valores de la directiva local, habilitándola o deshabilitándola y también
agregando o eliminando usuarios o grupos.
4. Agregue usuarios o grupos adicionales haciendo clic en Agregar usuarios o grupo
y seleccionando los usuarios o grupos que desea añadir.
5. Expanda Configuración de usuario | Plantillas administrativas | Componentes de
Windows | Internet Explorer | Configuración de Internet | Configuración avanza-
da | Exploración, dé doble clic en la primera configuración y luego dé clic en Valor
siguiente para revisar todos los valores. Todos ellos tienen seleccionada la opción
“No configurada”.
6. Haga clic en la ficha Explicación, en cualquier cuadro de diálogo Propiedades, para
obtener una descripción detallada de la directiva y los efectos de habilitarla, desha-
bilitarla o dejar la directiva sin configurar.
7. Realice cualquier cambio que desee a las directivas de grupo en el equipo local y
luego cierre los cuadros de diálogo abiertos y la ventana Directiva de grupo.
14 MATTHEWS 01.indd 505 1/14/09 12:21:40 PM

Aunque las directivas de grupo puedan implementarse en el nivel del equipo local y
son para el equipo, como opción predeterminada se espera que se sobrescriban en los nive-
les de dominio u OU.
Revise las directivas de grupo en los niveles

de dominio y OU
Las directivas de grupo arriba del nivel del equipo local son objetos de Active Directory y, por
tanto, se denominan objetos de directiva de grupo (GPO, Group Policy Object). Se crean como un
objeto, pero se almacenan en dos piezas: un contenedor de directiva de grupo y una planti-
lla de directiva de grupo. Los contenedores de directiva de grupo (GPC, Group Policy Container)
se almacenan en Active Directory y contienen pequeñas piezas de información que rara vez
cambian. Las plantillas de directiva de grupo (GPT, Group Policy Template) son un conjunto de car-
petas almacenadas, como opción predeterminada, en C:\Windows\Sysvol\Sysvol\nombre
dominio\Policies\ con componentes del usuario y la máquina, como se muestra en la figura
14-17. Las GPT almacenan grandes piezas de información que cambia frecuentemente.
Es posible revisar un GPO relacionado con un dominio u OU, abriendo Administración
de directivas de grupo, en el Administrador del servidor o su propia MMC. Vea, a continua-
ción, cómo se hace esto:
Figura 14-17. Cuando instala la función Servicios de dominio de Active Directory,

se crea una estructura de carpetas para almacenar las plantillas de directiva de grupo.
14 MATTHEWS 01.indd 506 1/14/09 12:21:41 PM

PRECAUCIÓN Aunque vale la pena comprender cuáles son la directiva de dominio pre-
determinada y la directiva de controlador de dominio predeterminada, éstas se encuentran
en la parte superior de la pirámide de directivas y no deben modificarse, excepto cuando
un programa lo requiera.
1. Haga clic en Inicio|Administrador del servidor y abra Características|Administra-

ción de directivas de grupo.
O bien, haga clic en Inicio|Ejecutar y escriba gpmc.msc.
En cualquier caso, abra Bosque|Dominios|nombre de dominio|Objetos de directiva de
grupo y haga clic en Default Domain Policy.
2. En el panel de la derecha, haga clic en la ficha Configuración y clic en la opción
Mostrar todo, ubicada en el extremo derecho de las directivas, para ver los detalles,
como se muestra en la figura 14-18 (si se está ejecutando gpmc.msc).
3. En el panel de la izquierda, haga clic derecho en Default Domain Policy y seleccione
Editar. Se abrirá el Editor de administración de directivas de grupo. En la ventana del
editor abra, por ejemplo, Configuración del equipo | Directivas | Configuración
de Windows|Configuración de seguridad|Directivas locales y dé clic en Opciones de
seguridad, para ver la lista de directivas mostrada en la figura 14-19.
Figura 14-18. La configuración de directivas de grupo puede ser revisada en

Administración de directivas de grupo.
14 MATTHEWS 01.indd 507 1/14/09 12:21:41 PM

Figura 14-19. La Administración de directivas de grupo se puede realizar

a un nivel muy detallado.
4. Haga doble clic en una directiva, para

abrir su cuadro de diálogo Propiedades y
luego dé clic en la sección Explicación,
para ver una descripción de la direc-
tiva, los efectos de su configuración y
algunas notas. Cuando termine, cierre el
cuadro de diálogo Propiedades.
5. Abra, revise y después cierre otros obje-
tos y propiedades bajo Configuración del
equipo y después bajo Configuración de
usuario. Cuando termine, cierre el Editor
de administración de directivas de grupo.
14 MATTHEWS 01.indd 508 1/14/09 12:21:41 PM

Trabaje con objetos de directivas de grupo

Es posible respaldar, restaurar, copiar, eliminar y cambiar el nombre de los GPO al hacer
clic derecho en ellos. También crear un nuevo GPO utilizando la opción GPO de inicio.
He aquí cómo:
SUGERENCIA Un “GPO de inicio” ofrece un conjunto de plantillas administrativas nece-

sarias en un GPO que pueden modificarse y luego utilizarse para crear un nuevo GPO.
1. En Administración de directivas de grupo, abra Bosque|Dominios|nombre de domi-

nio y dé clic en GPO de inicio.
2. Si es la primera vez que se crean GPO de inicio, haga clic en el botón Crear carpeta
de GPO de inicio.
3. En el panel de la izquierda, haga clic derecho en la opción GPO de inicio y clic en
Nuevo. Escriba un nombre para el GPO de inicio, añada los comentarios deseados
y haga clic en Aceptar.
4. En el panel de la derecha, haga clic derecho en el nuevo GPO de inicio y haga clic en
Editar. Se abrirá la ventana del Editor de GPO del iniciador de directivas de grupo.
5. Abra, por ejemplo, Configuración del equipo|Plantillas administrativas|Red|Co-
nexiones de red|Firewall de Windows|Perfil de dominio y haga clic en una de las
configuraciones para ver su descripción, como lo muestra la figura 14-20.
6. Haga doble clic en una configuración para abrir su cuadro de diálogo Propiedades,
donde es posible modificar la configuración y añadir comentarios. Haga clic en
Aceptar cuando termine.
7. Abra, modifique y cierre todas las directivas que desee y sus configuraciones co-
rrespondientes. Cuando esté listo, cierre el Editor de GPO del iniciador de directi-
vas de grupo.
8. Para crear un nuevo GPO a partir de un GPO de inicio, haga clic derecho en el GPO
de inicio que desee utilizar y haga clic en la opción Nuevo GPO a partir de GPO de
inicio. Escriba un nombre para el nuevo GPO y haga clic en Aceptar.
14 MATTHEWS 01.indd 509 1/14/09 12:21:42 PM

Figura 14-20. Con el uso de un GPO de inicio, es posible configurar un GPO para
un propósito particular y utilizarlo para crear uno o más GPO.
9. En el panel de la izquierda, bajo Administración de directivas de grupo, abra Bos-

que | Dominios | nombre del dominio | Objetos de directiva de grupo y haga clic derecho
en el nuevo GPO. En el menú contextual, es posible editar y realizar diversas ope-
raciones con un GPO predeterminado.
14 MATTHEWS 01.indd 510 1/14/09 12:21:42 PM

10. Una vez que tiene un GPO, puede vincularlo con un dominio, OU o sitio, al hacer
clic derecho en el dominio, OU o sitio; dar clic en la opción Vincular un GPO exis-
tente, seleccionar el GPO y clic en Aceptar.
11. Cuando todo esté listo, cierre la ventana Administración de directivas de grupo.
EMPLEE PERFILES DE USUARIO

Si usted es el único usuario del equipo, puede modificar a la medida de sus gustos y nece-
sidades individuales escritorio, menú Inicio, carpetas, conexiones de red, Panel de control y
aplicaciones. Si varios usuarios utilizan el mismo equipo, como suele suceder con un servi-
dor, éstos sólo podrían molestarse entre sí en el caso de que se realizara este tipo de cambios.
La forma de evitar esto es creando un perfil de usuario para cada usuario que contiene la
configuración individual sólo para él, que se carga cuando inicia una sesión en el equipo.
Cuando crea una nueva cuenta de usuario e inicia una sesión en un equipo con Windows
Server 2008, automáticamente se crea un perfil de usuario, y cuando cierra la sesión la con-
figuración se almacena en dicho perfil. Al iniciar nuevamente una sesión, la configuración
almacenada se utiliza para ajustar el sistema a la forma que tenía cuando la sesión cerró por
última vez. Al instalar Windows Server 2008, establece un perfil de usuario predetermina-
do, utilizado por todos los nuevos usuarios como opción predeterminada, almacenado con
el nombre del usuario cuando éste cierra la sesión. El primer usuario que se crea al instalar
Windows Server 2008 es Administrador, mientras la configuración inicial se almacena con
dicho usuario. Un perfil de usuario es un conjunto de carpetas almacenadas en la carpeta
Usuarios, en el volumen del sistema en que instala el sistema operativo. En la figura 14-21
se muestran las carpetas de un perfil de usuario llamado Administrador. En la misma figura
puede observarse una carpeta para todos los usuarios y una predeterminada, con archivos,
carpetas y configuraciones aplicables a todos los usuarios.
Existen tres tipos de perfiles de usuario: local, roaming y obligatorio.
NOTA Los accesos directos en la lista de la carpeta Usuarios (carpetas con una flecha)
son carpetas donde se colocan programas antiguos configurados para versiones antiguas
de Windows.
Cree perfiles de usuario local

Los perfiles de usuario local se generan automáticamente cuando se crea un nuevo usuario e
inicia sesión en el equipo; el perfil cambia cada vez que el usuario hace cambios al entorno,
como los hechos al escritorio o al menú Inicio. Cuando el usuario cierra la sesión, cualquier
cambio realizado se almacena en el perfil de usuario. Éste es un proceso automático y están-
dar en Windows Server 2008. Sin embargo, una cuenta de usuario local se limita al equipo
en que se crea. Si el usuario inicia una sesión en un equipo diferente, se crea un nuevo perfil
de usuario local en ese equipo. Un perfil de usuario de roaming elimina la necesidad de
tener un perfil diferente en cada equipo.
14 MATTHEWS 01.indd 511 1/14/09 12:21:42 PM

Figura 14-21. Los perfiles de usuario cuentan con un conjunto de carpetas

para su uso en el equipo.
Cree perfiles de usuario de roaming

Un perfil de usuario de roaming se configura en un servidor de manera tal que cuando
inicie una sesión por primera vez en un equipo en el mismo dominio que el servidor, será
autentificado por el servidor y su perfil de usuario completo será enviado al equipo, donde
se almacenará como perfil de usuario local. Cuando cierre la sesión en el equipo, cualquier
cambio realizado en la configuración del perfil se almacenará en equipo y servidor. La
próxima vez que inicie sesión en el equipo, su perfil local se comparará con su perfil en el
servidor y sólo los cambios en éste se descargarán al equipo, reduciendo así el tiempo de
inicio para la sesión.
14 MATTHEWS 01.indd 512 1/14/09 12:21:43 PM

El proceso para crear un perfil de usuario de roaming consta de cinco pasos:

1. Cree una carpeta para almacenar los perfiles.
2. Cree una cuenta de usuario.
3. Asigne la carpeta de los perfiles a la cuenta de usuario.
4. Cree un perfil de usuario de roaming.
5. Copie una plantilla de perfil al usuario.
Cree una carpeta de perfiles

Los perfiles de usuario de roaming pueden almacenarse en cualquier servidor (no es nece-
sario que el servidor se encuentre en un controlador de dominio). En realidad, debido al ta-
maño de la descarga, la primera vez que un usuario inicia sesión en un nuevo equipo, tiene
sentido no almacenar los perfiles de usuario de roaming en el controlador del dominio. No
existe carpeta predeterminada para almacenar perfiles de roaming, así que debe crear una
dando los pasos siguientes:
1. Inicie sesión como Administrador en el servidor donde desea que resida la carpeta
de perfiles y abra el Explorador de Windows (Inicio|Equipo).
2. Haga clic en Disco local (C:) en la lista de carpetas. Dé clic derecho en un área en
blanco del panel de la derecha y haga clic en Nuevo|Carpeta.
3. En el cuadro de nombre de la nueva carpeta, escriba el nombre que asignará a la car-
peta donde se ubicarán los perfiles. Debe ser un nombre que reconozca fácilmente,
como “Perfiles”. Oprima enter.
4. Haga clic derecho en la nueva carpeta y clic en Compartir. En el cuadro de diálogo
de Archivos compartidos, haga clic en la flecha al lado del botón Agregar y en la
opción Todos, en Agregar y en Compartir.
5. Dé clic en Listo, para cerrar el cuadro de diálogo Archivos compartidos. Deje abier-
ta la ventana del Explorador de Windows.
Cree una cuenta de usuario

Todos los usuarios de un dominio deben tener una cuenta de usuario en ese dominio. Ha visto
cómo crear una cuenta de usuario en capítulos anteriores (3 y 7) y se tocará el tema de nuevo
en el capítulo 15, pero aquí se incluyen algunos pasos, para refrescar esos conocimientos:
1. Mientras se encuentra en una sesión iniciada como Administrador, abra la ventana
Usuarios y equipos de Active Directory (Inicio | Herramientas administrativas | Usua-
rios y equipos de Active Directory).
2. Abra el dominio en que desea crear la cuenta; luego abra Users. Eche un vistazo a
los usuarios existentes para asegurarse de que el usuario que desea crear no se ha
generado aún.
14 MATTHEWS 01.indd 513 1/14/09 12:21:43 PM

3. Haga clic en el menú Acción, luego en Nuevo|Usuario. Se abrirá el cuadro de diá-

logo de Nuevo objeto–Usuario. Escriba nombre de usuario y de inicio de sesión de
usuario y después dé clic en Siguiente.
4. Ingrese la contraseña del usuario, seleccione cuándo deberá cambiarla el usuario

y haga clic en Siguiente. Revise la configuración realizada. Si quiere cambiar algo,
haga clic en el botón Atrás y realice los cambios necesarios. Cuando todo esté lis-
to, haga clic en Finalizar.
Para continuar con estos ejercicios, cree varias cuentas nuevas: por lo menos una con
perfil de roaming regular y otra que será plantilla para perfil preconfigurado. Deje abierta
la ventana Usuarios y equipos de Active Directory cuando termine.
Asigne la carpeta de perfiles a una cuenta de usuario

Para utilizar un perfil de roaming, la cuenta del usuario debe especificar que su perfil
está almacenado en la carpeta de perfiles antes establecida. De otra forma, Windows
Server 2008 buscará en la carpeta de Usuarios del equipo la información del usuario que
inició la sesión. En los pasos siguientes se muestra cómo asignar la carpeta de perfiles a
una cuenta de usuario:
1. En la carpeta Usuarios y equipos de Active Directory\nombre del dominio\Users,
donde añadió al nuevo usuario, haga clic derecho en uno de los usuarios creados
en el paso anterior y luego seleccione Propiedades. Se abrirá el cuadro de diálogo
Propiedades del usuario.
2. Haga clic en la ficha Perfil. En el cuadro de texto Ruta de acceso al perfil escriba
\\nombreservidor\nombrecarpeta\nombreiniciosesión. Por ejemplo, si el nombre
de servidor en que está almacenado el perfil es ServidorCentral, la carpeta es Per-
files y el nombre de inicio de sesión del usuario Manuel, entonces debe escribir
\\servidorcentral\perfiles\manuel.
14 MATTHEWS 01.indd 514 1/14/09 12:21:43 PM

3. Cierre el cuadro de diálogo Propiedades y repita el proceso para el otro usuario.
Cree un perfil de usuario de roaming

Una vez configurada una carpeta compartida en un servidor y especificada en la cuenta del
usuario que el perfil del usuario localizará en dicha carpeta del servidor, se creará el perfil
de usuario y almacenará en el servidor, en el momento en que el usuario inicie una sesión
en cualquier equipo de la red. Dé los pasos siguientes:
1. Inicie sesión con una de las nuevas cuentas de usuario creadas en cualquier equi-
po de la red. Realice algunos cambios en el escritorio y menú Inicio y después
cierre la sesión.
2. Eche un vistazo a la carpeta creada en el servidor para almacenar los perfiles de
usuario. Verá cómo ha creado una nueva carpeta de perfiles con el nombre de inicio
de sesión del usuario utilizado en el paso 1.
3. Inicie sesión con este mismo usuario en otro equipo de la red. Los cambios realiza-
dos al escritorio y menú Inicio estarán presentes.
Aunque la técnica anterior es apropiada para alguien a quien se desea dar libertad
absoluta en el sistema y está bien informado sobre cómo adaptarlo a sus necesidades y
deseos, si desea poner límites al usuario o alguien que no tiene mucho conocimiento so-
bre cómo cambiar el sistema, es posible crear una plantilla de perfil y después asignarla a
uno o más usuarios.
Para construir una plantilla, simplemente inicie sesión con el usuario de “plantilla”,
creado en el equipo que desea utilizar para el perfil y después efectúe los cambios necesa-
rios que quiere reflejar en el perfil. Si la plantilla se asignará a varias personas, asegúrese de
que hardware y aplicaciones son los mismos tanto en el grupo que utilizará el perfil como
en el equipo usado para crear el perfil.
14 MATTHEWS 01.indd 515 1/14/09 12:21:43 PM

Copie o asigne una plantilla de perfil a un usuario

Puede manejar una plantilla de dos diferentes maneras. Puede “copiarla” para crear un
nuevo perfil que luego se asigna a un usuario o asignar la plantilla tal como está a varios
usuarios. Verá cómo hacer esto, siguiendo los pasos descritos a continuación:
NOTA El proceso de “copia” en este caso utiliza una técnica especial y no puede realizar-
se con el comando Copiar de Equipo o el Explorador de Windows.
1. En la carpeta Usuarios y equipos de Active Directory\nombre de dominio\Users en

que se añadió al nuevo usuario, dé clic derecho en la plantilla de perfil ya creada y
clic en Copiar. Se abrirá el cuadro de diálogo Copiar objeto – Usuario.
2. En este cuadro de diálogo, escriba nombre de usuario, nombre de inicio de sesión
y contraseña.
3. Repita los pasos 1 y 2 para asignar la plantilla a varios usuarios.
4. Inicie sesión con cada uno de los nuevos usuarios en uno o más equipos y asegúrese
de que todo funciona correctamente. Una posibilidad en caso de que la conexión
no funcione es un error de escritura en la ruta del perfil capturada en el cuadro de
diálogo Propiedades del usuario.
Utilice perfiles de usuario obligatorios

Un perfil de usuario obligatorio es un perfil de roaming que no puede modificarse; es sólo
para lectura. Esto es muy valioso cuando varios usuarios comparten el mismo perfil. En el
momento en que un usuario termina una sesión en un equipo donde se ha utilizado un per-
fil obligatorio no se almacenan los cambios realizados por el usuario. El perfil no evita que
el usuario realice cambios mientras está abierta su sesión, pero los cambios no se almacenan.
Un perfil de usuario obligatorio se crea tomando un perfil de usuario de roaming y, en la
carpeta con el nombre del usuario, cambiando el nombre del archivo del sistema Ntuser.dat
por Ntuser.man.
ACTUALICE WINDOWS SERVER 2008

Cuando termina la instalación de Windows Server 2008 y después, se generan recordatorios
en un pequeño globo, de manera periódica, en la parte inferior derecha de la pantalla, para
“Mantenerse al día con actualizaciones automáticas”. Si se habilita la opción de actualizacio-
nes automáticas, el sistema determinará por sí mismo si existen actualizaciones disponibles
para Windows Server 2008 y de manera automática o manual las descargará de Internet;
asimismo, las instalará periódicamente. Esto garantiza que el sistema cuente con las últimas
correcciones generadas por Microsoft. Si se opta por no instalar las actualizaciones de mane-
ra automática, aún es posible descargarlas de Internet e instalarlas manualmente.
14 MATTHEWS 01.indd 516 1/14/09 12:21:44 PM

Actualizaciones manuales
Para obtener e instalar manualmente las actualizaciones, debe abrir el sitio Web de Win-
dows Update y permitir que rastree su sistema para determinar si es necesaria una
actualización, descargarla y después instalarla. Siga los pasos descritos a continuación
para realizar una actualización manual:
1. Haga clic en Inicio | Todos los programas | Windows Update. Se abrirá la venta-
na Windows Update.
2. Haga clic en Buscar actualizaciones. Se establecerá una conexión con Internet, se
buscarán actualizaciones en el sitio de Microsoft y se le indicará si hay alguna.
3. Si se tienen actualizaciones que necesitan o pueden ser instaladas, haga clic en Ins-
talar actualizaciones.
4. Haga clic en Aceptar cuando se muestre el contrato de licencia; después de ello
comenzará la descarga. Cuando la transferencia esté completa, las actualizaciones
se instalarán automáticamente. Cuando la instalación esté completa, dependien-
do de la actualización, quizás necesite reiniciar el equipo. Si el equipo lo solicita,
5. En caso de que no se le solicite reiniciar el equipo, cierre la ventana Windows Up-
date. Las actualizaciones están instaladas y listas para usarse.
Actualizaciones automáticas
Si se activa la opción de actualizaciones automáticas, Windows se conecta a Internet, va al sitio
Web de Windows Update y determina si hay actualizaciones necesarias para descargar. En
ese caso, Actualizaciones automáticas, de acuerdo con la opción seleccionada, le notificarán la
disponibilidad de la actualización o bien si la descargará automáticamente. De igual forma, es
posible elegir entre instalarlas automática o manualmente, una vez concluida la descarga. Si
decide dar los tres pasos automáticamente (detectar las actualizaciones necesarias, descargar-
las e instalarlas), es posible programar un horario para que se realice esta tarea.
14 MATTHEWS 01.indd 517 1/14/09 12:21:44 PM

Active la opción de actualizaciones automáticas

Las actualizaciones automáticas se activan de dos maneras. Poco después de instalar Win-
dows Server 2008, el sistema preguntará si se desea activar la opción de actualizaciones
automáticas. Esto abre el asistente para configuración de actualizaciones automáticas. Si-
guiendo las instrucciones del asistente, es posible activarlas. También puede acceder a la
opción de actualizaciones automáticas en cualquier momento mediante el Panel de control.
Con los siguientes pasos se describe cómo activar la opción de actualizaciones automáticas
desde el Panel de control:
1. Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Se abrirá la ven-
tana Sistema; en ella, haga clic en el vínculo Windows Update ubicado en la parte
inferior izquierda de la pantalla.
2. Haga clic en Cambiar configuración. Se abrirá la ventana Cambiar configuración,
como se muestra en la figura 14-22. Determine el nivel de automatización deseado,
haciendo clic en una de las tres opciones mostradas:
Figura 14-22. Puede seleccionar el nivel de automatización para la instalación

de actualizaciones del sistema operativo.
14 MATTHEWS 01.indd 518 1/14/09 12:21:44 PM

a. La primera opción revisa si existen actualizaciones disponibles, las descarga e

instala, todo de manera automática en un día y hora especificados.
b. La segunda opción determina automáticamente si existen actualizaciones
disponibles y las descarga automáticamente; luego pregunta al usuario an-
tes de instalarlas.
c. La tercera opción determina automáticamente si existen las actualizaciones
necesarias, después pregunta al usuario si desea descargarlas y pregunta de
nuevo antes de instalarlas.
d. La cuarta opción es manual y todo el proceso se realiza a petición directa
del usuario.
3. Haga clic en Aceptar para cerrar la ventana.
Use actualizaciones semiautomáticas

Si se selecciona la segunda o tercera opción, se visualizará un aviso cada vez que existan ac-
tualizaciones listas para descargarse o instalarse. Al hacer clic en el aviso, se abrirá el cuadro
de diálogo de actualizaciones automáticas. Si hace clic en el botón Detalles, es posible ver las
actualizaciones disponibles, además de una descripción de cada una. Es posible seleccionar
de manera individual la descarga e instalación de cada una de las actualizaciones propues-
tas haciendo clic en el cuadro de selección.
Conserve las actualizaciones automáticas

Una vez instaladas las actualizaciones automáticas, la ventana Windows Update mostrará
la fecha de la última búsqueda de actualizaciones, la última vez que se instalaron actuali-
zaciones, cuál es la configuración actual para la realización de actualizaciones; además de
permitir la revisión de las actualizaciones instaladas y permitirá realizar una búsqueda
de actualizaciones disponibles, además de modificar la configuración actual.
14 MATTHEWS 01.indd 519 1/14/09 12:21:44 PM

15 MATTHEWS 01.indd 520 1/14/09 12:22:18 PM
CAPÍTULO 15
Control de seguridad
en Windows Server
2008
521
15 MATTHEWS 01.indd 521 1/14/09 12:22:18 PM

L
a seguridad es un tema tan amplio que resulta difícil obtener una imagen general.
Una forma de lograr esto consiste en ver las demandas de seguridad en una red
computacional. Una vez que las demandas se definen, también puede ver cómo
las maneja Windows Server 2008. Entre las demandas de seguridad se incluyen las siguientes
(son también las secciones más importantes de este capítulo):
▼ Autentificar al usuario Conocer quién usa el equipo o conexión de red
■ Control del acceso Establecer y mantener límites sobre lo que un usuario pue-
de hacer
■ Aseguramiento de los datos almacenados Evitar que los datos almacenados se
usen incluso con acceso
▲ Aseguramiento de la transmisión de datos Evitar que se dé mal uso a los datos en
una red
Windows Server 2008 utiliza un método de varias capas para implementar seguridad y
suministra varias funciones empleadas para manejar demandas de seguridad. La estrategia
central de seguridad de Windows Server 2008 es el uso de Active Directory para almacenar
cuentas de usuario y proporcionar servicios de autentificación, aunque las características
de seguridad están disponibles sin Active Directory. Éste proporciona una centralización de
administración de seguridad, muy benéfica para la imposición fuerte de seguridad. En cada
una de las siguientes secciones, una demanda de seguridad se explica con más detalle y se
analizan las opciones que atienden tal demanda en Windows Server 2008, siendo éstas la
forma de implementarlas.
NOTA En casi todos los conjuntos de pasos de este capítulo se requiere inicio de sesión
como Administrador.
AUTENTIFIQUE AL USUARIO
Autentificación es el proceso de verificar que usuarios u objetos sean lo que se supone deben
ser. En su forma más simple, la autentificación de usuario de un equipo incluye validación
de nombre de usuario y contraseña contra entrada almacenada, como se hace en un equipo
estándar. En su forma más completa, la autentificación de usuario requiere el uso de mé-
todos sofisticados para validar un posible usuario, al usar, tal vez, una tarjeta inteligente o
dispositivo biométrico en cualquier lugar de la red, contra credenciales en Active Directory.
En el caso de objetos, como documentos, programas y mensajes, la autentificación requiere
usar validación de certificados. En Windows Server 2008, las tres formas de autentificación
están disponibles y ambas formas de usuario emplean un solo concepto que permite a los
usuarios, una vez autentificados, obtener acceso a otros servicios en el equipo local o red,
dependiendo de su entorno y permisos, sin reinsertar su nombre de usuario y contraseña.
En la instalación predeterminada, cuando inicia un equipo con Windows Server 2008,
existe una petición para oprimir ctrl+alt+supr. Esto detiene todos los programas que se
ejecutan en el equipo, excepto la petición para insertar su nombre de usuario y contraseña.
El propósito de detener todos los programas es evitar que un programa de caballo de Troya
15 MATTHEWS 01.indd 522 1/14/09 12:22:18 PM

Capítulo 15: Control de seguridad en Windows Server 2008 523
capture su nombre de usuario y contraseña. Si la combinación de nombre de usuario/con-

traseña ingresada no es correcta, se le dan cinco oportunidades para corregirla, después de
las cuales el equipo se inmoviliza 30 segundos. Luego se da, como opción, una oportunidad
y cinco oportunidades, separadas por 30 segundos de inactividad, luego el patrón se repite
para insertar nombre de usuario y contraseña correctos. Este patrón hace más difícil desci-
frar una contraseña pues no puede intentar una nueva contraseña de manera repetida.
Una vez ingresados nombre de usuario y contraseña, deben autentificarse. Esto puede
hacerse en el equipo local, donde el usuario estará limitado a ese equipo, o en un servidor que
da soporte a una red, tal vez con Active Directory, en cuyo caso el usuario accederá a la red.
Autentificación de usuario de equipo local

Para tener un nombre de usuario y contraseña aceptados en un equipo independiente local,
deben insertarse antes una cuenta de usuario con ese nombre de usuario y contraseña, en la
base de datos Usuarios y grupos locales, en el archivo del administrador de cuentas de se-
guridad (SAM, Security Account Manager) o HKEY_LOCAL_MACHINE en Registro. Aquí
se muestran los pasos para configurar una cuenta de usuario:
NOTA Si está en un controlador de dominio de Active Directory, no tendrá Usuarios

ni grupos locales en Administración de equipos. Debe utilizar Usuarios y equipos de
Active Directory.
1. Mientras siga en la sesión como Administrador, haga clic en Inicio | Herramientas

administrativas | Administración de equipos. Se abre la ventana Administración
de equipos.
2. En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos
locales, haga clic en Usuarios, clic derecho en el panel derecho y luego en Usuario
nuevo, para abrir el cuadro de diálogo Usuario nuevo.
3. Inserte un nombre de usuario de hasta 20 caracteres. No puede contener sólo pun-
tos o espacios; tampoco puede tener “ / \ [ ] : ; | = , + * ¿ <> @; asimismo, espacios
o puntos se eliminan.
4. Inserte un nombre completo, descripción (opcional), contraseña de hasta 14 carac-
teres con mayúsculas o minúsculas, confirmación y después seleccione lo que debe
hacer el usuario con la contraseña, como se muestra en la figura 15-1. Una contra-
seña debe tener al menos ocho caracteres de largo y una mezcla de mayúsculas,
minúsculas, números y caracteres especiales.
5. Cuando haya ingresado esta información en forma correcta, dé clic en Crear y des-
pués en Cerrar. Ahora podrá salir de la sesión de Administrador e iniciar como su
nuevo usuario. Inténtelo para confirmar que funciona.
Con la entrada de nombre de usuario y contraseña, el nuevo usuario podrá hacer cual-
quier acción en ese nivel de permiso de usuario en dicho equipo. Si éste se conecta después
a una red, la cuenta debe restablecerse ahí para que el usuario pueda usar dicha red.
15 MATTHEWS 01.indd 523 1/14/09 12:22:18 PM

Figura 15-1. Un nuevo usuario o equipo individual insertado a través

de Administración de equipos.
Autentificación de usuario de red

En un entorno de red, la autentificación de usuarios es manejada por uno de varios mé-
todos, dependiendo si está habilitado Active Directory. Si no lo está utilizando, entonces
la autentificación se maneja en un nivel más básico. Si Active Directory está en uso, habrá
disponibles varias técnicas de autentificación más avanzadas en Windows Server 2008. Si
los usuarios vienen de Internet, también podrán utilizar certificados, además de protocolos
de autentificación capa de conector seguro (SSL, Secure Sockets Layer) o seguridad de
capa de transporte (TLS, Transport Layer Security). En el caso de los certificados, Windows
Server 2008 puede tomar un certificado autentificado y asignarlo a un usuario para que se
integre con el resto del sistema (consulte “Autentificación de certificado”, en páginas pos-
teriores de este capítulo).
En todos estos métodos, primero debe establecer una cuenta de usuario en el servidor
antes de que la autentificación se efectúe. Sin Active Directory, el procedimiento para confi-
gurar una cuenta de usuario es el mismo que con el equipo local, analizado en la sección
anterior, excepto que debe hacerse en cada servidor de la red. Con Active Directory y Ser-
vicios de Certificate Server de Active Directory, que requieren Active Directory para uso
completo, el procedimiento es un poco diferente. Aquí se muestran los pasos:
1. Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active
Directory. Se abre el cuadro de diálogo Usuarios y equipos de Active Directory.
2. En el panel de la izquierda, abra el dominio aplicable y después la carpeta Users.
Haga clic en el menú Acción y en Nuevo | Usuario.
15 MATTHEWS 01.indd 524 1/14/09 12:22:18 PM

3. En el cuadro de diálogo Nuevo objeto – Usuario, escriba el nombre del usuario y de

inicio de sesión, como verá aquí, y después haga clic en Siguiente.
4. Inserte y confirme la contraseña, seleccione cómo quiere que el usuario cambie la

contraseña y después haga clic en Siguiente.
5. Revise sus opciones, utilice Atrás, si es necesario, para realizar cualquier cambio, y
haga clic en Finalizar cuando la cuenta esté a su gusto.
Al establecer esta cuenta de usuario en Active Directory, con las directivas apropiadas,
el usuario podrá iniciar sesión en cualquier lugar de la red, que puede extenderse a Internet
y autentificarse.
Autentificación Kerberos
Kerberos versión 5 es el protocolo de autentificación predeterminado de Windows Server
2008, y Kerberos, en sus diferentes versiones, es el protocolo predeterminado de casi todo
Internet. Esto significa que las mismas rutinas de autentificación de Windows Server 2008
pueden validar un cliente de Windows Server 2008 local y un cliente UNIX conectado a
Internet. Kerberos fue desarrollado originalmente por MIT para autentificación de Inter-
net (http://Web.mit.edu/kerberos/www/). La Internet Engineering Task Force (IETF) da
mantenimiento a la especificación de Kerberos versión 5, que, junto con una revisión gene-
ral, se encuentra en la solicitud de comentario 1510 (RFC, Request For Comment; consulte
el capítulo 5 para conocer un análisis de las RFC), disponible en línea en http://www.ietf.
org/rfc/rfc1510.txt.
Además de la semejanza con Internet y varios sistemas, Kerberos aporta otro beneficio
importante para usuarios de Windows Server 2008. En otros esquemas de autentificación,
cada vez que un usuario intenta acceder a diferentes servicios de red, tal servicio debe ir
al servidor de autentificación para configurar la autenticidad del usuario. Esto no significa
15 MATTHEWS 01.indd 525 1/14/09 12:22:19 PM

que el usuario deba iniciar sesión de nuevo, pero cada servicio tiene que obtener su pro-
pia confirmación, creando bastante tráfico de red. Éste no es el caso con Kerberos, que
suministra para cada usuario un boleto cifrado con el ID de usuario y contraseña que los
dispositivos de red pueden usar para identificar y validar. El sistema de boleto de Kerbe-
ros también valida el servicio de red para el usuario, proporcionando autentificación entre
usuario y servicio.
NOTA El boleto de Kerberos también se conoce como boleto de servicio o de usuario.

Todos son el mismo objeto.
Kerberos usa un centro de distribución de claves (KDC, Key Distribution Center) en

cada controlador de dominio, que almacena las cuentas de usuario ingresadas en Active
Directory de la red. Cuando un usuario intenta iniciar sesión en cualquier parte de la red,
tiene lugar el siguiente proceso:
1. El nombre de usuario y contraseña se cifran y envían a KDC.
2. KDC valida la combinación del nombre de usuario y contraseña.
3. Se construye un boleto que cifra nombre de usuario y contraseña, además de una
clave para transferir información entre el usuario y cualquier otro servicio de red.
4. El boleto se devuelve al punto de inicio de sesión del usuario, donde se presenta al
servicio de red, que proporciona la autenticidad para el usuario.
5. La capacidad del servicio para aceptar y utilizar el boleto prueba la autenticidad del
servicio ante el usuario.
6. Cualquier información transferida entre usuario y servicio se hace mediante la cla-
ve de cifrado en el boleto.
7. Si el usuario ingresa a otro servicio de red, mientras aún está en la sesión del primer
servicio de red, el boleto se presenta automáticamente al segundo servicio, que ofre-
ce una autentificación mutua inmediata y la capacidad para transferir información
de forma segura.
En los pasos anteriores seguramente habrá visto otro gran beneficio de Kerberos: la
inclusión de una clave de cifrado en el boleto, que permite al usuario y servicio de red trans-
ferir información de forma segura. Esto resuelve automáticamente otra de las demandas de
seguridad: asegurar los datos en la transmisión.
Kerberos es un medio poderoso de autentificación y un valor importante de Windows
Server 2008.
Reemplazos de contraseñas
El vínculo más débil en el esquema de seguridad de Windows Server 2008 es, tal vez, el
uso de contraseñas. Los usuarios dan contraseñas a otros o las olvidan y las contraseñas
se roban o sólo se “encuentran” de varias formas. No existe nada que relacione una con-
traseña con un individuo. Con la contraseña de alguien a la mano, nada puede evitar que
se haga pasar por esa persona en un sistema protegido por contraseña. Dos posibles reem-
plazos a las contraseñas son las tarjetas inteligentes y los dispositivos biométricos.
15 MATTHEWS 01.indd 526 1/14/09 12:22:19 PM

Tarjetas inteligentes Las tarjetas inteligentes son piezas de plástico del tamaño de una tar-
jeta de crédito con un circuito resistente a falsificaciones incrustado y que almacena perma-
nentemente un ID, contraseña, firma digital, clave de cifrado o cualquier combinación de
éstas. Las tarjetas inteligentes requieren número de identificación personal (PIN, Personal
Identification Number), para añadir un segundo nivel (tarjeta inteligente además de PIN,
en lugar de contraseña) que una persona haciéndose pasar por otra debería obtener, para
iniciar sesión en un sistema. Además, es posible configurar tarjetas inteligentes para que se
bloqueen tras varios intentos incorrectos de insertar un PIN.
Windows Server 2008 da soporte completo a tarjetas inteligentes y le permite usarlas
para iniciar sesión en un equipo o red, también para habilitar autentificación basada en
certificado, con el fin de abrir documentos o realizar otras tareas. Las tarjetas inteligentes re-
quieren un lector conectado al equipo mediante un puerto USB, PCMCIA o sólo una ranura
“PC Card” o ExpressCard. Con un lector de tarjetas inteligentes, los usuarios no tienen que
oprimir ctrl+alt+supr. Sólo necesitan insertar su tarjeta y en ese momento se les pide su
PIN. Con una tarjeta válida y un PIN, los usuarios se autentifican y se les admite en el siste-
ma de la misma forma que se haría al insertar un nombre de usuario y contraseña válidos.
Varios lectores de tarjeta inteligente son compatibles con Plug and Play; los controladores
para esos dispositivos están incluidos en Windows Server 2008 o se encuentran disponibles
por parte del fabricante. Para instalarlos se requiere un poco más que conectarlos. Con un
lector de tarjetas inteligentes instalado, puede configurar nuevas cuentas (como se describió
antes); después, en caso de cuentas nuevas y viejas, puede abrir el cuadro de diálogo Propie-
dades del usuario, al dar doble clic en un usuario, en la ventana Usuarios y equipos de Active
Directory (consulte “Autentificación de usuario de red”, en páginas anteriores de este capí-
tulo, para conocer las instrucciones sobre la manera de abrir esta ventana). En el cuadro de
diálogo Propiedades del usuario, haga clic en la ficha Cuenta, desplace la lista Opciones
de cuenta y ponga una marca en La tarjeta inteligente es necesaria para un inicio de sesión
(si no está instalada una tarjeta inteligente o Windows Server 2008 no la detecta, tal vez esta
opción no esté visible).
NOTA En caso de duda, el PIN está cifrado y se coloca en la tarjeta inteligente cuando
se fabrica. No está almacenado en el equipo ni en Active Directory.
Las tarjetas inteligentes son muy valiosas para ingresos remotos a una red; un miembro
del personal que se encuentra de viaje podría usarlas con una laptop, tal vez mediante una
red privada virtual (VPN, Virtual Private Network) en Internet. Las tarjetas inteligentes
también se utilizan con frecuencia en la emisión de certificados de autenticidad para do-
cumentos y otros objetos (consulte la exposición relacionada con certificados, en páginas
posteriores de este capítulo, bajo “Transmisión segura de datos”).
Dispositivos biométricos Las tarjetas inteligentes proveen un grado adicional de seguridad
sobre las contraseñas, pero si alguien obtiene la tarjeta y PIN, es libre de hacer lo que quiera.
La única forma de estar totalmente seguro de que el equipo se comunica con la persona real
es solicitar alguna identificación física. Éste es el propósito de los dispositivos biométricos, que
identifican a la persona por rasgos físicos, como voz, palma de la mano, huella digital, cara
u ojos. A menudo, estos dispositivos se usan con una tarjeta inteligente para reemplazar el
PIN. Ahora los dispositivos biométricos están entrando al mundo comercial con algunas
15 MATTHEWS 01.indd 527 1/14/09 12:22:19 PM

laptops, que tienen lectores de huella digital incorporados. Aunque no se ha integra-

do ninguna función en Windows Server 2008 para manejarlos específicamente, sí están
disponibles controladores y tecnología implementada. Los escáneres de huella digital
conectados por USB y software pueden comprarse por menos de 50 dólares. Otros disposi-
tivos pueden costar varios cientos o incluso varios miles de dólares para un escaneo de rostro.
En los próximos años, estos dispositivos estarán en todos lados, así que, dependiendo de
sus necesidades, tal vez sea conveniente que los tenga en mente.
Autentificación de certificado
Si quiere que los usuarios ingresen en la red a través de Internet, pero le preocupa que
enviar nombres de usuario y contraseñas en forma pública los ponga en peligro, entonces
reemplácelos con un certificado digital (o sólo “certificado”), expedido por una autoridad de
certificación (CA, Certification Authority), que lo firma digitalmente e indica que el porta-
dor es quien dice ser o qué objeto y emisor son lo que representan. Existen CA públicas y
privadas. Una organización puede ser su propio CA y enviar certificados a sus empleados,
vendedores o clientes, para que dichas personas puedan autentificarse cuando intentan en-
trar a la red de la organización. Además, una CA pública muy confiable, como VeriSign
(http://www.verisign.com/), puede enviar un certificado a una persona, objeto, organiza-
ción o sitio Web. Una persona u organización que recibe el certificado, si confía en la CA,
puede estar razonablemente segura de que quien lo presenta es la persona que pretende
ser. Además de un certificado, la mayoría de los CA suministran un portador con clave
de cifrado en el certificado, para que se den transmisiones seguras de datos.
Para configurar un certificado de autentificación, deben darse estos pasos:
1. El usuario debe obtener un certificado.
2. Debe establecerse una cuenta para el usuario.
3. La autoridad de certificación debe estar en Lista de certificados confiables.
4. El certificado debe asignarse a la cuenta de usuario.
Configure Servicios de Certificate Services de Active Directory El usuario puede obtener un
certificado de varias formas; una de ellas es mediante un controlador de dominio de Win-
dows Server 2008 con Servicios Certificate Services de Active Directory (AD CS) instala-
do. AD CS es una función que debe instalarse en el Administrador del servidor. Aquí se
muestra como:
1. Haga clic en Inicio|Administrador del servidor, después en Funciones, en el panel
de la izquierda. Haga clic en Agregar funciones, para abrir el cuadro de diálogo
Asistente para agregar funciones.
2. Haga clic en Servicios de Certificate Server de Active Directory, si no está marcada
(si lo está, AD CS ya se encuentra instalado en este equipo y puede pasar a la si-
guiente sección). Haga clic en Siguiente.
15 MATTHEWS 01.indd 528 1/14/09 12:22:19 PM

3. Lea las notas y cualquiera de los artículos de Ayuda, si lo desea. Observe que si
instala AD CS, no podrá cambiar el nombre del equipo, dé clic en Siguiente.
4. Seleccione los servicios de función que quiera usar con AD CS:
▼ Entidad de certificación para enviar y administrar certificados, se requiere en
todos los casos
■ Inscripción Web de entidad de certificación para proporcionar una interfaz
Web que solicite y renueve certificados
■ Servicio de respuesta en línea para proporcionar información de certificado
disponible en redes complejas
▲ Servicio de inscripción de dispositivos de red para enviar y administrar certi-
ficados a enrutadores y otros dispositivos sin cuentas de red
NOTA La exposición en este capítulo cubrirá Entidad de certificación e Inscripción Web

de entidad de certificación, pero Servicio de respuesta en línea y Servicio de inscripción de
dispositivos de red están fuera del alcance de este libro.
5. Haga clic en Siguiente y seleccione el tipo de autoridad de certificado (CA) que
habrá de instalarse entre las siguientes opciones:
▼ Empresa Si este servidor es parte de un dominio, puede utilizar Servicio de
directorio para enviar y administrar certificados
▲ Independiente Si el servidor no puede usar Servicio de directorio para enviar
y administrar certificados, todavía puede ser parte de un dominio
6. Haga clic en Siguiente y seleccione el nivel de CA para este servidor:
▼ CA raíz Si éste es el primero y único CA, enviará sus propios certificados
▲ CA subordinado Si este CA obtendrá sus certificados de un CA más alto
7. Haga clic en Siguiente y elija entre crear una nueva clave privada o usar una exis-
tente.
8. Haga clic en siguiente y seleccione el proveedor de servicios de cifrado (CSP,
Cryptographic Service Provider) que quiere usar para generar la clave privada, el algo-
ritmo hash (que se explica bajo “Protocolo de autentificación de desafío de saludo”,
en el capítulo 10), y la longitud de la clave, como se muestra en la figura 15-2. Bajo
circunstancias normales, excepto si usa tarjetas inteligentes, querrá dejar las
opciones predeterminadas. Si está usando tarjetas inteligentes, tal vez necesite
seleccionar un CSP manejado por la tarjeta inteligente.
9. Haga clic en Siguiente, acepte el nombre predeterminado o inserte un nombre y
sufijo para la CA y dé clic de nuevo en Siguiente. Seleccione el periodo de validez
para los certificados generados por esta CA.
10. Haga clic en Siguiente. Se le muestra dónde se almacenará el certificado de base de
datos y el registro. Una vez más, haga clic en Siguiente. Si IIS está en ejecución, haga
clic en Sí, para detener temporalmente los servicios de información de Internet (IIS,
Internet Information Services). Si la función IIS no está instalada, puede seleccionar
los servicios de función que quiere instalar (consulte el capítulo 9 para conocer más
información sobre IIS).
15 MATTHEWS 01.indd 529 1/14/09 12:22:20 PM

Figura 15-2. El envío de certificados requiere una clave privada para firmarlos, después
la clave privada se utiliza para validarlos.
11. Revise las selecciones hechas. Si quiere realizar cambios, dé clic en Anterior.
Cuando esté listo, haga clic en Instalar. Se instalarán la función (o funciones) y los
servicios de función.
12. Haga clic en Cerrar cuando se le indique que ha completado la instalación en for-
ma correcta. Cierre el Administrador del servidor. Reinicie el equipo (aunque no
se le pide).
Revise la CA Una vez instalada la autoridad de certificación, puede revisarla con estos pasos:
1. Haga clic en Inicio|Herramientas administrativas|Certification Authority. En el
panel de la izquierda, abra la nueva CA recién creada y dé clic en Certificados emi-
tidos. Deberá ver uno o más certificados, como éste (si no ve ningún certificado y
reinició el equipo, haga clic en Actualizar en el menú Acción).
15 MATTHEWS 01.indd 530 1/14/09 12:22:20 PM

2. Haga doble clic en uno de los certificados; para abrirlo, haga clic en la ficha Detalles
y luego en los campos, para ver los detalles del certificado abierto. Haga clic en
Aceptar cuando haya terminado de revisar el certificado.
3. De regreso a la ventana Entidad de certificación, haga clic en Plantillas de certifi-
cado, en el panel de la izquierda. A la derecha, puede ver los tipos de certificados
disponibles y su propósito.
4. Haga doble clic en una de sus plantillas para abrir su cuadro de diálogo Propieda-
des. Cuando haya terminado de ver las propiedades, cierre el cuadro de diálogo y
la ventana Entidad de certificación.
Solicite un certificado Con AD CS instalado, usuarios, equipos y otros servicios pueden so-
licitar certificados para identificarse a sí mismos. Por lo general, los certificados se emiten
automáticamente a equipos y usuarios como entidades conocidas y confiables en la red. El
certificado que se creó automáticamente cuando AD CS se instaló, fue enviado al servidor
en que reside AD CS. También es posible pedir explícitamente un certificado a través de
intranet, Internet o el servidor con AD CS.
Solicite un certificado a través de una conexión Web La forma más común de que los usuarios
pidan un certificado para su uso es a través de Internet o una intranet. Al hacer esto, el
usuario accede a una página Web creada y mantenida por AD CS. Use estos pasos para so-
licitar un certificado a través de un intranet o Internet:
1. Abra su explorador e inserte el URL o dirección del servidor con AD CS. La di-
rección deberá verse como esta http://nombredelservidor/certsrv/. La página debe
aparecer como se muestra en la figura 15-3.
2. Haga clic en Solicitar un certificado y dé clic en Certificado de usuario. Si quiere
que el usuario tenga una tarjeta inteligente, haga clic en Más opciones, donde puede
seleccionar un proveedor de servicios de cifrado (CSP) y el formato de solicitud.
15 MATTHEWS 01.indd 531 1/14/09 12:22:20 PM

Figura 15-3. Es posible solicitar certificados en una red.
3. Haga clic en Enviar. Se le indica que el sitio Web está solicitándole un nuevo certi-
ficado y pregunta si quiere continuar. Haga clic en Sí. Si el usuario o equipo ya es
conocido por el servidor, se expedirá un certificado. De otra forma, se le dirá que la
solicitud está pendiente.
4. Cuando vea Certificado emitido, haga clic en Instalar este certificado. Se le indica
que el sitio Web está agregando un certificado al equipo y le pregunta si está seguro
de realizar eso. Haga clic en Sí, pues es lo que quiere hacer. Se le indica que el certi-
ficado está instalado y puede cerrar su explorador.
Solicite directamente un certificado Solicitar un certificado directamente de AD CS es algo
común para documentos, otros objetos o servicios. Requiere la consola Certificado en la
consola de administración de Microsoft (MMC, Microsoft Management Console). Aquí se
muestra cómo configurar la consola Certificado (suponiendo que no lo haya hecho antes) y
cómo solicitarle un certificado:
1. Haga clic en Inicio | Ejecutar, escriba mmc y dé clic en Aceptar. Se abre la con-
sola MMC.
15 MATTHEWS 01.indd 532 1/14/09 12:22:20 PM

2. Haga clic en el menú Archivo y seleccione Agregar o quitar complemento. En el

cuadro de diálogo Agregar o quitar complemento, haga clic en Certificados, en
Agregar, en Mi cuenta de usuario (dependiendo de dónde quiere administrar los
certificados) y en Finalizar.
NOTA Si selecciona administrar certificados para Mi cuenta de usuario, el complemen-

to que cree sólo emitirá certificados para usted. Si selecciona administrar certificados
para Cuenta de servicio o Cuenta de equipo, debe seleccionar el servicio o equipo que
habrá de administrarse —servidor Web o equipo local— y podrá enviar certificados para
el servicio o equipo.
3. Haga clic en Aceptar para completar el proceso de adición o retiro de complemen-
tos. En la consola de la izquierda, abra Certificados: usuario actual | Personal |
Certificados, como se muestra aquí.
4. Haga clic en el menú Acción y seleccione Todas las tareas|Solicitar un nuevo certi-
ficado. Se abre el asistente Inscripción de certificados.
5. Haga clic en Siguiente, seleccione un tipo de certificado que apoye el propósito del
certificado por enviar (seleccione Administrador, al menos para un certificado) y dé
clic en Inscribir.
6. Cuando se indique que el certificado está instalado, haga clic en Finalizar y se emi-
tirá un nuevo certificado.
7. Cierre la consola Certificados, haga clic en Sí, para guardar las opciones de esta
nueva consola en un archivo llamado Certificados.msc, haga clic en Guardar y, por
último, cierre MMC.
Haga una lista de las autoridades de certificado Para aceptar certificados presentados a la red,
la CA debe conocerse en la red. Esto se logra al aparecer en una lista como CA confiable, en-
tre los certificados de confianza (CTL, Certificate Trust List), que se mantiene como parte de
las directivas de grupo. En los siguientes pasos se muestra cómo abrir la directiva de grupo,
analizada en el capítulo 14, crear una CLT y una entrada en ésta (para tales pasos, se asume
que desea trabajar con la CTL en el nivel de dominio, pero también puede hacerlo en el nivel
del equipo local y OU):
15 MATTHEWS 01.indd 533 1/14/09 12:22:21 PM

1. Haga clic en Inicio|Administrador del servidor y abra Características|Adminis-

tración de directiva de grupo|Bosque|Dominios |nombre de dominio|Objetos de
directiva de grupo, como se muestra en la figura 15-4.
2. Haga clic derecho en Default Domain Policy y seleccione Editar. Se abre la ventana
Editor de administración de directiva de grupo.
3. En el panel de la izquierda, abra Configuración del equipo | Directivas | Confi-
guración de Windows | Configuración de seguridad | Directivas de clave pública.
Haga clic en Confianza empresarial. Haga clic en el menú Acción y seleccione
Nuevo | Lista de certificados de confianza. Se abre el Asistente para crear lista
de certificados de confianza.
4. Haga clic en Siguiente. Si así lo desea, inserte un prefijo de identificación para la
CTL, inserte los meses o días que serán válidos, seleccione los propósitos de la CTL
y haga clic en Siguiente.
Figura 15-4. Una lista de certificados de confianza puede mantenerse en un objeto

de directiva de grupo (GPO).
15 MATTHEWS 01.indd 534 1/14/09 12:22:21 PM

5. En el cuadro de diálogo Certificados en la CTL, haga clic en Agregar desde el

almacén. Se abre el cuadro de diálogo Seleccionar certificado, en que se eligen
los certificados cuyos emisores quiere incluir en la CTL. Al principio de la lista,
encontrará los certificados que su nueva CA emitió mientras seguía los pasos an-
teriores en este capítulo.
6. Haga doble clic en uno de los certificados que creó. Cuando se abre, tal vez encuen-
tre que no es de confianza, aunque se creó en el mismo equipo. Se le indica que debe
agregarse a la CTL para ser de confianza.
7. Seleccione los certificados cuyos emisores quiere en la CTL y oprima y mantenga
oprimida ctrl mientras selecciona más de un certificado. Haga clic en Aceptar. La
nueva lista de certificados aparecerá en el Asistente para crear la lista de certificados
de confianza.
8. Haga clic en Siguiente. Debe adjuntar un certificado, tal vez el suyo, para que sirva
como firma digital para la CTL; la clave de cifrado utilizada con la firma de certifi-
cado se utilizará con el archivo que contenga la CTL.
NOTA El usuario actual debe crear, con la plantilla Administrador, el certificado que se-
leccione para agregar la firma digital a la CTL, de manera similar al certificado Firma crea-
do en “Solicite un certificado”.
9. Haga clic en Seleccionar de almacén, escoja el certificado que quiere usar y haga
clic en Aceptar y después en Siguiente. Si así lo desea, puede agregar una marca de
tiempo; en seguida haga clic una vez más en Siguiente.
10. Inserte un nombre fácil de recordar y una descripción para la CTL, dé clic en Siguien-
te. Revise las configuraciones elegidas y dé clic en Atrás, si necesita corregir algo;
cuando esté listo, haga clic en Finalizar. Se le dirá si la CTL se ha creado con éxito.
11. Haga clic en Aceptar. La nueva CTL aparece a la derecha de la ventana Editor de admi-
nistración de directiva de grupo. Haga doble clic en ésta. Se abre la CTL y, en la ficha
Lista de confianza, verá una lista de entidades de certificado agregadas a su CTL.
15 MATTHEWS 01.indd 535 1/14/09 12:22:21 PM

12. Haga clic en una CA. Verá detalles tras un certificado, como se muestra a continua-
ción, y si hace clic en Ver certificado, verá el certificado completo. Cierre la CTL y el
Editor de administración de directiva de grupo.
Asigne certificados a cuentas de usuario El núcleo de la seguridad orientada al usuario de

Windows Server 2008 son las cuentas de usuario con nombre de usuario y contraseña para
iniciar sesión, la base de los permisos del sistema que controlan el acceso a los recursos del
equipo y la red. Alguien que llega a Windows Server 2008 con un certificado, pero sin nom-
bre de usuario ni contraseña para una cuenta de usuario y permisos inherentes, no podrá
iniciar sesión. La solución es asignar o relacionar un certificado con una cuenta de usuario,
para que alguien que presente un certificado aceptable se adjunte a una cuenta de usuario
y reciba los permisos para iniciar sesión con nombre de usuario y contraseña. Windows
Server 2008 asigna certificados de dos formas: mediante Servicios de dominio de Active Di-
rectory e Internet Information Services (IIS). También se pueden asignar certificados a una
cuenta de usuario (asignaciones uno a uno) o varios certificados a una cuenta (asignaciones
varios a uno). La asignación mediante IIS se analizó en el capítulo 9.
La asignación de certificados mediante Servicios de dominio de Active Directory se
hace con los siguientes pasos:
15 MATTHEWS 01.indd 536 1/14/09 12:22:22 PM

1. Haga clic en Inicio | Herramientas administrativas | Usuario y equipos de Ac-

tive Directory.
2. Haga clic en el menú Ver y elija Características avanzadas (si no está marcada).
3. En el panel de la izquierda, abra el dominio con la cuenta de usuario que quiere
asignar y después dé clic en Users.
4. En la lista de usuarios, a la derecha, escoja la cuenta de usuario a la que se asignará
un certificado.
5. Haga clic en el menú Acción, seleccione Asignaciones de nombre (si no lo ve, repita
el paso 2) para abrir el cuadro de diálogo Asignación de identidad de seguridad.
Haga clic en la ficha Certificados X.509, en seguida en Agregar, para abrir el cuadro
de diálogo Agregar certificado.
6. Busque una identificación o tipo, ruta y nombre del certificado que quiere usar, dé
clic en Abrir. A menudo los certificados, con la extensión .cer, están en la carpeta
C:\Windows\System32\Certsrv.
7. Si no encuentra un archivo CER, tal vez necesite encontrar uno en la consola Certifi-
cados, de MMC. Para ello, haga clic en Inicio|Ejecutar, escriba mmc y oprima enter.
Después dé clic en el menú Archivo, seleccione Abrir y, luego, el archivo Certificados.
msc. Haga clic en Abrir, abra Raíz de consola | Certificados: usuario actual | Personal
| Certificados, y seleccione el certificado que quiera usar.
8. Haga clic en el menú Acción y seleccione Todas las tareas|Exportar. Haga clic en
Siguiente, en No exportar la clave privada y en Siguiente. Acepte el formato DER bi-
nario codificado, haga clic en Siguiente, inserte un nombre de archivo útil y explore
dónde quiere almacenarlo. Haga clic en Siguiente, Finalizar y Aceptar, cuando se le
indique que la exportación fue correcta. Cierre la consola Certificados.
9. Haga doble clic en el certificado que utilizará, éste se despliega en un segundo cua-
dro de diálogo Agregar Certificado.
15 MATTHEWS 01.indd 537 1/14/09 12:22:22 PM

10. Si quiere una asignación uno a uno, deben marcarse Usar emisor para seguridad
de identidad alternativa y Usar Asunto para seguridad de identidad alternativa
(siempre está marcada Usar emisor para seguridad de identidad alternativa, como
opción predeterminada y está atenuada casi siempre, así que no puede cambiarla).
Si quiere una asignación varios a uno, sólo debe marcarse Usar emisor para seguri-
dad de identidad alternativa.
11. Haga clic en Aceptar. El certificado se despliega de nuevo en el cuadro de diálogo
Asignación de identidad de seguridad; haga clic una vez más en Aceptar. Cierre la
ventana Usuarios y equipos de Active Directory.
Ahora, cuando un usuario presenta este certificado, se asignarán a la cuenta de usuario
relacionada y se le darán los permisos asociados con ésta.
CONTROLE EL ACCESO
Las cuentas de usuario identifican a la gente y le permiten iniciar sesión en un equipo y, tal
vez, en una red. Lo que pueden hacer después dependerá de los permisos dados a éste o a
los grupos a los que pertenecen, así como de la propiedad del objeto que quieren usar. Cuando
Windows Server 2008 usa el sistema de archivo de nueva tecnología (NTFS, New Technolo-
gy File System), permite a un administrador asignar varios niveles de permisos para usar un
objeto (archivo, carpeta, disco duro, impresora), además de asignar propietarios y derechos
de propietario. (No puede hacer esto con sistemas de archivo FAT o FAT32.)
Cuando instala Windows Server 2008, casi todos los archivos, carpetas, discos duros e
impresoras contienen permisos de la mayoría de usuarios —excepto los administradores—,
para realizar casi todas las tareas con estos objetos. Puede cambiar los permisos predeter-
minados de forma rápida al usar una propiedad llamada herencia, que indica que todos los
archivos, subcarpetas y archivos en subcarpetas heredan automáticamente (toman) los per-
misos de sus carpetas contenedoras. Sin embargo, cada archivo, carpeta y otros objetos
en NTFS de Windows Server 2008 tiene su propio conjunto de descriptores de seguridad que
se adjuntan a éstos cuando se crean, y con el permiso apropiado estos descriptores pueden
cambiarse individualmente.
Propiedad
Inicialmente, el creador de un objeto o administrador otorga todos los permisos. El creador
de un objeto es el propietario. El propietario de un objeto tiene derecho de conceder o negar
permisos, además de otorgar a otros el permiso Tomar posesión, que permite ser el propie-
tario. Un administrador puede tomar propiedad de alguien más, pero un administrador no
puede otorgar la propiedad a objetos que el administrador no creó.
Puede revisar la propiedad y cambiarla mediante el cuadro de diálogo Propiedades del
objeto. En el caso de un archivo o carpeta, abra el cuadro de diálogo Propiedades —en el
Explorador de Windows— y vea cómo cambiar la propiedad con estos pasos:
15 MATTHEWS 01.indd 538 1/14/09 12:22:22 PM

1. Haga clic en Inicio|Equipo. En el panel de la izquierda, arrastre Carpetas a la parte

más alta del panel; abra disco y carpetas necesarias para ver, en el panel de la dere-
cha, la carpeta o archivo cuya propiedad quiere ver o cambiar.
2. En el panel de la derecha, haga clic derecho en la carpeta o archivo y escoja Propiedades.
3. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad y después en Op-
ciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad avanzada.
4. Haga clic en la ficha Propietario, donde verá quién es el propietario actual y las per-
sonas a quienes se puede transferir la propiedad. Cuando haya terminado, dé clic
en Aceptar, dos veces, para cerrar los dos cuadros de diálogo aún abiertos. También
cierre el Explorador de Windows.
La concesión de permisos para tomar propiedad se describe en “Permisos”, en páginas

posteriores de este capítulo.
Grupos
Los grupos o cuentas de grupo son colecciones de cuentas de usuario que pueden tener per-
misos asignados, al igual que las cuentas de usuario. Casi todos los permisos se otorgan a
grupos, no individuos, y después se hace que los individuos sean miembros de grupos. Por
tanto, es importante tener un conjunto de grupos que manejen la mezcla de personas en su
organización, así como la mezcla de permisos que quiere establecer. En Windows Server
2008 están integrados varios grupos estándar con permisos asignados previamente, pero
puede crear sus propios grupos y asignar usuarios a éstos.
Revise los grupos pertenecientes a Windows Server 2008, vea qué permisos contienen y
después cree los propios si es necesario. Al igual que con las cuentas de usuario, se ven los
grupos de forma diferente, dependiendo de si están en un servidor independiente o un con-
trolador de dominio de Active Directory.
15 MATTHEWS 01.indd 539 1/14/09 12:22:22 PM

Grupos en servidores y estaciones de trabajo independientes

Para ver y agregar grupos a servidores y estaciones de trabajo, necesita utilizar la ventana
Administración de equipos, de la siguiente manera:
1. Haga clic en Inicio|Herramientas administrativas | Administración de equipos.
2. En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos loca-
les, dé doble clic en Grupos. Se desplegará la lista de grupos integrados, como ésta:
3. Haga doble clic en varios grupos para abrir sus respectivos cuadros de diálogo Pro-
piedades, donde verá los miembros de cada grupo.
4. Haga clic en el menú Acción y clic en Nuevo grupo. Se abre el cuadro de diálogo
Grupo Nuevo.
5. Inserte un nombre de grupo de hasta 256 caracteres en mayúsculas o minúsculas.
No puede contener sólo puntos o espacios; tampoco puede contener “ / [ ] : ; | = , +
* ? < > @; los espacios o puntos se eliminan. Ingrese la descripción de lo único que
puede hacer un grupo y haga clic en Agregar. Se abre el cuadro de diálogo Seleccio-
nar usuarios.
15 MATTHEWS 01.indd 540 1/14/09 12:22:23 PM

6. Haga clic en Avanzadas, ingrese nombre de usuario y contraseña, si se le pide. Haga

clic en Buscar ahora, mantenga oprimida ctrl y seleccione los usuarios que quiere
incluir en el grupo. Haga clic en Aceptar. Cuando haya seleccionado todos los que quie-
re incluir, haga clic en Aceptar. Su nuevo grupo debe parecerse a éste:
7. Cuando su grupo está de la forma que quiere, haga clic en Crear y después clic en
Cerrar. El nuevo grupo aparecerá en la lista en la derecha de la ventana Administra-
ción de equipos. Cierre tal ventana cuando esté listo.
Grupos en controladores de dominio de Active Directory

Para ver y agregar grupos en un controlador de dominio de Active Directory, necesita
usar la ventana Usuarios y equipos de Active Directory. En esta ventana encontrará dos
conjuntos de grupos: los de la carpeta Builtin —parecidos a los que vio en el servidor in-
dependiente— y los de las carpetas Users —creados por Active Directory—. Los grupos
de Builtin están limitados a un dominio local (denominados de ámbito local de dominio),
mientras los grupos de Users pueden estar limitados por el dominio o no ser ilimitados
(denominados de ámbito global). Revise ambos conjuntos de grupos y agregue un nuevo
grupo a Users con los siguientes pasos:
1. Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active
Directory. Se abre la ventana Usuarios y equipos de Active Directory.
15 MATTHEWS 01.indd 541 1/14/09 12:22:23 PM

2. En el panel de la izquierda, abra el dominio en que quiere trabajar y después abra la

carpeta Builtin. Verá una lista de grupos con muchos de los mismos grupos que vio
en el servidor independiente.
3. Haga clic en Users, en el panel de la iz-

quierda. Verá una mezcla de usuarios y
grupos, pero un conjunto diferente de
grupos que dan soporte a Active Direc-
tory y sus operaciones de red.
4. Haga clic en el menú Ver y seleccione
Opciones de filtro. Haga clic en Mostrar
sólo los siguientes tipos de objetos, escoja
Grupos, como se muestra a continua-
ción y clic en Aceptar. Una vez más, abra
la carpeta Users; su ventana Usuarios y
equipos de Active Directory se parecerá
a la figura 15-5.
5. Haga doble clic en varios grupos para abrirlos. Contienen mucha información, más
que los grupos en servidores y estaciones de trabajo independientes.
15 MATTHEWS 01.indd 542 1/14/09 12:22:23 PM

Figura 15-5. Active Directory proporciona varios grupos estándar.
6. Mientras Users aún está seleccionado en el panel de la izquierda, haga clic en el

menú Acción y seleccione Nuevo|Grupo. Se abre el cuadro de diálogo Nuevo obje-
to – Grupo.
7. Inserte un Nombre de grupo de hasta 256 caracteres. No puede contener sólo
puntos o espacios, estos se eliminan. Observe que el nombre anterior a Windows
2000 se llena automáticamente. Sólo se utilizarán los primeros 20 caracteres de
este nombre, de modo que, si lo desea, puede insertar su propio nombre de grupo
corto en este campo.
8. Seleccione el ámbito del grupo. Aquí se muestran las opciones de ámbito:
▼ Dominio local Puede contener usuarios y grupos globales o universales de
cualquier dominio de Windows Server 2008 o Windows NT, pero sus permisos
se limitan al dominio actual
■ Global Puede contener grupos y usuarios globales sólo del dominio actual,
pero se pueden dar permisos en cualquier dominio
▲ Universal Puede contener usuarios y grupos globales o universales de cual-
quier dominio de Windows Server 2008, y tener permisos en cualquier dominio,
pero se limitan a grupos de distribución
15 MATTHEWS 01.indd 543 1/14/09 12:22:23 PM

9. Seleccione el tipo de grupo. Los grupos de Distribución se usan para distribuir correo
electrónico y fax, donde los grupos de seguridad se utilizan para asignar permisos.
Haga clic en Aceptar cuando haya terminado.
10. Haga clic derecho en su nuevo grupo y elija Propiedades. Se abre el cuadro de diá-
logo Propiedades. Inserte una descripción y dirección de correo electrónico, como
se muestra aquí:
11. Haga clic en Miembros, Agregar, Avanzadas y en Buscar ahora; después, mantenga
oprimida ctrl y escoja las cuentas de usuario que quiera incluir en el grupo. Cuan-
do esté listo, haga clic dos veces en Aceptar. Vea las otras fichas y realice cualquier
cambio necesario. La ficha Seguridad se analizará en la siguiente sección.
12. Cuando haya completado el grupo de la forma que quiere, haga clic en Aceptar y
cierre Usuarios y equipos de Active Directory.
Permisos
Los permisos autorizan a un usuario o grupo para realizar funciones en un objeto. Los
objetos, como archivos, carpetas e impresoras, tienen un conjunto de permisos asociados
que pueden asignarse a usuarios y grupos. Los permisos específicos dependerán del objeto,
pero todos los objetos tienen al menos dos permisos: Lectura y Modificar o Cambiar. Los
permisos se configuran inicialmente en una de tres formas:
▼ La aplicación o proceso que crea un objeto puede establecer sus permisos al crearlo
15 MATTHEWS 01.indd 544 1/14/09 12:22:24 PM

■ Si el objeto permite heredar permisos y no se establecieron en la creación, un objeto

contenedor puede propagar los permisos al objeto. Por ejemplo, una carpeta conte-
nedora puede propagar sus permisos a una subcarpeta
▲ Si ni el creador ni la carpeta superior establecen los permisos para un objeto, enton-
ces las opciones predeterminadas del sistema de Windows Server 2008 lo harán
Una vez creado el objeto, sus permisos pueden cambiarse por su propietario, adminis-
trador o cualquiera con autoridad para cambiar los permisos. En las siguientes secciones
se ven los permisos predeterminados para tres objetos utilizados comúnmente (carpetas,
recursos compartidos y archivos) y cómo estos permisos predeterminados se cambian.
Permisos de carpeta
Los permisos de carpeta se establecen en la ficha Seguridad, del cuadro de diálogo Propieda-
des, como se muestra en la figura 15-6. Puede hacer clic en esta ficha y cambiar los permisos
con estos pasos:
1. Haga clic en Inicio | Equipo. Se abre el Explorador de Windows.
Figura 15-6. Un conjunto de permisos predeterminados se configura automáticamente

para cada objeto en Windows Server 2008.
15 MATTHEWS 01.indd 545 1/14/09 12:22:24 PM

2. En el panel Carpetas, a la izquierda, abra el disco de arranque, haga clic derecho en

un área en blanco del panel de la derecha y seleccione Nuevo|Carpeta. Escriba un
nombre para la nueva carpeta y oprima enter.
3. Haga clic derecho en la nueva carpeta y seleccione Propiedades. En el cuadro de
diálogo Propiedades, haga clic en la ficha Seguridad. Deberá ver un cuadro de diá-
logo similar al de la figura 15-6.
Encontrará que con una instalación predeterminada de Windows Server 2008, hay cuatro
grupos para permisos. Dos de éstos son de dominio (los grupos Administradores y Usuarios),
mientras los dos restantes son grupos de sistemas: uno para las funciones del sistema opera-
tivo interno (grupo System) y otro representando al propietario y dueño del objeto. Si hace
clic en cada grupo y revisa sus permisos, verá que Administradores y System tienen per-
misos para todo. Todos los permisos mostrados aquí están atenuados, esto significa que se
han heredado de un objeto contenedor (la carpeta raíz en este caso) y no se han establecido
específicamente para este objeto.
NOTA Los permisos predeterminados en Windows Server 2003 y 2008 son muy diferen-
tes de Windows 2000 y versiones anteriores de Windows NT, donde el grupo Todos tenía
permiso para hacer cualquier cosa en casi todas las carpetas del sistema operativo. Win-
dows Server 2003 y 2008 empezaron con la filosofía opuesta, donde sólo Administradores
tienen permiso para hacer todo, y Usuarios (todos los demás) tienen permisos limitados.
Éste es un fortalecimiento de la seguridad por parte de Microsoft.
Agregue nuevos permisos

Para agregar nuevos permisos:
1. Haga clic en Editar, en la parte media de la ficha Seguridad, para abrir el cuadro de
diálogo Permisos. Haga clic en Agregar.
2. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en Avan-
zadas y luego en Buscar ahora. Haga doble clic en un solo usuario, grupo o equipo al
que quiere asignar el permiso; en su lugar, mantenga oprimida ctrl mientras hace
clic en varios objetos y después clic en Aceptar. Dé clic en Aceptar una vez más.
Si selecciona el nuevo grupo que creó antes en la sección Grupos para añadirlo aquí,
verá que el grupo eligió automáticamente los mismos permisos que para el grupo
Usuarios, porque el nuevo grupo recién creado es automáticamente un miembro de
ese grupo.
3. Seleccione uno de los nuevos usuarios, grupos o equipos a los que se darán permi-
sos y después haga clic en Permitir, en los permisos que quiera asignar a esa enti-
dad; de no ser así, haga clic en Negar, para excluir específicamente un permiso. Las
tareas que pueden realizarse con cada permiso son las siguientes:
▼ Control total La suma de todos los otros permisos, además de eliminar sub-
carpetas, cambiar permisos y tomar posesión
■ Modificar La suma de los permisos Lectura y ejecución y Escritura, además
de eliminar permisos de carpeta
15 MATTHEWS 01.indd 546 1/14/09 12:22:24 PM

■ Lectura y ejecución Igual que Mostrar el contenido de la carpeta, pero hereda-

do por las carpetas y archivos
■ Mostrar el contenido de la carpeta Permisos de Lectura, además de ver la lista
de subcarpetas y archivos en una carpeta, así como ejecutar archivos y desplazarse
entre carpetas para llegar a otros archivos y carpetas, donde el usuario tal vez no
tenga permiso para acceder a carpetas intermedias (heredados sólo por carpetas)
■ Lectura Ver los contenidos de subcarpetas y archivos en la carpeta, además
de ver los atributos de la carpeta (Archivo, Oculto, Sólo lectura), propietario y
permisos
■ Escritura Crear subcarpetas y archivos dentro de la carpeta, además de ver al
propietario y permisos para la carpeta y cambiar sus atributos
▲ Permisos especiales Permisos detallados contenidos en los otros seis permisos
4. Seguido de seleccionar los permisos que quiere usar, haga clic en Aceptar y después
en Opciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad
avanzada, como se muestra en la figura 15-7. Observe que casi todos los permisos
se han heredado y Creator Owner aparece aquí con un permiso Especial. Esto que
parece inconsistente se debe al permiso de la carpeta contenedora, aplicado sólo a
las subcarpetas y archivos.
Figura 15-7. Los permisos detallados tras los permisos de carpetas pueden verse
en el cuadro de diálogo Configuración de seguridad avanzada.
15 MATTHEWS 01.indd 547 1/14/09 12:22:24 PM

5. Seleccione un usuario o grupo y haga clic dos veces en Editar. Aparece el cuadro
de diálogo Entrada de permiso, como se muestra a continuación. Contiene un nivel
más detallado de permisos, llamados Permisos especiales, dentro de los permisos
primarios descritos en el paso 3. Los permisos especiales otorgados por cada permi-
so primario se muestran en la tabla 15-1.
NOTA Sincronizar no es un permiso predeterminado, a menos que la carpeta esté con-

figurada para éste.
6. Haga cualquier cambio requerido a los permisos detallados, y marque la casilla de

verificación en la parte inferior, si quiere que los permisos se propaguen a subcar-
petas y archivos de esta carpeta; haga clic en Aceptar cuatro veces para cerrar todos
los cuadros de diálogo.
SUGERENCIA Denegar a todos el permiso Control completo evita que cualquiera haga
lo que guste con la carpeta, incluidos los administradores. La carpeta aparece como si
estuviera bloqueada permanentemente para todos y si, por ejemplo, intenta borrarla, se le
negará el acceso. Sin embargo, un administrador todavía puede cambiar los permisos por
algo más razonable y después puede eliminarse la carpeta.
15 MATTHEWS 01.indd 548 1/14/09 12:22:25 PM

Permisos primarios
Mostrar el Lectura y Control

Permisos especiales Lectura Escritura contenido ejecución Modificar total
de la carpeta
Recorrer carpeta/ Sí Sí Sí Sí
ejecutar archivo
Mostrar carpeta/ Sí Sí Sí Sí Sí
leer datos
Leer atributos Sí Sí Sí Sí Sí
Leer atributos Sí Sí Sí Sí Sí
extendidos
Crear archivos/ Sí Sí Sí
escribir datos
Crear carpetas/ Sí Sí Sí
anexar datos
Escribir atributos Sí Sí Sí
Escribir atributos Sí Sí Sí
extendidos
Eliminar subcarpe- Sí
tas y archivos
Eliminar Sí Sí
Permisos de lectura Sí Sí Sí Sí Sí Sí
Cambiar permisos Sí
Tomar posesión Sí
Sincronizar Sí Sí Sí Sí Sí Sí
Tabla 15-1. Permisos espaciales otorgados por permisos primarios para carpetas.
Comparta permisos
Los recursos compartidos son carpetas compartidas y existe un conjunto un poco diferente
de permisos para quienes no tienen o administran las carpetas. Al igual que con las carpetas
regulares, los permisos de carpetas compartidas se establecen en la ficha Seguridad, del cua-
dro de diálogo Propiedades de la carpeta. Los primeros tres grupos estándar se ven iguales,
pero Usuarios ahora tiene más permisos, aunque todavía pueden estar limitados y no
se pueden agregar o cambiar permisos. Un administrador está en condiciones de abrir
este cuadro de diálogo y cambiar el permiso de la misma forma que haría para carpetas
no compartidas.
15 MATTHEWS 01.indd 549 1/14/09 12:22:25 PM

Permisos de archivo
Los permisos de archivo se establecen en la ficha Seguridad, del cuadro de diálogo Pro-
piedades del archivo, como se muestra a continuación. Como verá, son muy similares a
los permisos de carpeta excepto porque se limitan a archivos. Esto significa que el permiso
Mostrar el contenido de la carpeta no está disponible y las definiciones de permisos indivi-
duales cambian un poco.
▼ Control total La suma de todos los otros permisos, además de cambiar permisos
y tomar posesión
■ Modificar La suma de los permisos Lectura y ejecución y Escritura, además de
eliminar permisos y modificar el archivo
■ Lectura y ejecución El permiso Lectura, además de ejecutar aplicaciones
■ Lectura Ver el contenido del archivo, además de revisar sus atributos (Archivo,
Oculto, Sólo lectura), permisos y propietarios
■ Escritura Escribir en un archivo, además de ver permisos y propietario del archi-
vo, así como cambiar sus atributos
▲ Permisos especiales Permisos únicos que deben establecerse para usuarios o
grupos con nombre, como se describió en el cuadro de diálogo Configuración de
seguridad avanzada
15 MATTHEWS 01.indd 550 1/14/09 12:22:25 PM

ASEGURE LOS DATOS ALMACENADOS

La autentificación de usuarios coloca una cerradura en las puertas exteriores del equipo,
mientras el control de acceso coloca cerraduras en las puertas interiores, pero si alguien pasa
esas barreras, los datos estarán disponibles para cualquiera que lo desee. Por ejemplo, al-
guien puede tomar un disco duro y acceder a éste con otro sistema operativo; robar una laptop
y descifrar metódicamente las contraseñas. Incluso, más simple y común, un empleado pue-
de acceder, a propósito o por error, a datos que no debe tener y decide darles mal uso.
La respuesta a estos escenarios es que los datos no se puedan usar sin clave. Esto se hace
al cifrar un archivo, carpeta o todo el disco; así, no importará cómo se acceda a éste, ya sea
con otro sistema operativo o utilería de bajo nivel, cifrado e ilegible sin una clave; también
la clave estará cifrada para ser excepcionalmente difícil de obtener y usar.
Cifrado de archivos y carpetas

El cifrado de archivos y carpetas se ha integrado en NTFS de Windows Server 2008, deno-
minada sistema de cifrado de archivos (EFS, Encrypting File System). Una vez que EFS se activa
para un archivo o carpeta, sólo la persona que cifró el archivo o carpeta podrá leerlo, con la
excepción de que un administrador especialmente designado tendrá una clave de recupe-
ración para acceder al archivo o carpeta. La persona que cifró el archivo no tendrá que dar
pasos adicionales para acceder a él, y el archivo se cifra de nuevo siempre que se guarda.
Todo cifrado y descifrado se hace tras bambalinas sin ser evidente para el usuario.
NOTA Ni archivos ni carpetas del sistema, ni los archivos o carpetas comprimidas pueden
cifrarse. Tiene la opción de descomprimir un archivo o carpeta comprimido y después cifrarlo.
El proceso de cifrado
El cifrado real de un archivo o carpeta se hace con una clave de cifrado simétrica, la misma
para cifrado y descifrado, además muy rápida. La clave de cifrado simétrica (también deno-
minada clave secreta) se cifra por sí sola mediante la clave pública del propietario incluida en
su certificado EFS. (Consulte “El cifrado de clave pública y privada”, en páginas posteriores
de este capítulo.) Por tanto, el propietario con una clave privada que coincide con la clave
pública es el único que puede abrir el archivo cifrado (excepto por el administrador de re-
cuperación). Cuando se crea o regenera el archivo y asigna una clave asimétrica, ésta se cifra
dos veces, una para el propietario y otra para el administrador de recuperación. Después, si
surge la necesidad, el administrador de recuperación puede usar su clave privada o pública
para descifrar el archivo.
La clave asimétrica cifrada se almacena como parte de un archivo. Cuando una apli-
cación pide el archivo, NTFS va y la obtiene, ve si el archivo está cifrado y llama a EFS.
EFS trabaja con protocolos de seguridad para autentificar al usuario, usa su clave privada
para descifrar el archivo y pasa el archivo descifrado a la aplicación que la pide, todo en se-
gundo plano, sin signo de que esto toma lugar. Las rutinas de cifrado y descifrado son tan
rápidas en casi todos los equipos que ejecutan Windows Server 2008, que rara vez nota el
tiempo agregado.
15 MATTHEWS 01.indd 551 1/14/09 12:22:26 PM

SUGERENCIA Debido a que muchas aplicaciones guardan archivos temporales y secun-

darios durante la ejecución normal, se recomienda que los contenedores de cifrado sean
carpetas en lugar de archivos. Si luego se indica a una aplicación almacenar todos los
archivos en esa carpeta, donde todos los archivos se cifran automáticamente al guardar,
se mejora la seguridad.
Consideraciones relacionadas con el cifrado

Se deben cumplir varios requisitos para usar cifrado de archivos y carpetas:
▼ En Windows 2000 o posterior, NTFS debe estar en uso. Cualquier otro sistema de
archivos, ya sea NTFS o FAT de Windows NT 4, no funcionará con EFS
■ AD CS debe estar instalado y en ejecución en un equipo independiente o en un
dominio. Si no lo está, EFS enviará sus propios certificados, pero Windows Server
2008 los considerará “no confiables”
■ El usuario del archivo o carpeta debe tener un certificado EFS. Si no existe uno, se
creará automáticamente
▲ Deben existir uno o más administradores de agente de recuperación de certificados.
Si no existe uno, se designa automáticamente a un administrador predeterminado
y se envía un certificado. El administrador predeterminado en un equipo indepen-
diente es el administrador local; en un dominio, es el administrador de dominio, en
el primer controlador de dominio instalado
Administradores de agente de recuperación La razón para requerir un administrador de
agente de recuperación se pone en evidencia por la situación en que alguien deja una orga-
nización —tal vez por un accidente— y se necesitan sus archivos cifrados. Otra situación
es cuando un empleado malhumorado cifra archivos compartidos antes de dejar la organi-
zación. EFS se deshabilita sin un agente de recuperación, para que los archivos no puedan
cifrarse sin un medio de descifrarlos. Es posible asignar varios agentes de recuperación a un
archivo o carpeta EFS, pero debe haber por lo menos uno. Para cada agente de recuperación
y el usuario, una copia de la clave de cifrado simétrica cifrada con la clave pública de la
persona se almacena con el archivo cifrado. Quien descifre el archivo sólo revelará los datos
y no cualquiera de las otras claves.
Copie y mueva archivos EFS
Copiar y mover archivos y carpetas EFS tiene un significado especial. Aquí se muestran
las reglas:
▼ Si copia o mueve un archivo o carpeta sin cifrado a una carpeta cifrada, el elemento
copiado se cifrará
■ Copiar o mover archivos o carpetas cifradas a otro sistema de archivos, como NTFS de
Windows NT 4 o FAT32 de Windows 98, elimina el cifrado, aunque sólo el propietario
o agente de recuperación puede hacer esto. Todos los demás tienen acceso denegado
▲ La creación de copias de seguridad de archivos o carpetas cifrados con Copias de
seguridad de Windows Server 2008 deja los elementos cifrados
15 MATTHEWS 01.indd 552 1/14/09 12:22:26 PM

SUGERENCIA Cuando cree copias de seguridad de datos cifrados, asegúrese de que

las claves del usuario y el agente de recuperación también se respalden, lo que se puede
hacer con AD CS.
Use el cifrado de archivos y carpetas
El proceso real de cifrar un archivo o carpeta es muy sencillo; sólo se activa el atributo Cifra-
do. Dado que existe un administrador de agente de recuperación y el usuario que activa el
cifrado tiene un certificado EFS, queda muy poco por hacer. En las siguientes secciones verá
el proceso completo, incluida la certificación.
Cree certificados EFS

En páginas anteriores de este capítulo, bajo “Autentificación de certificado”, se expuso la
configuración de AD CS y la solicitud de certificados. Con los siguientes pasos se muestra
cómo pedir un certificado de Agente de recuperación de EFS:
1. Mientras siga en su sesión como el administrador que será el agente de recupera-
ción, abra MMC al hacer clic en el menú Inicio, seleccione Ejecutar, escriba mmc y
dé clic en Aceptar.
2. En la Consola, haga clic en el menú Archivo, seleccione Abrir y haga doble clic en su
consola Certificados. En el panel de la izquierda, abra Raíz de consola|Certificados:
usuario actual|Personal|Certificados.
3. Haga clic en el menú Acción y escoja Todas las tareas|Solicitar un nuevo certifica-
do. Se abre el asistente Inscripción de certificado. Haga clic en Siguiente.
4. Seleccione Agente de recuperación de EFS como plantilla de certificado, mostrada a
continuación, y haga clic en Inscribir y luego en Finalizar.
5. Cierre MMC.
15 MATTHEWS 01.indd 553 1/14/09 12:22:26 PM

Cifre un archivo y una carpeta

El cifrado de archivos o carpetas puede hacerse desde el Explorador de Windows o la
línea de comandos.
NOTA Los archivos y carpetas cifrados se despliegan en verde en el Explorador de

Windows.
Cifre un archivo desde el Explorador de Windows Aquí se muestran los pasos para cifrar un
archivo desde el Explorador de Windows.
1. Haga clic en Inicio|Equipo. En el árbol de carpetas, a la izquierda, abra el disco y
carpetas necesarias para desplegar el archivo correcto que quiere cifrar.
2. Haga clic derecho en el archivo y escoja Propiedades. En la ficha General, haga clic
en Avanzadas. Se abre el cuadro de diálogo Atributos avanzados.
3. Haga clic en Cifrar contenido para proteger datos.
4. Haga clic dos veces en Aceptar. Se obtiene

una Advertencia de cifrado acerca de que
el archivo no está en una carpeta cifrada;
esto significa que cuando edite el archi-
vo, no se cifrarán los archivos temporales
o de seguridad que pudieran crearse.
5. Seleccione la opción correcta. Si no quie-
re ver esta advertencia en el futuro, haga
clic en Siempre cifrar sólo el archivo.
Haga clic en Aceptar.
15 MATTHEWS 01.indd 554 1/14/09 12:22:26 PM

SUGERENCIA Para descifrar un archivo o una carpeta, sólo siga los mismos pasos uti-
lizados para cifrarlo y elimine la marca de verificación en Cifrar contenido para proteger
datos. Por supuesto, debe ser la persona que cifró originalmente el archivo o carpeta, o un
agente de recuperación.
Cifre una carpeta desde el Explorador de Windows El cifrado de una carpeta desde el Explo-
rador de Windows es muy similar, como verá en estos pasos:
1. Abra el Explorador de Windows y des-
pliegue, en el panel de la derecha, la car-
peta que quiere cifrar.
2. Haga clic derecho en la carpeta y dé clic
en Propiedades. En la ficha General, haga
clic en Opciones avanzadas. Se abrirá el
cuadro de diálogo Atributos avanzados.
3. Haga clic en Cifrar contenido para prote-
ger datos y haga clic dos veces en Aceptar.
Se abre el cuadro de diálogo Confirmar
cambio de atributos.
4. Se le pregunta si quiere aplicar el cifrado sólo a esta carpeta o a la carpeta, sus achi-
vos y subcarpetas. Si selecciona Aplicar cambios sólo a esta carpeta, los archivos
o carpetas existentes en la carpeta que está cifrando no se cifrarán, mientras sí se
cifrarán los archivos y carpetas que se crean o copian en la carpeta a continuación
del cifrado. Si selecciona Aplicar cambios a esta carpeta y a todas las subcarpetas y
archivos, se cifrarán los archivos y carpetas existentes, además de los elementos que
se creen o copien en el futuro.
5. Seleccione las opciones correctas. Haga clic en Aceptar.
PRECAUCIÓN Si seleccionó que se aplicarán cambios a esta carpeta y a todas sus

subcarpetas y archivos para una carpeta compartida con archivos y subcarpetas perte-
necientes a otros, se cifrarán esos archivos y carpetas con su clave, de tal modo que los
propietarios no podrán usarlos.
Pruebe el cifrado de archivos

¿Qué pasa cuando alguien intenta acceder a un archivo cifrado? Inténtelo. Salga de su se-
sión, inicie sesión como otro usuario y después pruebe abrir el archivo. Parece como si se
fuera a abrir y después se presenta un pequeño mensaje:
15 MATTHEWS 01.indd 555 1/14/09 12:22:27 PM

El mensaje real varía dependiendo de la aplicación con que intente abrir el ar-
chivo. Si el acceso es apropiado, el administrador de agente de recuperación podrá
resolver el problema.
Muy bien, ¿y qué pasa cuando quiere copiar el archivo a un sistema de archivos que no
es NTFS de Windows Server 2008, como una máquina con FAT32 de Windows 98 en la red?
El archivo ya no está cifrado cuando hace eso, ¿correcto? Inténtelo de nuevo, primero al ini-
ciar sesión con el usuario que cifró el archivo. Todo funcionará como se supone (el archivo se
copiará y ya no estará cifrado). Después salga de su sesión e inicie sesión como otro usuario
e intente copiar el archivo. Una vez más, parece como si fuera a funcionar y después aparece
otro pequeño mensaje.
Cifre un disco con BitLocker

Windows Vista y Windows Server 2008 tienen una nueva característica llamada Cifrado de
unidad BitLocker. BitLocker cifra todo el disco o volumen en que está instalado Windows
(y en Windows Server 2008 también pueden cifrarse discos o volúmenes adicionales); de
este modo, si le roban el equipo, se pierde o le quitan el disco, la información en esa uni-
dad estará protegida. BitLocker requiere que esté conectado un dispositivo USB, como una
unidad flash que contenga la clave para iniciar el equipo o restaurarse de una suspensión
(la llamaremos “clave USB”). Si el equipo tiene un Módulo de plataforma confiable (TPM
Trusted Platform Module) versión 1.2 —un componente de hardware—, BitLocker verifica-
rá además la integridad del sistema cuando inicia, usará la clave USB opcional y permitirá
el uso de un número de identificación personal (PIN) como opción. Si BitLocker con TPM
encuentra que la integridad del sistema se ha comprometido, empezando con los archivos
de arranque inicial o el disco ya no está en el equipo original, el sistema se bloqueará y no
iniciará. En ese momento, puede iniciarse un proceso de recuperación de BitLocker. Por
tanto, BitLocker tiene cuatro métodos de autentificación:
▼ BitLocker solo y una clave USB
■ BitLocker con TPM y sin componente de autentificación
■ BitLocker con TPM y una clave USB
▲ BitLocker con TPM y un PIN
El uso de BitLocker es todo, menos transparente; aparte de conectar la clave USB o in-
sertar un PIN, no existe evidencia de que está en uso. Si BitLocker bloquea el sistema debido
15 MATTHEWS 01.indd 556 1/14/09 12:22:27 PM

a una brecha de seguridad o una falla de hardware, alguien con la clave de recuperación
apropiada podrá implementar de forma sencilla el proceso de recuperación, en general con
un dispositivo USB o contraseña de recuperación.
Instalación de BitLocker
En Windows Server 2008, BitLocker no está instalado y debe añadirse como una caracterís-
tica en el Administrador del servidor.
1. Haga clic en Inicio | Administrador del servidor. Haga clic en Características, en el

panel de la izquierda y clic en Agregar características, en el panel de la derecha. Se
abrirá el Asistente para agregar características.
2. Haga clic en Cifrado de unidad BitLocker, en Siguiente y, por último, en Instalar.

3. Haga clic en Cerrar luego en Sí para reiniciar el equipo. Al reiniciar, la instalación
continuará. Cuando se le indique que la instalación tuvo éxito, haga clic en Cerrar.
Configure y controle Bitlocker

BitLocker se configura y controla en el panel de control BitLocker. Si el equipo que está con-
figurando no tiene TPM, necesita primero cambiar una directiva de grupo para permitir el
uso de una clave USB en lugar de TPM. Si piensa que tiene TPM (se le dirá rápidamente si
no tiene), puede omitir los tres primeros pasos en la siguiente serie.
1. Si va a usar una clave USB, insértela. Después
haga clic en Inicio|Ejecutar, escriba gpedit.msc y
oprima enter para abrir el Editor de directivas de
grupo local.
2. En el panel de la izquierda, abra Configuración
del equipo | Plantillas administrativas | Compo-
nentes de Windows | Cifrado de unidad BitLoc-
ker. En el panel de la derecha, haga doble clic en
Configuración del panel de control: habilitar op-
ciones de inicio avanzadas, para abrir el cuadro
de diálogo con ese nombre.
15 MATTHEWS 01.indd 557 1/14/09 12:22:27 PM

3. Haga clic en Habilitada y asegúrese de que exista una marca de verifica-

ción, a un lado de Permitir BitLocker sin TMP compatible. Haga clic en
ésta; si no está seleccionada, dé clic en Aceptar y cierre el Editor de direc-
tivas de grupo local.
4. Haga clic en Inicio | Panel de control y dé doble clic en Cifrado de unidad BitLocker.
5. En la ventana Cifrado de unidad BitLocker que se abre, haga clic en Activar BitLoc-
ker, bajo la unidad de Sistema, como se muestra en la figura 15-8.
Se le pregunta si realmente quiere usar el Cifrado de unidad BitLocker en un ser-
vidor, porque reduce el rendimiento y sólo se necesita si el servidor está en una
ubicación insegura (como una oficina).
6. Si quiere seguir adelante, haga clic en Continuar con el Cifrado de unidad BitLoc-
ker. Si tiene un TPM, puede decidir que se use BitLocker sin claves adicionales, sin
necesidad de PIN o clave USB, al hacer clic. Sin TPM, sólo tiene la opción Requerir
llave de inicio USB en cada inicio y necesita hacer clic en ella.
7. Si decide usar un PIN, se le pide que inserte y confirme su PIN. Si selecciona usar
una clave USB y tiene varias unidades extraíbles, haga clic en la unidad correcta. En
cualquier caso, dé clic en Guardar.
8. Se le pregunta dónde quiere almacenar la contraseña de recuperación e indica que
es recomendable almacenar la contraseña en varios lugares. Se recomienda que,
cómo mínimo, la almacene en una clave USB y un disco duro, en lugar de almace-
narla en cada equipo que esté cifrando (porque si roban el equipo, el ladrón tendrá
la clave). Haga clic en una opción y después repita para guardar o imprimir la clave
las veces que quiera.
Figura 15-8. Primero debe habilitar BitLocker en la unidad de Sistema y después puede
cifrar las unidades restantes en el servidor.
15 MATTHEWS 01.indd 558 1/14/09 12:22:28 PM

9. Haga clic en Siguiente. Se le indica que el cifrado está por iniciar y se le da la opción
de ejecutar una revisión del sistema para ver si las claves que almacenó están dis-
ponibles. Es muy recomendable hacer la revisión. Haga clic en Continuar.
10. Asegúrese de que la clave USB esté conectada y dé clic en Reiniciar ahora. Tras
reiniciar, debe ver un mensaje en un globo, en la bandeja del sistema que dice “Ci-
frado de unidad BitLocker (xx% completado)”. Si vuelve a abrir el panel de control
BitLocker, verá que el cifrado de unidad está en proceso.
15 MATTHEWS 01.indd 559 1/14/09 12:22:28 PM

Use un equipo con BitLocker

Usar un equipo con BitLocker no es muy diferente a usar uno sin éste, excepto que, a menos
que tenga TPM, debe conectar la clave USB antes de iniciar el equipo. Existen varios proble-
mas lógicos que debe tener en mente:
▼ Si crea, copia o mueve un archivo de una unidad o volumen BitLocker, se cifrará
automáticamente, pero sólo permanecerá así en esa unidad. Dado que el sistema se
inicia con la clave USB, PIN o TPM, el archivo estará disponible de la misma forma
que estaba antes de instalar BitLocker
■ Si copia o mueve un archivo de una unidad o volumen BitLocker a otra unidad sin
cifrado, el archivo se descifrará automáticamente en la segunda unidad
■ Si comparte archivos en la unidad BitLocker, otros usuarios con permisos apro-
piados podrán ver y usar los archivos como harían en una unidad sin BitLocker.
Los archivos permanecerán cifrados en la unidad BitLocker, pero el usuario po-
drá copiar, con el permiso correcto, el archivo a una unidad no cifrada donde
puede descifrarse
▲ Si el equipo en que trabaja tiene TPM e instaló BitLocker, cuando inicia, busca cual-
quier condición que puede representar algún intento de intrusión. Puede tratarse
de cambios a los archivos de inicio, errores de disco o cambios al sistema básico de
entrada y salida (BIOS, Basic Input/Output System). Cuando TPM con BitLocker
perciba cualquiera de estas condiciones, bloqueará el sistema y evitará que inicie.
Los mismos elementos que TPM/BitLocker revisa pueden verse afectados por una
falla de hardware, que causaría el bloqueo del sistema. Sin embargo, con la clave de
recuperación el sistema puede desbloquearse fácilmente
SUGERENCIA Una vez iniciado el equipo con la clave USB, es buena idea quitarla y
mantenerla en un lugar seguro.
Puede deshabilitar temporalmente BitLocker o desactivarlo por completo al hacer clic

en Desactivar BitLocker, en el panel de control Cifrado de unidad BitLocker. Deshabilitar la
unidad le permite al sistema reiniciar sin clave, como tal vez quiera hacerlo para actualizar
el sistema, cambiar el BIOS o cualquiera de los archivos de inicio, pero la unidad permanece
cifrada y usa una clave de texto simple almacenada en su equipo. Desactivar BitLocker des-
cifra el disco, que quizás tarde un poco.
15 MATTHEWS 01.indd 560 1/14/09 12:22:28 PM

Puede duplicar la clave de inicio o contraseña de recuperación al hacer clic en Admi-

nistrar claves de BitLocker, en el panel de control Cifrado de unidad BitLocker. Cuando
haga clic en Duplicar la contraseña de recuperación, se abrirá el mismo cuadro de diálogo
Guardar la contraseña de recuperación ya visto y podrá guardar una copia de la contraseña
de recuperación en otra clave USB, carpeta de un disco duro o imprimirla. Si hace clic en
Duplicar la clave de inicio, puede seleccionar otra clave USB para guardarla.
Recupere BitLocker
Si la clave USB no está presente o el sistema se bloquea por alguna otra razón, tendrá un
mensaje indicando que BitLocker ha evitado que el sistema inicie y debe insertar una clave
USB (puede ser una con clave de inicio o contraseña de recuperación) y oprimir esc para
reiniciar, u oprimir enter para ver una pantalla donde puede insertar la contraseña de re-
cuperación. Si no tiene teclado numérico, puede usar las claves de función como números
(F1=1, F2=2, F10=0, etc.). Una vez que haya insertado la contraseña correcta, el proceso de
inicio continúa automáticamente.
EL CIFRADO DE CLAVE PRIVADA Y PÚBLICA

En la actualidad, existen varios esquemas de cifrado para asegurar la transmisión de datos:
cifrado de clave privada, cifrado de clave pública y la combinación de ambos. Al conjunto
de los tres esquemas, tecnología y estándares o protocolos que los rodean se les conoce co-
lectivamente como infraestructura de clave pública (PKI, public key infrastructure). En Windows
Server 2008, PKI es parte integral del sistema operativo, sobre todo en Active Directory.
Windows Server 2008 ha implementado los tres esquemas de clave de cifrado, que dan so-
porte completo con AD CS.
Cifrado de clave privada

El cifrado de clave privada o cifrado simétrico (también usado en el cifrado de archivos y
carpetas, como ya se expuso) es relativamente antiguo y utiliza una sola clave para cifrar
y descifrar un mensaje. Esto significa que la clave por sí sola debe transferirse de un emi-
sor a un receptor. Si esto se hace a través del teléfono, Internet e incluso un servicio de
mensajería, una persona no autorizada simplemente necesita interceptar la transferencia
de clave para obtenerla y descifrar dicho mensaje. Sin embargo, el cifrado de clave priva-
da tiene un beneficio importante: es mucho más rápido (mil veces más rápido) que otras
opciones. Los esquemas de clave privada son, por tanto, valiosas en situaciones donde no
tiene que transferir la clave o puede hacerlo con seguridad (para uso personal en cifrado
de datos, como ya se analizó, o durante el envío de información a alguien conocido). En
Windows Server 2008 hay varios esquemas de clave privada para intercambiar informa-
ción. Si transfiere información entre equipos de Windows Server 2008 y Windows Vista,
el estándar de cifrado avanzado (AES, Advanced Encryption Standard) 128 se utilizará
como opción predeterminada, con la aplicación de una clave de 128 bits. Entre las mismas
versiones de Windows, AES-192 y AES-256, también hay disponibles con claves mayores.
Para intercambios con versiones más antiguas de Windows y otros sistemas operativos, la
15 MATTHEWS 01.indd 561 1/14/09 12:22:28 PM

opción predeterminada es 3DES (cifrado de tres pasos instrumentado con el estándar de

cifrado de datos: Data Encrypting Standard). El DES más antiguo, que usa una clave 56
bits, ya no se considera muy seguro.
Cifrado de clave pública

El cifrado de clave pública o cifrado asimétrico, desarrollado a mediados de la década de 1970,
utiliza un par de claves (pública y privada). La clave pública es conocida y transferida en
forma pública para cifrar un mensaje. La clave privada nunca deja a su creador y se usa
para descifrar el mensaje. Si dos personas utilizan dicha técnica, cada una genera una clave
pública y una privada y después intercambian la clave pública abiertamente, sin importar
quién las copie. Cada persona cifra su mensaje para el otro mediante la clave pública de la
otra persona y después se envía el mensaje. Entonces puede descifrarse y leerse el mensaje
con la clave privada almacenada por el receptor. Las claves públicas y privadas usan un al-
goritmo matemático que las relaciona con el mensaje cifrado. Con el uso de otros algoritmos
matemáticos es muy sencillo generar pares de claves, pero sólo si se tiene la clave pública,
es extremadamente difícil generar la clave privada. El proceso de cifrado de clave pública es
lento, en comparación con el cifrado de clave privada. El de clave pública es mejor para
entornos abiertos, donde emisor y receptor no se conocen.
Cifrado combinado de clave pública y privada

Casi todos los cifrados en Internet realmente son una combinación de métodos de cifrado
de clave pública y privada. La combinación más común, capa de conector seguro (SSL), fue
desarrollada por Netscape para desplazamientos entre HTTP y TCP/IP. SSL proporciona
una seguridad alta y medios muy rápidos para autentificación y cifrado.
Recuerde que el cifrado de clave privada es muy rápido, pero tiene el problema de
que transfiere la clave, mientras el cifrado de clave pública es muy seguro pero lento. Si
quisiera iniciar una transmisión segura a través de una clave pública para cifrar y enviar
una clave privada, entonces puede usar la clave privada de forma segura para enviar rápi-
damente la cantidad de datos que desee. Así funciona SSL. Utiliza una clave pública para
enviar una clave privada elegida en forma aleatoria y, al hacerlo, configura un “conector
seguro” con el que cualquier cantidad de datos puede cifrarse, enviarse y descifrarse rápi-
damente. En seguida de que el encabezado SSL ha transferido la clave privada, el emisor
cifra automáticamente toda la información transferida en ambas direcciones durante una
sesión dada (incluido URL, cualquier solicitud de un ID de usuario y contraseña, toda la
información Web HTTP y cualquier dato insertado en un formulario) y el receptor la des-
cifra automáticamente.
Existen varias versiones de SSL; la versión 3 es la más usada. Provee más seguridad que
las versiones anteriores y ofrece autentificación mejorada.
Otra combinación de métodos de clave pública y privada es seguridad de capa de trans-
porte (TLS), estándar de seguridad abierto similar a SSL 3. TLS, que fue diseñado por Inter-
net Engineering Task Force (IETF), emplea algoritmos de cifrado diferentes de SSL. Por otra
parte, TSL es muy similar a SSL, incluso tiene la opción de revertir SSL si fuera necesario.
SSL 3 y TLS han sido propuestos por el comité de estándares World Wide Web Consortium
(W3C) como estándares de seguridad.
15 MATTHEWS 01.indd 562 1/14/09 12:22:29 PM

Claves de cifrado y certificados

El uso de PKI en Windows Server 2008 e Internet depende de certificados digitales para
enviar, autentificar y mantener claves de cifrado. (Consulte “Autentificación de certificado”,
en páginas anteriores de este capítulo, para conocer una exposición acerca de los certifica-
dos y cómo enviarlos y usarlos.) Para obtener una clave de cifrado, se obtiene un certificado
que incluye la clave. Para autentificar ésta, se utiliza el certificado que la incorpora. La clave
se almacena en un certificado, que es el medio por el que se mantienen las claves en una
organización. AD CS suministra todos estos servicios en Windows Server 2008.
NOTA Windows Server 2008 incluye una característica llamada siguiente generación de
cifrado (CNG, Criptography Next Generation) que interactúa con PKI para permitir la crea-
ción y uso de algoritmos de cifrado personalizados. No obstante, el uso de éstos está más
allá del alcance de este libro.
TRANSMISIÓN SEGURA DE DATOS

Hasta el momento, en este capítulo se ha expuesto la relación entre seguridad de equipos
y su contenido, sin mencionar transmisión de datos entre equipos, mediante correo elec-
trónico u otra forma de transferencia de información en una LAN, intranet o Internet. Sin
embargo, la necesidad de extender una red a partes remotas de una organización, clientes
y proveedores es muy real y requiere la transmisión segura de datos. Transmisión segura
de datos significa que el cifrado de la información se transmite para no ser leída ni mal
empleada por quienes no deben hacerlo. El cifrado de la información es tan antiguo como
la humanidad y realmente ha florecido con el advenimiento de los equipos de cómputo. El
cifrado de datos se ha vuelvo tan sofisticado, que el gobierno de Estados Unidos ha expre-
sado su preocupación temiendo no descifrarlos (¿puede imaginarse eso?); hasta hace pocos
años tenía prohibido movilizarlos hacia tecnología más avanzada (de todas formas, todos
accedían a ellos por Internet).
Implemente la seguridad en la transmisión de datos

Puede pensar que SSL y TLS son estupendos, pero que su uso es complejo. En realidad, am-
bos son fáciles de usar, ya sea a través de Internet o internamente en una LAN.
Implemente transmisiones seguras en Internet y la intranet

Para implementar transmisiones seguras en Internet e intranet, requiere un servidor Web
compatible con SSL o TLS, como Microsoft IIS 7, además de un explorador Web que le dé
soporte, como Microsoft Internet Explorer 7, ambos incluidos en Windows Server 2008. En
el explorador, para visitar un sitio Web con SSL o TSL implementados, simplemente nece-
sita comenzar el URL con https://en lugar de http:// (consulte el capítulo 9 sobre IIS, para
adquirir detalles respecto a la manera de implementar sitios Web seguros). SSL entrará en
acción, sin siquiera percatarse de lo que pasa; explorador y servidor deciden qué algoritmo
de cifrado usar para transferir una clave privada y después emplean dicha clave, al igual
que el esquema de cifrado de clave privada elegido para cifrar y descifrar todos los demás
datos durante la sesión.
15 MATTHEWS 01.indd 563 1/14/09 12:22:29 PM

Una vez conectado mediante SSL, su explorador indicará que se ha establecido una co-
nexión segura. IE7 despliega un icono de candado a la derecha de la barra de direcciones.
NOTA Aunque la combinación de cifrado público y privado es relativamente fácil, aun

resulta mucho más lento que si no se tuviera cifrado. Por eso, se recomienda sólo utilizar
SSL cuando envía información importante, como datos financieros o de una tarjeta de
crédito, no para todo el sitio Web.
Implemente una transmisión segura LAN

Aunque SSL puede usarse en una LAN e intranet, requiere un servidor de seguridad (cuya
función cumple IIS) y puede interponerse en el camino de aplicaciones que trabajan en una
LAN. La respuesta a esto es la seguridad de protocolo de Internet (IPSec, Internet Protocol Secu-
rity), funcionando entre dos equipos de una red para proporcionar transmisión cifrada de
información sin un servidor de seguridad ni bloqueos entre aplicaciones. IPSec es parte
de IP y funciona en la tercera capa (de red), bajo cualquier aplicación, por ello no interfiere
con éstas (consulte el análisis de las capas de red en “El modelo OSI” en el capítulo 5).
El proceso IPSec IPSec está automatizado casi en su totalidad; una vez que las directivas de
grupo se establecen para esta operación, los usuarios de red no perciben que su comunica-
ción de red está tomando lugar en forma segura. El proceso para establecer y aplicar IPSec
es el siguiente:
1. Se definen las directivas de dominio o equipo local para especificar cuál es el tráfico
de red que necesita asegurarse y cómo se manejará esa seguridad.
2. Con base en las directivas, IPSec establece un conjunto de filtros para determinar
cuáles paquetes de red demandan transmisiones seguras.
3. Cuando IPSec recibe de una aplicación remitente una serie de paquetes de red que
requieren transmisión segura, el equipo emisor notifica esto al equipo receptor. Am-
bos equipos intercambian credenciales y se autentifican entre sí, según las directi-
vas IPSec.
4. Dada la autentificación, los dos equipos establecen un algoritmo con el que cada
equipo puede generar la misma clave privada sin retransmitirla en red, nuevamen-
te de acuerdo con las directivas IPSec.
5. El equipo emisor utiliza la clave privada para cifrar los paquetes que transmite,
los firma de forma digital para que el equipo receptor conozca quién envía los
paquetes y después transmite los paquetes.
6. El equipo receptor autentifica la firma digital y utiliza la clave para descifrar los
paquetes y enviarlos a la aplicación receptora.
Configure IPSec Para configurar y usar IPSec, sólo necesita establecer o revisar las directi-
vas predeterminadas de IPSec. Puede hacer esto mediante el complemento Seguridad IP en
MMC, con estos pasos:
1. Haga clic en Inicio | Ejecutar, escriba mmc y oprima enter. Se abre la consola MMC.
2. Haga clic en el menú Archivo y seleccione Agregar o quitar complementos; vaya
hacia abajo y dé doble clic en Administrador de las directivas de seguridad IP.
15 MATTHEWS 01.indd 564 1/14/09 12:22:29 PM

3. Seleccione si quiere administrar las directivas de seguridad para el equipo local,

dominio AD del que es miembro este equipo, otro dominio AD o equipo (en este
ejemplo se usa un dominio) y dé clic en Finalizar.
4. Si está abierto, cierre el cuadro de diálogo Agregar complementos independientes y
dé clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos.
Abra Raíz de consola y dé clic en Directivas de seguridad IP en Active Directory,
para que su MMC se vea como aquí:
5. Haga clic derecho en Secure Server y clic en Propiedades. En la ficha Reglas verá
una lista de Reglas de seguridad IP, como se muestra aquí:
6. Seleccione la regla All IP Traffic y haga clic en Editar. Se abre el cuadro de diálogo
Propiedades de Modificar la regla. Revise cada una de las fichas y regrese a la ficha
Acción de filtrado.
7. Haga clic en Request Security y luego en Editar, con lo que desplegará una lista de
métodos de seguridad similar a la lista en la figura 15-9. Puede seleccionar cada uno
de éstos y dar clic de nuevo en Editar, para elegir el método de seguridad particular
que quiere para una situación dada.
8. Cuando haya terminado, haga clic dos veces en Aceptar, después clic dos veces en Ce-
rrar para volver a la consola IPSec, donde también puede hacer clic en el botón Cerrar,
contestando Sí para guardar la configuración de la consola con el nombre IPSec.
Verá que la acción predeterminada de IPSec en Windows Server 2008 es pedir segu-
ridad en todo el tráfico. Se trata de una opción predeterminada segura; sus datos estarán
mejor protegidos. El lado negativo de esta opción predeterminada es que la negociación
de seguridad entre equipos, cifrado y descifrado de datos, además de los bits adicionales
15 MATTHEWS 01.indd 565 1/14/09 12:22:29 PM

Figura 15-9. Windows Server 2008 presenta muchas opciones para especificar
el nivel de seguridad utilizado.
que se transmitirán, toman tiempo. Esto también usa mucho más ancho de banda en la red.
Sólo usted y su organización pueden determinar qué es más importante (tiempo y ancho
de banda o la seguridad). Lo importante es que Windows Server 2008 concede la opción,
permitiéndole determinar qué aspecto de la red tiene mayor prioridad.
15 MATTHEWS 01.indd 566 1/14/09 12:22:30 PM

ÍNDICE
Números y adaptadores de red, 115
3DES (cifrado de tres pasos con
100BaseF, 111 el estándar de cifrado de datos), 298, 561
100BaseFX, 107 64 bits, versión, 251
100BaseT (Fast Ethernet), 107
adaptadores, 114, 115
instalación, 111
100GBase (100 Gigabit Ethernet, 100GbE), 107
A
1000Base (Gigabit Ethernet): Acceso directo a memoria directo (DMA), 145
diseño, 130 Acceso múltiple de percepción de portador
instalación, 111 con detección de colisiones (CSMA/CD), 105
1000BaseF (fibra 1000Base), 107 Acceso rápido, barra de herramientas, 161
especificaciones, 112 Acceso remoto (véase Terminal Services)
estándares, 120 Acceso Web de Terminal Services, 326, 347-349
y láseres, 120 configuración, 347
1000BaseT, 107, 112 e IIS 7, 347
10Base2 (Thinnet, Cheapernet), 106-107 uso, 347-349
especificaciones, 112 y Conexión de escritorio remoto, 347
instalación, 111 y Sitios de confianza, 347
10Base5 (Thicknet), 106 Acceso Web de TS (véase Acceso Web
especificaciones, 112 de Terminal Services)
instalación, 111 Accesos directos (objetivo de carpetas):
10BaseF (fibra 10Base), 107, 112 a confianzas, 207-208
10BaseT (par trenzado), 107 creación, 346
adaptadores, 114, 115 y nombre de espacio DFS, 405
especificaciones, 112 Acciones, panel, 269
instalación, 111 Acciones al hacer clic, 480
10GBaseF (fibra l0GBase), 112 ACL (lista de control de acceso), 371
10GBaseT (10 Gigabit Ethernet, l0GbE), 107, 112 ACT (véase Conjunto de herramientas de
3Com: compatibilidad de aplicaciones)
conmutadores, 127 Active Directory (AD), 17, 188, 214
567
INDICE MATTHEWS 01.indd 567 1/14/09 12:23:07 PM

acceso directo a confianzas, 207-208 de red multipuerto, 114

actualización, 46-47 de red que no funcionan, 147
árboles, 205-207 memoria, 114
bosques, 204-205 multipuerto, 114
configuración, 200 nombres de marcas, 115
controladores de dominio en, 188, 196-198, 541-544 para administración remota, 115
copias de seguridad, 211 para inicio remoto, 115
detección y resolución de colisiones, 213-214 que no funcionan, 147
e IPSec, 312 recursos, 145-147
entorno, 188-189 y la interfaz de componente periférico, 113-115
esquemas, 200-201 Adelante, botón, 266
estructura, 200, 203-209 Administración (véase Administración del sistema)
funciones, 188 Administración de almacenamiento y recursos
información, 193 compartidos, 376-382
instalación, 194-200 Asistente para aprovisionamiento
mejora, 46-47 de almacenamiento, 376, 380
objetos, 200-203 Asistente para aprovisionamiento de carpetas
OU, 208-209 compartidas, 376, 381-382
publicar elementos, 201-203 Funciones, 376
RAS, 226 y Servicios de archivo, 375
replicación, 210-213 Administración de directivas de grupo, 507, 508
servicios, 209 Administración de discos, 369, 373-375, 383
unidades organizativas, 189, 190 Administración de discos, panel, 15, 384-386
y autentificación de usuario, 524 Administración de dispositivos, 475-176
y controladores de dominio primarios, 196 Administración de documentos, 441
y DNS, 190-192 Administración de equipos, 15, 524
y dominios, 46-47, 188, 191-194, 203-204 Administración de impresión, 16, 71
y el maestro de operaciones, 46-47, 199-200 Administración de impresoras, 441
y MMC, 197 Administración de seguridad, 17
y nombre de espacio, 190 Administración de sistema, 12-18
y nombre de espacio DNS global, 193-194 administración de impresión, 16
y publicación de directorio, 201-202 administración de seguridad, 17
y publicación de impresora, 202-203 administración de sistema de archivos, 14-15
y seguridad, 522 administración del sistema, 13-14
y servidor de catálogo global, 198-199 con Panel de control, 18
y sitios, 209-210 e IIS 7, 251, 269-273
y Terminal Services, 326 en Windows NT, 202
y VPN, 309, 312 herramientas, 12, 13, 18
Active Directory Rights Management Services, 73 remota, 269-273
Actualizaciones, 516-519 y Active Directory, 202
automáticas, 517-519 y licencias, 353
automáticas de mantenimiento, 519 Administración de volumen dinámico, 401-404
automáticas, uso, 518 Administración del servidor, 13-14
con Windows Update, 46 Administración del Sistema de archivos
manuales, 517 distribuido, 407-416
para Active Directory, 46-47 de Espacios de nombres DFS, 407-409
semiautomáticas, 519 de Replicación DFS, 409-412
Actualizar página, 266 inicio, 406-107
AD (véase Active Directory) Administración DFS (véase Administración
AD CS (véase Certificate Services de Active Directory) de sistema de archivos distribuido)
AD DS (véase Servicios de dominio de Active Directory) Administración remota, 269-273
Adaptadores, 113, 114, 142-147 con IIS 7, 269-273
conexiones, 113-114 con Servicio de administración, 269, 270-271
configuración, 142-147 de servidores Web, 269-273
consideraciones, 112 Administrador de cuentas de seguridad (SAM), 497, 523
controladores, 143-145 Administrador de Internet Information
costo, 110 Services (IIS), 265-269
de Linksys, 113 abrir, 264-266

Índice 569
barra de herramientas de Navegación, 266 rangos, 168

en Administrador del servidor, 264 universales, 543
panel Acciones, 269 y DHCP, 166-168, 171
panel Conexiones, 266-267 American Registry for Internet Numbers (ARIN), 159, 160
Administrador de licencias de Terminal Ampliador, 479
Services, 326, 353-358 Ancho de banda, administración, 252
activación de servidor, 356-358 Antes del arranque, 499
configuración de usuario, 358 APIPA (véase Direccionamiento IP automático privado)
implementación, 353 Aplicación, capa, 103
servicio de función, 354-356 delegación, 269
Administrador de licencias de TS (véase Administrador de APNIC (Asia Pacific Network Information Center), 159
licencias de Terminal Services) Apuntador urgente, 139
Administrador de memoria virtual, 499 Árboles:
Administrador de Puerta de enlace de Terminal en Active Directory, 205-207
Services, 350-351 y DNS, 206
Administrador de recursos del servidor de archivos y dominios, 206, 207
(FSRM), 375, 412-116 Archivos:
Administrador de RemoteApp de TS, 338 cifrado, 396, 400-101, 551-556
Administrador de servicios de Fax, 460, 467 cifrado de archivos de prueba, 555-556
Administrador de Terminal Services, 325, 334-335 compresión de datos, 396-397
Administrador del servidor, 4, 13, 70-80 comprimidos con NTFS, 398
Administrador de impresión, 71 de Registro, 501
Administrador de Internet Information descifrado, 555
Services (IIS), 264 EFS, 552-553
e instalación, 9, 13, 253 permisos, 550
Herramientas administrativas, 490 permisos especiales, 550
y características, 14 ARCnet, 104
y DFS, 406 Área de trabajo, cableado, 122
y el panel Administración de discos, 15 Arial, 452
y Fax y escáner de Windows, 460 ARIN (véase American Registry for Internet Numbers)
y funciones, 13 ARP (Protocolo de resolución de direcciones), 156
y funciones de servidor, 72-73 Arranque, 499
y Terminal Services, 330 arranque de red PXE, 88
Administrador Web, 292 desde una unidad de DVD, 48, 49, 50, 58
Administradores de agente de recuperación, 552 directo, 48-50
Administradores, grupo, 546 dual, 32-33
Adobe Systems, Inc., y fuentes, 448 e instalación limpia, 58-59
Adprep, 47 imágenes, 85-87
ADSI (Interfaz de servicio de Active Directory), 201 remoto, 115
ADSL (línea asimétrica de suscripción digital), 219 y BIOS, 50
AES (estandar de cifrado avanzado), 561 Arriba, en panel Conexiones, 267
Agente de sesiones de Terminal Services, 326 Asia Pacific Network Information Center (APNIC), 159
habilitación, 351-353 Asignación:
y Active Directory, 326 de Active Directory, 189
Agregar funciones, 489 de certificados, a cuentas de usuario, 536-538
Agrupación en clústeres, 6, 251, 370 de controlador, en espacio de trabajo del
Alámbrica, red, 110 Administrador de Internet Information Services
Almacenamiento en caché: (IIS), 267
plantilla, 252 de nombres a dominios, 200
reglas de almacenamiento en caché de salida, 268 de nombres a servidores, 160
AltaVista, 240 Asignador de descubrimiento de topología, 150
Ámbitos, 157 de nivel de vínculos, 150
adición, 166-167 Asistente para agregar funciones, 74, 75, 327
de dominio local, 541 Asistente para agregar impresora, 429-431
de servidor de licencias, 355 Asistente para aprovisionar almacenamiento, 376, 380
global, 541 Asistente para aprovisionar una carpeta
globales, 543 compartida, 376, 381-382
opciones de nivel, 171 Asistente para carpeta compartida, 380

Asistente para la instalación de Servicios de dominio de Bob Metcalfe, 104

Active Directory, 195, 196 Boletos, sistema, 526
Asistente para programación de copias Bosques:
de seguridad, 418, 421 en Active Directory, 204-205
Asistente para recuperación, 423-425 y replicación, 410
Ask (sitio Web), 240 Botones, ficha, 481
ASP (véase Páginas activas de servidor) Botones del ratón, 479
ASP.NET (páginas de servidor activo con el uso Búfer, inclusión, 290
de Microsoft .NET Framework), 248, 249, 254 Bus serial universal (USB):
Atrás, botón: adaptadores, 113, 142
de Internet Explorer, 239 e impresoras, 430
de la barra de herramientas Navegación, 266 escáner de huella digital, 527
Audio, transmisión por secuencia, 290, 292 y BitLocker, 556
Autentificación, 522-538 Buscar, ficha, 481
básica, 255 Búsqueda
con contraseñas, 526-528 capacidad, 239
de asignaciones de certificado de cliente de IIS, 255 de sitios Web, 241-243
de certificado, 528-538 en idioma natural, 481
de certificado con AD CS, 528-530 inversa, 160
de certificado en servidores enpresariales, 529 zonas de bosque inversa, 160, 174-176, 192
de certificado en servidores independientes, 529
de usuario, 522-526
de usuario en el equipo local, 523-524 C
de Windows, 255 CA (véase Autoridad de certificación)
espacios de trabajo en el Administrador Cableado, 116-122
de Internet Information Services (IIS), 267 área de trabajo, 122
integrada, 249, 255 cable de fibra óptica, 118-121
usuario, 524 comparaciones de costos, 122
Windows, 255 doblado, 117
y Active Directory, 524 dúplex, 120
y capa de conector seguro, 524 en topología de estrella, 119
Autor, modo, 489 espina dorsal, 121
Autoría y versión distribuidas de Web (WebDAV), 248 estándares TIA/EIA, 121-122
Autoridad de certificación (CA), 309-311, 528 horizontal, 121
administración, 310-311 largo del, 118
con AD CS, 529 par trenzado sin blindar, 116-118
configuración, 309-310 simplex, 120
instalación, 309-310 y topología de estrella, 119, 130
lista, 533-536 zipcord, 120, 122
raíz, 529 Canalizar, 435
resumen, 530-531 Cancelar impresión, 445
subordinada, 529 Capa de conectores seguros (SSL):
y servidor VPN, 309-311 para autentificación de usuario, 524
Autoridad de certificado subordinada, 529 y cifrado, 562
Autorización de URL, 255 Capacidad, rastreo para planeación, 252
Avanzado, ficha, 484-485 Carga de impresión, 457
Ayuda, en la barra de herramientas Navegación, 266 Carga de procesos de arranque, 499
Carga inicial del programa (IPL), 499
Cargador de arranque de Windows, 499
B Cargar subárbol, 497
Bandejas de alimentación de papel, 439 Carpetas:
BDC (véase Controladores de dominio cifrado, 396, 400-401, 551-556
de copia de seguridad) compartidas, 376
“Bien conectados”, sitios, 209-210 compresión de datos, 396-397
Biométricos, dispositivos, 527 descifrado, 555
BIOS (véase Sistema de entrada/salida básico) exploración, 480
Bloque de mensaje de servidor (SMB), 382 perfiles, 513
Bloqueo de clic, 481 permisos, 545-547

Índice 571
permisos especiales, 547 y WDS, 82

Cartucho, fuentes, 447 Cifrado de unidad BitLocker, 556-561
Caseras, tecnologías de red, 110-111 cifrado con, 556-561
CCK (codificación complementaria de llaves), 108 configuración, 557-559
CD (disco compacto), 6 controles, 557-559
Centro de accesibilidad, 476-477 instalación, 557
Centro de distribución de claves (KDC), 526 modos de autentificación, 556
Centro de Favoritos, 241 recuperación con, 561
Centro de redes y recursos compartidos, 63-64, 66, 76 uso de equipos, 560-561
Certificados: y PIN, 556
asignar a cuentas de usuario, 536-538 Cifrado de punto a punto de Microsoft (MPPE), 295, 297
cifrado, 563 C-ip, campo, 284
EFS, 552, 553 Circuitos virtuales, 103
emisión, 313-315 Citrix, 325
mediante conexión Web, 531-532 Claves (subárboles), 494-497
seguridad, 262 cifrado, 563
solicitud, 531-533 HKEY_LOCAL_MACHINE, 495
solicitud directa, 532-533 HKEY_USERS, 494
y servidor VPN, 313-315 y subárboles, 496-497
Certificados de seguridad: y subclaves, 496-497
en IIS 7, 262 Claves de producto, 56
en Puerta de enlace de Terminal Services, 329 Claves secretas (cifrado simétrico), 551
CGI, 254 Clic en el Monitor de recursos, 488
CHAP (protocolo de autentificación Clientes:
de desafío de saludo), 296-297 diferencia entre servidores y, 100
Cheapernet (véase 10Base2) en redes, 99, 100
Cifrado, 551-563 opciones de nivel, 171
archivos EFS, 552-553 Servicios de nombre de Internet, 181-182
asimétrico (cifrado de clave pública), 562 servidor, LAN, 99-100
certificados, 563 Cloruro de polivinilo (PVC), 117
certificados EFS, 553 Clúster de conmutación por error, 6
cifrado de archivos de prueba, 555-556 CMP (véase Plenum, cable)
cifrado de clave privada, 561, 562 CMR (véase PVC, cable)
cifrado de clave pública, 562 CNG (Siguiente generación de cifrado), 563
claves, 563 Codificación complementaria de llaves (CCK), 108
con BitLocker, 556-561 Cola de impresión, 437, 440
consideraciones, 552-553 Cola de impresora, 443-447
de archivos, 396, 400-401, 551-556 Colisiones, 105
de carpetas, 396, 551-556 detección/resolución, 213-214
de clave privada (cifrado asimétrico) y replicación, 214
para certificados, 529 y velocidad, 108
de clave privada (cifrado simétrico), 561, 562 .COM, 190
de clave privada y de clave pública, 562 COM, puertos, 219, 430
de clave pública (cifrado asimétrico), 562 Compartir, permiso, 549
de discos duros, 400-401 Compatibilidad de aplicaciones, 28-29
de PIN, 527 Compatibilidad del sistema, 24-27
de unidades, 556-561 Compendio de mensajes, 296, 297
desde el Explorador de Windows, 554-555 Complementarias, fuentes, 452
en sistema de boletos, 526 Complementos, 489
proceso, 551-552 Compresión de datos, 395-398
simétrico (secreto), claves, 551 archivos comprimidos NTFS, 398
y administradores de agente de recuperación, 552 en discos duros, 395-398
y la capa de conectores seguros, 562 en el espacio de trabajo del Administrador
y sistemas de archivo FAT, 552 de Internet Information Services (IIS), 267
Cifrado de sistema de archivos (EFS), 551-552 para archivos, 396-397
certificados, 552, 553 para carpetas, 396-397
copia y movimiento de archivos, 552-553 para volúmenes, 395-396
para cifrado, 553 y cuotas, 399

y sin compresión, 396 Consolas, 489, 490

Compresión diferencial remota (RDC), 409 Contadores, 288, 289
Comunicaciones, 11-12, 218 Contaminación inalámbrica, 110
conexión a Internet, 11-12, 235-246 Contenedores, 188 (véase también Grupos)
en Windows Server 2008, 12 Contenedores de directiva de grupo (GPC), 506
externas, 11-12 Contenido dinámico, 262, 263
hardware, 12 Contenido estático:
Servicio de acceso remoto, 12, 223-230 compresión, 255-256
telefonía, 218-223 e IIS 7, 254, 255
y enrutador de Windows Server 2008, 230-235 Contenido Web dinámico, 262-263
Concentradores, 123 Contorno, fuentes, 448
Concesiones, 157 Contraseñas, 526-527
dirección de monitor, 172 autentificación, 526-528
duración, 168-169 configuración, 183-184
Conectores seguros, 562 fortaleza, 59, 76
Conexión a Escritorio remoto (RDC), 360 largas, 184
administración mediante, 359 para dominios, 76
con RemoteApp de TS, 343-346 y dispositivos biométricos, 527
configuración, 360-363 y nombres de usuario, 183-184
habilitación, 359 y tarjetas inteligentes, 527
uso, 359-360 Contraste alto, 479
y Acceso Web de TS, 347 Control de acceso, 17, 538-550
y modo de servidor de aplicaciones, 335 con grupos, 539-544
y RemoteApp de TS, 340 con permisos, 544-550
y Terminal Services, 326, 330 propietario, 538-539
Conexiones Control remoto y conectar, 334
automáticas, 356 Control total, permisos, 546, 548, 550
externas, 11-12 Controladores:
principales cruzadas, 121 en Administrador de dispositivos, 475
Conexiones, panel, 266-267 para adaptadores de red, 143-145
Confiabilidad, 250 para impresoras, 428
Confianza, relaciones, 205 para tarjetas inteligentes, 527
Configuración Controladores de dominio (DC), 188, 194
compartida, 268 adición, 195
de partición de datos, 210 detección/resolución de colisión, 213-214
de Windows Server 2008, 8-10 en Active Directory, 188, 196-198
Configuración del sistema, utilería, 499, 500 en modo mixto, 198
Configuración regional y de idioma, 482-483 PDC, 195, 196
Conjunto de aplicaciones, 250 remplazar existente, 196-198
Conjunto de clon de control, 499 replicación, 211
Conjunto de herramientas de compatibilidad servidor como, 184
de aplicaciones (ACT), 90, 92 sólo lectura, 198, 214
Conjunto redundante de discos y Terminal Services, 326
independientes/económicos (RAID), 369 Controladores de dominio de copia de seguridad
Conmutadores, 123-127 (BDC), 196, 198
apilables, 124-126 Controladores de dominio de sólo lectura
de capa 3, 123 (RODC), 198, 214
empresariales (modulares), 126-127 Controladores de dominio primarios (PDC), 195, 196
independientes, 123-124 emulador, 199
modulares (empresariales), 126-127 y Active Directory, 196
segmentación, 123 Convención universal de asignación
Consola Administración, 256 de nombres (UNC), 278
Consola de administración de IIS, 256 Convert.exe, 372-373
Consola de administración de Microsoft (MMC), 489-493 Copias de seguridad, 416
creación, 490-493 antes de la instalación, 40
uso, 493 completas (regulares), 416
y Active Directory, 197 copia, 416
y certificados, 532-533 de Windows Server, 416-426

Índice 573
incrementales, 416 Date, campo, 284

para Active Directory, 211 Datos almacenados asegurados, 17, 551
para optimizar el rendimiento, 423 Datos de configuración de arranque (BCD), 84, 499
programadas, 421 Datos, transmisión de:
regulares (completas), 416 aseguramiento, 17
tipos, 416-117 en trama ethernet, 106
una vez, 422-423 DC (véase Controladores de dominio)
y el Asistente para recuperación, 423-425 DDNS, dominios (véase Dominios DNS dinámicos)
Copias de seguridad de Windows Server, 416-426 Default-Fist-Site-Name, 211
cambio de copias de seguridad programadas con, 421 Delegación de características, 268
inicio, 417 Delimitador de inicio de trama (SFD), 105
instalación, 417 DEP (Prevención de ejecución de datos), 485
optimización del rendimiento, 423 Departamento de comercio (Estados Unidos), 190
para copia de seguridad de una sola vez, 422-423 DES (véase Estándar de cifrado de datos)
programación de copias de seguridad con, 418-420 Desafío, serie, 296
uso, 417-423 Desarrollo de aplicaciones, 254
y Asistente para recuperación, 423-125 Descargar subárbol, 497
y discos de recuperación, 425-426 Descifrado, 551-552, 555
CoreFTP, 252 con BitLocker, 560
Correo, servidores, 190 de archivos, 555
CRC (revisión de redundancia cíclica), 106 de carpetas, 555
Creación de volúmenes reflejados, 260, 370 Descripción, descubrimiento e integración universal
Crear nueva conexión, 267 (UDDI) Servicios, 73
Cs (user-agent), campo, 284 Descriptores de seguridad, 538
CSMA/CD (Acceso múltiple de percepción de portador Desfragmentación, 398-399
con detección de colisiones), 105 Desfragmentador de disco, 489
Cs-method, campo, 284 Destino de la trama de Ethernet, 105
CSP (véase Proveedor de servicio de cifrado; Destinos de carpetas (véase Accesos directos)
Proveedor de servicio de cifrado seleccionable) Detección y resolución de problemas:
Cs-uri-query, campo, 284 con rastreo, 284-285
Cs-username, campo, 284 con registros, 282-284
CTL (lista de certificados de confianza), 533-535 de IIS 7, 279-289
ctrl+alt+supr: mensajes de error, 280-282
para seguridad, 522 Servicios de implementación de Windows, 89-91
y tarjetas inteligentes, 527 y rendimiento del servidor, 285-289
ctrl+n, 245 Detener, en la barra de herramientas Navegación, 266
Cuartos de equipo, estándares, 121 DFS (véase Sistema de archivos distribuido)
Cuentas DHCP (véase Protocolo de configuración dinámica de host)
de equipo, 533 Digitales
de grupo (véase Grupos) certificados (véase Certificados)
de servicio, 533 equipo, 104
de usuario locales, 184 servicios telefónicos, 218-219
Cuentas de usuario, 523 Diodo emisor de luz (LED), 119, 120
certificados asignados a, 536-538 Dirección de control de acceso a medios (MAC):
configuración, 183, 184 en capa de vínculo de datos, 103
creación, 513-514 obtención, 122
dominio, 183, 184 y dirección física, 156
en Terminal Services, 336-337 y trama Ethernet, 105-106
local, 184 Direccionamiento IP automático privado
perfiles de usuario conectados a, 514-515 (APIPA), 151, 159
y certificados, 533 Direcciones
Cuotas, 399-400 IP jerárquicas, 135
lógica, 156
Direcciones, barra, 239
D Directiva de autorización de conexión de Terminal
Daemon de impresora de línea (LPD), servicio, 428, 452 Services (TS CAP), 328
Datacenter, edición, 6, 31 Directiva de autorización de recursos de Terminal
Datagramas, 132-133, 294 Services (TS RAP), 328

Directivas DNS (véase Sistema de nombre de dominio)

de controlador de dominio predeterminadas, 507 Documento predeterminado, 254
de dominio predeterminadas, 507 Dominios, 74, 188
de equipo, 504 accesos directos a confianzas, 208
de red para RAS, 227-228 almacenamiento, 192
Directivas de grupo, 504-511 contraseñas, 76
cambiar, 504-506 cuentas de usuario, 183, 184 (véase también
en el nivel de dominio, 506-508 Usuario, cuentas)
en el nivel de equipo local, 504-506 de ámbito local, 541, 543
en el nivel de OU, 506-508 DFS, 404
resumen, 506-508 diferencia entre grupos de trabajo y, 74
y AD DS, 506 división, 209
Directorios, 188 en Active Directory, 188
creación de directorios virtuales, 278 en modo nativo, 47
eliminación de directorios virtuales, 278-279 estructura de Active Directory, 46-47
inicial, 276-277 instalación, 74
jerárquicos, 190 nativos, 196
principales, 276-277 nivel, 506-508
publicación, 201-202 para ISP, 188
virtuales, 277-279 partición de datos, 210
y función de objeto, 188 raíz de bosque, 206
Disco compacto (CD), 6 registrar, 190
Disco de video digital (DVD), 6, 24 relaciones de confianza, 205
arranque desde, 48, 50, 58 secundarios, 207
instalación desde, 51 y Active Directory, 191-194, 203-204
varias unidades, 50 y árboles, 206, 207
y ROM, 6 y replicación, 409
Discos (véase también tipos específicos, como
de recuperación, 425-426 Dominios DNS dinámicos)
desconocidos, 390 Dominios DNS Dinámicos (DDNS), 176-178, 193
dinámicos, 368 funciones, 194
duros compartidos, 52 y zonas DNS, 172
espacio, 6 DS (Servicios de dominio), 75-80
limpieza, 41 DSL (línea de suscriptor digital), 219
Discos duros: Dúplex, cableado, 120
adición, 389-390, 394 DVD (véase Disco de video digital)
cifrado, 400-401, 556-561
compartir, 52
compresión de datos, 395-398 E
cuotas, 399-400 EAP (Protocolo de autentificación extensible), 297
de red, 51-52 EAP-TLS (Protocolo de autentificación extensible-
desconocido, 390 seguridad en la capa de transporte), 297
desfragmentación, 398-399 Editor de registro, 497
DVD, 51 EFS (véase Cifrado de sistema de archivos)
eliminación, 389, 390 EFS, archivos, 552-553
expansión, 14 EIA (Electronic Industries Association), 121
formateo, 391 Electronic Industries Association (EIA), 121
letras asignadas, 394-395 Electronic Industries Association, estándares
locales, 51-52 (véase TIA/EIA, estándares)
lógicos, 394 Elevación del nivel funcional de dominio, 47
nueva exploración, 389-390 Eliminar conexión, 267
partición, 14, 391 EMP (Empujar), campo, 139
propiedades, 386-389 Empujar (EMP), campo, 139
rastreo, 389-390 Encabezados:
reducción, 14 de host, 276
Dispositivos de impresión, 428 de respuesta HTTP, 267
DIX estándar (Ethernet II), 104, 106 en espacio de trabajo del Administrador de Internet
DMA (acceso directo a memoria), 145 Information Services (IIS), 267

Índice 575
encabezados de respuesta, 267 Esquemas:

host, 276 básicos, 201
HTTP, 276 de Active Directory, 200-201
IPv4, 133-134 en Active Directory, 200-201
IPv6, 135 modificar, 201
para varios sitios Web, 276 partición de datos, 210
soporte, 276 y maestro de operaciones, 200
y exploradores, 276 Estaciones de trabajo:
Encyclopedia of Networking & grupos, 540-541
Telecommunications (Sheldon), 97 independientes, 540-541
Enrutadores, 128 nodos, 111
adición, a RAS, 223-224 Estado de la concesión de dirección, 172
capacidades, 128 Estado y diagnóstico, 254
enrutadores remotos, 232 Estados Unidos, Departamento de Comercio, 190
para servicio de acceso remoto, 223-224 Estandar de cifrado avanzado (AES), 561
remotos, 232 Estándar de cifrado de datos (DES), 298, 561
Windows Server 2008, 230-235 Estándares
(véase también Windows Server 2008, enrutadores) de telecomunicaciones, 122
Enrutamiento y acceso remoto, 229, 232 para opciones de entrada, 121
Enterprise, edición, 31 Estrella, topología, 129, 130
actualización, 51 cableado, 119
requisitos, 6 redes de área local, 98
Servicios de federación de Active Directory, 5 y cableado, 119, 130
Entorno de ejecución previo al arranque Estrella/bus, topología, 129
(PXE), 82-85, 88-91 Ethernet, 104-108
configuración, 88 especificaciones, 104-105
problemas con, 90-91 hardware, 106-108
Entradas en el Registro, 497-498 método de acceso a medios, 105
Error, mensajes, 280-282 topología, 106
con direccionamiento, 274 trama, 105-106
en el Espacio de trabajo del Adminsitrador de IIS, 267 Ethernet 802.3 (IEEE 802.3), 104, 106
en IIS 7, 280-282 Ethernet I, 106
en Internet Explorer, 280 Ethernet II (véase DIX, estándar)
Escalabilidad, 251-252 Ethernet, trama, 106
Escalables, fuentes, 448 Expansión de discos duros, 14
Escaneo y envío por fax, 463-464 Exploración de carpetas, 480
Escritorio: Exploración de directorio:
Escritorio remoto, 363-364 e IIS, 7, 254
personalización, 61-63 Espacio de trabajo del Administrador de Internet
URL, 240 Information Services (IIS), 267
Escritorio remoto, 324, 363-364 Explorador de Windows:
uso, 363-364 cifrado, 420
usuarios, 358 Opciones de carpeta, 480
y licencias, 353 y copias de seguridad, 398-399
Escritura, permisos, 547, 550 Exploradores:
Espacio de nombres, 190, 404, 407 y encabezados de host, 276
del Sistema de archivos distribuido, 375, 407-409 y licencias, 356
DNS global, 193-194 (véase también tipos específicos, como Internet Explorer)
Sistema de archivos distribuido, 375, 407-409 Exportaciones:
y Active Directory, 190 de configuraciones de sitio Web, 251
Espacios de subárboles, 497
de trabajo del Administrador de Internet Information ExpressCard:
Services (IIS), 267-269 adaptadores, 113, 114, 142
en disco duro, 24, 40 costo, 114
libre, 82, 391 Extendidas, particiones, 368, 369
Espina dorsal Extendidos, volúmenes, 369, 403-404
cableado, 121 Extensibilidad de .NET, 254
colapsada, 126 Extensiones, 489

Extensiones de archivo, 250 de discos duros, 391

Extensiones de correo multipropósito de volúmenes, 85
de Internet (MIME), 268 y particionamiento, 59
Extensiones de servidor de FrontPage, 258 FQDN (véase Nombres de dominio plenamente
Extensiones ISAPI, 254 calificados)
Fragmentación, 370
FRS (Servicio de replicación de archivos), 375
F FSRM (véase Administrador de recursos
Fast Ethernet (véase 100BaseT) del servidor de archivos)
Fast Internet (IEEE 802.3u), 104 FTP (véase Protocolo de transferencia de archivos)
FAT, sistema de archivos, 370-373 Fuentes, 447-452
conversión a NTFS, 372-373 adición, 450-451
y cifrado, 552 complementarias, 452
FAT32, sistemas de archivos, 370-373 de cartucho, 447
Favoritos, carpeta, 240 de contorno, 448
Fax, dispositivos de: de mapa de bits, 448
adición, 467-468 eliminación, 450-451
configuración, 468-469 en Windows Server 2008, 448-450
instalación, 459 escalables, 448
Fax y escáner de Windows, 458-466 instalación, 448-449
envío de faxes con, 461-464 PostScriptx, 448
escaneo con, 463-464 residentes, 447
habilitación, 458-159 revisión, 449, 450
impresión para enviar con, 462-463 sans serif, 452
instalación de, 459 serif, 452
recepción de faxes con, 461-462, 464-466 suaves, 447
y Administrador del servidor, 460 TrueType, 448, 449
y portadas, 466 uso, 451-452
Faxes: vectoriales, 448
envío, 461-162 Full-duplex, tarjetas de red, 114
escaneo antes de enviar por fax, 463-464 Funciones, 9
impresión para envío, 462-463 de servicio de acceso remoto, 223-224
portada, 466 de servidores, 8
recepción, 464-466 selección, 13
Fechas, opciones, 483 servidor, 70-80
Fibra óptica, cables, 118-121 y Administrador del servidor, 9, 13
costo, 121 y Servicios de archivo, 375
fibra de varios modos, 120 y Terminal Services, 326-331, 354-356
un solo modo, 120 (véase también tipos específicos, como
y Ethernet, 107 Servicios de impresión)
Fichas: Futura, 452
apertura de sitios Web, 244-245 FYI (Para su información), 131
cambio entre, 245-246
cierre, 246
en el explorador de Internet, 244-246 G
filas, 244 Garamond, 452
y sitios Web, 244-246 GB (gigabyte), 6
Fidelidad inalámbrica (WiFI), estándar, 110 General, ficha, 480
Filtro de solicitudes, 255 Ghost (Symantec), 260
Filtros ISAPI, 254 GHz (gigahertz), 6
FIN (Finalizar), campo, 139 Gigabit Ethernet (véase 1000Base)
Firewalls, 317 Gigabyte (GB), 6
Física Gigahertz (GHz), 6
capa, 102 Google, 240
dirección (hardware), 156, 170 gov…, 188
partición (véase Volúmenes) GPC (contenedores de directiva de grupo), 506
.Fon, archivos, 449 GPO (objetos de directiva de grupo), 508-511
Formateo: GPO (véase Objetos de directiva de grupo)

Índice 577
GPO de inicio, 509-510 HP, impresoras (véase Hewlett-Packard, impresoras)

GPT (plantillas de directiva de grupo), 506 HTML (lenguaje de marcado de hipertexto), 252
GPT (tabla de partición GUID), 384 HTTP (véase Protocolo de transferencia de hipertexto)
Grupos encabezados, 267, 276
de Internet, registro, 182 errores, 254
de noticias, hospedaje, 253 inicio de sesión, 254
de trabajo, 74 redireccionamiento, 254
permisos, 17 HTTPS (protocolo seguro de transferencia
registro, 182 de hipertexto), 298
Grupos (cuentas de grupo):
adición de usuarios, 186
configuración, 183, 185 I
en controladores de dominio IANA (véase Internet Assigned Numbers Authority)
de Active Directory, 541-544 IBM, 104
en servidores/estaciones de trabajo ICANN (Internet Corporation for Assigned
independientes, 540-541 Names and Numbers), 190
permisos, 183 ICT (véase Tareas de configuración inicial)
Guardar conexiones actuales, 267 ID (identificadores) (véase tipos específicos, como
Guardar en el disco local, 363 Identificadores globalmente únicos)
GUI (véase Interfaz gráfica de usuario) ID relativos, 199
GUID (véase Identificadores globalmente únicos) Identidad de proceso, 250
Identificadores (véase tipos específicos, como
Identificadores globalmente únicos)
H Identificadores de seguridad (SID), 201, 371
Habilitar registro de arranque, 502 Identificadores globalmente únicos (GUID), 200
Habilitar video de baja resolución, 503 en NT, 201
Half-duplex, tarjetas de red, 114 tabla de particiones, 384
Hardware: y replicación, 214
actualización, antes de la instalación, 41 IE (véase Internet Explorer)
conflicto, 41-42 IE ESC (seguridad mejorada de Internet Explorer), 236
deshabilitación antes de la instalación, 41-42 IEEE (véase Institute of Electrical and
dirección (véase Dirección física) Electronics Engineers)
ficha, 484 IEEE 802.11a, 108
para comunicaciones, 12 IEEE 802.11b, 108
para ethernet, 106-108 IEEE 802.11g, 108
para instalación, 41 IEEE 802.11n, 109
para migración, 260 IEEE 802.3 (Ethernet 802.3), 104
para red, 111-129, 299-301 IEEE 802.3u, Fast Internet, 104
para red privada virtual, 299-301 IEEE 802.3z, Gigabit Ethernet, 104
para servicio de acceso remoto, 299-301 IETF (véase Internet Engineering Task Force)
para Windows Server 2008, 5-7 IIS, permisos, 262
y Administrador de dispositivos, 476 IIS 6, 256
Heredado, 538 IIS 7 (véase Internet Information Services versión 7)
Herramientas administrativas, 70, 256, 490 Implementación de Windows Server 2008, 7-10, 18, 22
Hewlett Packard (HP), impresoras, 434, 440, 441 (véase también Instalación de Windows Server 2008)
Historial, carpeta, 241 Importaciones:
HKEY_CLASSES_ROOT, 495 de configuraciones de sitio Web, 251
HKEY_CURRENT_CONFIG, 495 de subárboles, 497
HKEY_CURRENT_USER, 494 Impresión, 428-447
HKEY_LOCAL_MACH1NE, 495, 523 administración, 455-457
HKEY_USERS, 494 Administrar documentos, 441
Hora, configuraciones, 483 cancelación, 445
Hora de impresión, establecimiento, 446 con impresoras de red, 432-435
Hospedaje: conceptos, 428
de sitios Web, 274-276 configuración, 435-443
en IIS 7, 249 configuración de usuario, 441-443
y tiempo de espera, 259 de todos los documentos, 444
Host local, 155 de un solo documento, 444
Host múltiple, registro, 182 en impresoras locales, 430-432

en la impresora local, 363-364 desde disco duro local, 51-52

faxes, 462-163 desde unidad de red, 51-52
hora, 446-447 desde unidad DVD, 49, 51
inicio, 440 ejecución, 52-59
notificación, 446-447 fallida, 53
pausado, 443-445 manual, 7, 48
permisos especiales, 442 para actualizar, 53-55
reanudación, 443-445 para instalación limpia, 56-59
redireccionamiento de documentos, 445-446 particionamiento, 59
reinicio, 443-445 por arranque directo, 48-50
requisitos del sistema, 429 variaciones con, 52
y cola de impresión, 440 y actualizaciones, 53
y envío para fax, 462-463 y mejoras, 48
y páginas de separación, 440-441 y Windows, 50-51
y propiedades de documentos, 446-447 Instalación de Windows Server 2008, 7-8, 22-43, 46-80
Impresoras, 428 a través de la red, 48
adición, 430-432 actualización, 31-32, 46-47
administración, 441, 453-157 automatizada, 8, 48
bandejas de papel, 439 completa, 37
compartidas, 16, 441, 442 configuración, 35-36, 48-59
configuración, 436 consideraciones, 22
controladores, 428 copia de seguridad previa, 40
de Hewlett-Packard, 434, 440, 441 de componentes opcionales, 38-39
detección y resolución de problemas, 430 de funciones, 8
en Internet, 71, 452 fases, 48
locales, 430-432 limpia, 31-32, 56-59
permisos, 442 limpieza previa del disco, 41
prioridad, 438-439, 446-147 manual, 7
red, 428, 430, 434-135 núcleo del servidor, 37-38
reinstalación, 430 opciones, 29-30
solicitud, 443-447 preparación, 7, 22, 39-43, 46-47
y DHCP, 434 red, 48
Impresoras de red, 428, 432-435 remota, 8, 48
compartidas, 430 requisitos del sistema, 22-29
conectadas a la red, 434-435 tipo, 31-32
conectadas a otros equipos, 432-433 y arranque dual, 32-33
configuración, 432-435 y configuración de servidor, 59-80
Impresoras locales: y edición Datacenter, 31
adición, 430-432 y edición Enterprise, 31
imprimir, 363-364, 430-432 y edición Standard, 31
Inclusión del lado del servidor (SSI), 254 y hardware, 41
Inclusión en el Registro: y migración, 43
de dominio, 190 y particionado, 33-35
de nombres de dominio, 182 y software, 40-42
para grupos, 182 Instalación limpia, 31-32, 56
Incrementales, copias de seguridad, 416 configuración, 56-59
Information Sciences Institute (ISI), 131 de una nueva versión de Windows, 56-58
Infraestructura de clave pública (PKI), 561, 563 diferencia entre actualizaciones y, 93
Inicio de sesión ejecución, 56-59
de proceso de arranque, 199, 499 resolución posterior, 58
personalizado, 255 y arranque, 58-59
Inicio y recuperación, 485 Institute of Electrical and Electronics Engineers (IEEE):
Inscripción Web de autoridad de certificación, 529 IEEE 802.3/Ethernet 802.3, 104
Instalación, 35-36, 48-59 IEEE 802.3u, Fast Internet, 104
arranque directo, 48 IEEE 802.3z, Gigabit Ethernet, 104
automatizada, 8, 48 y estándar DIX, 104
completa, 37 y trama Ethernet, 105-106
con imagen, 87-88

Índice 579
Instrumentación de administración de detección y resolución de problemas, 279-289

Windows (WMI), 251 e impresión en Internet, 71
en IIS 6, 256 en Windows Web Server 2008, 5
en IIS 7, 251 escalabilidad, 251-252
Intel: funciones, 248-249
y adaptadores de red, 115 hospedaje de sitios Web, 274-276
y Ethernet, 104 instalación, 253-258, 262
Intercambio activo, 385 mantenimiento, 263-265
Interconexión básica, 142 mensajes de error, 280-282
Interconexión de sistemas abiertos (OSI), modelo, 101-104 personalización, 263-265
capa de la aplicación, 103 problemas, 279
capa de la sesión, 103, 179 protocolo simple de transferencia de correo, 249, 252
capa de presentación, 103 rastreo, 284-285
capa de red, 103, 179, 230 registros, 282-284
capa de transporte, 103, 179 seguridad, 249-250, 261-263
capa de vínculo de datos, 102-103 servicios de Internet, 252-253
capa física, 102 servicios NNTP, 253
y dispositivos de interconexión, 129 servicios WWW, 252
y PPTP, 295 SharePoint Services, 248-249
y TCP/IP, 137 WebDAV, 248
y VPN, 298 y Accesos Web de TS, 347
Interconexión, dispositivos, 122-129 y AD CS, 529
conmutadores, 123-127 y ASP.NET, 248, 249
enrutadores, 128 y contenido Web dinámico, 262-263
puentes, 127 y páginas activas de servidor, 254
Interfaz de componente periférico (PCI): y protocolo de transferencia de archivos, 249, 252
costo, 114 y rendimiento del servidor, 285-289
en la tarjeta principal, 114 y Servicios de Windows Media, 289-292
y adaptadores, 113-115 y servidores Web, 253-263
y la característica Wake on Lan, 115 y sitios Web, 273-279
Interfaz de servicio de Active Directory (ADSI), 201 Internet, 11-12, 235-246
Interfaz gráfica de usuario (GUI): autentificación, 525
para inicio de sesión, 499 búsqueda, 241-243
PowerShell, 4 conexión a, 11-12, 235-246
International Organization for Standardization (ISO), 101 diferencia entre WAN y, 97
Internet Assigned Numbers Authority (IANA), 156, 159 localización de información, 239-243
Internet Corporation for Assigned Names and Numbers nombres de dominio, 188
(ICANN), 190 sitios Web, 239-243
Internet Engineering Task Forcé (IETF): transmisión segura, 563-564
y Kerberos, 525 y página principal predeterminada, 243
y TLS, 562 y pestañas, 244-246
Internet Explorer (IE): InterNIC (Network Solutions, Inc.):
búsqueda, 239, 241 registradores acreditados, 276
detección y solución de problemas y direccionamiento IP, 159
de conexiones con, 239 y DNS, 190
mensajes de error, 280 Intranet, transmisiones, seguras, 563-564
menú, 246 Invitado, cuentas, 253
Sitios de confianza, 347 IP estáticas, direcciones, 76
y encabezados de host, 276 IP, direcciones (véase Protocolo de Internet, direcciones)
Internet Information Services versión 7 (IIS 7), 4, 248-292 IP, replicación (RPC), 213
administración, 251 Ipconfig, 153
administración remota, 269-273 IPL (carga inicial de programa), 499
Administrador de Internet Information IPSec (véase Seguridad de protocolo de Internet)
Services (IIS), 265-269 IPv4 (véase Protocolo de Internet versión 4)
beneficios, 279 IPv6 (véase Protocolo de Internet versión 6)
características, 249-252 IPX (intercambio de paquetes entre redes), 230
confiabilidad, 250 IRQ (solicitud de interrupción), líneas, 145
descripción, 73 ISDN (Red digital de servicios integrados), 219

ISI (Information Sciences Institute), 131 en la carpeta Favoritos, 240

ISO (International Organization for Standardization), 101 en la carpeta Vínculos, 240-241
ISP (véase Proveedores de servicio de Internet) para compartir impresora, 203
Itanium, sistemas, 5 LPD, servicio (véase Daemon de impresora de línea,
servicio)
LPT1, 430
K LUN (números de unidad lógicos), 376
KDC (Centro de distribución de claves), 526
Kerberos versión 5, 525-526
M
MAC, dirección (véase Dirección de control
L de acceso a medios)
L2F (Reenvío de capa dos), 297 Macintosh y servidores de impresión, 428
L2TP (véase Protocolo de entunelamiento de capa dos) Maestros de operaciones, 46-47
La última configuración válida conocida, 494, 499, 501 Mail Exchanger, referencia (MX), 192
LAN (véase Redes de área local) Mapa de bits (rastreo), fuentes, 448, 449
LAN inalámbrica (WLAN), 108-110 Marcado telefónico, conexiones, 222-223
costo, 110 configuración, 304-305
desventajas, 110 establecimiento, 222-223
diferencia entre red alámbrica y, 110 y servicio de acceso remoto, 304-306
estándares, 108-109 Marcas de tarjetas de red, 115-116
LCP (véase Protocolo de control de vínculos) Marcas genéricas, 115
LDAP, consultas, 192 MB (megabyte), 6
LDAP Data Interchange Format, utilería, 192 Mbps (megabits por segundo), 97
Lectores de tarjeta inteligente, 527 MBR (véase Registro de maestro de arranque)
Lectura, permisos, 547, 550 Megabyte (MB), 6
Lectura y ejecución, permisos, 547, 550 Mejoras:
LED (véase Diodo emisor de luz) de edición Enterprise, 51
Lenguaje de control de impresora (PCL), 440, 441 desinstalación, 53
Lenguaje de marcado de hipertexto (HTML), 252 diferencia entre instalación limpia y, 93
Lenguaje de marcado extensible (XML), 252 e instalación, 31-32, 46-17
Letras para unidades de disco, 394-395 ejecución, 53-55
Licencia de acceso de clientes a Terminal instalación, 53-55
Services (TS CAL), 353, 354 para hardware, 41
Licencias de Terminal Services, 329, 353-354, 356-358 preparación, 46-47
Licencias y asignación de éstas: servidores Web, 261
administración, 353 tiempo invertido, 54
instalación, 356-358 Windows Server 2008 como, 4-5
selección, 354 y Active Directory, 46-47
y Escritorio remoto, 353 y Windows Server 2003, 46
y exploradores, 356 Memoria:
Línea de comandos, entorno, 4 para adaptadores, 114
Línea de comandos, secuencias de comandos, 251 recomendación, 6
“Línea de negocios”, aplicaciones, 324 Memoria de acceso directo (RAM), 6, 23
Línea de suscripción digital (DSL), 219 Metabase, 251, 256
Línea de suscripción digital asimétrica (ADSL), 219 Método de acceso a medios, 105
Líneas base, 286 Microsoft:
Linksys: Reproductor de Windows Media Player, 290
adaptadores, 113 y CHAP, 297
conmutadores, 124-126 y cuota de licensia, 353
enrutadores, 128 y fuentes, 448
productos LAN, 109 y nagware, 329
Lista de certificados de confianza (CTL), 533-535 y problemas de compatibilidad, 91
Lista de control de acceso (ACL, Access control list), 371 Microsoft .NET, framework, 248
Live Search, 239 Microsoft Assessment and Planning Toolkit Solution
Lmhosts, 180 Accelerator, 24-27, 87
Localizadores uniformes de recursos (URL), 240 Microsoft Exchange, 189
en Escritorio, 240 Microsoft Message Queuing (MSMQ), 150

Índice 581
Microsoft Office, Visio Professional, 131 Multiprocesamiento simétrico (SMP), 85

Microsoft SQL Server 2005 Express, 87 MX (referencia de Mail Exchanger), 192
Microsoft Windows Installer, paquete (véase .msi, paquete)
Microsoft Word:
y envio de fax, 458, 461 N
y fuentes, 451 Nagware, 329
Migración, 43 Narrador, 479
a espejo de servidor Web, 260 NAT (véase Traducción de dirección de red)
de servidores Web, 258-261 Nativos
hardware, 260 dominios, 196
métodos, 259-261 modo, 47
planeación, 259 Navegación, barra de herramientas, 266
MIME (extensiones de correo multipropósito NCP (protocolo de control de red), 296
de Internet), 268 NDS (servicios de directorio de Novell), 189
MIMO (varias entradas varias salidas), 109 .Net, 188
Minipuerto WAN, 308, 316 .NET Framework:
Miniservidores, 100 e IIS 7, 248
MIT y Kerberos, 525 páginas activas de servidor, 248
Mixto, modo, 198 NetBEUI, 179, 180
MMC (véase Consola de administración de Microsoft) NetBIOS, 156, 179, 180
Módems (modulador-demulador), 218-222 Netscape Navigator, 276
conectados, 219 Network Solutions, Inc. (véase InterNIC)
detección y resolución de problemas, 239 NFS (véase Sistema de archivos de red)
externos, 219 NIC (véase Tarjetas de red)
instalación, 219-222 Nivel de equipo local, 504-506
integrados, 219 NNTP, servicios, 253
internos, 219 No break (UPS), 41
Modificar permisos, 546, 550 Nodos, 111
Modo de administración remota, 325, 358-364 Nombres
Modo de depuración, 503 de equipo, 156
Modo de restauración de servicios de directorio, 503 de marca, 115
Modo de servidor de aplicación de Terminal Services, de puerto, 275
335-353 de usuario, 183-184
y RemoteApp de TS, 337-346 “Nombres amigables” (véase Nombres de host)
y Terminal Services, 335-337 Nombres de dominio, 156, 188, 190
Modo seguro, 501-504 plenamente calificados, 76, 190, 192
Modo único (fibra monomodo), cables, 120 registro, 182
Módulo de plataforma confiable (TPM), 556, 557 resolución, 190, 191
Módulos, 268 Nombres de dominio plenamente calificados (FQDN), 76,
Moneda, opciones, 483 190, 192
Monitor de confiabilidad y rendimiento, 286-288 Nombres de host, 156
Monitor de recursos, 488 en zona DNS, 174
Monitor de rendimiento, 499 para probar redes, 153
Monitor de solicitudes, 254-255 y nombres de puerto, 275
Monitoreo del estado, 250 Notificación visual de sonidos, 478
Monomodo (un solo modo), cables de fibra óptica, 120 Notificación, cuadro de texto, 446
Mostrar el contenido de la carpeta, 547 Novell Directory Services (NDS), 189
MPPE (véase Cifrado punto a punto de Microsoft) NTFS (Sistema de archivos de nueva
MS-CHAP v2 (Protocolo de autentificación de desafío de tecnología), 33, 371-373
saludo de Microsoft versión 2), 296 archivos comprimidos, 398
.msi (Microsoft Windows Installer), paquete: conversión de sistemas de archivo FAT, 372-373
creación, 342-343 conversión de sistemas de archivo FAT32, 372-373
uso, 345-346 para WDS, 82
MSMQ (Microsoft Message Queuing), 150 permisos, 202, 262
Multimaestro, replicación, 198 y cifrado, 400, 538
Multimodo, cables de fibra, 120 y control de acceso, 551
Multiplexado de división de frecuencia ortogonal Núcleo interno, 117
(OFDM), 108 Nuevo rastreo, 389-390

Número de identificación personal (PIN), 527 Opciones de carpeta, 477-480

cifrado, 527 Programas predeterminados, 474-475
y BitLocker, 556 Propiedades de barra de tareas y
Números del menú Inicio, 485-186
configuraciones, 483 Reproducción automática, 473-174
de puerto, 275 Teclado, 481
de reconocimiento, 138 ventana Sistema, 483-184
de secuencia, 138 vista Principal, 472
Números de unidad lógicos (LUN), 376 Pantalla, opciones, 479
Pantallas iniciales, 499
Papel, tipos, 439
O Paquetes, 137
Objetos de Active Directory (ADO), 200-203 en capa de red, 103
Objetos de directiva de grupo (GPO), 506, 508-511 y datagramas, 132-133
GPO inicial, 509-510 Par trenzado (véase 10BaseT)
y la lista de certificados de confianza, 533-534 Par trenzado sin blindar (UTP), 116-118
Obligatorios, perfiles de usuario, 516 categorías, 111, 118
Octetos, 175 conectar, 118
OFDM (multiplexado de división de frecuencia núcleo, 117
ortogonal), 108 resistencia al fuego, 117
OfficeJet, impresoras, 434 y ethernet, 107
Opciones de carpeta, 477-480 y STP, 117
Opciones de cursor, 479 Para su información (FYI), 131
OpenType, fuentes, 448, 449 PARC (Palo Alto Research Center), 104
Operaciones, maestro, 199-200 Particiones y particionado:
como emulador PDC, 199 activas, 368
e infraestructura, 199 datos de configuración, 210
para ID relativos, 199 datos de dominio, 210
y Active Directory, 199-200 de configuración, 59
y esquemas, 200 de discos duros, 14, 391
y nombre de dominio, 200 diferencia entre volúmenes y, 368
Operativo, modo, 250 e instalación, 33-35
Óptima, 452 extendidas, 368, 369
Origen, dirección, 105 formateo, 59
OSI, modelo (véase Modelo de interconexión para WDS, 82
de sistemas abiertos) partición de datos de esquema, 210
OU (véase Unidades organizativas) primarias, 368, 393
reducción, 34
sistemas de almacenamiento dinámicos, 368
P y replicación, 210
PartitionMagic (Symantec), 34
Página principal, en la barra de Navegación, 266 Pausar impresión:
Página principal predeterminada, 243 de un solo documento, 445
Páginas activas de servidor (ASP): para todos los documentos, 444
e IIS, 7, 252, 254 PC Card (véase Personal Computer Memory Card
plantilla de almacenamiento en caché, 252 International Association)
y CGI, 254 PC-Card, 142
Palatino, 452 PCI (véase Interfaz de componente periférico)
Palo Alto Research Center (PARC), 104 PCI, adaptadores, 142
Panel de control, 472-486 PCL (véase Lenguaje de control de impresora)
Administración de dispositivos, 475-176 Pcl.sep, 440
Centro de accesibilidad, 476-177 PCMCIA (véase Personal Computer Memory Card
Configuración regional y de idioma, 482-483 International Association)
ficha Buscar, 481 PDC (véase Controladores de dominio primarios)
ficha General, 480 Perfiles, carpetas, 513
ficha Hardware, 484 Perfiles de usuario locales, 511-512
ficha Opciones avanzadas, 484-485 Periféricos, 6
ficha Ver, 480 Permisos, 544-550
Mouse, 481-482

Índice 583
adición, 546-549 control del, 499-500

compartir permisos, 549 corrección, 500-504
de impresión, 441 de inicialización de arranque, 499
en IIS, 262 etapas, 498-499
grupo, 17 Habilitar registro de arranque, 502
para archivos, 550 Habilitar video de baja resolución, 503
para carpetas, 545-546 inicialización, 499
para grupos, 183 inicio de sesión, 499
para impresoras, 442 modo de depuración, 503
predeterminado, 545, 546 modo de restauración de servicios de directorio, 503
primarios, 549 Modo seguro, 501-504
(véase también tipos específicos, como Procesos de trabajo:
Control total, permisos) en espacio de trabajo del Administrador de Internet
Permisos especiales, 547 Information Services (IIS), 268
para archivos, 550 identidad, 250
para carpetas, 547 varios, 251
para impresión, 442 Programas predeterminados, 474-175
Personal Computer Memory Card International Propiedad, 538-539
Association (PCMCIA, PC Card): Propiedades de la barra de tareas y del menú
costo, 114 Inicio, 485-486
y adaptadores, 113, 114 Propiedades, cuadro de diálogo, 435, 436, 447
Photosmart, impresoras, 434 Propietarios, 538
PIN (véase Número de identificación personal) Protocolo de autentificación de desafío de saludo
Ping, 153-154, 170 (CHAP), 296-297
PKI (véase Intraestructura de clave pública) Protocolo de autentificación de desafío de saludo de
Plantillas Microsoft versión 2 (MS-CHAP v2), 296
almacenamiento en caché, 252 Protocolo de autentificación extensible (EAP), 297
para perfiles de usuario, 515, 516 Protocolo de autentificación extensible-Seguridad
Plantillas de directiva de grupo (GPT), 506 en la capa de transporte (EAP-TLS), 297
Plenum, cable (CMP): Protocolo de configuración dinámica de host (DHCP):
costo, 122 administración, 166
fibra óptica, 120 agente de retransmisión, 226, 303
UTP, 117 configuración, 158-159
Plug and Play: consola, 168
adaptadores, 147 duración de la concesión, 168-169
hardware de red, 301 e impresoras, 434
módems, 219 habilitación, 164-165
tarjetas inteligentes, 527 implementación, 157-160
Por dispositivo, CAL de TS, 354 instalación, 80, 161-164
Por usuario, CAL de TS, 354 opciones, 171
Portada para faxes, 466 opciones en el nivel del cliente, 171
POST (prueba automática de encendido), 499 opciones en el nivel del servidor, 171
PostScript, 440 rangos, 168
PostScriptx, fuentes, 448 reserva de direcciones IP, 168-171
PowerShell, 4 servidor, 73, 226
PPTP (véase Protocolo de entunelamiento vigilancia de concesión de direcciones, 172
de punto a punto) y ámbito, 166-168, 171
Preámbulo, 105 y dominios DDNS, 193
Presentación, capa, 103 y WDS, 82
Prevención de ejecución de datos (DEP), 485 Protocolo de control de red (NCP), 296
PriceSCAN, 115 Protocolo de control de transmisión (TCP), 136-139
Pricewatch, 115 encabezado, 138
Prioridad, establecimiento, 446 funciones, 139
Procesador, 23 y la capa de transporte, 103
Procesos de arranque, 498-504 Protocolo de control de transmisión/Protocolo de Internet
arranque, 499 (TCP/IP), 131-139
arranque previo, 499 e impresoras, 434
carga, 499 IPv4, 132-134

IPv6, 135-136 Protocolo de multidifusión confiable, 150

y enrutadores, 230 Protocolo de resolución de dirección (ARP), 156
y Ethernet, 106 Protocolo de transferencia de archivos (FTP):
y Terminal Services, 325 Consola de administración, 256
Protocolo de control de vínculos (LCP), 295, 296 e IIS 7, 249, 252, 253
Protocolo de entunelamiento de capa dos (L2TP), 297-298 Servicio de publicación, 256
conexiones, 321-322 Protocolo de transferencia de hipertexto (HTTP):
configuración, 315-316 e IIS 7, 252, 254
diferencia entre TS Gateway y, 349 y estructura DNS, 193
e IPSec, 298, 309, 315-316 Protocolo seguro de transferencia de hipertexto
y red privada virtual, 297-298, 315-316 (HTTPS), 298
Protocolo de entunelamiento de capa dos, Protocolo simple de transferencia de correo
servidor, 308-309 (SMTP), 213, 249, 252
Protocolo de entunelamiento de conector seguro e IIS 7, 252, 253
(SSTP), 298-299 y cifrado, 213
Protocolo de entunelamiento de conector seguro y estructura DNS, 193, 252
(SSTP), servidor, 316-317 y seguridad, 213
conexiones al utilizar, 321-322 Protocolos, 213
configuración, 316-317 Protocolos de red, 131, 149
Protocolo de entunelamiento de punto a punto Asignador de detección de topologías de nivel
(PPTP), 295-297 de vínculos, 150
y CHAP, 296-297 configuración, 149-153
y EAP, 297 de multidifusión, 150
y MPPE, 297 IPv4, 132-134, 150
y red privada virtual, 295-297 IPv6, 135-136, 150
Protocolo de entunelamiento de punto a punto multidifusión, 150
(PPTP), servidor, 308 Respondedor de detección de topologías
Protocolo de Escritorio remoto (RDP), 325 de nivel de vínculos, 150
Protocolo de Internet (IP): revisión y cambio, 150-153
e IIS 7, 255 TCP, 136-139
funciones, 139 Proveedor de servicio de cifrado (CSP), 249, 309, 531
números, 190 seleccionable, 249
y la capa de red, 103 Proveedor de servicios de Internet (ISP), 236
y TCP (véase Protocolo de control de dominios, 188
transmisión/Protocolo de Internet) y VPN, 294
Protocolo de Internet versión 4 (IPv4), 132-134, 150 Prueba:
direccionamiento, 131-132, 134 de redes, 153-155
encabezado, 133-134 para servicio de acceso remoto, 304-306
y ARIN, 160 para Servicios de implementación de Windows, 89
y direcciones IP, 76, 77 Sistema de nombres de dominio, 178-179
Protocolo de Internet versión 6 (IPv6), 135-136, 150 Prueba automática de encendido (POST), 499
direccionamiento, 132, 136 Pscript.sep, 440
encabezado, 135 Publicación, 201
y ARIN, 160 de impresoras, 202-203
Protocolo de Internet, direcciones de recursos compartidos, 203
(direcciones IP), 131, 134, 190 directorio, 201-202
asignación, 76, 190 en Active Directory, 201-203
bloques, 159-160 impresora, 202-203
en DHCP, 168-171 Puentes, 127
especificaciones, 134 Puerta de enlace de Terminal Services, 326
estáticas, 76 certificados de seguridad, 329
jerárquico, 135 configuración, 349-351
mensajes de error con, 274 diferencia entre L2TP y, 349
para varios sitios Web, 275-276 y acceso remoto, 4
reserva, 168-171 Puerto a puerto, redes:
resolución, 191 en Windows Vista, 100
y FQDN, 192 LAN, 98-99
y Sistema de nombre de dominio, 190

Índice 585
Puertos, 227-228 tipos, 97-100

de destino, 138 Red, ficha, 488
de origen, 138 Red, hardware, 111-129
8172, 272 cableado, 116-122
Puesta en funcionamiento de servidores, 259 dispositivos de interconexión, 122-129
Punteros, ficha, 482 tarjetas de interfaz de red, 112-116
Punteros de ratón, 479 Red, instalación, 48
Punto a punto, conexiones, 294 Red, servidor, 63-67
Puntos activos (véase Puntos de acceso inalámbricos) Red, sistema operativo, 96
Puntos de acceso de red (puntos activos), 109, 110 Red, tecnologías de:
Puntos de acceso fijos, 109 hogar, 110-111
PVC (cloruro de polivinilo), 117 inalámbricas, 108-110
PVC, cable (cable riser, CMR): Red digital de servicios integrados (ISDN), 219
costo, 122 Red privada virtual (VPN), 294-322
fibra óptica, 120 configuración, 301-303
UTP, 117 direcciones IP, 303
PXE (véase Entorno de ejecución antes del arranque) e IPSec, 315-316
e ISP, 294
hardware, 299-301
R L2TP, 297-298, 315-316
RADIUS (Servicio de usuario de marcado telefónico PPTP, 295-297
de autentificación remota), 303 preparación, 299-306
RAID (conjunto redundante de discos SSTP, 298-299
independientes/económicos), 369 y Active Directory, 309, 312
RAID-5, volúmenes, 369, 370 y comunicaciones, 12
Raíz, autoridad de certificado, 529 y modelo OSI, 298
RAM (véase Memoria de acceso directo) y Puerta de enlace de TS, 351
Rangos, 168 y servicio de acceso remoto, 299-301, 303-306
RAS (véase Servicio de acceso remoto) y tarjetas inteligentes, 527
Rastreo, 284-285 Red privada virtual, cliente, 317-322
e IIS 7, 255, 284-285 Red privada virtual, servidor, 306-317
para capacidad de planeación, 252 conectar a, 318-322
Rastreo, fuentes (véase Mapa de bits, fuentes) configuración, 306-317
Ratón, 479, 481-482 e IPSec, 312-313
RDC (compresión diferencial remota), 409 servidor L2TP, 308-309
RDC (véase Conexión a Escritorio remoto) servidor PPTP, 308
RDP (protocolo de escritorio remoto), 325 servidor SSTP, 316-317
.Rdp, archivos: y autoridad de certificados, 309-311
creación, 341-342 y certificados, 313-315
uso, 344-345 y servicio de acceso remoto, 306-308
Reanudación de la impresión: Redes:
de un solo documento, 445 clientes, 99, 100
para todos los documentos, 444 conexión, 65-67
Recuperación con BitLocker, 561 configuración, 142, 155-156
Recurso, referencias, 192 direccionamiento, 156-157
Recursos compartidos, 203 diseño, 130-131
Recursos de ubicación de servicios (SRV), 194 estructura plana, 125
Red, adaptadores de (véase Adaptadores) exploración, 67-70
Red, autentificación de usuario, 524-525 jerárquica, 125
Red, capa, 103, 179, 230 prueba, 153-155
paquetes, 103 punto a punto, 100
y protocolo de Internet, 103 Redes de área ámplia (WAN), 97
Red, esquemas, 10-11, 97-111 DFS, 408
LAN de cliente/servidor, 99-100 diferencia entre Internet y, 97
LAN punto a punto, 98-99 diferencia entre redes de área local y, 98
modelo OSI, 101-104 y replicación, 204
tarea, 100-104 Redes de área local (LAN), 98, 104-111
tecnologías LAN, 104-111 cliente, 99-100

con topología de estrella, 98 distribución del programa, 340-343

diferencia entre redes de área amplia y, 98 y acceso remoto, 4
en topología de estrella, 98 y Acceso Web de TS, 340
ethernet, 104-108 y archivos .rdp, 341-342, 344-345
punto a punto, 98-99 y Conexión a Escritorio remoto, 340
servidor, 99-100 y el modo de servidor de aplicaciones
sistema heredado, 193 de Terminal Services, 337-346
tecnologías de red caseras, 110-111 y paquete .msi, 342-343, 345-346
tecnologías de red inalámbrica, 108-110 Rendimiento:
transmisiones seguras, 564-566 e IIS 7, 255-256
y NAT, 230 optimización, 485
y replicación, 211 Rendimiento, ficha, 488, 489
y Terminal Services, 4 Reparar equipo, opción, 49
Redes de valor agregado (VAN), 294 Replicación, 210-213
Redes jerárquicas, 125 de Active Directory, 210-213
Reducir: de controladores de dominio, 211
discos duros, 14 de sitios, 210-213
volúmenes, 391 del Sistema de archivos distribuido, 375, 409-412
Reenvío de nivel dos (L2F), 297 interna de sitio, 211
REG_BINARY, 498 replicación interna de sitio, 211
REG_DWORD, 498 replicación sitio a sitio, 211-212
REG_EXPAND__SZ, 498 Sistema de archivos distribuido, 375, 409-412
REG_FULL_RESOURCE_DESCRIPTOR, 498 y bosques, 410
REG_MULTI_SZ, 498 y colisiones, 214
REG_SZ, 498 y configuración de partición de datos, 210
Registro, 494-498 y dominios, 210, 409
claves, 494-497 y GUID, 214
copia, 497 y partición de esquema de datos, 210
edición, 494 y particionamiento, 210
entradas, 497-498 y WAN, 204
HKEY_LOCAL_MACHINE, 495, 523 Replicación DFS (véase Replicación de sistema
La última configuración válida conocida, 494, 499, 501 de archivos distribuidos)
subárboles, 496-497 Reproducción automática, 473-474
subclaves, 496-497 Reproductor de Windows Media (Microsoft), 290
tipos de datos, 497-498 Requisitos del sistema, 22-29
Registro de arranque, 502 DVD-ROM, 24
Registro maestro de arranque (MBR), 384, 499 espacio en disco duro, 24
Registro ODBC, 255 memoria de acceso aleatorio, 23
Registros de puntero, 175 para compatibilidad de aplicación, 28-29
Registros e inclusión en el registro, 282-284 para compatibilidad del sistema, 24-27
campos usados, 284 para impresión, 429
e IIS 7, 254, 282-284 para instalación, 22-29
en espacio de trabajo del Administrador de Internet para procesadores, 23
Information Services (IIS), 268 para red, 24
herramientas, 254 Réseaux IP Européans (RIPE), 159
HTTP, 254 Reservas, 169
ODBC, 255 Residentes, fuentes, 447
Registros de arranque, 502 Resistencia al fuego, 117
Reinicio de la impresión: Respondedor de detección de topologías
de un solo documento, 445 de nivel de vínculos, 150
para todos los documentos, 444 Restaurar (RST), campo, 139
Relleno, 106, 139 Restricciones de dominio, 255
Remota Revestimiento, 120
administración, 115 Revisión de redundancia cíclica (CRC), 106
instalación, 8, 48 RFC (véase Solicitudes de comentarios)
RemoteApp de Terminal Services, 326 1510, 525
acceso, 340 2284, 297
administración, 337-340 4291, 136
Conexión a Escritorio remoto con, 343-346 790, 134

Índice 587
791, 134 enrutamiento, 223-224

793, 139 función, 223-224
796, 134 habilitación, 224-226
RIPE (Réseaux IP Européans), 159 hardware, 299-301
RIS (servicio de instalación remota), 35 prueba, 304-306
Riser, cable (véase PVC, cable) reconfiguración, 306-308
RJ-45, conectores, 116-117 Servicios de directivas y acceso a red, 303
Roaming, perfiles de usuario, 512-513, 515 uso, 228-230, 305-306
RODC (véase Controladores de dominio de sólo lectura) y comunicaciones, 12
RPC (replicación IP), 213 y conexiones de marcado telefónico, 304-305
RST (Restaurar), campo, 139 y red privada virtual, 299-301, 303-306
Rueda, ficha, 482 y servidor VPN, 306-308
Servicio de activación de procesos de Windows, 327
Servicio de administración, 270-271
S administración remota con, 269, 270-271
SAM (véase Administrador de cuentas de seguridad) configuración, 270-271
Sans serif, fuentes, 452 e IIS 7, 256, 271
Scripts y herramientas de administración de IIS, 256 instalación, 270
Sc-status, campo, 284 Servicio de administración Web (WAS), 250
Sc-substatus, campo, 284 Servicio de búsqueda de Windows, 375, 412
Sc-win32-status, campo, 284 Servicio de indizado, 375
Secuencia de comandos, 251, 256 Servicio de inscripción de dispositivos de red, 529
Segmentación de conmutadores, 123 Servicio de instalación remota (RIS), 35
Segmentos, 136 Servicio de nombre de Internet de Windows
Seguridad, 4, 522-566 (WINS), 179-182
administrar, 17 configuración, 179-182
autentificación, 522-538 en clientes, 181-182
con cifrado, 551-563 en servidor, 179-181
con transmisión segura de datos, 563-566 registros estáticos, 182
de servidores Web, 261-263 y compatibilidad, 156
e IIS 7, 255 Servicio de publicación FTP, 256
en IIS 7, 249-250, 261-263 Servicio de replicación de archivos (FRS), 375
para datos almacenados, 551 Servicio de respuesta en línea, 529
y Active Directory, 522 Servicio de usuario de marcado telefónico de
y ctrl+alt+supr, 522 autentificación remota (RADIUS), 303
Seguridad de capa de transporte (TLS): Servicios de archivo de Windows Server 2003, 375, 412
e Internet Engineering Task Force, 562 de indización, 375
para autentificación de usuario, 524 de replicación de archivo, 375
y cifrado, 562 Servicios de archivos, 373-375
Seguridad de Protocolo de Internet (IPSec), 564 Administración de almacenamiento y recursos
configuración, 313, 564-566 compartidos, 375, 376-382
proceso, 564 Administración de discos, 373-375, 383
y Active Directory, 312 Administrador de recursos del servidor
y el protocolo de entunelamiento de archivos, 375, 412-416
de capa dos, 298, 315-316 compresión de datos, 395-398
y L2TP, 309 descripción, 73
y VPN, 312-313, 315-316 instalación, 412-413
Seguridad mejorada de Internet Explorer (IE ESC), 236 Servicio de búsqueda de Windows, 375, 412
SEP, archivos, 440 servicios de función, 375
Separadoras, páginas, 440-141 Sistema de archivos de red, 375, 412
Serif, fuentes, 452 Sistema de archivos distribuidos, 375, 404-116
Server Core, 37-38 Windows Server 2003, 375, 412
Servicio de acceso remoto (RAS), 223-230 Servicios de Certificate Services
configuración, 223, 224-226, 303-304 de Active Directory (AD CS), 528-530
configuración de puerto, 227-228 configurar, 528
direcciones IP, 303 descripción, 73
directivas de red, 227-228 pasos para usar, 524-525
en Active Directory, 226 Servicios de directivas y acceso a red:
descripción, 73

para RAS, 303 Servidor, nivel:

y funciones de Terminal Services, 327 delegación, 269
Servicios de directorio, 188, 189 opciones DHCP, 171
Servicios de directorio ligero de Active Directory, 73 Servidores, 59-80, 99
Servicios de dominio (DS), 75-80 como controladores de dominio, 184
Servicios de dominio de Active Directory (AD DS): conexiones, 266
Asistente para la instalación, 78, 80 configuración, 59-80
configuración, 75-80 de aplicaciones, 335
descripción, 73 diferencia entre clientes y, 100
instalación, 74-75 empresariales, 529
y directivas de grupo, 506 exploración, 67-70
y WDS, 82 funciones, 8, 72-73
Servicios de federación de Active Directory: inicialización, 59-61
descripción, 73 instalación de funciones, 70-80
en la edición Enterprise, 5 pasos, 259
Servicios de implementación de Windows (WDS), 82-91 personalización, 4, 59-63
configuración, 74, 84-88 primarios, 160
descripción, 73 red, 63-67
detección y resolución de problemas, 89-91 rendimiento, 285-289
e imagen de instalación, 87-88 Servicio de nombres de Internet de Windows, 179-181
e imágenes de arranque, 85-87 virtuales, 274
espacio libre, 82 Servidores de catálogo global, 198-199
instalación, 82-83 características, 199
particiones, 82 consulta, 199
prueba, 89 en varios sitios, 198
requisitos del sistema, 82 y replicación, 204
y AD DS, 82 Servidores de impresión, 428, 452
y arranque de red PXE, 88, 90-91 adición de impresoras, 455
y DHCP, 82 red, 454
y DNS, 82 Servidores IAS, grupo, 226
y Sistema de archivos distribuido, 82 Servidores independientes:
y Sistema de cifrado de archivos, 82 certificado de autentificación, 529
y tarjetas de interfaz de red, 82 grupos, 540-541
Servicios de impresión, 16, 452-157 Sesión, capa, 103, 179
descripción, 73 Sesiones, 103
instalación, 452-453 SFD (inicio de delimitador de trama), 105
para administración de impresión, 453-457 SharePoint Services, 248-249
Servicios de Internet, 252-253 Sheldon, Tom, 97
Servicios de multimedia de transmisión SID (véase Identificadores de seguridad)
por secuencias (véase Servicios de Windows Media) Siguiente generación de cifrado (CNG), 563
Servicios de Windows Media, 289-292 Simples, volúmenes, 369, 392-393
administración, 292 Simplex, cableado, 120
e IIS 7, 289-292 SIN (Sincronizar), campo, 139
métodos de transmisión por secuencias, 290-291 S-ip, campo, 284
Servidor de aplicaciones, 325 Sistema básico de entrada/salida básico (BIOS):
de Terminal Services, 325 antes del arranque, 499
descripción, 73 y arranque, 50
modo, 335 y BitLocker, 560
Servidor de archivos, 375 Sistema de archivos de nueva tecnología (véase NTFS)
Servidor de fax, 458-469 Sistema de archivos de red (NFS):
administración, 466-469 servicios, 375, 412
descripción, 73 y recursos compartidos, 382
instalación, 458 Sistema de archivos distribuido (DFS), 375, 404-416
y Fax y escáner de Windows, 458-466 basado en dominio, 404
Servidor de licencias, 355 configuración, 405-406
Servidor de Windows Media, transmisión creación, 405-407
por secuencia, 291 Espacios de nombres DFS, 375
Servidor, adaptadores (véase Adaptadores) instalación, 405-406

Índice 589
Replicación DFS, 375 como página principal predeterminada, 243

y Administrador del servidor, 406 creación, 273-274
y WDS, 82 directorios principales, 276-277
Sistema de nombres de dominio (DNS), 160-161 directorios virtuales, 277-279
administración, 172-173 en carpeta Favoritos, 240
dinámico, 176-178 en la carpeta Vínculos, 240-241
directorios, 190, 192 hospedaje, 274-276
espacio de nombres DNS global, 193-194 navegación directa a, 240-241
instalación, 74, 161-164 navegación, 239
jerárquico, 190 predeterminados, 275
prueba, 178-179 y pestañas, 244-246
servidor, 73 SmartFTP, 252
y Active Directory, 190-192 SMB (Bloque de mensaje de servidor), 382
y árboles, 206 SMP (multiprocesamiento simétrico), 85
y direcciones IP, 190 SMTP (protocolo simple de transferencia de correo), 249
y HTTP, 193 SMTP (véase Protocolo simple de transferencia de correo)
y unidades organizativas, 190 Software:
y WDS, 82 conflicto, 41-42
zona DNS, 173-176 e instalación, 40-12
Sistema de nombre de dominio, zona, 172, 173-176 inventario, 40
creación de uno nuevo, 173-174 Solicitud de interrupción (IRQ), líneas, 145
y nombre de dominio, 174 Solicitudes de comentarios (RFC):
zonas de búsqueda inversa, 174-176 y CHAP, 296
Sistema operativo, instalación, 46 y protocolos, 131
Sistema, grupos, 546 Solicitudes en cola, 250
Sistema, ventana, 483-484 Sonido, opciones, 479
Sistemas de almacenamiento, 368-370 S-port, campo, 284
básicos, 14-15, 368-369 SQL Server 2005 Express (Microsoft), 87
dinámicos, 14, 368, 369-370 SRV (Recursos de ubicación de servicios), 194
para dominios, 192 SSI (Inclusión del lado del servidor), 254
tipos, 368-370 SSL (véase Capa de conectores seguros)
Sistemas de almacenamiento dinámico, 14, 368, 369-370 SSTP (Protocolo de entunelamiento
conversión, 402 de conector seguro), 298-299
particionamiento, 368 SSTP, servidor (véase Protocolo de
volúmenes, 369 entunelamiento de conector seguro, servidor)
Sistemas de archivos, 368, 370-373 Standard, edición, 31
administración, 14-15, 373 actualización desde, 51
FAT, 370-373 requisitos, 6
FAT32, 370-373 Suaves, fuentes, 447
herramientas para administrar, 15 Subárboles (véase Claves), 496-197
NTFS, 371-373 Subclaves, 496-497
Sistema de archivos distribuidos, 375, 404-407 Subdominios, 190
Sitio a sitio, replicación, 211-212 Subred, máscaras, 76, 134, 165
Sitios, 209-210 Subtítulos de texto, 478
conectividad, 212-213 Suma de verificación, 139
nivel, 269 de encabezado, 136
protocolos, 213 Symantec:
vínculos, 212 Ghost, 260
y Active Directory, 209-210 PartitionMagic, 34
y replicación, 210-213 Sysprint.sep, 441
Sitios de confianza (IE), 347 Sysprtj.sep, 441
Sitios Web, 239-243
administración, 276-279
apertura en pestaña nueva, 244-245 T
búsqueda, 241-243 Tabla de particiones GUID (GPT), 384
cambio entre, 245-246 Tareas de configuración inicial (ICT), 60-61, 257
carpeta Historial, 241 Tareas:
cierre, 246 en la ficha General, 480

y red, 100-101 para cableado horizontal, 121

Tarjeta principal PCI, 114 para conexión de espina dorsal, 121
Tarjetas de red (NIC), 112-116 para conexiones cruzadas principales, 121
adaptadores de red de servidor, 114 para cuartos de equipos, 121
adaptadores de red multipuerto, 114 para facilidades de entrada, 121
característica Wake on LAN, 115 para telecomunicaciones, 122
conexión de adaptador, 113-114 TIA/EIA-569, 121
Entorno de ejecución antes del arranque, 82-85 TIA/EIA-587-A, 121
full-duplex, 114 TIA/EIA-606, 121
half-duplex, 114 TIA/EIA-607, 121
marcas, 115-116 Tiempo de inactividad, 259
para conexiones de área local, 231 Tiempo de vida (TTL), 161, 180
selección, 114 Time, campo, 284
y trama Ethernet, 106 Times New Roman, 452
y WDS, 82 Time-taken, campo, 284
Tarjetas inteligentes, 527 Tipos de datos en el Registro, 497-198
TB (terabyte), 6 Tipos de fuentes, 447, 452
TCP (véase Protocolo de control de transmisión) TLS (véase Seguridad de capa de transporte,
TCP, protocolos de red, 136-139 Transport Layer Security)
TCP/IP (véase Protocolo de control de transmisión/ Todos, grupo, 442, 548
Protocolo de Internet) Token Ring, 104
TechNet, 131, 284 Topología:
Teclado, 478, 481 de bus, 129, 130
en pantalla, 478 para DFS, 404
Teclas para Ethernet, 106
de filtro, 478 TPM (véase Módulo de plataforma confiable)
especiales, 478 Trabajo en red, 10, 96-139
interruptoras, 478 básico, 142
Telecommunications Industry Association, 121 componentes, 10
Telecommunications Industry Association, configuración, 63-65
estándares (véase TIA/EIA, estándares) exposición, 96-97
Telefonía, 218-223 funciones, 147-149
conexiones de acceso telefónico, 222-223 hardware, 111-129, 299-301
módems, 219-222 requisitos del sistema, 24
Teléfono, dar licencia por, 356 TCP/IP, 131-dl39
Terminal Server, 326 topologías, 129-131
Terminal Services (TS), 324-335 y adaptadores de red, 142-147
componentes, 325-326 y redes de área local, 11
configuración, 326, 331-334 (véase también tipos específicos,
descripción, 73 como Red privada virtual)
instalación de funciones, 326-331 Trabajos de impresión en cola, 437
Modo de administración remota, 325, 358-364 Traducción de dirección de red (NAT):
modos, 325-326 para compartir conexiones de Internet, 234
para administrar servidores Web, 269 y redes de área local, 230
preparación, 335-337 Tramas, 296
razones para usar, 324 Transitivas, relaciones de confianza, 205-207
y acceso remoto, 4 Transmisión por secuencia de audio, 290, 292
y Active Directory, 326 Transmisión por secuencia, métodos, 290-291
y Administrador del servidor, 330 con servidor de medios, 291
y Conexión de escritorio remoto, 326, 330 con servidor Web, 290
y controladores de dominio, 326 de Servicios de Windows Media, 290-291
y modo de servidor de aplicaciones Transmisión por secuencias de video, 290, 292
de Terminal Services, 335-337 Transmisiones seguras
y Servicios de directiva y acceso a red, 327 de datos, 563-566
Thicknet (véase 10Base5) en Internet, 563-564
Thinnet (véase 10Base2) en la Intranet, 563-564
TIA/EIA, estándares, 121-122 Transmisor receptor, 109
para cableado del área de trabajo, 122 Transporte, capa, 103, 179

Índice 591
TrueType, fuentes, 448, 449 Usuarios y equipos de Active Directory, 527

TS (Terminal Services), configuración, 326 Usuarios, ficha, 489
TS (véase Terminal Services) Usuarios, grupo, 546
TS CAL (véase Licencia de acceso de cliente de Terminal UTP mejorado de categoría 5 (véase UTP de categoría 5e)
Services) UTP, cableado (véase Par trenzado sin blindar)
.Tt, archivos, 449 UTP
.Ttc, archivos, 449 Categoría 1, 118
TTL (véase Tiempo de vida) Categoría 2, 118
Túnel, 294 Categoría 3, 107, 118
Categoría 4, 118
Categoría 5, 107, 118
U Categoría 5e (categoría 5 mejorada), 118, 122
Ubicación, ficha, 483 Categoría 6, 107, 118, 122
UDDI (Descripción, descubrimiento e integración
universal) Servicios, 73
UNC (convención universal de asignación V
de nombres), 278 VAN (redes de valor agregado), 294
Único, registro, 182 Varias entradas varias salidas (MIMO), 109
Unidad, letras, 394-395 Vectoriales, fuentes, 448, 449
Unidad de red, instalación, 51-52 Verisign, 528
Unidad local, configuración, 51-52 Video, transmisión por secuencia, 290, 292
Unidades (véase Discos duros) Vínculo de datos, capa, 102-103
Unidades lógicas, 33, 369, 394 Vínculos, carpeta, 240-241
Unidades organizativas (OU): Visio Professional, 131
directivas de grupo, 506-508 Vista (véase Windows Vista)
en Active Directory, 189, 190, 208-209 Vista clásica, 472
subdominios, 190 Vista principal, 472
y DNS, 190 Volúmenes:
(véase también tipos específicos, como Dominios) adición, 392-393
Unión, 274 compresión de datos, 395-396
Universal, ámbito, 543 creación, 403-404
UNIX: de sistemas de almacenamiento dinámicos, 369
servicio de daemon de impresora de línea, 428 diferencia entre particiones y, 368
y Kerberos, 525 distribuidos, 369, 403-404
y recursos compartidos, 382 eliminación, 391
y servidores de impresión, 428 extensión, 393-394
UPS (no break), 41 formateo, 85, 394
URG (Urgente), campo, 139 propiedades, 386-389
Urgente (URG), campo, 139 RAID-5, 369
URL (véase Localizadores uniformes de recursos) reduccción, 391
URL, autorización, 255 reflejados, 369, 403
USB, clave, 556s, 559-561 seccionados, 369, 370, 403
User-agent (es), campo, 284 simples, 369, 392-393
Usuario, autentificación, 17, 522-526 y Administración de volumen dinámico, 401-404
autentificación de usuario de red, 524-525 Volver a examinar los discos, 389
autentificación de usuario del equipo local, 523-524 VPN (véase Red privada virtual, Virtual Private
con Kerberos versión 5, 525-526 Networking)
y Active Directory, 524 VPN, cliente, 317-322
y capa de conectores seguros, 524 VPN, servidor (véase Red privada virtual, servidor)
Usuario, directivas, 504
Usuario, modo, 489
Usuario, perfiles, 511-516 W
asignación a cuenta de usuario, 514-515 W3C (World Wide Web Consortium), 562
creación, 511-512 Wake on LAN, característica, 115
local, 511-512 WAN (véase Redes de área amplia)
obligatorio, 516 WAS (servicio de administración Web), 250
plantillas, 515 WDS (véase Servicios de implementación de Windows)
roaming, 512-513, 515

Web Server 2008 (véase Windows Web Server 2008) como Edición Enterprise)
Web, servidores, 253-263 Windows Server 2008, Edición Standard, 5
actualización, 261 Windows Server 2008, enrutadores, 230-235
administración remota, 269-273 configuración, 231-232
descripción, 73 mantenimiento, 232-234
e IIS 7, 253-263 y compartir conexión a Internet, 234-235
métodos de transmisión por secuencias con, 290 Windows Vista:
migración, 258-261 como servidores de impresión, 428
y funciones de Terminal Services, 327 conexión a Internet con, 318
y seguridad, 261-263 e impresión, 16
WebDAV (autoría y versión distribuidas de Web), 248 IIS 7, 248
WIFI (fidelidad inalámbrica), estándar, 110 Panel de control, 472
Windows 2000: particionamiento, 34
fuentes, 448 redes puerto a puerto, 100
permisos, 546 SSTP, 316
y Active Directory, 196, 199 transmisión por secuencia de audio y video, 290
y cifrado, 396 y Ethernet, 104
y dominios, 191 y Microsoft Assessment and Planning Toolkit
Windows 95: Solution Accelerator, 87-89
fuentes, 448 y redes cliente/servidor, 100
y Active Directory, 195 y VPN, 294
Windows 98: Windows Web Server 2008, 5, 6
fuentes, 448 Windows XP:
y Active Directory, 195 particionamiento, 34
Windows Communication Foundation, 249 transmisión por secuencia de audio y video, 290
Windows NT: Windows, sistemas:
en GUID, 201 compatibilidad AD, 193
en WINS, 193 e instalación, 50-51
permisos, 546 WINS (véase Servicio de nombre de Internet de Windows)
y Active Directory, 195 WMI (véase Instrumentación de administración de
y cifrado, 396 Windows)
y dominios, 191-192 Word (Microsoft) (véase Microsoft Word)
Windows Server 2003, 375 World Wide Web Consortium (W3C), 562
Active Directory, 188 WS_FTP, 252
actualizaciones, 46 WWW, servicios, 252 (véase también tipos específicos, como
actualizar a SP1 o SP2, 46 Protocolo de transferencia de hipertexto)
instalación, 46
permisos, 546
Service Pack 1, 54 X
y dominios, 191, 193 X.25, estándar, 297
Windows Server 2008 Datacenter, Edición, 5 X.500, estándar, 189
Windows Server 2008 Enterprise, Edición, 5 X.509, estándar, 189
Windows Server 2008 para sistemas basados en Itanium, 5 X64, velocidad del procesador, 6
Windows Server 2008, 4-18 X86, velocidad del procesador, 6
administración, 12-18 Xerox PARC (Palo Alto Research Center), 104
como actualización, 4-5 Xerox, 104
comparación de edición, 5 XML (Lenguaje de marcado extendible), 252
conexiones externas con, 11-12
configuración, 8-10
consideraciones de hardware, 5-7
e impresión, 16
Y
esquemas de red, 10-11 Yahoo!, 240
fuentes, 448-150
funciones, 7
implementación, 7-10 Z
instalación, 7-8 Zipcord, cableado, 120, 122
preparación, 7 Zona, transferencias, 160
(véase también Ediciones especiales, Zonas DNS (véase Sistema de nombre de dominio)

Windows Server 2008 - Guía Del Administrador PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Windows Server 2008 - Guía Del Administrador PDF

Cargado por

Copyright:

Formatos disponibles

A Dick y Pat Shepard.

Los mejores vecinos del mundo y amigos maravillosos.

▼ 1 Exploración de Windows Server 2008 3

▼ 2 Preparación para la instalación 21

Instale los Servicios de implementación de Windows 83

▼ 5 Entorno de red de Windows Server 2008 95

Active Directory y dominios 191

▼ 8 Comunicaciones y servicios de Internet 217

Personalice y mantenga IIS 7 263

Implemente el Administrador de licencias de TS 353

▼ 12 Administración del almacenamiento y los sistemas de archivos 367

Cree un disco de recuperación 425

Barra de tareas y menú Inicio 485

Cómo está organizado este libro

Parte I: El entorno de Windows Server 2008

Parte II: Implementación de Windows Server 2008

Parte III: Trabajo en red con Windows Server 2008

Parte IV: Comunicaciones e Internet

■ Capítulo 9. Servicios de información de Internet (IIS) versión 7: describe Internet

Parte V: Administración de Windows Server 2008

Convenciones manejadas en este libro

01 MATTHEWS 01.indd 1 1/14/09 11:22:13 AM

01 MATTHEWS 01.indd 3 1/14/09 11:22:14 AM

RAZONES PARA WINDOWS SERVER 2008

01 MATTHEWS 01.indd 4 1/14/09 11:22:14 AM

COMPARACIÓN DE LAS EDICIONES

01 MATTHEWS 01.indd 5 1/14/09 11:22:14 AM

Componente de sistema Mínimo Recomendado

01 MATTHEWS 01.indd 6 1/14/09 11:22:14 AM

▼ Implementación de Windows Server 2008

IMPLEMENTE WINDOWS SERVER 2008

Prepárese para Windows Server 2008

▼ Sus equipos cumplen con los requisitos de Windows Server 2008

En el capítulo 2 se le ayuda a preparar la instalación revisando cada una de estas áreas,

Instale Windows Server 2008

01 MATTHEWS 01.indd 7 1/14/09 11:22:15 AM

■ Automatizada. Se emplea una secuencia de comandos o archivo de respuestas para

En el capítulo 3 se explica en detalle cómo emplear el estilo manual para instalar

Configure Windows Server 2008

01 MATTHEWS 01.indd 8 1/14/09 11:22:15 AM

funciones del servidor, además de servicios de funciones y características, es trabajo del

01 MATTHEWS 01.indd 9 1/14/09 11:22:16 AM

El uso del Administrador del servidor se presenta en el capítulo 3 y se menciona a lo largo

RED DE WINDOWS SERVER 2008

▼ Intercambio de información, como enviar archivos de un equipo a otro

▼ Un esquema de red, para manejar la transferencia

En el capítulo 5 se describen los esquemas de red disponibles en Windows Server 2008,

01 MATTHEWS 01.indd 10 1/14/09 11:22:16 AM

COMUNÍQUESE Y USE INTERNET CON

01 MATTHEWS 01.indd 11 1/14/09 11:22:16 AM

■ Líneas de marcado telefónico para comunicaciones de equipo a equipo, mediante módem

ADMINISTRE WINDOWS SERVER 2008

01 MATTHEWS 01.indd 12 1/14/09 11:22:16 AM

Figura 1-4. La selección de funciones en el Administrador del servidor facilita la instalación

Administración general del servidor

01 MATTHEWS 01.indd 13 1/14/09 11:22:16 AM

funciones, gran cantidad de características independientes del servidor pueden instalarse

Administración del sistema de archivos

01 MATTHEWS 01.indd 14 1/14/09 11:22:17 AM

En la figura 1-6 se muestra el panel Administración de discos en la ventana Administra-

01 MATTHEWS 01.indd 15 1/14/09 11:22:17 AM

01 MATTHEWS 01.indd 16 1/14/09 11:22:17 AM

01 MATTHEWS 01.indd 17 1/14/09 11:22:18 AM