Página 1: Número de Bits Número de Redes Combinadas

17/11/2020 USO DE MCT ÚNICAMENTE.
PROHIBIDO EL USO DE ESTUDIANTES
Página 1
Instalación y configuración de Windows Server ® 2012 5-17
Para realizar superredes, las redes que está combinando deben ser contiguas. Por ejemplo,
192.168.16.0/24 y 192.168.17.0/24 pueden superred, pero no puede superred 192.168.16.0/24 y
192.168.54.0/24.
La creación de superredes es lo opuesto a la creación de subredes. Cuando realiza superredes, asigna bits de la
ID de red a la ID de host. La siguiente tabla muestra cuántas redes puede combinar usando un
número específico de bits.
Número de bits Número de redes combinadas
1 2
2 4
3 8
4 dieciséis
La siguiente tabla muestra un ejemplo de superredes de dos redes de clase C. La porción de la subred
La máscara que está utilizando como parte de la ID de red está en negrita.
Red Rango
192.168. 00010000 .00000000 / 24 192.168.16.0-192.168.16.255
192.168. 00010001 .00000000 / 24 192.168.17.0-192.168.17.255
192.168. 00010000 .00000000 / 23 192.168.16.0-192.168.17.255
Página 2
5-18 Implementación de IPv4
https://translate.googleusercontent.com/translate_f 1/163
17/11/2020 USO DE MCT ÚNICAMENTE. PROHIBIDO EL USO DE ESTUDIANTES
Lección 4
Configuración y resolución de problemas de IPv4
Una configuración incorrecta de IPv4 afecta la disponibilidad de los servicios que se ejecutan en un servidor. Para asegurar
la disponibilidad de los servicios de red, debe comprender cómo configurar y solucionar problemas de IPv4.
Windows Server 2012 presenta la capacidad de configurar IPv4 mediante Windows PowerShell.
Las herramientas de solución de problemas de Windows Server 2012 son similares a las herramientas de solución de problemas de
versiones de los sistemas operativos cliente Windows y los sistemas operativos Windows Server. Puede utilizar herramientas,
como Microsoft ® Mensaje Analyzer, para llevar a cabo un análisis detallado de la comunicación en red.
Objetivos de la lección
Después de completar esta lección, debería poder:
• Configure IPv4 manualmente para proporcionar una configuración estática para un servidor.
• Configurar un servidor para que obtenga una configuración IPv4 automáticamente.
• Explicar cómo utilizar las herramientas de resolución de problemas de IPv4.
• Explicar cómo utilizar los cmdlets de Windows PowerShell para solucionar problemas de IPv4.
• Describir el proceso de resolución de problemas que se utiliza para resolver problemas fundamentales de IPv4.
• Describir la función de Microsoft Message Analyzer.
• Utilice Microsoft Message Analyzer para capturar y analizar el tráfico de red.
Configuración manual de IPv4
Puede configurar direcciones IPv4 manualmente o

automáticamente. Para configurar una dirección IPv4
manualmente, ingrese la dirección IPv4 usando el
Interfaz gráfica de Windows Server 2012 o por
utilizando Windows PowerShell. Una dirección IPv4 es
configura automáticamente cuando un servidor que se ejecuta
Protocolo de configuración dinámica de host - DHCP
asigna una dirección IPv4 a las computadoras o
dispositivos de red. Las direcciones IP estáticas suelen
configurados en servidores, enrutadores, conmutadores u otros
dispositivos de red que necesitan mantener persistentes
Configuración de IP que no cambia con el tiempo.
Para configurar una dirección IP estática para un servidor en una configuración IPv4, deberá determinar la
siguientes configuraciones:
• dirección IPv4
• Máscara de subred
• Puerta de enlace predeterminada
• servidores DNS
La configuración estática requiere que visite cada computadora e ingrese la configuración IPv4 manualmente. Esta
El método de administración de la computadora es razonable para los servidores, pero requiere mucho tiempo para el cliente.
ordenadores. La introducción manual de una configuración estática también aumenta el riesgo de errores de configuración.
Página 3
Configuración de una dirección IP estática mediante Windows PowerShell

Windows Server 2012 incluye cmdlets de Windows PowerShell que puede usar para administrar la red
configuración. La siguiente tabla describe algunos de los cmdlets de Windows PowerShell que están disponibles
para configurar IPv4.
Cmdlet Descripción de los usos de la configuración de IPv4
New-NetIPAddress Utilice este comando para crear una nueva dirección IP y vincularla a una
adaptador de red. No puede usar este comando para cambiar una IP
habla a.
Set-NetIPAddress Este comando cambia la configuración de una dirección IP.
Set-NetIPInterface Puede utilizar este comando para habilitar o deshabilitar DHCP para un
interfaz.
New-NetRoute Este comando crea entradas en la tabla de enrutamiento, incluida la

puerta de enlace predeterminada (0.0.0.0). No puede usar este cmdlet para modificar
el siguiente salto de una ruta existente; en su lugar, debe eliminar un
ruta existente y cree una nueva ruta con el siguiente salto correcto.
Set-DNSClientServerAddress Configura el servidor DNS que se utiliza para una interfaz.
El siguiente código es un ejemplo de los cmdlets de Windows PowerShell que puede usar para configurar el
interfaz Conexión de área local con los siguientes parámetros:
• Dirección IP estática 10.10.0.10
• Máscara de subred 255.255.255.0
• Puerta de enlace predeterminada10.10.0.1
Conexión de área local también está configurada para usar servidores DNS de 10.12.0.1 y 10.12.0.2.
New-NetIPAddress –InterfaceAlias "Conexión de área local" –IPAddress 10.10.0.10

-PrefixLength 24 –DefaultGateway 10.10.0.1
Set-DNSClientServerAddress –InterfaceAlias "Conexión de área local" -ServerAddresses

10.12.0.1,10.12.0.2
Configuración de una dirección IP estática mediante Netsh

También puede configurar una dirección IP estática en las propiedades de la conexión de red o utilizando
la herramienta de línea de comandos netsh. Por ejemplo, el siguiente comando configura la interfaz Local Area
Conexión con los siguientes parámetros:
• Dirección IP estática 10.10.0.10
• Máscara de subred 255.255.255.0
• Puerta de enlace predeterminada10.10.0.1
Netsh interface ipv4 set address name = "Conexión de área local" source = static
addr = 10.10.0.10 máscara = 255.255.255.0 puerta de enlace = 10.10.0.1
Lectura adicional: para obtener más información sobre los cmdlets de TCP / IP de red en Windows
PowerShell, vaya a http://go.microsoft.com/fwlink/?LinkId=269708 .
Pregunta: ¿Alguna computadora o dispositivo en su organización tiene direcciones IP estáticas?
Página 4
Configuración automática de IPv4
DHCP para IPv4 le permite automatizar la

proceso de asignación de direcciones IPv4 a grandes
número de ordenadores sin tener que asignar
cada uno individualmente. El servicio DHCP recibe
solicitudes de configuración de IPv4 desde computadoras
que configura para obtener una dirección IPv4
automáticamente. También asigna IPv4 adicional
configuración de los ámbitos que defina para cada
de las subredes de su red. El servicio DHCP
identifica la subred desde la cual la solicitud
originado y asigna la configuración de IP desde el
alcance relevante.
DHCP ayuda a simplificar el proceso de configuración de IP; sin embargo, debe tener en cuenta que si usa DHCP para
asignar información IPv4 y el servicio es crítico para el negocio, debe hacer lo siguiente:
• Incluya resiliencia en el diseño de su servicio DHCP para que la falla de un solo servidor no evite
el servicio deje de funcionar.
• Configure los ámbitos en el servidor DHCP con cuidado. Si comete un error, puede afectar a todo el
red y evitar la comunicación.
Cuando usa una computadora portátil para conectarse a varias redes, como una en el trabajo y otra en el hogar,
debe configurar el direccionamiento IP de manera diferente en cada red. Sin embargo, si existe un servidor DHCP en ambos
redes, el servidor DHCP configurará la configuración de IP del portátil automáticamente.
Los sistemas operativos Windows también admiten el uso de estas tecnologías para asignar direcciones IP:
• Direccionamiento IP privado automático (APIPA). En un escenario en el que no hay un servidor DHCP en la red
o el servidor DHCP no está disponible, Windows usa APIPA para asignarse automáticamente una dirección IP en
el rango de direcciones entre 169.254.0.0 y 169.254.255.255. Debido a que APIPA no configura el
computadora con DNS y configuración de puerta de enlace predeterminada, las computadoras con direcciones APIPA asignadas tienen
Funcionalidad de red limitada. APIPA también se puede utilizar para solucionar problemas de DHCP. Si la red
administrador advierte que el equipo tiene una dirección del rango APIPA, es una indicación de que
la computadora no puede comunicarse con el servidor DHCP.
• Dirección IP estática alternativa. Si la dirección IP estática alternativa está configurada en una red informática
adaptador y el servidor DHCP no está disponible, el adaptador de red de la computadora utilizará el
Dirección IP estática.
Windows Server 2012 también tiene cmdlets de Windows PowerShell que puede usar para habilitar DHCP para un
interfaz. La siguiente tabla describe algunos de los cmdlets de Windows PowerShell disponibles que son
disponible para configurar DHCP en una interfaz.
Cmdlet Descripción
Get-NetIPInterface Obtiene una lista de interfaces y su configuración. Esto no lo hace

incluir la configuración IPv4 de la interfaz.
Set-NetIPInterface Habilita o deshabilita DHCP para una interfaz.
Get-NetAdapter Obtiene una lista de adaptadores de red en una computadora.
Reiniciar-NetAdapter Desactiva y vuelve a activar un adaptador de red. Esto obliga a un cliente DHCP
para obtener una nueva concesión de DHCP.
Página 5
El siguiente código es un ejemplo de cómo puede habilitar DHCP para la conexión de área local del adaptador,
y asegúrese de que reciba una dirección:
Set-NetIPInterface –InterfaceAlias "Conexión de área local" –Dhcp habilitado
Restart-NetAdapter –Name "Conexión de área local"
Uso de cmdlets de Windows PowerShell para solucionar problemas de IPv4
Puede utilizar herramientas de línea de comandos o Windows

Cmdlets de PowerShell en Windows Server 2012 para
configurar y solucionar problemas de su red.
Aunque puede usar Windows PowerShell en
versiones anteriores de Windows Server para realizar
configuración y resolución de problemas de red,
requirió que usaras la administración de Windows
Objetos de instrumentación (WMI), que son más
difícil de usar que Windows PowerShell nativo
cmdlets.
La siguiente tabla enumera algunas de las

Cmdlets de PowerShell que puede usar.
Cmdlet Propósito
Get-NetAdapter Obtiene una lista de adaptadores de red en una computadora.
Get-NetIPv4Protocol Obtiene información sobre la configuración del protocolo IPv4. Tenga en cuenta que
el Get-NetIPv6Protocol obtiene información sobre el protocolo IPv6
configuración.
Reiniciar-NetAdapter Desactiva y vuelve a activar un adaptador de red.
Get-NetIPInterface Obtiene una lista de interfaces y su configuración.
Get-NetIPAddress Obtiene una lista de direcciones IP configuradas para interfaces.
Get-NetRoute Obtiene la lista de rutas en la tabla de enrutamiento local.
Get-NetConnectionProfile Obtiene el tipo de red (pública, privada, dominio) al que

El adaptador de red está conectado.
Get-DnsClient Recupera detalles de configuración específicos de las diferentes redes.
interfaces en una computadora específica.
Get-DNSClientCache Obtiene la lista de nombres DNS resueltos que se almacenan en el DNS

caché del cliente.
Get-DnsClientGlobalSetting Recupera la configuración global del cliente DNS, como la lista de búsqueda de sufijos.
Get-DNSClientServerAddress Obtiene la lista de servidores DNS que se utilizan para cada interfaz.
Registro-DnsClient Registra todas las direcciones IP en la computadora en la configuración

Servidor DNS.
Página 6
Cmdlet Propósito
Set-DnsClient Establece las configuraciones de cliente DNS específicas de la interfaz en el

computadora.
Set-DnsClientGlobalSetting Configura la configuración global del cliente DNS, como la búsqueda de sufijo
lista.
Set-DnsClientServerAddress Configura el adaptador de red de la computadora con las direcciones IP de

el servidor DNS.
Set-NetIPAddress Establece información sobre la configuración de la dirección IP.
Set-NetIPv4Protocol Establece información sobre la configuración del protocolo IPv4. Tenga en cuenta que
Set-NetIPv6Protocol devuelve información sobre IPv6
configuración del protocolo.
Set-NetIPInterface Modifica las propiedades de la interfaz IP.
Conexión de prueba Ejecuta pruebas de conectividad que son similares a las que usa ping.
Test-NetConnection Muestra lo siguiente:

• Resultados de una búsqueda de DNS
• Listado de interfaces IP
• Opción para probar una conexión TCP
• Reglas de IPsec
• Confirmación de establecimiento de conexión
Resolve-Dnsname Realiza una resolución de consulta de nombre DNS para el nombre especificado.
Herramientas de resolución de problemas de IPv4
Windows Server 2012 incluye varios

herramientas de línea de comandos que pueden ayudarlo a diagnosticar
problemas de red. Estas herramientas eran comúnmente
utilizado en ediciones anteriores de Windows Server.
Ipconfig
Ipconfig es una herramienta de línea de comandos que muestra
la configuración actual de la red TCP / IP.
Además, puede utilizar el comando ipconfig
para actualizar la configuración de DHCP y DNS. El seguimiento
La tabla describe las opciones de la línea de comandos para
ipconfig .
Mando Descripción
ipconfig / all Ver información de configuración detallada.
ipconfig / release Vuelva a liberar la configuración arrendada al servidor DHCP.
ipconfig / renovar Renovar la configuración alquilada.
Página 7
Mando Descripción
ipconfig / displaydns Ver las entradas de la caché de resolución de DNS.
ipconfig / flushdns Purgue la caché de resolución de DNS.
Silbido
Ping es una herramienta de línea de comandos que verifica la conectividad a nivel de IP con otra computadora TCP / IP. Envía
Mensajes de solicitud de eco ICMP y muestra la recepción de los mensajes de respuesta de eco correspondientes. Ping es el
comando TCP / IP principal que utiliza para solucionar problemas de conectividad, pero los firewalls pueden bloquear el ICMP
mensajes.
Tracert
Tracert es una herramienta de línea de comandos que identifica la ruta tomada a una computadora de destino enviando un
serie de solicitudes de eco ICMP. Luego, Tracert muestra la lista de interfaces de enrutador entre una fuente y un
destino. Esta herramienta también determina qué enrutador ha fallado y cuál es la latencia o velocidad. Estas
Los resultados pueden no ser precisos si el enrutador está ocupado, porque a los paquetes ICMP se les asigna una prioridad baja.
por el enrutador.
Pathping
Pathping es una herramienta de línea de comandos que traza una ruta a través de la red de una manera similar a Tracert.
Sin embargo, Pathping proporciona estadísticas más detalladas sobre los pasos individuales, o saltos , a través de la red.
La ruta puede proporcionar más detalles, ya que envía 100 paquetes para cada enrutador, lo que le permite
establecer tendencias.
Ruta
Route es una herramienta de línea de comandos que le permite ver y modificar la tabla de enrutamiento local. Puedes usar
esto para verificar la puerta de enlace predeterminada, que aparece como la ruta 0.0.0.0. En Windows Server 2012, también puede
use los cmdlets de Windows PowerShell para ver y modificar la tabla de enrutamiento. Los cmdlets para ver y
La modificación de la tabla de enrutamiento local incluye Get-NetRoute , New-NetRoute y Remove-NetRoute .
Telnet
Puede utilizar la función Cliente Telnet para verificar si un puerto de servidor está escuchando. Por ejemplo, el
comando telnet 10.10.0.10 25 intentos de abrir una conexión con el servidor de destino, 10.10.0.10, en
puerto 25, SMTP. Si el puerto está activo y escuchando, devuelve un mensaje al cliente Telnet.
Netstat
Netstat es una herramienta de línea de comandos que le permite ver las conexiones de red y las estadísticas. Por ejemplo,
el comando netstat –ab devuelve todos los puertos de escucha y el ejecutable que está escuchando.
Monitor de recursos
Resource Monitor es una herramienta gráfica que le permite monitorear la utilización de recursos del sistema. Puedes usar
Monitor de recursos para ver los puertos TCP y UDP que están en uso. También puede verificar qué programas están
utilizando puertos específicos y la cantidad de datos que están transfiriendo en esos puertos.
Diagnóstico de red
Utilice Windows Network Diagnostics para diagnosticar y corregir problemas de red. En el caso de un
Problema de red de Windows Server, la opción Diagnosticar problemas de conexión le ayuda a diagnosticar
y reparar el problema. Windows Network Diagnostics devuelve una posible descripción del problema y
un remedio potencial. Sin embargo, la solución puede requerir la intervención manual del usuario.
Página 8
Visor de eventos
Los registros de eventos son archivos que registran eventos importantes en una computadora, como cuando un proceso encuentra un
error. Cuando ocurren estos eventos, el sistema operativo Windows Server 2012 registra el evento en un
registro de eventos apropiado. Puede utilizar el Visor de eventos para leer el registro de eventos. Conflictos de IP, que pueden evitar
servicios desde el inicio, se enumeran en el registro de eventos del sistema.
El proceso de resolución de problemas de IPv4
El primer paso para solucionar problemas de una red
El problema es identificar el alcance del problema.
Las causas de un problema que afecta a un solo usuario
probablemente difiere de un problema que afecta a todos
usuarios. Si un problema afecta a un solo usuario, entonces
el problema probablemente esté relacionado con la configuración
de esa computadora. Si un problema afecta a todos
usuarios, es probable que el problema sea un servidor
problema de configuración o una configuración de red
problema. Si un problema afecta solo a un grupo de usuarios,
entonces necesitas determinar el común
denominador entre ese grupo de usuarios.
Para solucionar problemas de comunicación de red, debe comprender la comunicación general

proceso. Esto requiere que comprenda la configuración de enrutamiento y firewall en su red.
El sistema operativo Windows Server 2012 R2 introdujo dos nuevos cmdlets de Windows PowerShell
que puede utilizar para solucionar problemas de conectividad de red: Get-NetIPAddress y Test-
NetConnection . Puede ejecutar Get-NetIPAddress en un indicador de Windows PowerShell escribiendo Get-
NetIPAddress o gnp . Del mismo modo, escriba Test-NetConnection o tnc en un indicador de Windows PowerShell para
ejecute el cmdlet Test-NetConnection .
Las siguientes son algunas de las acciones que puede utilizar para identificar la causa de la comunicación de red.
problemas:
• Si sabe cuál debe ser la configuración de red correcta para el host, utilice uno de los siguientes
para verificar que está configurado correctamente:
o Windows PowerShell: Get-NetIPAddress
o Línea de comandos: ipconfig
Si el comando devuelve una dirección en la red 169.254.0.0/16, indica que el host no pudo
obtener una dirección IP de DHCP.
• Para ayudar a identificar la ruta de enrutamiento a través de su red, puede usar el cmdlet de Windows PowerShell
Test-NetConnection –TraceRoute , o puede usar la herramienta de línea de comandos tracert .
• Para ver si el host remoto responde, utilice uno de los siguientes:
o Windows PowerShell: Test-NetConnection
o Línea de comando: ping
Cuando usa cualquiera de los métodos para devolver el nombre DNS del host remoto, verifica ambos nombres
resolución y si el anfitrión responde. Tenga en cuenta que el Firewall de Windows en los servidores miembro y
los equipos cliente a menudo bloquean los intentos de ping. Cuando esto sucede, la falta de una respuesta de ping puede
no debe ser un indicador de que el host remoto no funciona, sino solo de que el ping está bloqueado. Si
Página 9
puede hacer ping a otros hosts remotos en la misma red, esto podría significar que el problema está en el
servidor remoto.
• Puede usar el cmdlet Test-NetConnection en Windows PowerShell para probar el servicio que
se están conectando en el host remoto. Por ejemplo, use Test-NetConnection –Port 80 para probar
conectividad a un servidor web. También puede utilizar Telnet para conectarse al puerto del programa remoto.
• Para ver si la puerta de enlace predeterminada responde, utilice uno de los siguientes:
o Windows PowerShell: Test-NetConnection
o Línea de comando: ping
La mayoría de los enrutadores responden a las solicitudes Test-NetConnection y ping. Si no obtiene una respuesta cuando
hace ping a la puerta de enlace predeterminada, es probable que haya un error de configuración en la computadora cliente, como
como una configuración incorrecta de la puerta de enlace predeterminada. También es posible que el enrutador esté experimentando
errores.
Nota: Puede forzar a ping para que utilice IPv4 en lugar de IPv6 mediante la opción -4 .
Pregunta: ¿Qué pasos adicionales podría utilizar para solucionar problemas de conectividad de red?
¿problemas?
¿Qué es Microsoft Message Analyzer?
Microsoft Message Analyzer es una herramienta que se utiliza para

capturar el tráfico de la red y luego mostrar y
analizar información sobre ese tráfico. Puedes usar
Microsoft Message Analyzer para monitorear en vivo
tráfico de red, o para importar, agregar y
analizar datos de archivos de registro y rastreo.
Puede utilizar Microsoft Message Analyzer para

realizar las siguientes tareas de análisis de red:
• Capturar datos de mensajes
• Guardar datos de mensajes
• Importar datos de mensajes
• Ver datos de mensajes
• Filtrar datos de mensajes
Microsoft Message Analyzer utiliza varios escenarios de seguimiento integrados a los que puede acceder a través del
Consola de Microsoft Message Analyzer. Los escenarios de seguimiento contienen configuraciones de captura específicas que le permiten
Inicie rápidamente una sesión de seguimiento y luego capture la información que necesita para su tarea de resolución de problemas.
Estos escenarios de seguimiento incluyen una configuración de captura predefinida para la resolución de problemas del Firewall de Windows,
Monitoreo de LAN y WAN y resolución de problemas de proxy web. Puede personalizar los escenarios de seguimiento para
eliminar elementos que no requieran supervisión.
La consola de Microsoft Message Analyzer contiene una pestaña Gráficos que crea gráficos a partir de los datos capturados. usted
puede personalizar los parámetros y los datos que se incluirán en los gráficos, incluidas las transacciones de red,
operaciones y el protocolo de red. Además, puede definir diferentes tipos de vistas de gráficos, como
Gráfico de línea de tiempo, gráfico circular, vista de cuadrícula o gráfico de barras. Los gráficos pueden ayudarlo a comprender los datos de seguimiento entrantes al
Presentar visualmente información de tráfico complicada. A menudo, esta función es útil cuando necesita
Página 10
realizar cálculos matemáticos en los datos de seguimiento, como el número de reintentos necesarios para un paquete
siendo enviado entre hosts.
Microsoft Message Analyzer presenta el monitoreo remoto en vivo, que es una característica que permite
administradores para monitorear la red desde un host remoto. Los administradores pueden conectarse a ambos
Adaptadores de red de host y adaptadores de red de máquinas virtuales para capturar y analizar la red.
datos de tráfico.
Microsoft Message Analyzer es capaz de cargar datos de archivos nativos de Microsoft Message Analyzer,
archivos de registro de seguimiento de eventos (.etl), archivos de captura de Network Monitor (.cap), archivos de valores separados por comas (.csv) y
varios otros formatos. Puede descargar Microsoft Message Analyzer de forma gratuita desde el sitio web de Microsoft.
Enlaces de referencia: para obtener más información sobre Microsoft Message Analyzer, consulte la
Guía de funcionamiento de Microsoft Message Analyzer en http://go.microsoft.com/fwlink/?LinkID=331073.
Para descargar Microsoft Message Analyzer, vaya a http://go.microsoft.com/fwlink/?LinkID=331072.
Demostración: cómo capturar y analizar el tráfico de red mediante

Analizador de mensajes de Microsoft
Puede utilizar Microsoft Message Analyzer para capturar y ver paquetes que se transmiten en una red.
Esto le permite ver información detallada que normalmente no podría ver. Este tipo de
La información puede ser útil para solucionar problemas.
En esta demostración, verá cómo:
• Capture el tráfico de la red con Microsoft Message Analyzer.
• Analizar el tráfico de red capturado.
• Filtrar el tráfico de la red.
Pasos de demostración
Inicie una nueva captura / seguimiento en Microsoft Message Analyzer

1. Inicie sesión en LON-SVR2 como Adatum \ Administrator con una contraseña de Pa $$ w0rd .
2. Abra un indicador de Windows PowerShell y ejecute el siguiente comando:
ipconfig / flushdns
3. En la pantalla de Inicio, abra Microsoft Message Analyzer , elija No actualizar elementos y luego
inicie una nueva captura / rastreo para usar el escenario de rastreo del firewall .
Capturar paquetes de una solicitud de ping

1. En Microsoft Message Analyzer, inicie una captura de paquetes.
2. En el indicador de Windows PowerShell, ejecute el siguiente cmdlet:
Test-NetConnection LON-DC1.adatum.com
3. En Microsoft Message Analyzer, detenga la captura de paquetes.
Página 11
Analizar el tráfico de red capturado

1. En Microsoft Message Analyzer, en el panel de resultados, en la columna Módulo , seleccione el primer ICMP
grupo de paquetes.
2. Expanda la parte ICMP del paquete para ver que incluye tanto la solicitud de eco como la respuesta de eco.
paquetes . Esta es una solicitud de ping que se ejecutó al ejecutar el cmdlet Test-NetConnection .
3. Vea las direcciones IP de origen y destino de cada paquete.
Filtrar el tráfico de la red

1. En Microsoft Message Analyzer, ingrese los siguientes criterios de filtro y luego aplique el filtro:
* DestinationAddress == 172.16.0.10
2. Verifique que solo se muestren los paquetes que coincidan con el filtro.
3. Cierre el Analizador de mensajes de Microsoft.
Pagina 12
Laboratorio: Implementación de IPv4

Guión
Recientemente aceptó un ascenso al equipo de soporte del servidor. Una de tus primeras asignaciones es
configurar el servicio de infraestructura para una nueva sucursal.
Después de una revisión de seguridad, su gerente le ha pedido que calcule nuevas subredes para que la sucursal
admite la segmentación del tráfico de la red. También debe solucionar un problema de conectividad en un servidor en
la sucursal.
Objetivos
Después de completar esta práctica de laboratorio, debería poder:
• Identificar las subredes adecuadas para un conjunto de requisitos determinado.
• Solucionar problemas de conectividad IPv4.
Configuración de laboratorio
Tiempo estimado: 45 minutos
Maquinas virtuales 20410D-LON-DC1

20410D-LON-RTR
20410D ‑ LON ‑ SVR2
Nombre de usuario Adatum \ Administrador
Contraseña Pa $$ w0rd
Para esta práctica de laboratorio, utilizará el entorno de máquina virtual disponible. Antes de comenzar el laboratorio, debe
complete los siguientes pasos:
1. En la computadora host, inicie Hyper-V Manager .
2. En Microsoft Hyper-V ® Manager, haga clic 20410D-LON-DC1 y, a continuación, en el panel de acciones, haga clic en Inicio .
3. En el panel Acciones, haga clic en Conectar . Espere hasta que se inicie la máquina virtual.
4. Inicie sesión con las siguientes credenciales:
o Nombre de usuario: Adatum \ Administrator
o Contraseña: Pa $$ w0rd
5. Repita los pasos 2 a 4 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Ejercicio 1: identificación de subredes adecuadas

Guión
La nueva sucursal está configurada con una sola subred. Después de una revisión de seguridad, toda la red de sucursales
Se están modificando las configuraciones para colocar los servidores en una subred separada de las computadoras cliente. usted
necesita calcular la nueva máscara de subred y las puertas de enlace predeterminadas para las subredes en su sucursal.
Página 13
La red actual de su sucursal es 192.168.98.0/24. Esta red debe subdividirse en

tres subredes que cumplen los siguientes requisitos:
• Una subred con al menos 100 direcciones IP para clientes.
• Una subred con al menos 10 direcciones IP para servidores.
• Una subred con al menos 40 direcciones IP para expansión futura.
Las principales tareas de este ejercicio son las siguientes:
1. Calcule los bits necesarios para admitir los hosts en cada subred.
2. Calcule las máscaras de subred y los ID de red.
▶ Tarea 1: Calcule los bits necesarios para admitir los hosts en cada subred.
1. ¿Cuántos bits se requieren para admitir 100 hosts en la subred del cliente?
2. ¿Cuántos bits se requieren para admitir 10 hosts en la subred del servidor?
3. ¿Cuántos bits se requieren para admitir 40 hosts en la subred de expansión futura?
4. Si todas las subredes son del mismo tamaño, ¿pueden adaptarse?
5. ¿Qué función permite dividir una sola red en subredes de distintos tamaños?
6. ¿Cuántos bits de host utilizará para cada subred? Utilice la asignación más simple posible, que es una
subred grande y dos subredes más pequeñas de igual tamaño.
▶ Tarea 2: Calcular las máscaras de subred y los ID de red
1. Dado el número de bits de host asignados, ¿cuál es la máscara de subred que usará para el cliente?
subred? Calcule la máscara de subred en binario y decimal.
o La subred del cliente utiliza 7 bits para la ID de host. Por lo tanto, puede utilizar 25 bits para la subred.
máscara.
Binario Decimal
2. Dado el número de bits de host asignados, ¿cuál es la máscara de subred que usará para el servidor?
subred? Calcule la máscara de subred en binario y decimal.
o La subred del servidor utiliza 6 bits para el ID de host. Por lo tanto, utilizará 26 bits para la subred.
máscara.
Binario Decimal
3. Dada la cantidad de bits de host asignados, ¿cuál es la máscara de subred que puede usar para el futuro?
subred de expansión? Calcule la máscara de subred en binario y decimal.
o La subred de expansión futura está utilizando 6 bits para el ID de host. Por lo tanto, utilizará 26 bits para
máscara de subred.
Binario Decimal
Página 14
4. Para la subred del cliente, defina la ID de red, el primer host disponible, el último host disponible y la transmisión.
habla a. Suponga que la subred del cliente es la primera subred asignada del grupo de direcciones disponibles.
Calcule las versiones binaria y decimal de cada dirección.
Descripción Binario Decimal
Identificación de red
Primer anfitrión
Último anfitrión
Transmitir
5. Para la subred del servidor, defina la ID de red, el primer host disponible, el último host disponible y la transmisión.
habla a. Suponga que la subred del servidor es la segunda subred asignada desde la dirección disponible
piscina. Calcule las versiones binaria y decimal de cada dirección.
Primer anfitrión
Último anfitrión
Transmitir
6. Para la subred de asignación futura, defina la ID de red, el primer host disponible, el último host disponible y
dirección de Difusión. Suponga que la subred de asignación futura es la tercera subred asignada desde el
grupo de direcciones disponibles. Calcule las versiones binaria y decimal de cada dirección.
Primer anfitrión
Último anfitrión
Transmitir
Resultados : Después de completar este ejercicio, debería haber identificado una configuración de subred que
cumplir los requisitos del escenario de laboratorio.
Página 15
Ejercicio 2: solución de problemas de IPv4

Guión
Un servidor de la sucursal no puede comunicarse con el controlador de dominio de la oficina central. usted
necesita resolver el problema de conectividad de red.
1. Prepárese para la resolución de problemas.
2. Solucione problemas de conectividad IPv4 entre LON-SVR2 y LON-DC1.
▶ Tarea 1: Prepárese para solucionar problemas

1. En LON-SVR2, abra Windows PowerShell .
2. En la ventana de Windows PowerShell, ejecute el siguiente cmdlet:
Test-NetConnection LON-DC1
3. Verifique que reciba una respuesta que contenga PingSucceded: True de LON-DC1 .
4. Abra una ventana del Explorador de archivos y busque \\ LON-DC1 \ E $ \ Labfiles \ Mod05 .
5. Desde el Explorador de archivos, ejecute el script Break2.ps1 con Windows PowerShell.
Esta secuencia de comandos crea el problema que solucionará y reparará en la siguiente tarea.
6. Cierre el Explorador de archivos.
▶ Tarea 2: solucionar problemas de conectividad IPv4 entre LON-SVR2 y LON-DC1

1. Utilice su conocimiento de IPv4 para solucionar y reparar el problema de conectividad entre LON-SVR2
y LON-DC1. Considere utilizar las siguientes herramientas:
o Test-NetConnection
o Test-NetConnection -TraceRoute
o Get-NetRoute
o New-NetRoute
2. Cuando haya reparado el problema, ejecute el cmdlet Test-NetConnection LON-DC1 desde

LON-SVR2 para confirmar que el problema está resuelto.
Resultados : Después de completar esta práctica de laboratorio, debería haber resuelto un problema de conectividad IPv4.
Preguntas de revisión de laboratorio

Pregunta: ¿Por qué se requiere la división en subredes de longitud variable en esta práctica de laboratorio?
Pregunta: ¿Qué cmdlet de Windows PowerShell puede usar para ver la tabla de enrutamiento local de
una computadora en lugar de usar la impresión de ruta ?
Página 16
▶ Prepárese para el siguiente módulo

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando lo siguiente
pasos:
2. En Microsoft Hyper-V ® Manager, en la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-DC1 y
luego haga clic en Revertir .
3. En el cuadro de diálogo Revertir máquina virtual , haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Página 17
Revisión del módulo y conclusiones

Preguntas de revisión
Pregunta: Acaba de comenzar como administrador de servidor para una pequeña organización con un
única ubicación. La organización está utilizando el rango de direcciones 131.107.88.0/24 para el
red. ¿Es esto una preocupación?
Pregunta: Trabaja para una organización que proporciona servicios de alojamiento web a otros
organizaciones. Tiene una única red / 24 de su ISP para los servidores web. Eres casi
de direcciones IPv4 y le ha pedido a su ISP un rango adicional de direcciones. Idealmente,
le gustaría superred la red existente con la nueva red. ¿Hay alguna
requisitos para superredes?
Pregunta: ha instalado un nuevo programa basado en web que se ejecuta en un puerto no estándar
número. Un colega está probando el acceso al nuevo programa basado en la web e indica que
no se puede conectar a él. ¿Cuáles son las causas más probables de su problema?
Mejores prácticas
Al implementar IPv4, utilice las siguientes mejores prácticas:
• Permita el crecimiento al planificar subredes IPv4. Esto asegura que no necesita cambiar su IPv4
esquema de configuración.
• Definir propósitos para rangos de direcciones y subredes específicos. Esto le permite identificar hosts
basados en su dirección IP fácilmente y utilizar firewalls para aumentar la seguridad.
• Utilice direcciones IPv4 dinámicas para los clientes. Es mucho más fácil administrar la configuración de IPv4 para el cliente.
computadoras usando DHCP que con configuración manual.
• Utilice direcciones IPv4 estáticas para los servidores. Cuando los servidores tienen una dirección IPv4 estática, es más fácil de identificar
donde se encuentran los servicios en la red.
Problemas habituales y consejos para la resolución de problemas
Problema común Sugerencia de solución de problemas
Conflictos de IP
Varios predeterminados
pasarelas definidas
IPv4 incorrecto
configuración
Página 18
Herramientas
Herramienta Usar para Donde encontrarlo
Mensaje de Microsoft Capture y analice el tráfico de la red. Descarga desde

Analizador Sitio web de Microsoft
Get-NetIPAddress Obtiene una lista de direcciones IP que Windows PowerShell

configurado para interfaces.
Test-NetConnection Muestra lo siguiente: Windows PowerShell

• Resultados de una búsqueda de DNS
• Listado de interfaces IP
• Opción para probar una conexión TCP
• Reglas de seguridad del protocolo de Internet (IPsec)
• Confirmación de conexión
establecimiento
Ipconfig Ver la configuración de la red. Símbolo del sistema
Silbido Verifique la conectividad de la red. Símbolo del sistema
Tracert Verifique la ruta de la red entre los hosts. Símbolo del sistema
Pathping Verifique la ruta de la red y la confiabilidad entre Símbolo del sistema

Hospedadores.
Ruta Ver y configurar la tabla de enrutamiento local. Símbolo del sistema
Telnet Pruebe la conectividad a un puerto específico. Símbolo del sistema
Netstat Ver información de conectividad de red. Símbolo del sistema
Monitor de recursos Ver información de conectividad de red. Herramientas en el Administrador del servidor
Red de Windows Diagnosticar un problema con una red Propiedades del

Diagnóstico conexión. conexión de red
Visor de eventos Ver eventos del sistema relacionados con la red. Herramientas en el Administrador del servidor
Página 19
6-1
Módulo 6
Implementación del protocolo de configuración dinámica de host
Contenido:
Descripción general del módulo 6-1
Lección 1: Descripción general de la función del servidor DHCP 6-2
Lección 2: Configurar ámbitos DHCP 6-8
Lección 3: Gestión de una base de datos DHCP 6-14
Lección 4: Protección y supervisión de DHCP 6-18
Laboratorio: Implementación de DHCP 6-24
Revisión del módulo y conclusiones 6-30
Descripción general del módulo

El Protocolo de configuración dinámica de host (DHCP) juega un papel importante en Windows Server® 2012
infraestructura. Es el medio principal de distribuir información importante de configuración de red a
clientes de red y proporciona información de configuración a otros servicios habilitados para la red, incluidos
De Windows ® Servicios de implementación de Windows (Windows DS) y de la Protección de acceso a redes (NAP). Para apoyar y
solucionar problemas de una infraestructura de red basada en Windows Server, es importante que comprenda cómo
implementar, configurar y solucionar problemas de la función del servidor DHCP.
Objetivos
Después de completar este módulo, debería poder:
• Explicar la función del servidor DHCP.
• Configurar ámbitos DHCP.
• Administrar una base de datos DHCP.
• Proteger y supervisar la función del servidor DHCP.
Página 20
6-2 Implementación del protocolo de configuración dinámica de host
Lección 1
Descripción general de la función del servidor DHCP
Puede utilizar la función del servidor DHCP para ayudar a simplificar la configuración del equipo cliente mediante la distribución de
información de configuración para clientes de red y servicios habilitados para red, como Windows DS y
SIESTA.
Esta lección describe los beneficios de usar DHCP, explica cómo funciona el protocolo DHCP y analiza
cómo controlar DHCP en una red de Windows Server 2012.
• Describir los beneficios de usar DHCP.
• Explica cómo DHCP asigna direcciones IP a los clientes de la red.
• Explicar cómo funciona el proceso de generación de concesiones DHCP.
• Explicar cómo funciona el proceso de renovación de arrendamiento de DHCP.
• Describir el proceso para instalar la función del servidor DHCP.
• Describir cómo DHCP interactúa con el sistema de nombres de dominio (DNS).
• Describir el propósito de un agente de retransmisión DHCP.
• Explicar cómo se autoriza una función de servidor DHCP.
Beneficios de usar DHCP
El protocolo DHCP simplifica la configuración de IP

clientes en un entorno de red. Si no lo hace
utilizar DHCP, cada vez que agrega un cliente a un
red, debe configurarla con
información sobre la red en la que
instalado, incluida la dirección IP, la red
máscara de subred y la puerta de enlace predeterminada para el acceso
a otras redes.
Cuando necesite administrar muchas computadoras en un

red, gestionarlos manualmente puede convertirse en un
proceso que requiere mucho tiempo. Muchas corporaciones
administrar miles de dispositivos informáticos, incluidos
dispositivos portátiles, de escritorio y portátiles. Por tanto, no es factible realizar una gestión manual
de las configuraciones de IP de red para organizaciones de este tamaño.
El servicio de cliente DHCP se ejecuta en todas las computadoras que tienen sus propiedades TCP / IP configuradas para obtener automáticamente
una dirección IP. El servicio ayuda a garantizar que todos los clientes tengan la información de configuración adecuada,
lo que ayuda a eliminar el error humano durante la configuración. Cuando cambia la información de configuración clave
en la red, puede actualizar los Clientes DHCP utilizando el Servicio del servidor DHCP, por lo que no tiene que
cambie la información directamente en cada computadora. El servicio del servidor DHCP solo se ejecuta en equipos que
tener configurada la función DHCP.
Página 21
DHCP también es un servicio clave para los usuarios móviles que cambian de red con frecuencia. DHCP habilita la red
administradores para ofrecer información de configuración de red compleja a usuarios no técnicos, sin usuarios
tener que lidiar con sus detalles de configuración de red.
Las configuraciones DHCP versión 6 (v6) con estado y sin estado son compatibles para configurar clientes en un IPv6
ambiente. La configuración con estado se produce cuando el servidor DHCPv6 asigna la dirección IPv6 al cliente,
junto con datos DHCP adicionales. La configuración sin estado ocurre cuando el enrutador de subred asigna el IPv6
dirección automáticamente, y el servidor DHCPv6 solo asigna otras opciones de configuración de IPv6.
Los clientes pueden utilizar la dirección DHCP asignada durante un período determinado, conocido como arrendamiento . Puede establecer el contrato de arrendamiento
tiempo para optimizar su esquema general de direcciones IP. Los clientes están programados para intentar renovar su contrato de arrendamiento
automáticamente después de un tiempo específico, generalmente después de que haya pasado el 50 por ciento del período de arrendamiento. Mientras
hay direcciones IP disponibles, el DHCP continúa proporcionando las renovaciones.
SIESTA
NAP es parte de un conjunto de herramientas que puede evitar el acceso completo a una intranet para computadoras que no cumplen con
requisitos de salud del sistema. NAP con DHCP ayuda a aislar las computadoras potencialmente infectadas con malware de
la red corporativa. DHCP NAP permite a los administradores asegurarse de que los clientes DHCP cumplan con
políticas de seguridad interna. Por ejemplo, todos los clientes de la red deben estar al día con las políticas de seguridad internas,
y tener instalado un programa antivirus válido y actualizado antes de que se les asigne una configuración de IP que
permite el acceso completo a una intranet.
Instalación de DHCP
Puede instalar DHCP como un rol en una instalación Server Core de Windows Server 2012. Un Server Core
La instalación le permite crear un servidor con una superficie de ataque reducida. Para administrar DHCP desde el servidor
Core, debe instalar y configurar el rol desde la interfaz de línea de comandos. También puede administrar el
Función DHCP que se ejecuta en la instalación Server Core de Windows Server 2012 desde una interfaz gráfica de usuario
Consola basada en (GUI) donde el rol DHCP ya está instalado.
Cómo DHCP asigna direcciones IP
DHCP asigna direcciones IP de forma dinámica,

también conocido como arrendamiento. Aunque puedes configurar
la duración del arrendamiento en Ilimitado, normalmente establece
la duración de no más de unas pocas horas o
dias. El tiempo de arrendamiento predeterminado es de ocho días para
clientes y tres días para clientes inalámbricos.
DHCP utiliza transmisiones IP para iniciar

Comunicaciones Por lo tanto, los servidores DHCP son
limitado a la comunicación dentro de su subred IP.
Esto significa que en muchas redes hay una
Servidor DHCP para cada subred IP.
De forma predeterminada, todos los sistemas operativos de Microsoft son

configurado para obtener una dirección IP automáticamente. Para que una computadora sea un cliente DHCP, debe
configurado para obtener una dirección IP automáticamente. En una red donde está instalado un servidor DHCP, DHCP
los clientes responden a las difusiones DHCP.
Si un administrador configura una computadora con una dirección IP, esa computadora tiene una dirección IP estática.
Por lo tanto, es un cliente que no es DHCP y no se comunica con un servidor DHCP.
Página 22
Cómo funciona la generación de arrendamiento DHCP
DHCP utiliza un proceso de generación de concesión de cuatro pasos para asignar una dirección IP a los clientes. Entendiendo como
cada paso de este proceso funciona le ayuda a solucionar problemas cuando los clientes no pueden obtener una IP
habla a.
Los siguientes son los cuatro pasos del proceso de generación de concesión DHCP:
1. El cliente DHCP transmite un paquete DHCPDISCOVER a todas las computadoras de la subred. Lo único
Los equipos que responden son equipos que tienen la función de servidor DHCP, o equipos o enrutadores que
están ejecutando un agente de retransmisión DHCP. En el último caso, el agente de retransmisión DHCP reenvía el mensaje al
Servidor DHCP con el que está configurado.
2. Un servidor DHCP responde con un paquete DHCPOFFER, que contiene una dirección potencial para el cliente.
3. El cliente recibe el paquete DHCPOFFER. Puede recibir paquetes de varios servidores. Si lo hace, es
normalmente selecciona el servidor que respondió más rápidamente a su DHCPDISCOVER, que normalmente es el
Servidor DHCP más cercano al cliente. El cliente luego transmite un DHCPREQUEST que contiene un servidor
identificador. Esto informa a los servidores DHCP que reciben la transmisión qué servidor DHCP OFRECE
el cliente ha decidido aceptar.
4. Los servidores DHCP reciben DHCPREQUEST. Los servidores que el cliente no ha aceptado utilizan este
mensaje como la notificación de que el cliente rechaza la oferta de ese servidor. El servidor elegido almacena la IP
direcciona la información del cliente en la base de datos DHCP y responde con un mensaje DHCPACK. Si el
El servidor DHCP no puede proporcionar la dirección que se ofreció en la DHCPOFFER inicial, el servidor DHCP
envía un mensaje DHCPNAK.
Lectura adicional: para obtener más información sobre la tecnología DHCP en Windows Server
2012, consulte "Descripción general del Protocolo de configuración dinámica de host (DHCP)" en
http://go.microsoft.com/fwlink/?LinkId=269709.
Cómo funciona la renovación de arrendamiento de DHCP
Cuando la concesión de DHCP alcanza el 50 por ciento del tiempo de concesión, el cliente intenta renovar automáticamente la
arrendamiento. Este proceso ocurre en segundo plano. Es posible que una computadora tenga el mismo DHCP-
dirección IP asignada durante mucho tiempo, si la computadora no se reinicia. Esto se debe a que renegocia la
arrendar periódicamente.
Para intentar renovar la concesión de la dirección IP, el cliente envía un mensaje DHCPREQUEST de unidifusión. El servidor
que alquiló la dirección IP envía originalmente un mensaje DHCPACK al cliente. Este mensaje contiene
cualquier parámetro nuevo que haya cambiado desde la creación del contrato de arrendamiento original. Tenga en cuenta que estos paquetes
no difundir, porque el cliente en este punto tiene una dirección IP que puede usar para unidifusión
Comunicaciones
Si el cliente DHCP no puede comunicarse con el servidor DHCP, el cliente espera hasta el 87,5 por ciento de la concesión
el tiempo expira. En este punto, el cliente envía una transmisión DHCPREQUEST (en lugar de una unidifusión) para obtener una
renovación, y la solicitud va a todos los servidores DHCP, no solo al servidor que otorgó la concesión original.
Sin embargo, esta solicitud de transmisión es para una renovación, no para un nuevo contrato de arrendamiento.
El tema anterior, "Cómo funciona la generación de arrendamiento DHCP", detallaba que cuando una renovación no es exitosa (en
En otras palabras, si el 100 por ciento del tiempo de arrendamiento ha expirado), la computadora cliente intenta obtener una
Configuración de IP desde cualquier servidor DHCP. Cada vez que un cliente reinicia dentro del período de arrendamiento, se comunica con el
puerta de enlace predeterminada configurada. Si la puerta de enlace no responde, el cliente considera que está en un nuevo
subred y entra en la fase de descubrimiento.
Página 23
Debido a que las computadoras cliente pueden moverse mientras están apagadas, por ejemplo, una computadora portátil que
está conectado a una nueva subred, los equipos cliente también intentan renovarse durante el proceso de inicio o cuando
la computadora detecta un cambio de red. Si la renovación es exitosa, el período de arrendamiento se restablece.
Protocolo de conmutación por error del servidor DHCP

La función DHCP en Windows Server 2012 admite una nueva función denominada protocolo de conmutación por error del servidor DHCP ,
que permite la sincronización de la información de arrendamiento entre múltiples servidores DHCP. También aumenta
Disponibilidad del servicio DHCP. Si un servidor DHCP no está disponible, los otros servidores DHCP continúan funcionando
clientes en la misma subred.
Demostración: Instalación de la función del servidor DHCP
En esta demostración, verá cómo instalar y autorizar la función del servidor DHCP.
Instale la función del servidor DHCP

1. Inicie sesión en LON-SVR1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Abra el Administrador del servidor y luego instale la función del servidor DHCP .
3. En el Asistente para agregar roles, acepte todas las configuraciones predeterminadas.
4. Cierre el Administrador del servidor.
5. Repita los pasos 1 a 4 en LON-SVR2 .
Autorizar el servidor DHCP

1. Cambie a LON-SVR1 .
2. Abra la consola DHCP.
3. Autorice el servidor lon-svr1.adatum.com en AD DS.
4. Repita los pasos 1 a 3 en LON-SVR2 , reemplazando el nombre de dominio completo (FQDN) en el paso 3
como LON-SVR2 .
Nota: deje todas las máquinas virtuales en su estado actual para la próxima demostración.
Cómo interactúa DHCP con DNS
El uso principal de los servidores DHCP es proporcionar al cliente

direcciones IP de los ordenadores de forma dinámica. El uso principal
para los servidores DNS es encontrar una dirección IP, basada en
el nombre de pila, o para encontrar un nombre basado en un
dada la dirección IP. A partir de Windows 2000,
Los clientes DNS pueden registrar sus registros a través del
Protocolo de actualización dinámica de DNS.
Además, puede configurar un servidor DHCP para

registrar y actualizar nombres de clientes y direcciones IP
con un servidor DNS cuando esos clientes DHCP
pertenecen a esa zona DNS. Código de opción DHCP 81
devuelve el nombre de dominio completo de un cliente
Página 24
(FQDN) al servidor DHCP. El servidor DHCP luego usa el protocolo de actualización dinámica DNS para actualizar el
el registro de recursos del cliente individual de forma dinámica al servidor DNS.
Protocolo de actualización dinámica de DNS

Dependiendo de cómo configure la función de actualización dinámica de DNS en el servidor DNS, usando el DNS
Es posible que el protocolo de actualización dinámica no sea seguro. En su lugar, puede configurar el DNS seguro dinámico
actualizar la funcionalidad. El servidor DNS acepta actualizaciones solo de clientes que están autorizados para hacer DNS
actualizaciones dinámicas de los objetos que representan en AD DS. Al usar servidores DHCP y servidores DNS que
están configurados para actualizaciones dinámicas de DNS seguras, puede agregar la cuenta de computadora del servidor DHCP a AD DS
Grupo global DnsUpdateProxy. La pertenencia a este grupo garantiza que el servidor DHCP pueda realizar
actualizaciones dinámicas de DNS seguras para los registros de recursos de un cliente.
Políticas DHCP
Puede crear políticas DHCP en Windows Server 2012. La asignación basada en políticas permite que el servidor DHCP
para evaluar las solicitudes de direcciones IP frente a las políticas que defina. El servidor DHCP luego aplica esos
políticas a ámbitos específicos mediante el uso de un orden de procesamiento definido, que se puede heredar del servidor.
Cuando la solicitud coincide con las condiciones de una política, el servidor DHCP proporciona configuraciones específicas al
cliente. Puede utilizar políticas DHCP para configurar condiciones basadas en el FQDN de los clientes y para
registrar equipos de grupo de trabajo con un sufijo DNS invitado.
En versiones anteriores a Windows Server 2012 R2, podría evitar un registro de búsqueda inversa de DNS en DHCP,
también conocido como registro de registros de puntero (PTR), al deshabilitar el registro de registro de host y PTR para
Clientes DHCP. En Windows Server 2012 R2, puede permitir que un servidor DHCP registre el registro de host de un cliente,
pero no el registro PTR.
¿Qué es un agente de retransmisión DHCP?
Al intentar inicialmente obtener una dirección IP, los clientes DHCP utilizan transmisiones IP para iniciar las comunicaciones
Por lo tanto, los servidores y clientes DHCP solo pueden comunicarse dentro de su subred IP. Esto significa que en muchos
redes, hay un servidor DHCP para cada subred IP. Si hay una gran cantidad de subredes, puede ser
costoso implementar servidores para cada subred. Un solo servidor DHCP puede dar servicio a colecciones de
subredes.
Para que el servidor DHCP responda a la solicitud de un cliente DHCP, debe poder recibir solicitudes DHCP. usted
puede habilitar esto configurando un agente de retransmisión DHCP en cada subred. Un agente de retransmisión DHCP es una computadora o
enrutador que escucha las transmisiones DHCP de los clientes DHCP y luego las retransmite a los servidores DHCP en
diferentes subredes.
Utiliza la dirección IP del servidor DHCP para configurar el agente de retransmisión DHCP en la subred que requiere
Direcciones IP. Una vez que instala el agente de retransmisión DHCP, los paquetes de retransmisión DHCP se retransmiten a unidifusión
paquetes. Estos paquetes se envían al servidor DHCP listado del agente de retransmisión, que normalmente se encuentra en otra IP
subred a través de un enrutador. El servidor DHCP envía la oferta DHCP y reconoce los paquetes de vuelta al relé
agente mediante difusión unidifusión. El agente de retransmisión luego transmite estos paquetes en la subred local, por lo que
el cliente que necesita una dirección puede recibirla sin tener que cambiar su procesamiento central.
También puede retransmitir paquetes DHCP a otras subredes utilizando un enrutador que sea compatible con RFC 1542.
Esto significa que el enrutador, al recibir un paquete de transmisión DHCP, puede reproducir las transmisiones DHCP en
las otras subredes a las que se conecta. Debido a que este relé DHCP ocurre dentro del enrutador, no
tiene que crear un agente de retransmisión DHCP específico en un servidor de Windows. La mayoría de los enrutadores modernos tienen RFC 1542
Capacidades Sin embargo, debe consultar la documentación de su enrutador para conocer la configuración específica para
implementar esto.
Página 25
Autorización del servidor DHCP
DHCP permite que una computadora cliente adquiera información de configuración sobre la red en la que se inicia.
La comunicación DHCP generalmente ocurre antes de cualquier autenticación del usuario o computadora. Por lo tanto,
Debido a que el protocolo DHCP se basa en transmisiones IP, un servidor DHCP que está configurado incorrectamente en un
La red puede proporcionar información no válida a los clientes. Puede evitar esto autorizando el servidor. los
El administrador de dominio utiliza un proceso llamado autorización DHCP para registrar el servidor DHCP en el Active
Dominio de directorio antes de que pueda admitir clientes DHCP.
Requisitos de Active Directory

Debe autorizar la función del servidor DHCP de Windows Server 2012 en AD DS antes de que pueda comenzar a arrendar
Direcciones IP. Es posible tener un solo servidor DHCP que proporcione direcciones IP para subredes que contengan
varios dominios de AD DS. Debido a esto, una cuenta de administrador empresarial debe autorizar el DHCP
servidor.
Nota: para fines de autorización, debe ser un administrador empresarial en todos los dominios,
con la excepción del dominio raíz del bosque. En el dominio raíz del bosque, los miembros del dominio
El grupo de administradores pertenece al grupo de administradores de empresa, que tiene el privilegio adecuado para
autorizar un servidor DHCP.
Consideraciones sobre el servidor DHCP independiente
Un servidor DHCP independiente es una computadora que ejecuta Windows Server 2012, que no forma parte de una
Dominio de AD DS, y que tiene la función de servidor DHCP instalada y configurada. Si el DHCP independiente
El servidor detecta un servidor DHCP autorizado en el dominio, no alquila direcciones IP y luego
se apaga automáticamente.
Servidores DHCP no autorizados

Muchos dispositivos de red tienen un software de servidor DHCP integrado. Como tal, muchos enrutadores pueden actuar como DHCP
servidor, pero a menudo estos servidores no reconocen los servidores autorizados por DHCP y pueden ceder direcciones IP a
clientela. En esta situación, debe realizar una investigación para detectar servidores DHCP no autorizados, ya sea
se instalan en dispositivos o en servidores que no son de Microsoft. Una vez que detecte servidores DHCP no autorizados,
debe deshabilitar el servicio o la funcionalidad DHCP en ellos. Puede encontrar la dirección IP del DHCP
servidor ejecutando el comando ipconfig / all en la computadora cliente DHCP.
Página 26
Lección 2
Configuración de ámbitos DHCP
Después de instalar la función DHCP en un servidor, debe configurar los ámbitos DHCP. Un alcance DHCP es el
método principal que puede utilizar para configurar opciones para un grupo de direcciones IP. Se basa un alcance DHCP
en una subred IP y puede tener configuraciones específicas para el hardware o grupos personalizados de clientes. Esta lección
explica los ámbitos DHCP y su gestión.
• Describir el propósito de un alcance DHCP.
• Describir una reserva DHCP.
• Describir las opciones de DHCP.
• Explique cómo aplicar las opciones de DHCP.
• Cree y configure un alcance DHCP.
¿Qué son los ámbitos DHCP?
Un alcance DHCP es un rango de direcciones IP que

disponible para arrendamiento y que un servidor DHCP
gestiona. Un alcance DHCP normalmente se limita a
las direcciones IP en una subred determinada.
Por ejemplo, un alcance DHCP para la red

192.168.1.0/24 (máscara de subred de 255.255.255.0)
admite un rango desde 192.168.1.1 hasta
192.168.1.254. Cuando una computadora o dispositivo en el
La subred 192.168.1.0/24 solicita una dirección IP, la
alcance que definió el rango en este ejemplo
asigna una dirección entre 192.168.1.1 y
192.168.1.254.
Nota: recuerde que el servidor DHCP, si se implementa en la misma subred, consume un IPv4
habla a. Debe excluir esta dirección del rango de direcciones IPv4.
Para configurar un alcance, debe definir las siguientes propiedades:
• Nombre y descripción. Esta propiedad identifica el alcance.
• Rango de direcciones IP. Esta propiedad enumera el rango de direcciones que se pueden ofrecer para alquiler y, por lo general,
enumera todo el rango de direcciones para una subred determinada.
• Máscara de subred. Los equipos cliente utilizan esta propiedad para determinar su ubicación en el
la infraestructura de red de la organización.
• Exclusiones. Esta propiedad enumera direcciones individuales o bloques de direcciones que se encuentran dentro de la dirección IP
rango, pero que no se ofrecerá en arrendamiento.
• Retraso. Esta propiedad es la cantidad de tiempo de demora antes de realizar DHCPOFFER.
Página 27
• Duración del arrendamiento. Esta propiedad enumera la duración del arrendamiento. Utilice duraciones más cortas para los osciloscopios que tienen
direcciones IP limitadas y utilice duraciones más largas para redes más estáticas.
• Opciones. Puede configurar muchas propiedades opcionales en un ámbito, pero normalmente configura:
o Opción 003 - Enrutador (la puerta de enlace predeterminada para la subred)
o Opción 006 - servidores DNS
o Opción 015 - Sufijo DNS
Alcances IPv6
Puede configurar las opciones del alcance de IPv6 como un alcance separado en el nodo IPv6 de la consola DHCP. El IPv6
El nodo contiene varias opciones diferentes que puede modificar y un mecanismo de concesión mejorado.
Al configurar un alcance DHCPv6, debe definir las siguientes propiedades:
• Nombre y descripción. Esta propiedad identifica el alcance.
• Prefijo. El prefijo de la dirección IPv6 es análogo al rango de direcciones IPv4; en esencia, define el
dirección de red.
• Exclusiones. Esta propiedad enumera direcciones únicas o bloques de direcciones que se encuentran dentro del prefijo IPv6
pero no se ofrecerá en arrendamiento.
• Duración preferida. Esta propiedad define cuánto tiempo son válidas las direcciones alquiladas.
• Opciones. Al igual que IPv4, puede configurar muchas opciones.
Windows PowerShell
En Windows Server 2012, Microsoft introdujo varios cmdlets nuevos de Windows PowerShell ® para configurar
y administrar servidores DHCP. Cada cmdlet tiene parámetros que deben cumplirse, según las acciones que se
tomado. Muchos de los nuevos cmdlets abordan la creación y administración de ámbitos, que en la siguiente tabla
muestra.
Nombre del cmdlet Descripción
Add-DhcpServerv4Scope Agrega un alcance IPv4 en el servicio del servidor DHCP.
Add-DhcpServerv6Scope Agrega un alcance IPv6 al servicio del servidor DHCP con el

parámetros especificados.
Get-DhcpServerv4Scope Devuelve la configuración del alcance IPv4 de los alcances especificados.
Get-DhcpServerv4ScopeStatistics Obtiene las estadísticas del alcance de IPv4 correspondientes al alcance de IPv4
identificadores (ID) especificados para un servicio de servidor DHCP.
Get-DhcpServerv6Scope Obtiene la información del alcance de los prefijos IPv6 especificados en el

Servicio de servidor DHCP.
Get-DhcpServerv6ScopeStatistics Obtiene las estadísticas del prefijo IPv6 que corresponden al prefijo IPv6
especificado para un servicio de servidor DHCP.
Remove-DhcpServerv4Scope Elimina los ámbitos IPv4 especificados del servicio del servidor DHCP.
Remove-DhcpServerv6Scope Elimina los ámbitos IPv6 del servicio del servidor DHCP
correspondiente a los prefijos especificados.
Set-DhcpServerv4Scope Establece las propiedades de un ámbito IPv4 existente en el servidor DHCP
Servicio.
Página 28
Nombre del cmdlet Descripción
Set-DhcpServerv6Scope Modifica las propiedades del alcance de IPv6 en el servidor DHCP.

Servicio.
Lectura adicional:
• Para obtener más información sobre los cmdlets del servidor DHCP en Windows PowerShell, vaya a
http://go.microsoft.com/fwlink/?LinkID=331064 .
• Para cmdlets adicionales de Windows PowerShell para DHCP que se han agregado en Windows Server 2012
R2, vaya a http://go.microsoft.com/fwlink/?LinkID=331065.
¿Qué es una reserva DHCP?
Como práctica recomendada, debería considerar proporcionar

dispositivos de red, como impresoras de red, con
dirección IP predeterminada. Usando un DHCP
reserva, puede asegurarse de que las direcciones IP
que aparta de un alcance configurado no son
asignado a otro dispositivo. Una reserva DHCP es
una dirección IP específica dentro de un alcance que es
reservado permanentemente para arrendamiento a un DHCP específico
cliente. Una reserva DHCP también garantiza que
los dispositivos con reservas reciben una dirección IP
incluso si un alcance se agota de direcciones disponibles.
El servidor DHCP no alquilará una reserva
dirección a cualquier otro dispositivo. La configuración de reservas le permite centralizar la gestión de IP fija
direcciones.
Configuración de reservas DHCP

Para configurar una reserva, debe conocer el control de acceso a medios (MAC) de la interfaz de red del dispositivo
dirección o dirección física. Esta dirección indica al servidor DHCP que el dispositivo debe tener un
reserva. Puede adquirir la dirección MAC de una interfaz de red mediante el comando ipconfig / all .
Normalmente, las direcciones MAC de las impresoras de red y otros dispositivos de red se imprimen en el dispositivo. Más
Las computadoras portátiles también anotan esta información en la base de su chasis.
Página 29
¿Qué son las opciones de DHCP?
Los servidores DHCP pueden configurar más que solo una IP

habla a. También proporcionan información sobre
recursos de red, como servidores DNS y
puerta de enlace predeterminada. Las opciones de DHCP son valores para
datos de configuración comunes que se aplican al
servidor, ámbitos, reservas y opciones de clase. usted
puede aplicar opciones DHCP en el servidor, alcance, usuario,
y niveles de proveedores. Un código de opción identifica el
Las opciones DHCP, y la mayoría de los códigos de opción provienen de
la documentación de RFC que se encuentra en Internet
Sitio web de Engineering Task Force (IETF).
Opciones DHCP comunes

La siguiente tabla enumera los códigos de opción comunes que solicitan los clientes DHCP basados en Windows.
Código de opción Nombre
1 Máscara de subred
3 Enrutador
6 Servidores DNS
15 Nombre de dominio DNS
31 Realizar el descubrimiento de enrutadores
33 Ruta estática
43 Información específica del proveedor
47 ID de alcance de NetBIOS
51 Tiempo de arrendamiento
58 Valor de tiempo de renovación (T1)
59 Valor de tiempo de reencuadernación (T2)
60 Cliente de ejecución previa al arranque (PXE)
66 Nombre de host del servidor de arranque
67 Nombre del archivo de arranque
249 Rutas estáticas sin clases
Opciones de arranque PXE

Las tarjetas de red habilitadas para PXE agregan la opción DHCP 60 a sus paquetes de descubrimiento. Normalmente, los clientes DHCP
envíe un paquete de la opción 67 de DHCP y luego los servidores DHCP devuelvan una oferta de la opción 68 de DHCP. Los puertos que
Los usos de DHCP también son utilizados por la función de servidor PXE de Servicios de implementación de Windows. Por tanto, si
implementar DHCP y un servidor PXE en la misma máquina, debe configurar DHCP para realizar ofertas que también incluyan
Página 30
la opción 60. Luego, un servidor DHCP devuelve la oferta DHCP 60 al cliente. Necesita configurar DHCP
Opciones 60 (Cliente PXE), 66 (Nombre de host del servidor de arranque) y 67 (Nombre del archivo de arranque).
Nota: Puede configurar las opciones 66 y 67 en la ventana Opciones de alcance en la consola DHCP,
pero debe configurar la opción 60 a través de la línea de comando.
El siguiente ejemplo de código enumera el procedimiento:
C: \ WINDOWS \ system32> netsh
netsh> dhcp
netsh dhcp> servidor \\ <nombre_máquina_servidor>
netsh dhcp> agregar optiondef 60 PXEClient String 0 comentario = soporte PXE
netsh dhcp> establecer valor de opción 60 STRING PXEClient
netsh dhcp> salir
Una vez que se ha ejecutado este código, un servidor PXE devuelve el servidor de arranque y la información de arranque al PXE-
cliente de red habilitado. Esto le permite aceptar una instalación de sistema operativo.
Cómo aplica DHCP las opciones
DHCP aplica opciones a los equipos cliente. usted

Necesito comprender estas opciones cuando
configurar DHCP, para que sepa qué nivel
la configuración tiene prioridad cuando está configurando
diferentes configuraciones en múltiples niveles.
DHCP aplica opciones en el siguiente orden:
1. Nivel de servidor. Asigna una opción de nivel de servidor a

todos los clientes DHCP del servidor DHCP.
2. Nivel de alcance. Asigna una opción de nivel de alcance a

todos los clientes de un ámbito. Anulación de opciones de alcance
opciones del servidor.
3. Nivel de clase. Asigna una opción de nivel de clase a todos los clientes que se identifican como miembros de una clase.
Las opciones de clase anulan las opciones de alcance y servidor.
4. Nivel de cliente reservado. Asigna una opción de nivel de reserva a un cliente DHCP. Opciones de cliente reservadas
se aplican a dispositivos que tienen una reserva DHCP.
Si la configuración de la opción DHCP se aplica en cada nivel y entran en conflicto, entonces la opción que se aplica en último lugar
anula la configuración aplicada anteriormente. Por ejemplo, si la puerta de enlace predeterminada está configurada en el alcance
nivel, y se aplica una puerta de enlace predeterminada diferente para un cliente reservado, luego la configuración de cliente reservado
se convierte en el escenario efectivo.
Además, puede configurar políticas de asignación de direcciones a nivel de servidor o de ámbito.

La política de asignación de direcciones contiene un conjunto de condiciones que usted define para arrendar diferentes direcciones IP DHCP.
direcciones y configuraciones a diferentes tipos de clientes DHCP, como computadoras, laptops, impresoras de red o
Teléfonos IP. Las condiciones definidas en estas políticas diferencian varios tipos de clientes e incluyen
múltiples criterios, como la dirección MAC o la información del proveedor.
Página 31
Demostración: creación y configuración de un alcance DHCP
Puede crear ámbitos utilizando Microsoft Management Console (MMC) para el rol de servidor DHCP,
o la herramienta de línea de comandos de configuración de red Netsh. La herramienta de línea de comandos de Netsh le permite
administrar ámbitos de forma remota si el servidor DHCP se está ejecutando en una instalación Server Core de Windows
Server 2012. Además, la herramienta de línea de comandos Netsh es útil para la creación de scripts y la automatización del servidor.
aprovisionamiento.
Windows Server 2012 introdujo varios cmdlets de Windows PowerShell que puede usar para configurar y
administrar servidores DHCP.
En esta demostración, verá cómo configurar el alcance y las opciones de alcance mediante el uso de DHCP
consola y los nuevos cmdlets de Windows PowerShell.
Configurar el alcance y las opciones de alcance en DHCP

1. En DHCP, en el panel de navegación, expanda lon-svr1.adatum.com , expanda y haga clic con el botón derecho en IPv4 y
luego haga clic en Nuevo alcance .
2. Cree un nuevo alcance con las siguientes propiedades:
o Nombre: Sucursal
o Rango de dirección IP: 172.16.0.100-172.16.0.200
o Longitud: 16
o Máscara de subred: 255.255.0.0
o Exclusiones: 172.16.0.190-172.16.0.200
o Otras configuraciones: use valores predeterminados
o Configurar opciones Router 172.16.0.1
3. Utilice la configuración predeterminada para todas las demás páginas y luego active el alcance.
Configurar el alcance y las opciones de alcance en DHCP con Windows PowerShell

1. En Windows PowerShell ® , escriba los siguientes cmdlets:
Add-DhcpServerv4Scope –Name "Branch Office 2" –StartRange 10.10.0.100 –EndRange

10.10.0.200 –SubnetMask 255.255.0.0
Add-Dhcpserverv4ExclusionRange –ScopeID 10.10.0.0 –StartRange 10.10.0.190 –EndRange

10.10.0.200
Set-DhcpServerv4OptionValue –Router 10.10.0.1
Set-DhcpServerv4Scope –ScopeID 10.10.0.0 –State Active
2. En el Administrador de DHCP, examine el ámbito que acaba de crear.
Página 32
Lección 3
Administrar una base de datos DHCP
La base de datos DHCP almacena información sobre las concesiones de direcciones IP. Si hay un problema, es importante
que comprende cómo hacer una copia de seguridad de la base de datos y resolver los problemas de la base de datos. Esta lección explica cómo
administrar la base de datos y sus datos.
• Describir la base de datos DHCP.
• Explicar cómo hacer una copia de seguridad y restaurar una base de datos DHCP.
• Explicar cómo reconciliar una base de datos DHCP.
• Explicar cómo mover una base de datos DHCP.
¿Qué es una base de datos DHCP?
La base de datos DHCP es una base de datos dinámica

que contiene datos relacionados con alcances, dirección
arrendamientos y reservas. La base de datos también
contiene el archivo de datos que almacena tanto el DHCP
la información de configuración y los datos de arrendamiento para
clientes que han alquilado una dirección IP del
Servidor DHCP. De forma predeterminada, los archivos de la base de datos DHCP
se almacenan en% systemroot% \ System32 \ Dhcp
carpeta.
Archivos de base de datos del servicio DHCP

La siguiente tabla describe algunos de los DHCP
archivos de base de datos de servicio.
Archivo Descripción
Dhcp.mdb Dhcp.mdb es el archivo de base de datos del servidor DHCP.
tmp.edb tmp.edb es un archivo temporal que la base de datos DHCP usa como archivo de intercambio
durante las operaciones de mantenimiento del índice de la base de datos. Después de una falla del sistema,
tmp.edb a veces permanece en el directorio Systemroot \ System32 \ Dhcp.
J50.log y J50.log y J50res #####. Jrs son registros de todas las transacciones de la base de datos. El DHCP
J50res #####. Jrs La base de datos utiliza este registro para recuperar datos cuando sea necesario.
J50.chk J50.chk es un archivo de punto de control.
Nota: No debe eliminar ni alterar ninguno de los archivos de la base de datos del servicio DHCP.
La base de datos del servidor DHCP es dinámica. Se actualiza a medida que se asignan los clientes DHCP o cuando liberan sus
Parámetros de configuración de TCP / IP. Debido a que la base de datos DHCP no es una base de datos distribuida como la
Página 33
Base de datos del servidor de Windows Internet Name Service (WINS), mantener la base de datos del servidor DHCP es menor
complejo.
De forma predeterminada, la base de datos DHCP y las entradas de registro relacionadas se respaldan automáticamente a intervalos de 60 minutos.
Puede cambiar este intervalo predeterminado cambiando el valor de BackupInterval en la siguiente clave de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCPServer \ Parameters
Puede realizar una copia de seguridad de una base de datos DHCP manualmente en cualquier momento.
Copia de seguridad y restauración de una base de datos DHCP
Puede realizar una copia de seguridad de una base de datos DHCP de forma manual o puede configurarla para realizar una copia de seguridad automáticamente. Un
La copia de seguridad automática es una copia de seguridad sincrónica . Una copia de seguridad manual es una copia de seguridad asincrónica .
Copia de seguridad automática (sincrónica)

La ruta de respaldo predeterminada para el respaldo DHCP es systemroot \ System32 \ Dhcp \ Backup. Como mejor práctica,
puede modificar esta ruta en las propiedades del servidor para que apunte a otro volumen.
Copia de seguridad manual (asincrónica)

Si tiene una necesidad inmediata de crear una copia de seguridad, puede ejecutar la opción de copia de seguridad manual en DHCP.
consola. Debe tener permisos de nivel administrativo o su cuenta de usuario debe ser miembro de la
Grupo de administradores de DHCP.
¿Qué está respaldado?

Cuando se produce una copia de seguridad sincrónica o asincrónica, se guarda toda la base de datos DHCP, incluida la
siguiendo:
• Todos los ámbitos
• Reservas
• Arrendamientos
• Todas las opciones, incluidas las opciones del servidor, las opciones de alcance, las opciones de reserva y las opciones de clase
• Todas las claves de registro y otras opciones de configuración que se establecen en las propiedades del servidor DHCP, como auditoría
configuración de registro y configuración de ubicación de carpeta. Esta configuración se almacena en la siguiente clave de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCPServer \ Parameters
Para hacer una copia de seguridad de esta clave, abra el Editor del Registro y guarde la clave especificada en un archivo de texto.
Nota: Las credenciales de actualización dinámica de DNS (nombre de usuario, dominio y contraseña) que
Los usos del servidor DHCP al registrar los equipos cliente DHCP en DNS no se respaldan de forma predeterminada.
Utilizaría el procedimiento de copia de seguridad del estado del sistema para hacer esto.
Restaurar una base de datos

Si necesita restaurar la base de datos, use la función Restaurar en la consola del servidor DHCP. Tú serás
se le solicita la ubicación de la copia de seguridad. Una vez que haya seleccionado la ubicación, el servicio DHCP se detiene y el
Se restaura la base de datos. Para restaurar la base de datos, la cuenta de usuario debe tener nivel administrativo
permisos o ser miembro del grupo de administradores de DHCP.
Página 34
Seguridad de respaldo
Cuando se realiza una copia de seguridad del archivo de la base de datos DHCP, debe estar en una ubicación protegida donde solo el DHCP
los administradores pueden acceder. Esto asegura que toda la información de red en los archivos de respaldo permanezca
protegido.
Usando Netsh
También puede utilizar comandos en el contexto del servidor DHCP de Netsh para realizar una copia de seguridad de la base de datos; esto es útil para
hacer una copia de seguridad de la base de datos en una ubicación remota mediante un archivo de secuencia de comandos.
El siguiente comando es un script que puede utilizar desde el indicador del servidor DHCP de Netsh para hacer una copia de seguridad del
Datos DHCP para todos los ámbitos:
exportar "c: \ Mi carpeta \ Configuración Dhcp" todo
Para restaurar la base de datos DHCP, use el siguiente comando:
importar "c: \ Mi carpeta \ Configuración Dhcp" todo
Nota: El contexto del servidor DHCP de Netsh no existe en los equipos servidor que no tienen
la función del servidor DHCP instalada.
Usando Windows PowerShell

En Windows Server 2012, Microsoft introdujo varios cmdlets nuevos de Windows PowerShell que puede usar para
configurar y administrar servidores DHCP.
Para realizar una copia de seguridad de los datos DHCP para todos los ámbitos, utilice el siguiente comando:
Backup-DhcpServer -ComputerName lon-svr1.adatum.com -Path C: \ Windows \ system32 \ dhcp \ backup
Para restaurar la base de datos DHCP, use el siguiente comando:
Restore-DhcpServer -ComputerName lon-svr1.adatum.com -Path

C: \ Windows \ system32 \ dhcp \ backup
La operación de exportación exporta la configuración del servicio del servidor DHCP y los datos de arrendamiento a un archivo específico.
Para exportar, use el siguiente comando:
Export-DhcpServer -ComputerName lon-svr1.adatum.com -File C: \ exportdir \ dhcpexport.xml
Para importar, use el siguiente comando:
Import-DhcpServer -ComputerName lon-svr2.adatum.com -File C: \ export \ dhcpexport.xml

-BackupPath C: \ dhcpbackup \
Página 35
Conciliar una base de datos DHCP
La conciliación de alcances puede corregir inconsistencias que pueden

afectar a los equipos cliente.
El servicio del servidor DHCP almacena la dirección IP del alcance.

información de arrendamiento en dos formas:
• Información detallada de la concesión de direcciones IP, que

la base de datos DHCP almacena
• Información resumida de la concesión de direcciones IP, que
las tiendas de registro del servidor
Cuando concilia ámbitos, el detalle y

las entradas de resumen se comparan para encontrar
inconsistencias.
Para corregir y reparar estas inconsistencias, debe conciliar cualquier inconsistencia de alcance. Después de seleccionar
y reconcilia las inconsistencias del alcance, el servicio DHCP restaura esas direcciones IP a la original
propietario, o crea una reserva temporal para esas direcciones. Estas reservas son válidas para el contrato de arrendamiento.
tiempo que le asigna al alcance. Cuando expira el tiempo de arrendamiento, las direcciones se recuperan para uso futuro.
Mover una base de datos DHCP
En el caso de que deba mover el servidor DHCP

función a otro servidor, como práctica recomendada,
también debe mover la base de datos DHCP a la misma
servidor. Esto asegura la retención de los arrendamientos del cliente,
y reduce la probabilidad de configuración del cliente
cuestiones.
Inicialmente, mueva la base de datos haciendo una copia de seguridad en

el antiguo servidor DHCP. Luego, apague el DHCP
servicio en el antiguo servidor DHCP. A continuación, copie el
Base de datos DHCP al nuevo servidor, donde puede
restaurarlo utilizando la restauración normal de la base de datos
procedimiento.
Página 36
Lección 4
Asegurar y monitorear DHCP
El protocolo DHCP no tiene un método integrado para autenticar usuarios. Esto significa que si no toma
precauciones, los arrendamientos de IP podrían otorgarse a dispositivos y usuarios no autorizados.
DHCP es un servicio central en los entornos de red de muchas organizaciones. Si el servicio DHCP no funciona
correctamente, o si hay una situación que está causando problemas con el servidor DHCP, es importante que
puede identificar el problema y determinar las causas potenciales para resolver el problema.
Esta lección explica cómo evitar que los usuarios no autorizados obtengan un arrendamiento, cómo administrar
servidores DHCP no autorizados y cómo configurar servidores DHCP para que un grupo específico pueda administrar
ellos.
• Explicar cómo evitar que una computadora no autorizada obtenga un contrato de arrendamiento.
• Explicar cómo restringir el alquiler de direcciones IP de servidores DHCP no autorizados que no sean de Microsoft.
• Explicar cómo delegar la administración de la función del servidor DHCP.
• Describir las estadísticas de DHCP.
• Describir el registro de auditoría de DHCP.
• Identificar problemas comunes que son posibles al usar DHCP.
Evitar que una computadora no autorizada obtenga un arrendamiento
DHCP por sí solo puede ser difícil de proteger. Está

diseñado para trabajar antes de lo necesario
la información está en su lugar para que una computadora cliente
autenticarse con un controlador de dominio. Por lo tanto,
debe tomar precauciones para prevenir
computadoras no autorizadas para obtener un contrato de arrendamiento
con DHCP.
Precauciones básicas que debe tomar para limitar

El acceso no autorizado incluye:
• Asegurarse de reducir el acceso físico. Si

los usuarios pueden acceder a una conexión de red activa
a su red, es probable que sus computadoras
poder obtener una dirección IP. Si no se está utilizando un puerto de red, debe desconectarlo
físicamente desde la infraestructura de conmutación.
• Habilitar el registro de auditoría en todos los servidores DHCP. Esto puede proporcionar una vista histórica de la actividad, además
para permitirle rastrear cuando un usuario no autorizado obtuvo una dirección IP en la red. Asegurarse
para revisar los registros de auditoría a intervalos regulares.
• Requiere conexiones de capa 2 autenticadas a la red: la mayoría de los conmutadores de hardware empresariales ahora
admite la autenticación 802.1X del Instituto de Ingenieros Eléctricos y Electrónicos, Inc. (IEEE). Esto permite
para la autenticación de usuarios a nivel de puerto. Estándares inalámbricos seguros, como acceso protegido Wi-Fi (WPA)
Enterprise y WPA2 Enterprise, también utilizan autenticación 802.1X.
Página 37
• Implementación de NAP. NAP permite a los administradores validar que un equipo cliente cumple con
requisitos de salud del sistema, como ejecutar las últimas actualizaciones del sistema operativo Windows, o
ejecutando un cliente antivirus actualizado. Si los usuarios que no cumplen con los requisitos de seguridad intentan acceder
la red, reciben una configuración de dirección IP para acceder a una red de remediación donde
puede recibir las actualizaciones necesarias. El administrador puede restringir el acceso a la red permitiendo
solo las computadoras en buen estado acceden a la red de área local interna (LAN).
Restricción de la concesión de IP a servidores DHCP no autorizados que no sean de Microsoft

Direcciones
Muchos dispositivos y sistemas operativos de red

tener múltiples implementaciones de servidor DHCP.
Las redes casi nunca son homogéneas en
naturaleza, por lo que es posible que en algún momento un DHCP
servidor que no busca Active Directory–
Los servidores autenticados se habilitarán en el
red. En este caso, los clientes pueden obtener
datos de configuración incorrectos.
Puede evitar que Windows Server 2003 y versiones posteriores

servidores de emitir configuraciones DHCP a
clientes configurando servidores no autorizados con
el rol del servidor DHCP y luego autorizarlos
con AD DS. Sin embargo, no puede usar AD DS para restringir servidores que ejecutan Linux y similares
plataformas.
Para eliminar un servidor DHCP no autorizado, primero debe localizarlo. Entonces debe evitar que
comunicarse en la red desactivándola físicamente o desactivando el servicio DHCP.
Si los usuarios se quejan de que no tienen conectividad a la red, verifique la dirección IP de su DHCP
servidor. Utilice el comando ipconfig / all desde una ventana del símbolo del sistema en el cliente para verificar
la dirección IP del campo Servidor DHCP. Si la dirección IP no es la dirección IP de un DHCP autorizado
servidor, probablemente haya un servidor no autorizado en la red.
Delegación de la administración de DHCP
Asegúrese de que solo las personas autorizadas puedan
administrar la función del servidor DHCP. Puedes hacerlo
realizando cualquiera de las siguientes tareas:
• Limitar la membresía del DHCP

Grupo de administradores
• Asignar usuarios que requieran acceso de solo lectura a

Membresía de DHCP del grupo de usuarios de DHCP
Utilice el grupo local de administradores de DHCP para

restringir y otorgar acceso solo a la administración
Servidores DHCP. El grupo de administradores de DHCP es
creado automáticamente en AD DS cuando el DHCP
La función del servidor está instalada en un controlador de dominio. También se crea automáticamente en una computadora local cuando
la función del servidor DHCP se instala en los miembros del dominio o en servidores independientes. Los grupos no tienen
Página 38
miembros por defecto. Agregar cuentas a la membresía de cualquier grupo permite que esas cuentas
administrar el servidor DHCP.
Permisos necesarios para autorizar y administrar DHCP

Solo los administradores empresariales pueden autorizar un servicio DHCP. Si un administrador con credenciales más bajas
de lo que un administrador empresarial necesita para autorizar el dominio, el administrador debe usar Active
Delegación de directorio. Cualquier usuario del grupo de administradores de DHCP puede administrar el servicio DHCP del servidor.
Cualquier usuario del grupo de usuarios de DHCP puede tener acceso de solo lectura a la consola DHCP.
¿Qué son las estadísticas de DHCP?
Las estadísticas de DHCP proporcionan información sobre DHCP

actividad y uso. Puede utilizar esta consola para
determinar rápidamente si hay un problema con
el servicio DHCP o con el DHCP de la red
clientela. Un ejemplo en el que las estadísticas podrían ser
útil es si nota una cantidad excesiva de
paquetes de reconocimiento negativo (NAK), que
puede indicar que el servidor no proporciona el
datos correctos a los clientes.
Puede configurar la frecuencia de actualización de las estadísticas

en la pestaña General del cuadro de diálogo Propiedades del servidor
caja.
Estadísticas del servidor DHCP

Las estadísticas del servidor DHCP proporcionan una descripción general del uso del servidor DHCP. Puede utilizar estos datos para
comprender el estado del servidor DHCP. Información como número de ofertas, número de solicitudes, total
Las direcciones en uso y el total de direcciones disponibles pueden ayudar a proporcionar una imagen del estado del servidor.
Estadísticas de alcance DHCP

Las estadísticas del alcance de DHCP proporcionan muchos menos detalles, como el total de direcciones en el alcance, cuántas direcciones
están en uso y cuántas direcciones están disponibles. Si nota que hay pocas direcciones
disponible en las estadísticas del servidor, es posible que solo un ámbito esté cerca de su punto de agotamiento. Usando alcance
estadísticas, un administrador puede determinar rápidamente el estado del alcance particular con respecto a la
direcciones disponibles.
¿Qué es el registro de auditoría DHCP?
El registro de auditoría de DHCP proporciona un registro rastreable de

Actividad del servidor DHCP. Puede utilizar este registro para realizar un seguimiento
solicitudes de arrendamiento, subvenciones y denegaciones. Esta
La información le permite solucionar problemas de DHCP
rendimiento del servidor. Los archivos de registro se almacenan en el
carpeta % systemroot % \ system32 \ dhcp de forma predeterminada.
Puede configurar los ajustes del archivo de registro en el
cuadro de diálogo Propiedades del servidor.
Página 39
El nombre de los archivos de registro de auditoría de DHCP se basa en el día en que creó el archivo. Por ejemplo, si tu
habilitar el registro de auditoría un lunes, el nombre del archivo es DhcpSrvLog-Mon.log.
Campos de registro de auditoría de DHCP

La siguiente tabla describe los campos en un registro de auditoría de DHCP.
Campo Descripción
CARNÉ DE IDENTIDAD Un código de ID de evento del servidor DHCP
Fecha La fecha en la que se registró la entrada en el servidor DHCP
Hora La hora a la que se registró la entrada en el servidor DHCP
Descripción Una descripción del evento del servidor DHCP
Dirección IP La dirección IP del cliente DHCP
Nombre de host El nombre de host del cliente DHCP
Dirección MAC La dirección MAC utilizada por el hardware del adaptador de red del cliente.
Códigos de identificación de eventos comunes

Los códigos de identificación de eventos comunes se escriben de la siguiente manera:
• ID, fecha, hora, descripción, dirección IP, nombre de host, dirección MAC
Los códigos de identificación de eventos comunes incluyen:
• 00,06 / 22 / 99,22: 35: 10, Iniciado ,,,,
• 56,06 / 22 / 99,22: 35: 10, Error de autorización, servicio detenido ,, domain1.local ,,
• 55,06 / 22 / 99,22: 45: 38, Autorizado (servicio) ,, dominio1.local
Discusión: Problemas comunes de DHCP
La siguiente tabla describe algunos

Problemas de DHCP. Ingrese las posibles soluciones en el
Columna Solución y luego discuta sus respuestas
con la clase.
Página 40
Problema Descripción Ejemplo
Habla a La misma dirección IP es Un administrador elimina un contrato de arrendamiento. Sin embargo, el cliente que
conflictos ofrecido a dos diferentes si el contrato de arrendamiento sigue funcionando como si el contrato fuera válido. Si el
clientela. El servidor DHCP no verifica la dirección IP, podría arrendar
la dirección IP a otra máquina, provocando una dirección
conflicto. Esto también puede ocurrir si dos servidores DHCP tienen
ámbitos superpuestos.
Solución
No poder El cliente no Si configura incorrectamente el controlador de la tarjeta de red de un cliente,

obtener un recibir una dirección DHCP puede provocar una falla en la obtención de una dirección DHCP.
DHCP y en su lugar recibe un Además, el servidor DHCP o el agente de retransmisión en el
habla a IP privada automática Es posible que la subred no esté en línea. Otra razón puede ser que
Direccionamiento (APIPA) el servidor DHCP ha agotado su alcance. Por lo tanto, tu
dirección autoasignada. debe ampliar o modificar el alcance.
Solución
Página 41
Habla a El cliente está obteniendo una IP Si el cliente se conecta a la red incorrecta, o

obtenido de dirección del alcance incorrecto, si configura el agente de retransmisión DHCP
un incorrecto haciendo que experimente incorrectamente, este error podría ocurrir.
alcance Problemas de comunicación.
Solución
Base de datos DHCP La base de datos DHCP se convierte Una falla de hardware puede hacer que la base de datos
sufre datos ilegible o se pierde debido a un se corrompe.
corrupción o fallo de hardware.
pérdida
Solución
Servidor DHCP Los ámbitos IP del servidor DHCP tienen Este error ocurre si todas las direcciones IP que
agota su IP se ha agotado. Cualquier nuevo cliente se asignan a un ámbito se alquilan.
grupo de direcciones solicitando una dirección IP son
se negó.
Solución
Página 42
Laboratorio: Implementación de DHCP

Guión
A. Datum Corporation tiene una oficina de TI y un centro de datos en Londres, que admite la ubicación de Londres
y otros lugares también. A. Datum ha implementado recientemente una infraestructura de servidor de Windows 2012 con
Clientes de Windows 8.
Recientemente aceptó un ascenso al equipo de soporte del servidor. Una de sus primeras asignaciones es
configurar el servicio de infraestructura para una nueva sucursal. Como parte de esta tarea, debe
configurar un servidor DHCP que proporcionará direcciones IP y configuración a los equipos cliente. Los servidores son
configurados con direcciones IP estáticas y no utilizan DHCP.
Objetivos
• Implementar DHCP
• Implementar un agente de retransmisión DHCP (opcional)

20410D ‑ LON ‑ SVR1
20410D-LON-RTR
20410D ‑ LON ‑ CL1
20410D ‑ LON ‑ CL2
2. En Microsoft Hyper-V ® Manager, haga clic 20410D-LON-DC1 y, a continuación, en el panel de acciones, haga clic en Inicio .
o Nombre de usuario: Administrador
o Dominio: Adatum
5. Repita los pasos 2 a 4 para 20410D-LON-SVR1 y 20410D-LON-CL1 .
6. Para el ejercicio opcional 2, debe repetir los pasos 2 a 4 para 20410D-LON-RTR y

20410D-LON-CL2 .
Página 43
Ejercicio 1: implementación de DHCP

Guión
Como parte de la configuración de la infraestructura para la nueva sucursal, debe configurar un servidor DHCP
que proporcionará direcciones IP y configuración a los equipos cliente. Los servidores están configurados con IP estática
direcciones y generalmente no utilizan DHCP para obtener direcciones IP.
Una de las computadoras cliente en la sucursal necesita acceder a una aplicación de contabilidad en la oficina central.
El equipo de red utiliza firewalls basados en direcciones IP para restringir el acceso a esta aplicación. El equipo de la red tiene
solicitó que asigne una dirección IP estática a esta computadora cliente. En lugar de configurar una IP estática
dirección en el equipo cliente manualmente, decide crear una reserva en DHCP para el cliente
computadora.
1. Instale la función del servidor Protocolo de configuración dinámica de host (DHCP).
2. Configure el alcance y las opciones de DHCP.
3. Configure el cliente para usar DHCP y luego pruebe la configuración.
4. Configure un contrato de arrendamiento como reserva.
▶ Tarea 1: Instale la función de servidor del Protocolo de configuración dinámica de host (DHCP)
2. Abra el Administrador del servidor y luego instale la función del servidor DHCP .
3. En el Asistente para agregar roles y características, acepte todos los valores predeterminados.
▶ Tarea 2: Configurar el alcance y las opciones de DHCP

1. En el Administrador del servidor, abra la consola DHCP.
2. Autorice el servidor lon-svr1.adatum.com en AD DS.
3. En DHCP, en el panel de navegación, busque IPv4 , haga clic con el botón derecho en IPv4 y luego haga clic en Nuevo alcance .
4. Cree un nuevo alcance con las siguientes propiedades:
o Nombre: Sucursal
o Rango de dirección IP: 172.16.0.100-172.16.0.200
o Longitud: 16
o Máscara de subred: 255.255.0.0
o Exclusiones: 172.16.0.190-172.16.0.200
o Configurar opciones Router 172.16.0.1
o Para todas las demás configuraciones, use los valores predeterminados
5. Active el osciloscopio.
Página 44
▶ Tarea 3: Configure el cliente para usar DHCP y luego pruebe la configuración

1. Inicie sesión en 20410D-LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Vuelva a configurar la conexión Ethernet con la siguiente información:
o Configurar el Protocolo de Internet versión 4 (TCP / IPv4)
o Obtener una dirección IP automáticamente
o Obtener la dirección del servidor DNS automáticamente
3. Abra la ventana del símbolo del sistema y luego inicie el proceso DHCP utilizando ipconfig / renew
mando.
4. Para probar la configuración, verifique que LON-CL1 haya recibido una dirección IP del alcance DHCP al
escribiendo ipconfig / all en la ventana del símbolo del sistema.
Este comando devuelve información como la dirección IP, la máscara de subred y el estado habilitado de DHCP, que
debería ser Sí .
▶ Tarea 4: Configurar un arrendamiento como reserva

1. Para mostrar la dirección física del adaptador de red, en la ventana del símbolo del sistema, ejecute el
siguiente comando:
ipconfig / all
2. Cambie a LON-SVR1 .
3. Abra la consola DHCP.
4. En la consola DHCP, en el panel de navegación, vaya a Scope [172.16.0.0] Branch Office ,

haga clic con el botón derecho en Reservas y luego haga clic en Nueva reserva .
5. Cree una nueva reserva para LON-CL1 utilizando la dirección física del adaptador de red LON-CL1 ,
y la dirección IP 172.16.0.155 .
6. En LON-CL1, use el comando ipconfig para renovar y luego verifique la dirección IP.
Resultados : Después de completar este ejercicio, debería haber implementado DHCP, configurado el alcance DHCP y
opciones y configuró una reserva DHCP.
▶ Prepárese para el ejercicio opcional

Si va a completar el laboratorio opcional, revertir el 20410D-LON-CL1 y 20410D-LON-SVR1 virtual
máquinas realizando los siguientes pasos:
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-CL1 y luego haga clic en Revertir .
4. Repita los pasos 1 a 3 para 20410D-LON-SVR1 .
5. Inicie 20410D-LON-SVR1 .
Página 45
Ejercicio 2: implementación de un agente de retransmisión DHCP (ejercicio opcional)

Guión
Para evitar configurar un servidor DHCP adicional en la subred, su gerente le ha pedido que configure un
Agente de retransmisión DHCP para otra subred en su sucursal.
1. Instale un agente de retransmisión DHCP.
2. Configure un agente de retransmisión DHCP.
3. Pruebe el agente de retransmisión DHCP con un cliente.
▶ Tarea 1: Instale un agente de retransmisión DHCP

1. Inicie sesión en LON-RTR como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, abra Enrutamiento y acceso remoto .
3. Agregue el agente de retransmisión DHCP al enrutador en LON-RTR realizando los siguientes pasos:
a. En el panel de navegación, expanda LON-RTR (local) , expanda IPv4 , haga clic con el botón derecho en General y luego
haga clic en Nuevo protocolo de enrutamiento .
segundo. En la lista de protocolos de enrutamiento , haga clic en Agente de retransmisión DHCP y, a continuación, haga clic en Aceptar .
▶ Tarea 2: Configurar un agente de retransmisión DHCP

1. Abra Enrutamiento y acceso remoto.
2. Configure el agente de retransmisión DHCP realizando los siguientes pasos:
a. En el panel de navegación, haga clic con el botón derecho en Agente de retransmisión DHCP y luego haga clic en Nueva interfaz .
segundo. En el cuadro de diálogo Nueva interfaz para el agente de retransmisión DHCP , haga clic en Ethernet 2 y luego en Aceptar .
C. En el cuadro de diálogo Propiedades del agente de retransmisión DHCP - Propiedades de Ethernet 2 , haga clic en Aceptar .
re. Haga clic con el botón derecho en Agente de retransmisión DHCP y luego haga clic en Propiedades .
mi. En el cuadro de diálogo Propiedades del agente de retransmisión DHCP , en el cuadro Dirección del servidor , escriba 172.16.0.11 ,
haga clic en Agregar y luego en Aceptar .
3. Cierre Enrutamiento y acceso remoto.
Página 46
▶ Tarea 3: Pruebe el agente de retransmisión DHCP con un cliente

Para probar cómo un cliente recibe una dirección IP del agente de retransmisión DHCP en otra subred, debe
cree otro ámbito DHCP.
2. Ejecute Windows PowerShell como administrador y luego escriba los siguientes cmdlets:
Add-WindowsFeature -IncludeManagementTools dhcp
netsh dhcp agregar grupos de seguridad
Restart-service dhcpserver
Agregar-DhcpServerInDC LON-SVR1 172.16.0.11
Add-DhcpServerv4Scope –Name "Branch Office 2" –StartRange 10.10.0.100 –EndRange

10.10.0.200 –SubnetMask 255.255.0.0
Add-Dhcpserverv4ExclusionRange –ScopeID 10.10.0.0 –StartRange 10.10.0.190 –EndRange
10.10.0.200
Set-DhcpServerv4OptionValue –Router 10.10.0.1
Set-DhcpServerv4Scope –ScopeID 10.10.0.0 –State Active
3. Para probar el cliente, cambie a LON-CL2 .
4. Abra la ventana Centro de redes y recursos compartidos y luego configure Ethernet, Protocolo de Internet
Propiedades de la versión 4 (TCP / IPv4) con la siguiente configuración:
o Obtener la dirección IP automáticamente
o Obtener la dirección del servidor DNS automáticamente
5. Abra la ventana del símbolo del sistema.
6. En la ventana del símbolo del sistema, en un símbolo del sistema, escriba el siguiente comando:
Ipconfig / renovar
7. Verifique que la dirección IP y la configuración del servidor DNS en LON-CL2 se obtengan del alcance del servidor DHCP
instalado en LON-SVR1 .
La dirección IP debe estar en el siguiente rango: 10.10.0.100/16 a 10.10.0.200/16 .
Resultados : después de completar este ejercicio, debería haber implementado un agente de retransmisión DHCP.

Pregunta: ¿Qué propósito tiene el alcance DHCP?
Pregunta: ¿Cómo debe configurar una computadora para recibir una dirección IP del servidor DHCP?
Pregunta: ¿Por qué necesita una dirección MAC para una reserva de servidor DHCP?
Pregunta: ¿Qué información necesita configurar en un agente de retransmisión DHCP?
Página 47

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando los siguientes pasos:
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-DC1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 , 20410D-LON-RTR y 20410D-LON-CL2 .
Página 48

Pregunta: Tiene dos subredes en su organización. Quiere usar DHCP para asignar
direcciones a los equipos cliente en ambas subredes, pero no desea implementar dos DHCP
servidores. ¿Qué factores debes considerar?
Pregunta: Su organización ha crecido y su alcance IPv4 está casi sin direcciones.

¿Qué deberías hacer?
Pregunta: ¿Qué información necesita para configurar una reserva DHCP?
Pregunta: ¿Puede configurar la opción 003 - Enrutador como una opción de alcance DHCP a nivel de servidor?
Mejores prácticas
Las siguientes son algunas de las mejores prácticas que puede seguir:
• Diseñe su esquema de direccionamiento IP cuidadosamente para que se adapte a los requisitos de sus
infraestructura de TI actual y futura.
• Determine qué dispositivos necesitan reservas DHCP, como impresoras de red, escáneres de red o IP-
cámaras basadas.
• Proteja su red de servidores DHCP no autorizados.
• Configure la base de datos DHCP en configuraciones de unidad de disco de alta disponibilidad, como una matriz redundante
de discos independientes (RAID) -5 o RAID-1, para proporcionar disponibilidad del servicio DHCP en caso de falla del disco.
• Realice copias de seguridad de la base de datos DHCP con regularidad. Pruebe el procedimiento de restauración en un lugar aislado que no sea de producción.
ambiente.
• Supervisar la utilización del sistema de los servidores DHCP. Actualice el hardware del servidor DHCP si es necesario
proporcionar un mejor rendimiento del servicio.
Herramientas
Herramienta Usar para Donde encontrarlo
DHCP Interfaz gráfica de usuario para administrar DHCP Administrador del servidor
Servidor
Ventanas Interfaz de línea de comandos para administrar DHCP Barra de tareas de Windows activada
Potencia Shell Servidor el escritorio
Ipconfig.exe Gestión y resolución de problemas de IP de cliente Línea de comando

ajustes
Netsh.exe Configuración de IP del lado del cliente y del servidor Línea de comando
configuraciones, incluidas las de la función del servidor DHCP
Regedit.exe Ajustes de edición y ajuste fino, incluidos Interfaz de Windows

aquellos para el rol de servidor DHCP o línea de comando
Página 49
7-1
Módulo 7
Implementando DNS
Contenido:
Lección 1: Resolución de nombres para clientes y servidores Windows 7-2
Lección 2: Instalación de un servidor DNS 7-15
Lección 3: Gestión de zonas DNS 7-21
Laboratorio: Implementación de DNS 7-25

La resolución de nombres es el proceso en el que el software se traduce entre nombres que los usuarios pueden leer y
comprender y direcciones IP numéricas, que son necesarias para las comunicaciones TCP / IP. Debido a esto
interrelación, la resolución de nombres es uno de los conceptos más importantes de toda infraestructura de red.
Puede pensar que el sistema de nombres de dominio (DNS) funciona como la guía telefónica de Internet para
ordenadores. Los equipos cliente utilizan el proceso de resolución de nombres cuando localizan hosts en Internet y
otros hosts y servicios en una red interna. DNS es una de las tecnologías más comunes para nombres
resolución. Active Directory ® servicios de dominio (AD DS) depende en gran medida de DNS, al igual que el tráfico de Internet.
Este módulo analiza algunos conceptos básicos de resolución de nombres, además de los procesos de instalación y
configurar un servicio de servidor DNS y sus componentes.
Objetivos
• Describir la resolución de nombres para Windows ® clientes del sistema operativo y de Windows Server ® servidores.
• Instalar y administrar un servidor DNS.
• Administrar zonas DNS.
Página 50
7-2 Implementación de DNS
Lección 1
Resolución de nombres para clientes y servidores Windows
Puede configurar una computadora para que se comunique a través de una red usando un nombre en lugar de una dirección IP.
Luego, la computadora usa la resolución de nombres para encontrar una dirección IP que corresponda a un nombre, como un host
nombre. Esta lección se enfoca en diferentes tipos de nombres de computadora, los métodos usados para resolverlos y
cómo solucionar problemas de resolución de nombres.
• Describe los nombres de las computadoras.
• Describir DNS.
• Describir zonas y registros DNS.
• Describir cómo se resuelven los nombres DNS de Internet.
• Describir DNS dividido.
• Describir la resolución de nombres de multidifusión local de enlace.
• Describir cómo un cliente resuelve un nombre.
• Solucionar problemas de resolución de nombres.
¿Cuáles son los nombres de computadora asignados a las computadoras?
El conjunto de protocolos TCP / IP identifica el origen y

equipos de destino por sus direcciones IP.
Sin embargo, los usuarios de computadoras son mucho mejores en
usando y recordando nombres que números.
Debido a esto, los administradores suelen asignar
nombres a las computadoras. Luego, los administradores enlazan
estos nombres a las direcciones IP de la computadora en un nombre
sistema de resolución como DNS. Estos nombres son
en formato de nombre de host , por ejemplo
dc1.contoso.com , que es reconocido por DNS, o
en formato de nombre NetBIOS , por ejemplo DC1 , que
es reconocido por el servicio de nombres de Internet de Windows
(GANA).
Tipo de nombre
El tipo de nombre que utiliza una aplicación, ya sea nombre de host o nombre NetBIOS, lo determina la aplicación
desarrollador. Si el desarrollador de la aplicación diseña una aplicación para solicitar servicios de red a través de
Se utilizan sockets de Windows, nombres de host. Si, por el contrario, el desarrollador de la aplicación diseña un
aplicación para solicitar servicios a través de NetBIOS, se utiliza un nombre NetBIOS. La mayoría de las aplicaciones actuales, incluidas
Aplicaciones de Internet, utilizan sockets de Windows y, por lo tanto, utilizan nombres de host para acceder a los servicios de red.
Nombres de host
Un nombre de host es un nombre fácil de usar que se asocia con la dirección IP de una computadora para identificarla como
Host TCP / IP. El nombre de host puede tener hasta 255 caracteres y puede contener caracteres alfabéticos y numéricos.
caracteres, puntos y guiones.
Página 51
Puede utilizar nombres de host de varias formas. Las dos formas más comunes son:
• Un alias
• Un nombre de dominio completo (FQDN)
Un alias es un nombre único que está asociado con una dirección IP, como nómina . Puedes combinar un alias
con un nombre de dominio para crear un FQDN. Un FQDN está estructurado para su uso en Internet e incluye
puntos como separadores. Un ejemplo de FQDN es payroll.contoso.com .
Crear nombres de host
Cuando selecciona nombres de host, debe crear nombres de host que sean intuitivos y relativamente fáciles de
recuerda, pero sigue siendo único. A continuación, se enumeran algunas de las mejores prácticas para implementar al crear un host
nombres:
• Seleccione nombres de computadora que sean fáciles de recordar para los usuarios.
• Identificar al propietario de una computadora en el nombre de la computadora. Por ejemplo, JOHN-DOE - 01 indica que
John Doe usa la computadora.
• Seleccione nombres que describan el propósito de la computadora. Por ejemplo, un servidor de archivos llamado PAST-
CUENTAS-01 indica que el servidor de archivos almacena información relacionada con cuentas pasadas.
• No utilice mayúsculas y minúsculas para transmitir el propietario o el propósito de la computadora. DNS no distingue entre mayúsculas y minúsculas.
• Haga coincidir el nombre de dominio de Active Directory con el sufijo DNS principal del nombre de la computadora.
• Utilice nombres únicos para todos los equipos de su organización. No asigne el mismo nombre de computadora a
diferentes computadoras en diferentes dominios DNS.
¿Qué es el DNS?
DNS es un servicio que resuelve FQDN y otros

nombres de host a direcciones IP. Todo Windows Server
Los sistemas operativos incluyen un servicio de servidor DNS.
Cuando usa DNS, los usuarios de su red

puede localizar recursos de red escribiendo user-
nombres descriptivos (por ejemplo, www.microsoft.com),
que la computadora luego resuelve en una IP
habla a. El beneficio es que las direcciones IPv4 pueden
difícil de recordar (por ejemplo, 131.107.0.32),
mientras
un nombre de dominio suele ser más fácil de recordar.
Además, puede utilizar nombres de host que no
cambiar, mientras que las direcciones IP subyacentes se pueden cambiar para adaptarse a las necesidades de su organización.
DNS utiliza una base de datos de nombres y direcciones IP, almacenada en un archivo o en AD DS, para brindar este servicio.
El software de cliente DNS realiza consultas y actualiza la base de datos DNS. Por ejemplo, dentro de un
organización, un usuario que esté intentando localizar un servidor de impresión puede usar el nombre DNS printserver.contoso.com,
y el software de cliente DNS resuelve el nombre en la dirección IP de una impresora, como 172.16.23.55. Incluso si los
La dirección IP de la impresora cambia, el nombre fácil de usar puede seguir siendo el mismo.
Originalmente, había un archivo en Internet que contenía una lista de todos los nombres de dominio y sus
direcciones IP correspondientes. Esta lista rápidamente se volvió demasiado larga para administrar y distribuir. DNS era
desarrollado para resolver los problemas asociados con el uso de un solo archivo de Internet. Con la adopción de IPv6,
Página 52
El DNS se vuelve aún más importante, porque las direcciones IPv6 son incluso más complejas que las direcciones IPv4
(por ejemplo, 2001: db8: 4136: e38c: 384f: 3764: b59c: 3d97).
El DNS agrupa la información sobre los recursos de la red en una estructura jerárquica de dominios.
La estructura jerárquica de los dominios es una estructura de árbol invertida. Comienza con un dominio raíz en su ápice,
y desciende a ramas separadas con niveles comunes de dominios principales, y luego desciende
hacia abajo aún más en dominios de niños individuales.
A medida que Internet ha crecido, también lo ha hecho el número de dominios de diferentes países. Todos los países en DNS
tener códigos de país de nivel superior. Los órganos rectores de estos países pueden crear aún más un segundo nivel
dominios que reflejan categorías como .com, .org y .net. Por ejemplo, el Reino Unido (UK) tiene un
dominio de nivel superior llamado .uk, y lo ha dividido aún más en el segundo nivel para varias actividades. UNA
empresa comercial en el Reino Unido por lo que puede tener un nombre de dominio completo nombredeempresa .com.uk. Este dominio
no ser el mismo que companyname .com, que está en un nivel completamente diferente.
La representación de toda la estructura jerárquica del dominio como se muestra en la siguiente ilustración es
conocido como espacio de nombres DNS.
Internet utiliza un único espacio de nombres DNS con varios servidores raíz. Para participar en el DNS de Internet
espacio de nombres, un nombre de dominio debe estar registrado con un registrador de DNS. Esto asegura que no haya dos
las organizaciones intentan utilizar el mismo nombre de dominio.
Si los hosts que se encuentran en Internet no necesitan resolver nombres en su dominio, puede albergar un
dominio internamente, sin registrarlo. Sin embargo, debe asegurarse de que el nombre de dominio sea exclusivo de
Los nombres de dominio de Internet o la conectividad a los recursos de Internet pueden verse afectados. Una forma común de asegurar
la unicidad consiste en crear un dominio interno en el dominio .local. El dominio .local está reservado para uso interno.
se utilizan de la misma manera que las direcciones IP privadas se reservan para uso interno.
Además de resolver los nombres de host en direcciones IP, el DNS se puede utilizar para:
• Localizar controladores de dominio y servidores de catálogo global. Esto se usa al iniciar sesión en AD DS.
• Resolver direcciones IP a nombres de host. Esto es útil cuando un archivo de registro contiene solo la dirección IP de un
anfitrión.
• Busque un servidor de correo para la entrega de correo electrónico. Se utiliza para la entrega de todo el correo electrónico de Internet.
Página 53
Registros y zonas DNS
Una zona DNS es la parte específica de un DNS

espacio de nombres (como adatum.com) que contiene
Registros DNS. Una zona DNS está alojada en un DNS
servidor que es responsable de responder a
consultas de registros en un dominio específico. por
ejemplo, el servidor DNS que es responsable de
resolviendo www.contoso.com en una dirección IP
contendría la zona contoso.com.
Puede almacenar el contenido de la zona DNS en un archivo o en el

Base de datos de AD DS. Cuando el servidor DNS almacena el
zona en un archivo, ese archivo se encuentra en una carpeta local
en el servidor. Cuando la zona no se almacena en
AD DS, solo una copia de la zona es una copia que se puede escribir y todas las demás copias son de solo lectura.
Los tipos de zona más utilizados en el DNS de Windows Server son las zonas de búsqueda directa y las
zonas de búsqueda.
Zonas de búsqueda directa

Las zonas de búsqueda directa resuelven los nombres de host en direcciones IP y albergan registros de recursos comunes, que incluyen:
• Registros de host (A)
• Registros de alias (CNAME)
• Registros de servicio (SRV)
• Registros del intercambiador de correo (MX)
• Registros de inicio de autoridad (SOA)
• Registros del servidor de nombres (NS)
El tipo de registro más común es el registro de recursos del host (A).
Zonas de búsqueda inversa

Las zonas de búsqueda inversa resuelven direcciones IP en nombres de dominio. Una zona de búsqueda inversa funciona en el
de la misma manera que una zona de búsqueda directa, pero la dirección IP es parte de la consulta y el nombre de host es el
información devuelta. Las zonas de búsqueda inversa no siempre están configuradas, pero debe configurarlas
para reducir los mensajes de advertencia y error. Las zonas de búsqueda inversa albergan recursos SOA, NS y puntero (PTR)
registros.
Registros PTR
Cuando crea registros de host en la consola DNS, también tiene la opción de hacer un registro PTR en el
mismo tiempo, si existe una zona de búsqueda inversa apropiada. Los registros PTR se pueden crear automáticamente y
agregado a una zona de búsqueda inversa cuando se crea un registro de Host (A) en una zona de búsqueda directa. Estos PTR
los registros se eliminan automáticamente si se elimina el registro de recurso A correspondiente. Solo necesitas
cree manualmente un registro PTR una vez. Debido a que no está vinculado a un registro de recursos A, no se elimina si el
se elimina el registro de recursos. Las computadoras cliente pueden crear sus registros PTR cuando se actualizan dinámicamente.
Un registro PTR tiene el formato de dirección IP, tipo de registro (PTR) y nombre de host.
Muchos protocolos de Internet estándar se basan en los datos de la zona de búsqueda inversa para validar la zona de búsqueda directa.
información. Por ejemplo, si la búsqueda hacia adelante indica que training.contoso.com está resuelto a
192.168.2.45, puede utilizar una búsqueda inversa para confirmar que 192.168.2.45 está asociado con
training.contoso.com.
Página 54
Nota: en Windows Server 2008 R2 y Windows Server 2012, también puede utilizar DNSSec
tecnología para realizar un tipo similar de verificación. Hay nuevas mejoras en DNSSec en
Windows Server 2012 R2 en la gestión de claves de cifrado. Sin embargo, estas mejoras son
más allá del alcance de esta lección.
Muchos servidores de correo electrónico utilizan una búsqueda inversa como una forma de reducir el spam. Al realizar una búsqueda inversa,
Los servidores de correo electrónico intentan detectar servidores abiertos del Protocolo simple de transferencia de correo (SMTP) (retransmisiones abiertas).
Tener una zona de búsqueda inversa es importante si tiene aplicaciones que dependen de buscar hosts por su IP
direcciones. Muchas aplicaciones registran esta información en registros de eventos o de seguridad. Si ve actividad sospechosa de un
dirección IP particular, puede buscar el nombre de host utilizando la información de la zona de búsqueda inversa.
Registros de recursos
El archivo de zona DNS almacena registros de recursos. Los registros de recursos especifican un tipo de recurso y la dirección IP a
localizar el recurso. El registro de recursos más común es un registro de recursos del host (A). Este es un simple
registro que resuelve un nombre de host en una dirección IP. El host puede ser una estación de trabajo, un servidor u otro
dispositivo de red, como un enrutador.
Los registros de recursos también ayudan a encontrar recursos para un dominio en particular. Por ejemplo, cuando Microsoft
Exchange Server necesita encontrar el servidor responsable de entregar el correo para otro dominio,
solicita el registro de recursos del intercambiador de correo (MX) para ese dominio. Este registro apunta al anfitrión (A)
registro de recursos del host que ejecuta el servicio de correo SMTP.
Los registros de recursos también pueden contener atributos personalizados. Los registros MX, por ejemplo, tienen un atributo de preferencia,
lo cual es útil si una organización tiene varios servidores de correo. El registro MX le dice al servidor de envío qué
servidor de correo que prefiere la organización receptora. Los registros SRV también contienen información sobre el puerto
está escuchando el servicio y el protocolo que debe utilizar para comunicarse con el servicio.
Cómo se resuelven los nombres DNS de Internet
Cuando los nombres DNS se resuelven en Internet,

se utiliza todo el sistema de computadoras en lugar de
solo un servidor. Hay cientos de servidores
en Internet, llamados servidores raíz , que administran
la práctica general de resolución DNS. Estas
los servidores están representados por 13 FQDN. Una lista de
estos 13 servidores están precargados en cada servidor DNS.
Cuando registra un nombre de dominio en el
Internet, estás pagando para formar parte de este
sistema.
Para ver cómo estos servidores trabajan juntos para

resolver un nombre DNS, mire lo siguiente
proceso de resolución de nombres para el nombre www.microsoft.com:
1. Una estación de trabajo consulta al servidor DNS local la dirección IP www.microsoft.com.
2. Si el servidor DNS local no tiene la información, consulta a un servidor DNS raíz la ubicación de
los servidores DNS .com.
3. El servidor DNS local consulta a un servidor DNS .com la ubicación de los servidores DNS de microsoft.com.
4. El servidor DNS local consulta al servidor DNS de microsoft.com la dirección IP de www.microsoft.com.
5. La dirección IP www.microsoft.com se devuelve a la estación de trabajo.
Página 55
El proceso de resolución de nombres se puede modificar almacenando en caché o reenviando:
• Almacenamiento en caché. Después de que un servidor DNS local resuelve un nombre DNS, almacena en caché los resultados durante el período de tiempo
definido por el valor del tiempo de vida (TTL) en el registro SOA para la zona DNS. El TTL predeterminado es uno
hora. Las solicitudes de resolución posteriores para el nombre DNS reciben la información almacenada en caché. Tenga en cuenta que
el TTL no lo establece el servidor de almacenamiento en caché, sino el servidor DNS autorizado que resolvió el nombre
de su zona. Cuando el TTL expira, el servidor de almacenamiento en caché debe eliminarlo. Solicitudes posteriores de
mismo nombre requeriría una nueva solicitud de resolución de nombres al servidor autorizado.
• Reenvío. En lugar de consultar los servidores raíz, puede configurar un servidor DNS para reenviar
solicitudes a otro servidor DNS. Por ejemplo, las solicitudes de todos los nombres de Internet se pueden reenviar a un
Servidor DNS en un proveedor de servicios de Internet (ISP).
¿Qué es el DNS dividido?
En los sistemas operativos de Microsoft, DNS tiene dos

funciones principales: resolver direcciones IP en nombres
(y viceversa) y para facilitar el nivel de dominio
comunicaciones y autenticación para AD DS.
La capacidad de almacenar registros del localizador de servicios (SRV)
permite a los clientes unidos a un dominio encontrar el dominio
controladores (DC) para la autenticación de dominio y
seguridad mientras equilibra la carga de acceso a los distintos
Controladores de dominio que utilizan la función de operación por turnos de DNS.
Sin embargo, los usuarios de Internet que no son de confianza
fuera del firewall nunca debería poder acceder
los registros SRV y otros AD DS sensibles
información de los servidores DNS internos. Que los datos deben permanecer separados e inaccesibles desde el exterior
el cortafuegos. Al mismo tiempo, los registros DNS de los servidores y servicios que albergan recursos a nivel de Internet, como
Los servidores web, de correo y proxy deben permanecer accesibles.
El DNS dividido , también conocido como DNS de cerebro dividido, utiliza el mismo nombre de dominio DNS para Internet e interno.
recursos unidos a un dominio. Sin embargo, la función del servidor DNS se asigna a servidores separados: uno o más
servidores para Internet y los otros servidores para el dominio de AD DS. Implementar DNS de esta manera
requiere pasos adicionales para garantizar que la información confidencial que se encuentra en el lado del dominio de AD DS esté separada
del lado de Internet, y para asegurar que solo el servidor DNS implementado en el lado de Internet, es decir,
fuera del firewall interno, se puede acceder mediante consultas desde fuera del firewall.
Debido a que DNS es una función vital para AD DS, la función del servidor DNS generalmente se incluye con el dominio
controladores cuando se implementan. Este rol se puede integrar en AD DS para que los registros DNS se almacenen
como objetos y atributos de Active Directory. El tipo de zona DNS en esta instancia se denomina Activa
Directorio integrado (ADI). Las zonas ADI reemplazan las transferencias de zona DNS con la replicación de AD DS y pueden garantizar
Actualizaciones dinámicas seguras de registros de clientes en la zona. En un dominio, el uso de ADI DNS se considera la mejor
práctica.
Con Split DNS, los clientes internos solo se configuran con las direcciones IP de los servidores ADI DNS, que
son controladores de dominio. Todas las actualizaciones dinámicas de DNS del cliente se escriben en los servidores. Todas las consultas de DNS de
los clientes internos van solo a estos servidores DNS. Si se necesitan resoluciones de nombres más allá de las internas
dominio, como para los servidores web de Internet, los servidores DNS de ADI reenvían estas solicitudes a Internet-
frente al servidor DNS. Los servidores DNS con acceso a Internet normalmente se implementan en la red perimetral.
entre los cortafuegos. Aunque tienen el mismo nombre de dominio que los servidores DNS de ADI, Internet-
Los servidores DNS enfrentados no almacenan los mismos datos. Todos los registros de la zona del servidor DNS con acceso a Internet son
creado manualmente. Normalmente, la zona del servidor DNS con acceso a Internet solo contiene registros de sí misma y de otros
servidores que se encuentran en la red perimetral y deben accederse desde Internet.
Página 56
Cuando una consulta al servidor DNS orientado a Internet proviene de Internet solicitando una resolución en
cualquier recurso de nivel de dominio, como un registro SRV, el servidor DNS de Internet rechaza la consulta
porque no tiene ninguno de los registros SRV, estos solo se almacenan en los servidores DNS de ADI del dominio.
Debido a que se considera autorizado para la zona, el servidor DNS orientado a Internet no
consulta iterativa a los servidores ADI DNS.
Para mejorar aún más la seguridad, puede establecer una regla de firewall en el firewall interno, es decir, el firewall entre
las redes internas y perimetrales, para rechazar todas las consultas de DNS (puerto UDP 53) desde el perimetro al
red interna, sin dejar de permitir respuestas DNS.
Nota: cuando utilice DirectAccess para clientes portátiles, tenga en cuenta que cuando el cliente
implementado fuera de la red interna, utiliza la Tabla de políticas de resolución de nombres (NRPT) para
acceso continuo a los recursos internos. Esto envía consultas de nombres DNS para recursos internos al
Servidores DNS ADI. Con los clientes de DirectAccess y DNS divididos, debe agregar el Completamente calificado
Nombres de dominio (FQDN) de cualquier servidor web de nivel de Internet mantenido en la red perimetral al
NRPT como regla de excepción de firewall.
¿Qué es la resolución de nombres de multidifusión local de enlace?
En Windows Server 2012, un nuevo método para

la resolución de nombres en direcciones IP es local de enlace
Resolución de nombre de multidifusión (LLMNR). Porque
varias limitaciones que están más allá del alcance de
esta lección, LLMNR normalmente se usa solo en
redes localizadas. Aunque LLMNR puede
para resolver el Protocolo de Internet versión 4 (IPv4)
direcciones, ha sido diseñado específicamente para
Protocolo de Internet versión 6 (IPv6). Por tanto, si
desea usarlo, debe admitir y habilitar IPv6
en sus anfitriones.
LLMNR se usa comúnmente en redes donde:
• No hay servicios DNS o NetBIOS para la resolución de nombres.
• La implementación de estos servicios no es práctica por ningún motivo.
• Estos servicios no están disponibles .
Por ejemplo, es posible que desee configurar una red temporal para realizar pruebas sin un servidor
infraestructura.
LLMNR es compatible con Windows Vista ® , Windows Server 2008, y todos operativo más reciente de Windows
sistemas. Utiliza un sistema simple de mensajes de solicitud y respuesta para resolver los nombres de las computadoras en IPv6 o IPv4
direcciones.
Si desea controlar el uso de LLMNR en su red, puede configurarlo a través de la Política de grupo. A
deshabilite LLMNR a través de la Política de grupo, establezca el siguiente valor de Política de grupo:
Política de grupo = Configuración del equipo \ Plantillas administrativas \ Red \ Cliente DNS
\ Desactive la resolución de nombres de multidifusión.
Establezca este valor en Activado si no desea usar LLMNR, o en Desactivado si desea usar LLMNR.
Página 57
Cómo un cliente resuelve un nombre
Los sistemas operativos Windows admiten una serie de

diferentes métodos para resolver nombres de computadoras,
como DNS, WINS y la resolución del nombre de host
proceso.
DNS
Como se mencionó anteriormente, DNS es el Microsoft
estándar para la resolución de nombres de host en direcciones IP.
Para obtener más información sobre DNS, consulte
segundo tema de esta lección, ¿Qué es DNS ?
Gana
WINS proporciona una base de datos centralizada para
registrar asignaciones dinámicas de los nombres NetBIOS de una red. Los sistemas operativos Windows conservan el soporte
para que WINS proporcione compatibilidad con versiones anteriores.
Puede resolver nombres NetBIOS utilizando:
• Difundir mensajes. Los mensajes de difusión, sin embargo, no funcionan bien en redes grandes porque
los enrutadores no propagan transmisiones.
• Archivo Lmhosts en todas las computadoras. El uso de un archivo Lmhosts para la resolución de nombres NetBIOS es una
solución de mantenimiento, porque debe mantener el archivo manualmente en todas las computadoras.
• Archivo de hosts en todas las computadoras. Similar a un archivo Lmhosts, también puede usar un archivo de hosts para el nombre NETBIOS
resolución. Este archivo también se almacena localmente en cada máquina y se utiliza para asignaciones fijas de nombres.
a direcciones IP, en el segmento de red local.
Nota: La función del servidor DNS en Windows Server 2008 R2 y Windows Server 2012 también
proporciona un nuevo tipo de zona, la zona GlobalNames. Puede usar la zona GlobalNames para resolver
nombres de etiqueta única que son únicos en todo un bosque. Esto elimina la necesidad de utilizar el
WINS basados en NetBIOS para proporcionar compatibilidad con nombres de etiqueta única.
Proceso de resolución de nombres de host

Cuando una aplicación especifica un nombre de host y usa sockets de Windows, TCP / IP usa la caché de resolución de DNS y
DNS al intentar resolver el nombre de host. El archivo de hosts se carga en la caché de resolución de DNS. Si
NetBIOS sobre TCP / IP está habilitado, TCP / IP también usa métodos de resolución de nombres NetBIOS al resolver host
nombres.
Los sistemas operativos Windows resuelven nombres de host realizando las siguientes tareas en este orden específico:
1. Comprueba si el nombre de host es el mismo que el nombre de host local.
2. Busca en la caché de resolución de DNS. En la caché de resolución del cliente DNS, las entradas del archivo hosts son
precargado.
3. Envía una solicitud de DNS a sus servidores DNS configurados.
4. Busca en la red usando LLMNR, si está habilitado.
5. Convierte el nombre de host en un nombre NetBIOS y comprueba la caché de nombres NetBIOS local.
6. Contacta con los servidores WINS configurados del host.
7. Transmite hasta tres mensajes de solicitud de consulta de nombre NetBIOS en la subred adjunta.
directamente.
Página 58
8. Busca el archivo Lmhosts.
Nota: puede controlar el orden utilizado para resolver nombres. Por ejemplo, si desactiva
NetBIOS sobre TCP / IP, no se intenta ninguno de los métodos de resolución de nombres NetBIOS. Alternativamente,
puede modificar el tipo de nodo NetBIOS, que cambia el orden en el que el nombre NetBIOS
se intentan métodos de resolución.
Lectura adicional: para obtener más información sobre LLMNR, consulte

http://go.microsoft.com/fwlink/?LinkID=331077.
Solución de problemas de resolución de nombres
Como la mayoría de otras tecnologías, la resolución de nombres

a veces requiere solución de problemas. Los problemas pueden
ocurren cuando el servidor DNS, sus zonas y sus
los registros de recursos no están configurados correctamente.
Cuando los registros de recursos causan problemas,
a veces puede ser difícil identificar el problema
porque los problemas de configuración no siempre son
obvio.
Cmdlets de Windows Server 2012 R2

Windows PowerShell ® tiene funcionalidad ampliada
en Windows Server 2012 R2 con zona mejorada
estadísticas de nivel que son accesibles a través de Get-
Cmdlet DnsServerStatistics .
Lectura adicional: Para obtener más información sobre los parámetros de Get-
Cmdlet DnsServerStatistics , consulte http://go.microsoft.com/fwlink/?LinkID=331076.
En la siguiente tabla se detalla el cmdlet ZoneTransferStatistics , que devuelve información sobre

transferencias de zona incrementales.
Funcionalidad Devuelve información sobre solicitudes de transferencia de zona:
Solicitud recibida • Recibido cuando el servidor DNS es un servidor principal para una zona
Solicitud enviada • Enviado cuando el servidor DNS es un servidor secundario para una zona.
Respuesta recibida • Recibido cuando el servidor DNS es un servidor secundario para una zona
ÉxitoRecibido • Exitoso y recibido cuando el servidor DNS es un servidor secundario para un

zona
ExitoEnviado • Exitoso y recibido cuando el servidor DNS es un servidor primario para un

zona
Página 59
La siguiente tabla detalla el cmdlet ZoneUpdateStatistics .
Funcionalidad Información de actualización dinámica:
DynamicUpdateReceived • Solicitudes de actualización dinámica que recibe el servidor DNS
DynamicUpdateRejected • Actualizaciones dinámicas que son rechazadas por el servidor DNS
Para obtener estadísticas de nivel de zona, escriba el siguiente código en un indicador de Windows PowerShell elevado:
PS C: \> $ statistics = Get-DnsServerStatistics –ZoneName Adatum.com
$ statistics.ZoneQueryStatistics
$ statistics.ZoneTransferStatistics
$ statistics.ZoneUpdateStatistics
Herramientas de línea de comandos y comandos para la resolución de problemas

Las herramientas y los comandos de la línea de comandos que utiliza para solucionar estos y otras configuraciones
los problemas son los siguientes:
• Nslookup . Utilice esta herramienta para consultar información de DNS. La herramienta es flexible y puede proporcionar valiosos
información sobre el estado del servidor DNS. También puede usarlo para buscar registros de recursos y validar
su configuración. Además, puede probar las transferencias de zona, las opciones de seguridad y el registro MX
resolución.
• DNSCmd . Utilice esta herramienta de línea de comandos para administrar la función del servidor DNS. Esta herramienta es útil en la creación de scripts
archivos por lotes para ayudar a automatizar las tareas rutinarias de administración de DNS o para realizar una instalación sencilla sin supervisión
y configuración de nuevos servidores DNS en su red.
• Dnslint . Utilice esta herramienta para diagnosticar problemas comunes de DNS. Esta herramienta diagnostica problemas de configuración en
DNS rápidamente y puede generar un informe en formato HTML sobre el estado del dominio que
están probando.
Enlaces de referencia: puede descargar el comando Dnslint en

http://go.microsoft.com/fwlink/?LinkId=286763.
• Ipconfig . Utilice este comando para ver y modificar los detalles de configuración de IP que utiliza la computadora. Esta
La herramienta incluye opciones de línea de comandos adicionales que puede utilizar para solucionar problemas y admitir DNS
clientela. Puede ver la caché de DNS local del cliente mediante el comando ipconfig / displaydns , y
puede borrar el caché local usando ipconfig / flushdns . Si desea volver a registrar un host en DNS, puede
utilice ipconfig / registerdns .
• Monitoreo en servidor DNS. Realice consultas locales simples y consultas recursivas desde el servidor DNS
Pestaña de supervisión para probar si el servidor puede comunicarse con los servidores ascendentes. También puede programar
estas pruebas para intervalos regulares. La pestaña Supervisión del servidor DNS está disponible solo en Windows Server
2008 y Windows Server 2012 en el cuadro de diálogo Propiedades del nombre del servidor DNS.
En Windows Server 2012, hay un nuevo conjunto de cmdlets de Windows PowerShell que puede usar para DNS
gestión de clientes y servidores. Algunos de los cmdlets más utilizados son los siguientes:
• Clear-DNSClientCache . Este cmdlet borra la caché del cliente, similar a ipconfig / flushdns .
• Get-DNSClient . Este cmdlet muestra los detalles de las interfaces de red.
• Get-DNSClientCache . Este cmdlet muestra el contenido de la caché del cliente DNS local.
Página 60
• Register-DNSClient . Este cmdlet registra todas las direcciones IP del equipo en el

servidor DNS configurado.
• Resolve-DNSName . Este cmdlet realiza una resolución de nombres DNS para un nombre específico, similar a
nslookup .
• Set-DNSClient . Este cmdlet establece las configuraciones de cliente DNS específicas de la interfaz en el equipo.
• Prueba : DNSServer . Este cmdlet prueba que un equipo específico es un servidor DNS en funcionamiento.
El proceso de resolución de problemas

Cuando soluciona problemas de resolución de nombres, debe comprender los métodos de resolución de nombres que
computadora está usando, y el orden en que la computadora los usa. Asegúrese de borrar la resolución de DNS
caché entre intentos de resolución.
Si no puede conectarse a un host remoto y sospecha que existe un problema de resolución de nombres, puede solucionar el problema
resolución de nombres realizando los siguientes pasos:
1. Abra un símbolo del sistema elevado y luego borre el caché de resolución de DNS escribiendo lo siguiente
comando en un símbolo del sistema:
ipconfig / flushdns
Alternativamente, puede abrir Windows PowerShell y escribir el cmdlet equivalente en un

Indicador de PowerShell:
Clear-DNSClientCache
2. Intente hacer ping al host remoto por su dirección IP. Esto ayuda a identificar si el problema está relacionado con
resolución de nombres. Si el ping tiene éxito al usar la dirección IP pero falla al usar su nombre de host, entonces
el problema está relacionado con la resolución de nombres.
3. Intente hacer ping al host remoto utilizando su nombre de host. Por ejemplo, si estuviera trabajando en
Contoso, Ltd., debe ingresar el siguiente comando en un símbolo del sistema:
Hacer ping a LON-DC1.contoso.com
4. En el símbolo del sistema, escriba el siguiente comando:
Nslookup.exe -d LON-DC1.contoso.com. > nombre de archivo.txt
Examine el contenido del archivo filename.txt para identificar la etapa fallida en la resolución de nombres.
Nota: También debe saber cómo interpretar la salida de la caché de resolución de DNS para que
puede identificar si el problema de resolución de nombres está asociado con el
configuración, el servidor de nombres o la configuración de registros dentro de la zona del servidor de nombres
base de datos. La interpretación de la salida de la caché de resolución de DNS está más allá del alcance de esta lección.
Página 61
Demostración: Solución de problemas de resolución de nombres
En esta demostración, verá cómo usar los cmdlets de Windows PowerShell y las herramientas de línea de comandos para
solucionar problemas de DNS.
Usar cmdlets de Windows PowerShell para solucionar problemas de DNS

1. Inicie sesión en LON-DC1 y LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-CL1, abra Windows PowerShell , ejecute el siguiente cmdlet y luego examine los resultados:
Get-DnsClientServerAddress
3. En el Centro de redes y recursos compartidos, registre las propiedades de la dirección TCP / IP estática y luego cambie
interfaz de red a automático .
4. Vuelva a Windows PowerShell y ejecute los siguientes cmdlets, y luego tome nota de los
resultados:
Clear-DnsClientCache
5. Escriba aquí el valor del índice de interfaz de la fila IPv4 de las interfaces Ethernet:
6. Ejecute el siguiente cmdlet:
Resolver-DnsName lon-dc1
Tenga en cuenta que el cmdlet emite el siguiente mensaje de error: "No se encuentra un servidor DNS".
7. Ejecute los siguientes cmdlets, donde X es el valor del índice de interfaz que anotó en el paso 5:
Set-DnsClientServerAddress –InterfaceIndex X –ServerAddress 172.16.0.10
Resolver-DnsName lon-dc1
El error no se informa y se devuelve una dirección.
8. Vuelva al Centro de redes y recursos compartidos e ingrese el TCP / IP estático que anotó.
más temprano.
9. En Windows PowerShell, use los siguientes cmdlets:
Get-DnsClientCache
Clear-DnsClientCache
Get-DnsClientCache
Get-DnsClientGlobalSetting
Registro-DnsClient
10. Cierre las ventanas de Windows PowerShell y del Centro de redes y recursos compartidos.
Página 62
Uso de herramientas de línea de comandos para solucionar problemas de DNS

1. Ejecute un símbolo del sistema elevado como administrador y ejecute ipconfig / all .
2. Ejecute el comando nslookup y luego busque la dirección LON-CL1 . Cerrar el nslookup

mando.
3. Cambie a LON-DC1 y abra un símbolo del sistema elevado como Administrador .
4. Ejecute el dnscmd /? comando y observe las opciones.
5. Ejecute ipconfig / displaydns y observe los valores de salida que se muestran.
6. Ejecute el comando ipconfig / flushdns y luego vuelva a ejecutar ipconfig / displaydns .
7. Ejecute el comando ping en LON-CL1 .
8. Utilice el comando ipconfig / displaydns para mostrar el registro de host para LON-CL1.
Aunque los paquetes de solicitud se ignoran, tenga en cuenta que el comando devolvió el FQDN , lo que prueba
que la resolución del nombre fue exitosa.
9. Cierre todas las ventanas abiertas y luego cierre la sesión de LON-CL1 y LON-DC1.
Página 63
Lección 2
Instalación de un servidor DNS
Para utilizar un servidor DNS, primero debe instalarlo. Instalar el servicio del servidor DNS en un servidor DNS es sencillo
procedimiento. Para administrar su servicio de servidor DNS, es importante que comprenda el servidor DNS
componentes y su finalidad. En esta lección, aprenderá acerca de los componentes DNS y cómo instalarlos.
y administrar la función del servidor DNS.
• Describir consultas de DNS.
• Describir sugerencias de raíz.
• Describe el reenvío.
• Explicar cómo funciona el almacenamiento en caché del servidor DNS.
• Explique cómo instalar la función del servidor DNS.
¿Qué son las consultas DNS?
Una consulta de DNS es una consulta de resolución de nombres que se

enviado a un servidor DNS. El servidor DNS luego
proporciona una autoridad o un
respuesta no autorizada a la consulta del cliente.
Nota: es importante tener en cuenta que DNS

Los servidores también pueden actuar como resolutores de DNS y enviar
Consultas DNS a otros servidores DNS.
Autorizado o no autorizado
Respuestas
Los dos tipos de respuestas son:
• Autoritario. Una respuesta autorizada es aquella en la que el servidor devuelve una respuesta que sabe que es
correcto, porque la solicitud se dirige al servidor autorizado que administra el dominio. Un DNS
El servidor tiene autoridad cuando aloja una copia primaria o secundaria de una zona DNS.
• No autoritativo. Una respuesta no autorizada es aquella en la que el servidor DNS que contiene el
El dominio solicitado en su caché responde a una consulta mediante el uso de reenviadores o sugerencias de raíz. Porque la respuesta
proporcionado puede no ser exacto (porque solo el servidor DNS autorizado para el dominio dado puede
emitir esa información), se denomina respuesta no autorizada.
Si el servidor DNS tiene autoridad para el espacio de nombres de la consulta, el servidor DNS verifica la zona y luego
realiza una de las siguientes acciones:
• Devuelve la dirección solicitada.
• Devuelve una respuesta autorizada, como "El nombre no existe".
Página 64
Nota: Solo el servidor con autoridad directa puede dar una respuesta autorizada
nombre consultado.
Si el servidor DNS local no tiene autoridad para el espacio de nombres de la consulta, el servidor DNS realiza una de las
siguiendo:
• Comprueba su caché y devuelve una respuesta almacenada en caché.
• Reenvía la consulta irresoluble a un servidor específico, llamado reenviador .
• Utiliza direcciones conocidas de varios servidores raíz para encontrar un servidor DNS autorizado para resolver el
consulta. Este proceso utiliza sugerencias de raíz.
Consultas recursivas
En una consulta recursiva, el solicitante pide al servidor DNS que obtenga una dirección IP completamente resuelta del
recurso solicitado, antes de que devuelva la respuesta al solicitante. Es posible que el servidor DNS deba realizar
varias consultas a otros servidores DNS antes de encontrar la respuesta. Las consultas recursivas generalmente las realiza un
Cliente DNS a un servidor DNS, o por un servidor DNS que está configurado para pasar consultas no resueltas a otro
Servidor DNS, en el caso de un servidor DNS configurado para utilizar un reenviador.
Una consulta recursiva tiene dos resultados posibles:
• El servidor DNS devuelve la dirección IP del host solicitado.
• El servidor DNS no puede resolver una dirección IP.
Por razones de seguridad, a veces es necesario deshabilitar las consultas recursivas en un servidor DNS para que el
El servidor DNS en cuestión no intenta reenviar sus solicitudes de DNS a otro servidor. Esto es útil
cuando no desea que un servidor DNS en particular se comunique fuera de su red local.
Consultas iterativas
Las consultas iterativas acceden a la información del nombre de dominio que reside en el sistema DNS. Puedes usar
consultas iterativas para resolver nombres en muchos servidores de forma rápida y eficaz. Cuando un servidor DNS recibe
una solicitud que no puede responder utilizando su información local o sus búsquedas en caché, hace lo mismo
solicitud a otro servidor DNS mediante una consulta iterativa. Cuando un servidor DNS recibe una consulta iterativa,
podría responder con la dirección IP del nombre de dominio (si se conoce) o con una referencia al DNS
servidores que son responsables del dominio que se consulta. El servidor DNS continúa este proceso hasta que
localiza un servidor DNS que tiene autoridad para el nombre consultado, o hasta que se produce un error o una condición de tiempo de espera
reunió.
¿Qué son las sugerencias de raíz?
Las sugerencias de raíz son una lista de los 13 FQDN en el
Internet que utiliza su servidor DNS si no puede
resolver una consulta de DNS utilizando sus propios datos de zona, un
Reenviador de DNS, o su propia caché. Las pistas de raíz
enumerar los servidores más altos en la jerarquía de DNS, y
puede proporcionar la información necesaria para un DNS
servidor para realizar una consulta iterativa al siguiente
capa más baja del espacio de nombres DNS.
Los servidores raíz se instalan automáticamente cuando

instalar el rol de DNS. Se copian del
archivo cache.dns que se incluye en la función DNS
archivos de instalación. También puede agregar sugerencias de raíz a un DNS
Página 65
servidor para admitir búsquedas de dominios no contiguos dentro de un bosque.
Cuando un servidor DNS se comunica con un servidor de sugerencias raíz, solo utiliza una consulta iterativa. Para configurar un
servidor para usar solo consultas recursivas a un reenviador, configure el reenviador en las propiedades del servidor DNS.
Si desea desactivar todas las consultas iterativas, desactive las Use las sugerencias de raíz, si no están disponibles los transitarios cheque
cuadro en la pestaña Transitarios. Si configura el servidor para usar solo un reenviador y deshabilita las sugerencias de root,
intenta enviar una consulta recursiva a su servidor de reenvío; si el servidor de reenvío no responde a esto
consulta, el primer servidor responde que no se pudo encontrar el host.
Es importante comprender que la recursividad en un servidor DNS y las consultas recursivas no son lo mismo.
La recursividad en un servidor DNS significa que el servidor usa sus sugerencias de raíz para intentar resolver una consulta de DNS, mientras que
una consulta recursiva es una consulta que se realiza a un servidor DNS en el que el solicitante le pide al servidor que asuma
la responsabilidad de dar una respuesta completa a la consulta.
¿Qué es el reenvío?
Un reenviador es un servidor DNS de red que reenvía

consultas de nombres externos a servidores DNS externos
de su red. También puede crear y utilizar
reenviadores condicionales para reenviar consultas
según nombres de dominio específicos.
Una vez que designe un servidor DNS de red como

reenviador, otros servidores DNS en la red
reenviar las consultas que no puedan resolver
localmente a ese servidor. Al utilizar un transportista,
puede gestionar la resolución de nombres para nombres fuera de
su red, como nombres en Internet. Esta
mejora la eficiencia de la resolución de nombres para
las computadoras de su red.
El reenviador debe poder comunicarse con el servidor DNS que se encuentra en Internet. Esta
significa que lo configura para reenviar solicitudes a otro servidor DNS, o lo configura para usar
sugerencias de raíz para comunicarse.
Práctica recomendada: utilice un servidor DNS de reenvío central para la resolución de nombres de Internet. Esto puede
mejorar la seguridad porque puede aislar el servidor DNS de reenvío en una red perimetral,
lo que garantiza que ningún servidor dentro de la red se comunique directamente con Internet.
Reenviador condicional
Un reenviador condicional es un servidor DNS en una red que reenvía consultas DNS de acuerdo con la consulta
Nombre de dominio DNS. Por ejemplo, puede configurar un servidor DNS para reenviar todas las consultas que recibe para
nombres que terminan con corp.contoso.com a la dirección IP de un servidor DNS específico, o a las direcciones IP de
múltiples servidores DNS. Esto es útil cuando tiene varios espacios de nombres DNS en un bosque.
Reenvío condicional en Windows Server 2008 R2 y Windows Server 2012

En Windows Server 2008 R2 y Windows Server 2012, la configuración del reenviador condicional está en un
nodo en la consola DNS. Puede replicar esta información a otros servidores DNS a través de Active
DNS integrado en el directorio.
Página 66
Práctica recomendada: utilice reenviadores condicionales si tiene varios espacios de nombres internos. Esta
da como resultado una resolución de nombres más rápida.
Cómo funciona el almacenamiento en caché del servidor DNS
El almacenamiento en caché de DNS aumenta el rendimiento de

el sistema DNS de la organización al disminuir el tiempo
necesario para proporcionar búsquedas de DNS.
Cuando un servidor DNS resuelve un nombre DNS

con éxito, agrega el nombre a su caché. Terminado
tiempo, esto crea un caché de nombres de dominio y
sus direcciones IP asociadas para la mayoría de los
dominios que la organización usa o accede.
El tiempo predeterminado para mantener un nombre en la caché es
una hora. El propietario de la zona puede cambiar esto
modificar el registro de inicio de autoridad (SOA) para
la zona DNS adecuada.
Un servidor de solo almacenamiento en caché es el tipo ideal de servidor DNS para usar como reenviador. No aloja ninguna zona DNS
datos; solo responde a las solicitudes de búsqueda de clientes DNS.
En Windows Server 2012, puede acceder al contenido de la caché del servidor DNS seleccionando Avanzado
ver en la consola del Administrador de DNS. En esta vista, el contenido en caché se muestra como un nodo en el Administrador de DNS. usted
también puede eliminar entradas individuales (o toda la caché) de la caché del servidor DNS. Alternativamente, puede usar
el cmdlet Get-DNSServerCache de Windows PowerShell para ver el contenido de la caché.
El servicio de cliente DNS almacena la caché del cliente DNS en la computadora local. Para ver el lado del cliente
almacenamiento en caché, en un símbolo del sistema, ejecute el comando ipconfig / displaydns . Esto muestra el DNS local
caché del cliente. Si necesita borrar la caché local, puede usar Windows PowerShell
Los cmdlets Get-DNSClientCache y Clear-DNSClientCache , o el comando ipconfig / flushdns .
Para evitar que se sobrescriban las cachés del cliente DNS, utilice la función de bloqueo de caché DNS disponible en
Windows Server 2008 R2 y Windows Server 2012. Cuando está habilitado, los registros en caché no se pueden
sobrescrito durante la duración del valor de tiempo de vida (TTL). El bloqueo de caché proporciona una seguridad mejorada
contra ataques de envenenamiento de caché. Este tipo de ataque ocurre cuando una resolución de nombre falso es proporcionada por un
servidor DNS del atacante. Estos datos falsos se mantienen en la caché durante el tiempo que el servidor DNS del atacante lo haya configurado.
el valor TTL para ese registro y, por lo tanto, falsifica o envenena el caché.
Página 67
Cómo instalar la función del servidor DNS
La función del servidor DNS no está instalada en Windows

Server 2012 de forma predeterminada. En su lugar, debe agregarlo
una manera basada en roles cuando configura el
servidor para realizar el papel. Instalas el DNS
rol del servidor mediante el uso de Agregar roles y características
Asistente en el Administrador del servidor.
También puede agregar la función de servidor DNS cuando
promueva su servidor a un controlador de dominio. usted
hacer esto desde la página de Opciones del controlador de dominio
de los servicios de dominio de Active Directory
Asistente de instalación.
Una vez que instale la función del servidor DNS, el DNS

El complemento del administrador está disponible para agregarlo a sus consolas administrativas. Se agrega el complemento
automáticamente a la consola del Administrador del servidor y a la consola del Administrador de DNS. Puedes ejecutar el DNS
Manager desde la pantalla de Inicio escribiendo dnsmgmt.msc .
Cuando instala la función del servidor DNS, también se agrega la herramienta de línea de comandos dnscmd.exe . Puedes usar el
Herramienta DNSCmd para programar y automatizar la configuración de DNS. Para obtener ayuda con esta herramienta, en un símbolo del sistema,
escriba dnscmd.exe /?
En Windows Server 2012, también puede usar Windows PowerShell para administrar un servidor DNS. Nosotros recomendamos
que usa los cmdlets de Windows PowerShell para la administración basada en la línea de comandos del servidor DNS. En
Además, puede utilizar las herramientas de línea de comandos Nslookup , DNSCmd , Dnslint e Ipconfig en el
Entorno de Windows PowerShell.
Para administrar un servidor DNS remoto, agregue las Herramientas administrativas del servidor remoto a su
estación de trabajo, que debe ejecutar Windows Vista Service Pack 1 (SP1) o una versión más reciente de Windows.
sistema.
Demostración: Instalación de la función del servidor DNS
Muchas organizaciones ahora tienen, o eventualmente querrán tener, más de un servidor DNS en su
red. Puede instalar servidores DNS adicionales mediante la consola del Administrador del servidor. Si quieres
habilite su servidor DNS para resolver nombres de Internet, es probable que desee habilitar el reenvío.
• Instale un segundo servidor DNS.
• Cree una zona de búsqueda directa con Windows PowerShell.
• Configurar el reenvío.
Instale un segundo servidor DNS

1. Inicie sesión en LON-DC1 y LON-SVR1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-SVR1, abra el Administrador del servidor .
3. Inicie el Asistente para agregar funciones y funciones.
4. Agregue la función del servidor DNS.
Página 68
Cree una zona de búsqueda directa con Windows PowerShell

1. En Windows PowerShell, ejecute el siguiente cmdlet:
Add-DnsServerPrimaryZone –Name fabrikam.com –DynamicUpdate Secure –ReplicationScope

Dominio
2. Vaya a la consola de DNS y verifique que la zona de búsqueda directa de fabrikam.com se haya creado con el
ajustes apropiados.
Configurar el reenvío
• Configure el servidor DNS con un reenviador en la dirección IP 172.16.0.10 .
Deje todas las máquinas virtuales en su estado actual para la próxima demostración.
Página 69
Lección 3
Administrar zonas DNS
El servidor DNS aloja datos de zona en una base de datos de Active Directory o en el archivo de zona. El servidor DNS también
Puede albergar varios tipos de zonas. En esta lección, aprenderá sobre los tipos de zonas DNS y sobre Active
Zonas DNS integradas en el directorio.
• Describir los tipos de zonas DNS.
• Describir actualizaciones dinámicas.
• Describir las zonas integradas en Active Directory.
• Explicar cómo crear una zona integrada en Active Directory.
¿Qué son los tipos de zona DNS?
Hay cuatro tipos de zonas DNS:
• Primario
• Secundaria
• Stub
• Active Directory: integrado
Zona primaria
Cuando el servidor DNS es tanto el host como el
fuente principal de información sobre una zona, la
La zona es una zona primaria . Además, el servidor DNS
almacena la copia maestra de los datos de la zona en un
archivo local o en AD DS. Cuando el servidor DNS almacena los datos de la zona en un archivo, el archivo de la zona principal de forma predeterminada
se llama zone_name .dns y se encuentra en el servidor en la carpeta% windir% \ System32 \ Dns. Cuando el
La zona no está almacenada en AD DS, el servidor de zona principal es el único servidor DNS que tiene una copia de escritura de
la base de datos.
Zona secundaria
Cuando el servidor DNS es el host, pero es la fuente secundaria de información de zona, la zona es un
zona secundaria. La información de zona en este servidor debe obtenerse de otro servidor DNS que también
alberga la zona. Este servidor DNS debe tener acceso de red al servidor DNS para recibir la zona actualizada
información.
Dado que una zona secundaria es una copia de una zona principal que aloja otro servidor, la zona secundaria
no se puede almacenar en AD DS. Las zonas secundarias pueden ser útiles si está replicando datos de dispositivos que no son de Windows
Zonas DNS.
Stub Zone
Una zona de stub es una copia replicada de una zona que contiene solo los registros de recursos que son necesarios
para identificar los servidores DNS autorizados de esa zona. Una zona de stub resuelve nombres entre DNS separados
espacios de nombres, que pueden ser necesarios cuando una fusión corporativa requiere que los servidores DNS para dos
los espacios de nombres DNS separados resuelven los nombres de los clientes en ambos espacios de nombres.
Página 70
Una zona de stub consta de lo siguiente:
• El registro de recursos SOA de la zona delegada, los registros de recursos DNS y los registros de recursos A
• La dirección IP de uno o más servidores maestros utilizados para actualizar la zona de stub
Los servidores maestros de una zona de stub son uno o más servidores DNS autorizados para la zona secundaria.
Por lo general, este es el servidor DNS que aloja la zona principal para el nombre de dominio delegado.
Active Directory: zona integrada

Si AD DS almacena los datos de la zona, DNS puede usar el modelo de replicación multimaestro para replicar el principal
datos de zona. Esto le permite editar simultáneamente datos de zona en más de un servidor DNS.
¿Qué son las actualizaciones dinámicas?
Una actualización dinámica es una actualización de DNS en real

hora. Las actualizaciones dinámicas son importantes para el DNS
clientes que cambian de ubicación, porque pueden
registrar y actualizar dinámicamente su recurso
registros sin intervención manual.
El protocolo de configuración dinámica de host (DHCP)

El servicio al cliente realiza el registro, independientemente
de si la dirección IP del cliente se obtiene de
un servidor DHCP o fijo. El registro ocurre
durante los siguientes eventos:
• Cuando el cliente se inicia y el cliente DHCP

se inicia el servicio.
• Cuando se configura, agrega o cambia una dirección IP en cualquier conexión de red.
• Cuando un administrador ejecuta el cmdlet Register-DNSClient de Windows PowerShell o ejecuta el

ipconfig / registerdns en un símbolo del sistema.
El proceso de actualizaciones dinámicas es el siguiente:
1. El cliente identifica un servidor de nombres y envía una actualización. Si el servidor de nombres aloja solo un secundario
zone, el servidor de nombres rechaza la actualización del cliente. Si la zona no es un Active Directory integrado
zona, el cliente puede tener que hacer esto varias veces.
2. Si la zona admite actualizaciones dinámicas, el cliente finalmente llega a un servidor DNS que puede escribir en el
zona. Este servidor DNS es uno de los siguientes:
o El servidor principal para una zona estándar basada en archivos.
o Cualquier controlador de dominio que sea un servidor de nombres para una zona integrada de Active Directory, que es, por
predeterminado, considerado primario porque se puede escribir.
3. Si la zona está configurada para actualizaciones dinámicas seguras, el servidor DNS rechaza el cambio. El cliente
luego autentica y reenvía la actualización.
En algunas configuraciones, es posible que no desee que los clientes actualicen sus registros incluso en una zona de actualización dinámica.
En este caso, puede configurar el servidor DHCP para registrar los registros en nombre del cliente. Por defecto, un
el cliente registra que es un registro (host / dirección), y el servidor DHCP registra el PTR (puntero / reverso
búsqueda) registro.
De forma predeterminada, los sistemas operativos Windows intentan registrar sus registros con su servidor DNS. Usted puede
modificar este comportamiento en la configuración de la IP del cliente o mediante la Política de grupo. Controladores de dominio también
Página 71
registrar sus registros SRV (y sus registros de host) en DNS. Los registros SRV se registran automáticamente cada
hora en que se inicia el servicio NETLOGON.
¿Qué son las zonas integradas de Active Directory?
Un servidor DNS puede almacenar datos de zona en AD DS

base de datos siempre que el servidor DNS sea un
Controlador de dominio de AD DS. Cuando el servidor DNS
almacena datos de zona de esta manera, esto crea un activo
Zona integrada en directorio.
Los beneficios de un Active Directory integrado

zona son significativas:
• Actualizaciones multimaestro. A diferencia del estándar

zonas primarias, que solo pueden ser modificadas por
un único servidor primario, Active Directory–
las zonas integradas pueden ser escritas por cualquier
controlador de dominio grabable al que la zona
se replica. Esto crea redundancia en la infraestructura de DNS. Además, actualizaciones multimaestro
son particularmente importantes en organizaciones que utilizan zonas de actualización dinámica y tienen ubicaciones que son
distribuidos geográficamente. Los clientes pueden actualizar sus registros DNS sin tener que conectarse a un
servidor primario potencialmente distante geográficamente.
• Replicación de los datos de la zona DNS mediante la replicación de AD DS. Una de las características de Active
La replicación de directorios es una replicación a nivel de atributo en la que solo se replican los atributos modificados. Un
La zona integrada en Active Directory puede evitar la replicación del archivo de zona completo como en el DNS tradicional.
modelos de transferencia de zona.
• Actualizaciones dinámicas seguras. Una zona integrada en Active Directory puede aplicar actualizaciones dinámicas seguras.
• Seguridad detallada. Al igual que con otros objetos de Active Directory, una zona integrada en Active Directory permite
para delegar la administración de zonas, dominios y registros de recursos modificando el acceso
lista de control (ACL) en la zona.
Pregunta: ¿Puede pensar en alguna desventaja de almacenar información de DNS en AD DS?
Demostración: Creación de una zona integrada de Active Directory
Para crear una zona integrada en Active Directory, debe instalar un servidor DNS en un controlador de dominio. Todas
los cambios en una zona integrada de Active Directory se replican en los otros servidores DNS que están en el dominio
controladores a través del modelo de replicación multimaestro de AD DS.
• Promocionar un servidor como controlador de dominio.
• Cree una zona integrada en Active Directory.
• Cree un registro.
• Verifique la replicación en un segundo servidor DNS.
Página 72
Promocionar un servidor como controlador de dominio
1. Instale la función del servidor AD DS en LON-SVR1.
2. Inicie el Asistente de configuración de servicios de dominio de Active Directory.
3. Instale el servicio del servidor DNS.
Cree una zona integrada en Active Directory

1. En LON-DC1, abra la consola del Administrador de DNS.
2. Inicie el Asistente para nueva zona.
3. Cree una nueva zona de búsqueda directa integrada en Active Directory denominada Contoso.com que solo permita
actualizaciones dinámicas seguras.
4. Revise los registros de la zona Contoso.com.
Crea un registro
• Cree un nuevo registro de host en la zona de Contoso.com denominado www y haga que apunte a 172.16.0.100 .
Verificar la replicación a un segundo servidor DNS

• Verifique que el nuevo registro se esté replicando en el servidor DNS LON-SVR1 .
Página 73
Laboratorio: Implementación de DNS

Guión
Su gerente le ha pedido que configure el controlador de dominio en la sucursal como un servidor DNS. usted
También se les ha pedido que creen algunos registros de host nuevos para admitir una nueva aplicación que se está instalando.
Por último, debe configurar el reenvío en el servidor DNS de la sucursal para admitir el nombre de Internet
resolución.
Objetivos
• Instalar y configurar DNS.
• Cree registros de host en DNS.
• Administrar la caché del servidor DNS.

20410D ‑ LON ‑ SVR1
20410D ‑ LON ‑ CL1
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y, en el panel Acciones, haga clic en Iniciar .
o Dominio: Adatum
5. Repita los pasos 2 a 4 para 20410D-LON-SVR1 y 20410D-LON-CL1 .
Ejercicio 1: Instalación y configuración de DNS

Guión
Contoso es una organización asociada que trabaja en estrecha colaboración con los usuarios de la nueva sucursal. Apoyar
resolución de nombres entre la sucursal de A Datum y Contoso, usted decide habilitar el reenvío de DNS
entre los dos dominios DNS.
Como parte de la configuración de la infraestructura para la nueva sucursal, debe configurar un servidor DNS que
proporciona resolución de nombres para la sucursal. Esto incluye el reenvío para Contoso.com.
Página 74
El servidor DNS de la sucursal será un controlador de dominio. Las zonas integradas de Active Directory
necesarios para admitir inicios de sesión se replicarán automáticamente en la sucursal.
1. Configure LON-SVR1 como controlador de dominio sin instalar el servidor del Sistema de nombres de dominio (DNS)
papel.
2. Revise los ajustes de configuración en el servidor DNS existente para confirmar las sugerencias de root.
3. Agregue la función del servidor DNS para la sucursal en el controlador de dominio.
4. Verifique la replicación de la zona integrada de Active Directory de Adatum.com.
5. Cree y configure la zona Contoso.com en LON-DC1.
6. Utilice los comandos de Windows PowerShell para probar la resolución no local.
7. Configure la resolución de nombres de Internet para reenviar a la oficina central.
8. Utilice Windows PowerShell para confirmar la resolución de nombres.
▶ Tarea 1: configurar LON-SVR1 como controlador de dominio sin instalar el dominio

Función del servidor del sistema de nombres (DNS)
1. Use Agregar roles y características en el Administrador del servidor para agregar el rol de Servicios de dominio de Active Directory
a LON-SVR1.
2. Una vez agregada la función, promueva LON-SVR1 a controlador de dominio.
3. Elija agregar LON-SVR1 como un controlador de dominio adicional en el dominio Adatum.com .
4. Elija no instalar el servidor DNS desactivando la casilla de verificación DNS , que está seleccionada de forma predeterminada.
▶ Tarea 2: Revise los ajustes de configuración en el servidor DNS existente para confirmar la raíz
pistas
1. En el Administrador de DNS en LON-DC1, abra el cuadro de diálogo Propiedades para LON-DC1.
2. Revise las sugerencias de root y la configuración del reenviador.
▶ Tarea 3: Agregar la función del servidor DNS para la sucursal en el controlador de dominio
• Utilice el Administrador del servidor para agregar la función del servidor DNS a LON-SVR1.
▶ Tarea 4: Verificar la replicación de la zona integrada de Active Directory de Adatum.com

1. En LON-SVR1, abra la consola del Administrador de DNS .
2. Expanda Zonas de búsqueda directa y verifique que tanto Adatum.com como _msdcs.Adatum.com
las zonas se replican.
Nota: Si no ve estas zonas, abra Sitios y servicios de Active Directory, fuerce

replicación entre LON-DC1 y LON-SVR1 , y luego repita los pasos 1 y 2.
▶ Tarea 5: Cree y configure la zona de Contoso.com en LON-DC1

1. En la máquina virtual LON-DC1, abra la consola del Administrador de DNS .
2. Cree una nueva zona de búsqueda directa con los siguientes parámetros:
o Tipo de zona: Zona primaria
o Almacenar la zona en Active Directory: No (desactive la casilla de verificación)
Página 75
o Nombre de zona: contoso.com
o Todos los demás valores: predeterminados
3. Cree un nuevo registro de host denominado www.contoso.com con una dirección IP 172.16.0.100 .
▶ Tarea 6: use los comandos de Windows PowerShell para probar la resolución no local
1. En LON-SVR1, convierta 127.0.0.1 en el servidor DNS preferido para LON-SVR1 utilizando lo siguiente
Cmdlet de Windows PowerShell, donde X es el número de índice de interfaz, que puede encontrar en el
Cmdlet Get-DnsClient :
Set-DnsClientServerAddress –InterfaceIndex X –ServerAddress 127.0.0.1
2. En una ventana de Windows PowerShell en LON-SVR1, intente resolver www.contoso.com utilizando el

Cmdlet Resolve-DNSName .
Debería recibir un mensaje de error en texto rojo. Se esperaba esto.
3. Ejecute un comando nslookup dentro de Windows PowerShell para la dirección www.contoso.com.
Este comando también debería fallar.
4. Deje abierta la ventana de Windows PowerShell.
▶ Tarea 7: configurar la resolución de nombres de Internet para reenviar a la oficina central

1. Escriba el siguiente cmdlet y luego presione Entrar:
Set-DnsServerForwarder –IPAddress '172.16.0.10' –PassThru
2. Escriba los siguientes dos cmdlets y presione Entrar después de cada uno:
DNS de parada
DNS de inicio de servicio
▶ Tarea 8: use Windows PowerShell para confirmar la resolución del nombre

2. En Windows PowerShell, escriba el siguiente cmdlet y luego presione Entrar:
nslookup www.contoso.com
Debería obtener una respuesta no autorizada y una dirección IP.
Resultados : Después de completar este ejercicio, debería haber instalado y configurado DNS en 20410D-
LON-SVR1.
Página 76
Ejercicio 2: creación de registros de host en DNS

Guión
Se están implementando varias aplicaciones nuevas basadas en la web en la oficina central de A. Datum. Para cada aplicación, debe
configurar un registro de host en DNS. Se le ha pedido que cree los nuevos registros de host para estas aplicaciones.
1. Configure un cliente para utilizar LON-SVR1 como servidor DNS.
2. Cree varios registros de host para aplicaciones web en el dominio Adatum.com.
3. Verifique la replicación de nuevos registros en LON-SVR1.
4. Utilice el comando ping para localizar nuevos registros de LON-CL1.
▶ Tarea 1: Configurar un cliente para usar LON-SVR1 como servidor DNS

1. Inicie sesión en LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Abra el Panel de control .
3. Abra el cuadro de diálogo Propiedades del adaptador Ethernet .
4. Configure el servidor DNS preferido para que sea 172.16.0.11 .
▶ Tarea 2: Cree varios registros de host para aplicaciones web en el dominio Adatum.com
1. En LON-DC1, abra el Administrador de DNS .
2. Vaya a la zona de búsqueda directa de Adatum.com .
3. Cree un nuevo registro llamado www con la dirección IP 172.16.0.200 .
4. Cree un nuevo registro llamado ftp con la dirección IP 172.16.0.201 .
▶ Tarea 3: Verificar la replicación de nuevos registros en LON-SVR1

1. En LON-SVR1, abra el Administrador de DNS .
2. Vaya a la zona de búsqueda directa de Adatum.com .
3. Asegúrese de que se muestren los registros www y ftp .
Nota: Si los registros de recursos www y ftp no se muestran en varios minutos, actualice
la zona Adatum.com.
▶ Tarea 4: Utilice el comando ping para localizar nuevos registros de LON-CL1

1. En LON-CL1, abra una ventana de símbolo del sistema.
2. Hacer ping www.adatum.com . Asegúrese de que ping resuelva este nombre en 172.16.0.200 .
3. Hacer ping ftp.adatum.com , y asegurarse de que se resuelve 172.16.0.201 .
Resultados : Después de completar este ejercicio, debería haber configurado los registros DNS.
Página 77
Ejercicio 3: administración de la caché del servidor DNS

Guión
Después de cambiar algunos registros de host en zonas configuradas en LON-DC1, notó que los clientes que usan
LON-SVR1 como su servidor DNS todavía recibían direcciones IP antiguas durante el proceso de resolución de nombres.
Desea determinar qué componente almacena en caché estos datos.
1. Utilice el comando ping para localizar un registro de Internet de LON-CL1.
2. Actualice un registro de Internet para que apunte a la dirección IP de LON-DC1.
3. Examine el contenido de la caché de DNS.
4. Borre la caché y vuelva a intentar el comando ping.
▶ Tarea 1: use el comando ping para localizar un registro de Internet de LON-CL1

1. En LON-CL1, en la ventana del símbolo del sistema, use ping para ubicar www.contoso.com .
2. Asegúrese de que el nombre se resuelva en una dirección IP y luego documente la dirección IP.
▶ Tarea 2: actualice un registro de Internet para que apunte a la dirección IP de LON-DC1

1. En LON-DC1, abra la consola del Administrador de DNS .
2. Vaya a la zona de búsqueda directa de contoso.com .
3. Cambie la dirección IP del registro www a 172.16.0.10 .
4. Desde LON-CL1, haga ping a www.contoso.com .
Tenga en cuenta que este registro aún se resuelve con la antigua IP.
▶ Tarea 3: Examinar el contenido de la caché de DNS

1. En LON-SVR1, en la consola del Administrador de DNS, habilite la Vista avanzada .
2. Examine el contenido del contenedor de búsquedas en caché para el espacio de nombres com y anote la IP
dirección para el registro www .
3. En LON-CL1, en un símbolo del sistema, escriba lo siguiente:
ipconfig / displaydns
4. Examine el contenido en caché y observe la dirección IP del registro www .
▶ Tarea 4: Borre el caché y vuelva a intentar el comando ping

1. Borre la memoria caché del servidor DNS LON-SVR1 mediante el cmdlet Clear-DNSServerCache .
2. Vuelva a intentar hacer ping a www.contoso.com en LON-CL1.
El resultado aún devuelve la antigua dirección IP.
3. Borre el caché de resolución del cliente en LON-CL1 escribiendo lo siguiente en la ventana del símbolo del sistema
en un símbolo del sistema:
ipconfig / flushdns
Página 78
4. En LON-CL1, vuelva a intentar hacer ping a www.contoso.com .
El resultado debería funcionar.
Resultados : Después de completar este ejercicio, debería haber examinado la caché del servidor DNS.

Pregunta: ¿Puede instalar la función de servidor DNS en un servidor que no sea un controlador de dominio? Si
sí, ¿existen limitaciones?
Pregunta: ¿Cuál es la forma más común de llevar a cabo la resolución de nombres de Internet en un
DNS?
Pregunta: ¿Cómo se puede explorar el contenido de la caché de resolución de DNS en un servidor DNS?

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial.
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 y 20410D-LON-CL1 .
Página 79

Preguntas de revisión del módulo
Pregunta: está solucionando problemas de resolución de nombres DNS desde una computadora cliente. Que debería
recuerdas hacer antes de cada prueba?
Pregunta: Está implementando servidores DNS en un dominio de Active Directory y su

El cliente requiere que la infraestructura sea resistente a puntos únicos de falla. Que debería
que considera al planificar la configuración de DNS?
Pregunta: ¿Qué beneficios obtiene al utilizar transportistas?
Mejores prácticas
Cuando implemente DNS, utilice las siguientes mejores prácticas:
• Utilice siempre nombres de host en lugar de nombres NetBIOS.
• Utilice reenviadores en lugar de sugerencias de raíz.
• Tenga en cuenta los posibles problemas de almacenamiento en caché cuando solucione problemas de resolución de nombres.
• Utilice zonas integradas en Active Directory en lugar de zonas primarias y secundarias.
Problemas habituales y consejos para la resolución de problemas
Problema común Sugerencia de solución de problemas
Los clientes a veces almacenan en caché

registros DNS no válidos.
El servidor DNS funciona lentamente.
Herramientas
Nombre de la herramienta Usado para Donde encontrarlo
Consola del administrador de DNS Administrar la función del servidor DNS Herramientas administrativas
Nslookup Solucionar problemas de DNS Herramienta de línea de comandos
Ipconfig Solucionar problemas de DNS Herramienta de línea de comandos
Cmdlets de Windows PowerShell Administrar y solucionar problemas de DNS Windows PowerShell
Página 80
Página 81
8-1
Módulo 8
Implementación de IPv6
Contenido:
Lección 1: Descripción general de IPv6 8-2
Lección 2: Direccionamiento IPv6 8-7
Lección 3: Coexistencia con IPv4 8-13
Lección 4: Tecnologías de transición a IPv6 8-17
Laboratorio: Implementación de IPv6 8-22

El Protocolo de Internet versión 6 (IPv6) es una tecnología que ayuda a Internet a respaldar una base de usuarios en crecimiento
y un número cada vez mayor de dispositivos habilitados para IP. El Protocolo de Internet versión 4 (IPv4) ha sido el
protocolo de Internet subyacente durante casi 30 años. Sin embargo, ahora existe una creciente necesidad de nuevas direcciones IP.
desafiando su robustez, escalabilidad y conjunto limitado de funciones, en gran parte debido al rápido crecimiento de
nuevos dispositivos con reconocimiento de red.
Este módulo analiza las características y beneficios de IPv6, cómo IPv6 afecta las redes IPv4 y cómo
integre IPv6 en redes IPv4 mediante el uso de diversas tecnologías de transición.
Objetivos
• Describir las características y beneficios de IPv6.
• Describir el direccionamiento IPv6.
• Describir la coexistencia de IPv6 con IPv4.
• Describir las tecnologías de transición de IPv6.
Página 82
Lección 1
Descripción general de IPv6
IPv6 ha sido incluido en Windows ® sistemas operativos cliente y servidores desde el lanzamiento de Windows
Server ® 2008. El uso de IPv6 es cada vez más común en las redes corporativas e Internet.
Por lo tanto, es importante que comprenda cómo afecta esta tecnología a las redes actuales y cómo
integrar IPv6 en esas redes. Esta lección analiza los beneficios de IPv6 y en qué se diferencia de IPv4.
• Describir los beneficios de IPv6.
• Describir las diferencias entre IPv4 e IPv6.
• Describa el formato de la dirección IPv6.
Beneficios de IPv6
Windows Server 2012 y Windows 8 incluyen

soporte para IPv6. La siguiente lista de párrafos
los beneficios de la implementación de IPv6.
Espacio de direcciones más grande

El espacio de direcciones IPv6 es una dirección de 128 bits
espacio, que es mucho más grande que el de 32 bits
espacio de direcciones en IPv4. Un espacio de direcciones de 32 bits
tiene 2 32 o 4,294,967,296 direcciones posibles. Como
una comparación, un espacio de direcciones de 128 bits tiene 2 128 o
340,282,366,920,938,463,463,374,607,431,768,211,
456 (o 3.4x10 38 o 340 undecillion) posible
direcciones. A medida que Internet sigue creciendo, IPv6
proporciona el espacio de direcciones más grande requerido.
Infraestructura de direccionamiento y enrutamiento jerárquico

El espacio de direcciones IPv6 públicas se asigna de manera más eficiente que para IPv4. Las direcciones IPv4 no son todas
asignados en bloques geográficos, pero las direcciones públicas IPv6 sí lo son. Esto significa que aunque haya
muchas más direcciones, los enrutadores de Internet pueden procesar datos de manera mucho más eficiente debido a la dirección
mejoramiento.
Configuración de direcciones sin estado y con estado

IPv6 tiene capacidad de configuración automática sin el Protocolo de configuración dinámica de host (DHCP), y puede
descubrir la información del enrutador para que los hosts puedan acceder a Internet. Esta es una configuración de dirección sin estado ,
que ocurre cuando usa el protocolo DHCP versión 6 (DHCPv6). Esto proporciona a los administradores de red
con flexibilidad en cómo distribuir direcciones IPv6 e información de configuración a los clientes.
Soporte necesario para IPsec

Los estándares IPv6 requieren soporte para el encabezado de autenticación (AH) y encapsulado de seguridad
encabezados de carga útil (ESP) que están definidos por la seguridad del protocolo de Internet (IPsec). Aunque es compatible con
Los métodos de autenticación IPsec y los algoritmos criptográficos no están especificados, IPsec se define a partir de
Página 83
empezar como la forma de proteger los paquetes IPv6. Esto garantiza la disponibilidad de IPsec en todos los hosts IPv6. Los hosts IPv4 lo hicieron
no requiere compatibilidad con IPsec, pero se implementó comúnmente.
Comunicación de extremo a extremo

Uno de los objetivos de diseño de IPv6 es proporcionar suficiente espacio de direcciones para que no tenga que utilizar
mecanismos de traducción como la traducción de direcciones de red (NAT). Esto simplifica la comunicación
porque los hosts IPv6 pueden comunicarse directamente entre sí a través de Internet. Esto también simplifica
soporte para aplicaciones como videoconferencias y otras aplicaciones peer-to-peer. Sin embargo, muchas organizaciones
puede optar por seguir utilizando mecanismos de traducción como medida de seguridad.
Soporte necesario para la calidad del servicio

Un paquete IPv6 contiene un campo de Calidad de servicio (QoS) que especifica qué tan rápido debe ser el paquete.
procesada. Esto le permite asignar una prioridad al tráfico de paquetes IPv6. Por ejemplo, cuando está transmitiendo
tráfico de video, es fundamental que los paquetes lleguen a tiempo. Puede configurar el campo QoS para asegurarse
que los dispositivos de red reconozcan que la entrega de paquetes es urgente. El soporte para QoS era opcional para
Hosts IPv4.
Soporte mejorado para entornos de subred única

Todos los hosts IPv6 se configuran automáticamente con una dirección de enlace local que permite que el host se comunique
en la subred local. Sin embargo, como el direccionamiento IP privado automático (APIPA), que podría implementar
opcionalmente en entornos IPv4, los equipos no se configuran automáticamente con una puerta de enlace predeterminada o
Servidor del sistema de nombres de dominio (DNS).
Extensibilidad
IPv6 se ha diseñado para que los desarrolladores puedan ampliarlo con muchas menos restricciones que IPv4. Como un
administrador de red, no extenderá IPv6, pero los programas que compre pueden tomar
aproveche esto para mejorar la funcionalidad de IPv6.
Diferencias entre IPv4 e IPv6
Cuando se diseñó el espacio de direcciones IPv4,

Era inimaginable que alguna vez pudiera agotarse.
Sin embargo, debido a los avances tecnológicos
y una práctica de asignación que no anticipó
el aumento en el número de hosts de Internet,
estaba claro en 1992 que un reemplazo sería
necesario.
Cuando se diseñó el espacio de direcciones IPv6,

las direcciones se hicieron de 128 bits de largo para
acomodar subdividir el espacio de direcciones
en dominios de enrutamiento jerárquico que reflejan
topología de Internet de hoy en día. La extensión a
128 bits garantiza que haya suficientes bits para crear múltiples niveles de jerarquía y proporciona flexibilidad
para diseñar direccionamiento y enrutamiento jerárquico. La Internet basada en IPv4 carece de estas características.
Página 84
Comparación de IPv4 e IPv6

La siguiente tabla destaca diferencias adicionales entre IPv4 e IPv6.
IPv4 IPv6
La fragmentación la realizan ambos enrutadores La fragmentación no es realizada por enrutadores, pero

y el host de envío. solo por el anfitrión remitente.
Usos del Protocolo de resolución de direcciones (ARP) Las tramas de solicitud ARP se reemplazan por multidifusión
Difundir tramas de solicitud ARP para resolver un Mensajes de solicitud de vecinos.
Dirección IPv4 a una dirección de capa de enlace.
Protocolo de administración de grupos de Internet (IGMP) IGMP se reemplaza con descubrimiento de escucha de multidifusión
gestiona la pertenencia a grupos de subredes locales. mensajes.
Protocolo de mensajes de control de Internet (ICMP) ICMP Router Discovery se reemplaza con required
Router Discover, que es opcional, determina Solicitud de enrutador ICMPv6 y enrutador
la dirección IPv4 de la mejor puerta de enlace predeterminada. Mensajes publicitarios.
Utiliza registros de recursos del host (A) en el DNS para Utiliza registros de recursos de host IPv6 (AAAA) en DNS para
asignar nombres de host a direcciones IPv4. asignar nombres de host a direcciones IPv6.
Utiliza registros de recursos de puntero (PTR) en el Utiliza registros de recursos de puntero (PTR) en el
IN-ADDR.ARPA dominio DNS para mapear IPv4 IP6.ARPA Dominio DNS para asignar direcciones IPv6 a
direcciones a nombres de host. nombres de host.
Debe admitir un tamaño de paquete de 576 bytes (posiblemente Debe admitir un tamaño de paquete de 1280 bytes (sin
fragmentado). fragmentación).
Formato de dirección IPv6
La característica más distintiva de IPv6 es su

uso de direcciones mucho más grandes. Direcciones IPv4
se expresan en 4 grupos de números decimales,
como 192.168.1.1. Cada agrupación de números
representa un octeto binario. En binario, 192.168.1.1 es
igual a:
11000000.10101000.00000001.00000001
(4 octetos = 32 bits)
Sin embargo, una dirección IPv6 es 4 veces mayor que

una dirección IPv4. Debido a esto, las direcciones IPv6
se expresan en hexadecimal (hexadecimal). Por ejemplo:
2001: DB8: 0: 2F3B: 2AA: FF: FE28: 9C5A
Esto puede parecer complejo para los usuarios finales, pero se supone que los usuarios dependerán de los nombres de DNS para resolver
hosts, y rara vez escribirán direcciones IPv6 manualmente. También es más fácil convertir una dirección IPv6 hexadecimal
a binario y de nuevo a hexadecimal de lo que es convertir entre binario y decimal. Esto simplifica
trabajar con subredes y calcular hosts y redes.
Página 85
El sistema de numeración hexadecimal (base 16)

El sistema de numeración hexadecimal usa los dígitos del 0 al 9 y las letras de la A a la F porque
debe haber 16 símbolos únicos para cada posición. El número hexadecimal 10 es igual al decimal
número 16.
Nota: Puede usar la aplicación Calculadora en Windows Server 2012 para convertir entre binario, decimal,
y números hexadecimales.
Para convertir una dirección binaria IPv6 de 128 bits en binaria, debe dividirla en 8 bloques de 16 bits. Luego conviertes
cada uno de estos 8 bloques de 16 bits en 4 caracteres hexadecimales. Para cada uno de los bloques, evalúas 4 bits
a la vez. Debe numerar cada sección de 4 números binarios 1, 2, 4 y 8, comenzando por la derecha y
moviéndose a la izquierda. Es decir:
• Al primer bit [001 0 ] se le asigna el valor 1.
• Al segundo bit [00 1 0] se le asigna el valor 2.
• Al tercer bit [0 0 10] se le asigna el valor de 4.
• Al cuarto bit [ 0 010] se le asigna el valor de 8.
Para calcular el valor hexadecimal para esta sección de 4 bits, sume el valor de cada bit que se establece en 1. En
En el ejemplo de 0010, el único bit que se establece en 1 es el bit al que se le asigna el valor de 2. El resto se establece
a 0. Por lo tanto, el valor hexadecimal de esta sección de 4 bits es 2.
Conversión de binario a hexadecimal

La siguiente tabla describe la conversión de 8 bits de binario en hexadecimal para el número binario
[0010] [1111].
Binario 0010 1111
Valores de cada posición binaria 8421 8421
Sumar valores donde el bit es 1 0+0+2+0=2 8 + 4 + 2 + 1 = 15 o F hexadecimal
El siguiente ejemplo es una única dirección IPv6 en formato binario. Tenga en cuenta que la representación binaria del
La dirección IP es bastante larga. Las siguientes dos líneas de números binarios representan una dirección IP:
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
Cuando esta dirección de 128 bits se divide en límites de 16 bits (8 bloques de 16 bits) se convierte en:
0010000000000001 0000110110111000 0000000000000000 0010111100111011

0000001010101010 0000000011111111 1111111000101000 1001110001011010
Página 86
Cada bloque se divide en secciones de 4 bits. La siguiente tabla muestra el binario y

valores hexadecimales correspondientes para cada sección de 4 bits.
Binario Hexadecimal
[0010] [0000] [0000] [0001] [2] [0] [0] [1]
[0000] [1101] [1011] [1000] [0] [D] [B] [8]
[0000] [0000] [0000] [0000] [0] [0] [0] [0]
[0010] [1111] [0011] [1011] [2] [F] [3] [B]
[0000] [0010] [1010] [1010] [0] [2] [A] [A]
[0000] [0000] [1111] [1111] [0] [0] [F] [F]
[1111] [1110] [0010] [1000] [F] [E] [2] [8]
[1001] [1100] [0101] [1010] [9] [C] [5] [A]
Cada bloque de 16 bits se expresa como 4 caracteres hexadecimales y se delimita con dos puntos. El resultado es:
2001: 0DB8: 0000: 2F3B: 02AA: 00FF: FE28: 9C5A
Puede simplificar aún más la representación de IPv6 eliminando los ceros iniciales dentro de cada bloque de 16 bits.
Sin embargo, cada bloque debe tener al menos un solo dígito. Cuando suprime los ceros iniciales, la dirección
la representación se convierte en:
2001: DB8: 0: 2F3B: 2AA: FF: FE28: 9C5A
Comprimir ceros
Cuando una dirección tiene varios bloques cero contiguos, puede comprimirlos y representarlos en
la dirección como dos puntos dobles (: :). Esto simplifica aún más la notación IPV6. La computadora reconoce el
dos puntos dobles y lo sustituye por el número de bloques necesarios para hacer el IPv6 apropiado
habla a.
El siguiente ejemplo expresa la dirección utilizando compresión cero:
2001: DB8 :: 2F3B: 2AA: FF: FE28: 9C5A
Para determinar cuántos bits 0 están representados por dos puntos dobles, cuenta el número de bloques
en la dirección comprimida, reste este número de 8 y luego multiplique el resultado por 16. Usando el
ejemplo anterior, hay 7 bloques. Reste 7 de 8 y luego multiplique el resultado (1) por 16. Por lo tanto, hay
son 16 bits o 16 ceros en la dirección en la que se encuentran los dos puntos dobles.
Puede utilizar la compresión cero solo una vez en una dirección determinada. Si lo usa dos veces o más, entonces no hay
forma de mostrar cuántos bits 0 están representados por cada instancia de los dos puntos dobles.
Para convertir una dirección en binario, invierta el método que se describió anteriormente como se muestra a continuación:
1. Agregue ceros usando compresión cero.
2. Agregue ceros a la izquierda.
3. Convierta cada bit establecido en l (uno) en su equivalente binario.
Página 87
Lección 2
Direccionamiento IPv6
Una parte esencial de trabajar con IPv6 es comprender los diferentes tipos de direcciones y cuándo se utiliza
ellos. Esto le ayuda a comprender el proceso de comunicación general entre hosts IPv6 y cómo
realizar la resolución de problemas. También debe comprender los procesos disponibles para configurar un host con
una dirección IPv6 para asegurarse de configurar los hosts correctamente.
• Describir la estructura de las direcciones IPv6.
• Describir la estructura de las direcciones de unidifusión globales.
• Describir direcciones de unidifusión locales únicas.
• Describir direcciones de unidifusión local de enlace e ID de zona.
• Describir la configuración automática de direcciones para IPv6.
• Explicar cómo configurar los parámetros del cliente IPv6 en un host de red.
Estructura de la dirección IPv6
Cada dirección IPv6 tiene una longitud de 128 bits. El prefijo es

la parte de la dirección que indica los bits que
tienen valores fijos, o que son el prefijo de subred
bits. Esto es equivalente al ID de red para IPv4
direcciones.
Prefijos para subredes, rutas y direcciones IPv6

los rangos se expresan de la misma manera que IPv4
Notaciones de enrutamiento entre dominios sin clases (CIDR).
Un prefijo IPv6 se escribe en dirección / prefijo-longitud
notación. Por ejemplo, 2001: DB8 :: / 48 y
2001: DB8: 0: 2F3B :: / 64 son prefijos de dirección IPv6.
Nota: IPv6 usa prefijos en lugar de una subred

máscara.
Cuando se asigna una dirección IPv6 de unidifusión a un host, el prefijo tiene una longitud de 64 bits. Los 64 bits restantes son
asignado al identificador de interfaz, que identifica de forma única al host en esa red. La interfaz
El identificador puede ser generado aleatoriamente, asignado por DHCPv6 o basado en el control de acceso a los medios.
(MAC) dirección de la red. De forma predeterminada, los bits de host se generan aleatoriamente a menos que los asigne
DHCPv6.
Nota: Las rutas en un enrutador IPv6 tienen diferentes tamaños de prefijo que están determinados por el
tamaño de la red.
Página 88
Equivalentes de IPv6 a direcciones especiales de IPv4
La siguiente tabla muestra los equivalentes de IPv6 a algunas direcciones IPv4 comunes.
Dirección IPv4 Dirección IPv6
Dirección no especificada 0.0.0.0 ::
Dirección de bucle invertido 127.0.0.1 :: 1
Direcciones autoconfiguradas 169.254.0.0/16 FE80 :: / 64
Dirección de Difusión 255.255.255.255 Utiliza multidifusión en su lugar
Direcciones de multidifusión 224.0.0.0/4 FF00 :: / 8
Direcciones unicast globales
Las direcciones de unidifusión global son equivalentes a públicas

Direcciones IPv4 que están disponibles en Internet
Proveedor de servicios (ISP). Son enrutables y
accesible globalmente en la porción IPv6 del
Internet. A diferencia del número limitado de Internet-
direcciones IPv4 direccionables que permanecen, hay
muchas direcciones unicast globales disponibles para su uso.
El espacio de direcciones unicast global está diseñado para

permitir que cada cliente de ISP obtenga una gran cantidad
de direcciones IPv6. Los primeros 48 bits identifican el
sitio para clientes. Los siguientes 16 bits se asignan para
el cliente para realizar la división en subredes dentro de su
propia red.
Nota: La red 2001: 0db8 :: / 32 está reservada para documentación y no es enrutable.
La estructura de una dirección de unidifusión global es la siguiente:
• La parte fija se establece en 001. Los tres bits de orden superior se establecen en 001. El prefijo de dirección para la
direcciones globales asignadas es 2000 :: / 3. Por lo tanto, todas las direcciones de unidifusión globales comienzan con 2 o 3.
• Prefijo de enrutamiento global. Este campo identifica el prefijo de enrutamiento global para el sitio de una organización específica.
La combinación de los tres bits fijos y el prefijo de enrutamiento global de 45 bits se utiliza para crear un
prefijo de sitio, que se asigna al sitio individual de una organización. Una vez que se realiza la asignación, los enrutadores
en Internet IPv6 y luego reenvíe el tráfico IPv6 que coincida con el prefijo de 48 bits a los enrutadores del
sitio de la organización.
• ID de subred. La ID de subred se utiliza dentro del sitio de una organización para identificar subredes. Este campo es de 16 bits
largo. El sitio de la organización puede usar estos 16 bits dentro de su sitio para crear 65.536 subredes, o múltiples
niveles de jerarquía de direccionamiento y una infraestructura de enrutamiento eficiente.
• ID de interfaz. La ID de interfaz identifica la interfaz en una subred específica dentro del sitio. Este campo es 64
bits de largo. Esto se genera aleatoriamente o es asignado por DHCPv6. En el pasado, el ID de interfaz era
basado en la dirección MAC de la tarjeta de interfaz de red a la que estaba vinculada la dirección.
Página 89
Direcciones de unidifusión locales únicas
Las direcciones de unidifusión locales únicas son IPv6

equivalente a direcciones privadas IPv4. Estas
las direcciones se pueden enrutar dentro de una organización,
pero no en Internet.
Las direcciones IP privadas IPv4 eran relativamente pequeñas

parte del espacio de direcciones IPv4 general, y muchos
las empresas utilizaron el mismo espacio de direcciones. Esta
causó problemas cuando organizaciones separadas
Intenté comunicarme directamente. También causó
problemas al fusionar las redes de dos
organizaciones, como después de una fusión o compra.
Para evitar los problemas de duplicación experimentados
con direcciones privadas IPv4, la estructura de direcciones locales únicas IPv6 asigna 40 bits a una organización
identificador. El identificador de organización de 40 bits se genera aleatoriamente y la probabilidad de dos
Los identificadores idénticos de 40 bits generados son muy pequeños. Esto asegura que cada organización tenga un único
espacio de dirección.
Los primeros 7 bits del identificador de organización tienen el valor binario fijo de 1111110. Todos locales únicos
las direcciones tienen el prefijo de dirección FC00 :: / 7. La (L) bandera local (el 8 ésimo bit) se establece en 1 para indicar un local de
habla a. Aún no se ha definido un valor de bandera L establecido en 0. Por lo tanto, direcciones locales únicas con la
El indicador L establecido en 1 tiene el prefijo de dirección FD :: / 8.
Direcciones de unidifusión local de enlace
Todos los hosts IPv6 tienen una dirección de enlace local que es
se utiliza para la comunicación solo en la subred local.
La dirección de enlace local se genera automáticamente,
y no es enrutable. De esta manera, link-local
Las direcciones son similares a las direcciones IPv4 APIPA.
Sin embargo, una dirección de enlace local es una parte esencial
de la comunicación IPv6.
Pv6 utiliza direcciones locales de enlace para la comunicación

en muchos escenarios en los que IPv4 utiliza difusiones.
Por ejemplo, las direcciones de enlace local se utilizan cuando
comunicarse con un servidor DHCPv6. Enlace local
las direcciones también se utilizan para el descubrimiento de vecinos,
que es el equivalente IPv6 de ARP en IPv4.
El prefijo para direcciones de enlace local es siempre FE80 :: / 64. Los últimos 64 bits son el identificador de la interfaz.
ID de zona
Independientemente del número de interfaces de red en el host, cada host IPv6 tiene una única dirección de enlace local.
Si el host tiene varias interfaces de red, cada interfaz usa la misma dirección de enlace local. Para hacerlo
posible que los hosts identifiquen la comunicación local de enlace en cada interfaz de red única, se
agregado a la dirección de enlace local. Un ID de zona tiene el siguiente formato:
Dirección% zone_ID
Página 90
Cada host de envío determina el ID de zona que asociará con cada interfaz. No hay negociación
de ID de zona entre hosts. Por ejemplo, en la misma red, el host A puede usar 3 para el ID de zona en su
interfaz, y el host B podría usar 6 para el ID de zona en su interfaz.
A cada interfaz en un host basado en Windows se le asigna un índice de interfaz único, que es un número entero. En
Además de las tarjetas de red físicas, las interfaces también incluyen interfaces loopback y de túnel. Basado en Windows
Los hosts IPv6 utilizan el índice de interfaz de una interfaz como ID de zona para esa interfaz.
En el siguiente ejemplo, el ID de interfaz para la interfaz de red es 3:
fe80 :: 2b0: d0ff: fee9: 4143% 3
Autoconfiguración de direcciones IPv6
En la mayoría de los casos, utilizará la configuración automática para

proporcione a los hosts IPv6 una dirección IPv6. diferente a
IPv4 que utiliza principalmente servidores DHCP para proporcionar
información de direccionamiento, IPv6 también utiliza enrutadores como
parte del proceso de autoconfiguración. Los enrutadores
puede proporcionar la dirección de red y un valor predeterminado
puerta de enlace a clientes en Anuncio de enrutador
mensajes.
Tipos de autoconfiguración
Los tipos de autoconfiguración incluyen:
• Apátridas. Con autoconfiguración sin estado,

La configuración de la dirección se basa únicamente en la recepción de mensajes de anuncio del enrutador. Apátrida
La autoconfiguración incluye un prefijo de enrutador, pero no incluye opciones de configuración adicionales como
como servidores DNS.
• Con estado. Con la autoconfiguración con estado, la configuración de direcciones se basa en el uso de una
Protocolo de configuración de direcciones como DHCPv6 para obtener direcciones y otras opciones de configuración.
Un host utiliza la configuración de direcciones con estado cuando:
o Recibe instrucciones para hacerlo en los mensajes publicitarios del enrutador.
o No hay enrutadores presentes en el enlace local.
• Ambos. Con ambos, la configuración se basa tanto en la recepción de mensajes publicitarios del enrutador como en
DHCPv6.
Configuración con estado

Con la configuración con estado, las organizaciones pueden controlar cómo se asignan las direcciones IPv6 mediante DHCPv6. Si
hay opciones de alcance específicas que necesita configurar, como las direcciones IPv6 de DNS
servidores, entonces es necesario un servidor DHCPv6.
Cuando IPv6 intenta comunicarse con un servidor DHCPv6, utiliza direcciones IPv6 de multidifusión. Esto es
diferente de IPv4, que utiliza direcciones IPv4 de difusión.
Página 91
Estados de dirección configurados automáticamente

Durante la autoconfiguración, la dirección IPv6 de un host pasa por varios estados que definen el ciclo de vida de
la dirección IPv6. Las direcciones configuradas automáticamente están en uno o más de los siguientes estados:
• Provisional. En el estado provisional, se está realizando una verificación para determinar si la dirección es única.
La detección de direcciones duplicadas realiza la verificación. Cuando una dirección se encuentra en estado tentativo, un nodo
no puede recibir tráfico de unidifusión.
• Válido. En el estado válido, la dirección se ha verificado como única y puede enviar y recibir unidifusión
tráfico.
• Preferido. En el estado preferido, la dirección permite que un nodo envíe y reciba tráfico de unidifusión hacia y
de eso.
• Obsoleto. En un estado obsoleto, la dirección es válida, pero se desaconseja su uso para nuevos
comunicación.
• Inválido. En el estado no válido, la dirección ya no permite que un nodo envíe o reciba tráfico de unidifusión.
El proceso de autoconfiguración
El proceso de autoconfiguración de IPv6 sigue seis pasos generales:
1. El cliente obtiene una dirección local de enlace.
2. El cliente verifica los conflictos de direcciones mediante la solicitud de vecinos y verifica que el enlace local
la dirección es única.
3. El cliente busca enrutadores en la red.
4. El cliente verifica qué prefijos están configurados en el enrutador.
5. El cliente agrega los prefijos localmente.
6. Si se establece el indicador Administrado u Otro, el cliente verifica DHCPv6 para obtener otra configuración
información.
Demostración: Configuración del cliente IPv6
En la mayoría de los casos, IPv6 se configura dinámicamente mediante DHCPv6 o anuncios de enrutadores. Sin embargo, tu
También puede configurar IPv6 manualmente con una dirección IPv6 estática. El proceso para configurar IPv6 es similar a
el proceso para configurar IPv4.
• Ver la configuración de IPv6 mediante el comando ipconfig y el cmdlet Get-NetIPAddress .
• Configurar IPv6 en un controlador de dominio y un servidor.
• Verifique que la comunicación IPv6 sea funcional.
Página 92
Ver la configuración de IPv6 mediante ipconfig y Get-NetIPAddress

1. Inicie sesión en LON-DC1 y LON-SVR1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-DC1, abra un indicador de Windows PowerShell ® .
3. Utilice el comando ipconfig para ver la dirección IPv6 del enlace local en Ethernet.
4. Use el cmdlet Get-NetIPAddress para ver la configuración de red y la dirección IPv6 local de vínculo en
el adaptador Ethernet .
Configurar IPv6 en LON-DC1

1. En LON-DC1, use el Administrador del servidor para abrir el panel Propiedades del servidor local y luego haga clic en Ethernet .
2. Abra el cuadro de diálogo Propiedades del Protocolo de Internet versión 6 (TCP / IPv6) y luego ingrese el
siguiente información:
o Utilice la siguiente dirección IPv6
o Dirección IPv6: FD00: AAAA: BBBB: CCCC :: A
o Longitud del prefijo de subred: 64
o Utilice las siguientes direcciones de servidor DNS
o Servidor DNS preferido: :: 1
Configurar IPv6 en LON-SVR1

1. En LON-DC1, use el Administrador del servidor para abrir el panel Propiedades del servidor local y luego haga clic en Ethernet .
2. Abra el cuadro de diálogo Propiedades del Protocolo de Internet versión 6 (TCP / IPv6) y luego ingrese el
siguiendo:
o Utilice la siguiente dirección IPv6
o Dirección IPv6: FD00: AAAA: BBBB: CCCC :: 15
o Longitud del prefijo de subred: 64
o Utilice las siguientes direcciones de servidor DNS
o Servidor DNS preferido: FD00: AAAA: BBBB: CCCC :: A
Verifique que la comunicación IPv6 sea funcional

1. En LON-SVR1, abra un indicador de Windows PowerShell.
2. Utilice ipconfig para ver la dirección IPv6 del adaptador Ethernet .
3. Utilice ping -6 para probar la comunicación IPv6 con LON-DC1 .
4. Utilice ping -4 para probar la comunicación IPv4 con LON-DC1 .
5. Utilice el cmdlet Test-NetConnection para probar la comunicación IPv6 con una dirección IPv6 de
LON-DC1 FD00: AAAA: BBBB: CCCC :: .
Página 93
Lección 3
Coexistencia con IPv4
Desde sus inicios, IPv6 fue diseñado para una coexistencia a largo plazo con IPv4. En la mayoría de los casos, su red
utilizará tanto IPv4 como IPv6 durante muchos años. En consecuencia, debe comprender cómo coexisten.
Esta lección proporciona una descripción general de las tecnologías que admiten la coexistencia de los dos protocolos IP.
Esta lección también describe los diferentes tipos de nodos y las implementaciones de pila de IP de IPv6. Finalmente, este
La lección explica cómo DNS resuelve nombres en direcciones IPv6 y los diversos tipos de transición de IPv6.
tecnologías.
• Describir los tipos de nodos IP.
• Describir métodos para proporcionar coexistencia para IPv4 e IPv6.
• Configure DNS para admitir IPv6.
• Explicar el túnel IPv6 sobre IPv4.
¿Qué son los tipos de nodos?
Al planificar una red IPv6, debe

saber qué tipos de nodos o hosts hay en el
red. Describir los nodos de una manera específica
ayuda a definir sus capacidades en la red.
Comprender las capacidades de cada tipo de
El nodo es importante si utiliza tunelización, porque
ciertos tipos de túneles requieren un nodo específico
tipos, que incluyen:
• Nodo solo para IPv4. Este nodo implementa solo

IPv4 y solo tiene direcciones IPv4. No es asi
compatible con IPv6.
• Nodo solo para IPv6. Este nodo implementa solo

IPv6 y solo tiene direcciones IPv6. No es compatible con IPv4. Este nodo solo puede comunicarse
con programas y nodos IPv6, y no es común en la actualidad. Sin embargo, podría volverse más frecuente
ya que los dispositivos más pequeños, como teléfonos celulares y computadoras de mano, usan el protocolo IPv6 exclusivamente.
• Nodo IPv6 / IPv4. Este nodo implementa tanto IPv4 como IPv6. Por defecto, lo usa Windows
Server 2008 y los nuevos sistemas operativos de Windows Server y Windows Vista ® y más reciente de Windows
sistemas operativos del cliente.
• Nodo IPv4. Este nodo implementa IPv4 y puede ser un nodo solo IPv4 o un nodo IPv6 / IPv4.
• Nodo IPv6. Este nodo implementa IPv6 y puede ser un nodo solo IPv6 o un nodo IPv6 / IPv4.
La coexistencia ocurre cuando la mayor cantidad de nodos (nodos IPv4 o IPv6) pueden comunicarse mediante un
Infraestructura IPv4, una infraestructura IPv6 o una infraestructura que es una combinación de IPv4 e IPv6. usted
logrará una verdadera migración cuando todos los nodos IPv4 se conviertan en nodos solo IPv6. Sin embargo, para el
futuro previsible, puede lograr una migración práctica cuando se encuentren tantos nodos solo IPv4 como sea posible
convertido a nodos IPv6 / IPv4. Los nodos de solo IPv4 pueden comunicarse con los nodos de solo IPv6 solo cuando usted
utilizando un proxy de IPv4 a IPv6 o una puerta de enlace de traducción.
Página 94
Coexistencia de IPv4 e IPv6
En lugar de reemplazar IPv4, la mayoría de las organizaciones

agregar IPv6 a su red IPv4 existente. Comenzando
con Windows Server 2008 y Windows Vista,
Los sistemas operativos Windows son compatibles con
uso simultáneo de IPv4 e IPv6 a través de un doble
Arquitectura de capa IP. Windows Server 2003
el sistema operativo utiliza la pila dual menos eficiente
arquitectura.
Arquitectura de doble capa IP

Se implementó una arquitectura de doble capa IP en
Windows Vista y continúa a través de Windows
Server 2012 y Windows 8. Esta arquitectura
contiene capas de Internet IPv4 e IPv6 con una única implementación de protocolos de capa de transporte, como
como TCP y Protocolo de datagramas de usuario (UDP). La pila dual facilita la migración a IPv6, y hay
menos archivos para mantener para proporcionar conectividad IPv6. IPv6 también está disponible sin agregar nuevos
protocolos en la configuración de la tarjeta de red.
Arquitectura de pila dual

La arquitectura de doble pila contiene capas de Internet IPv4 e IPv6 y tiene pilas de protocolos independientes que
contienen implementaciones separadas de los protocolos de la capa de transporte, como TCP y UDP. Tcpip6.sys, el IPv6
controlador de protocolo en Windows Server 2003, contiene una implementación separada de TCP y UDP.
Requisitos de infraestructura de DNS

Así como DNS se utiliza como servicio de apoyo en una red IPv4, también se utiliza en una red IPv6. Cuando
agrega IPv6 a la red, debe asegurarse de agregar los registros que admitan IPv6 name-to-
resolución de dirección y dirección a nombre. Los registros DNS que se requieren para la coexistencia son:
• Registros de recursos de host (A) para nodos IPv4
• Registros de recursos de host IPv6 (AAAA) para nodos IPv6
• Registros de recursos de puntero de búsqueda inversa (PTR) para nodos IPv4 e IPv6
Nota: En la mayoría de los casos, los registros de recursos del host IPv6 (AAAA) que requieren los nodos IPv6 son
registrado en DNS de forma dinámica.
Cuando un nombre puede resolverse tanto en una dirección IPv4 como en una dirección IPv6, ambas direcciones se devuelven al cliente.
Luego, el cliente elige qué dirección usar en función de las políticas de prefijo. En estas políticas de prefijo, cada prefijo
tiene un nivel de precedencia asignado. Se prefiere una precedencia más alta sobre una precedencia más baja. los
La siguiente tabla enumera las políticas de prefijo típicas para Windows Server 2012.
Prefijo Precedencia Etiqueta Descripción
:: 1/128 50 0 Bucle de retorno IPv6
:: / 0 40 1 Puerta de enlace predeterminada
:: ffff: 0: 0/96 10 4 Dirección compatible con IPv4
2002 :: / 16 7 2 6to4
Página 95
Prefijo Precedencia Etiqueta Descripción
2001 :: / 32 5 5 Teredo
FC00 :: / 7 3 13 Local único
:: / 96 1 3 Dirección compatible con IPv4 (depreciada)
fec0 :: / 10 1 11 Sitio local (depreciado)
3ffe :: / 16 1 12 6Hueso (depreciado)
Nota: Puede ver las políticas de prefijos en Windows Server 2012 mediante la
Cmdlet Get-NetPrefixPolicy de PowerShell .
Demostración: Configuración de DNS para admitir IPv6
De forma similar a los nodos IPv4, los nodos IPv6 utilizan registros de host DNS dinámicos que se crean automáticamente. Tu también
puede crear registros de host manualmente para direcciones IPv6. Un registro de recursos de host IPv6 (AAAA) es un
tipo de registro y diferente de un registro de recursos de host (A) IPv4.
• Configure un registro de recursos de host IPv6 (AAAA) para una dirección IPv6.
• Verifique la resolución de nombres para un registro de recursos de host IPv6 (AAAA).
Configurar un registro de recursos de host IPv6 (AAAA)

1. En LON-DC1, en el Administrador del servidor, abra la herramienta DNS y luego navegue hasta Adatum.com forward
zona de búsqueda .
2. En el Administrador de DNS, verifique que las direcciones IPv6 se hayan registrado dinámicamente para LON-DC1 y
LON-SVR1.
3. Cree un nuevo registro de host en Adatum.com con la siguiente configuración:
o Nombre: WebApp
o Dirección IP: FD00: AAAA: BBBB: CCCC :: A
Verificar la resolución de nombres para un registro de recursos de host IPv6 (AAAA)

1. En LON-SVR1, si es necesario, abra un indicador de Windows PowerShell .
2. Utilice ping para probar la comunicación con WebApp.adatum.com .
3. Utilice el cmdlet Test-NetConnection para probar la comunicación con WebApp.adatum.com .
Página 96
¿Qué es el túnel IPv6 sobre IPv4?
En IPv6 sobre IPv4, los paquetes IPv6 son

encapsulado con un encabezado IPv4. Esto permite
los paquetes IPv6 que se enviarán a través de un solo IPv4
infraestructura. Dentro del encabezado de IPv4:
• El campo Protocolo IPv4 se establece en 41 para indicar

un paquete IPv6 encapsulado.
• Los campos de Origen y Destino están configurados para

Direcciones IPv4 de los puntos finales del túnel. usted
puede configurar los puntos finales del túnel manualmente como
parte de la interfaz del túnel, o pueden ser
derivado automáticamente.
A diferencia de la tunelización para el protocolo de tunelización punto a punto (PPTP) y el protocolo de tunelización de capa dos
(L2TP), no hay intercambio de mensajes para la configuración, el mantenimiento o la terminación del túnel. Además, IPv6
la tunelización a través de IPv4 no proporciona seguridad para los paquetes IPv6 tunelizados. Esto significa que cuando usa
Tunelización IPv6, no es necesario establecer una conexión protegida primero.
Puede configurar el túnel IPv6 sobre IPv4 manualmente o utilizar tecnologías automatizadas como ISATAP,
6to4 o Teredo.
Página 97
Lección 4
Tecnologías de transición IPv6
La transición de IPv4 a IPv6 requiere la coexistencia entre los dos protocolos. Demasiados programas,
las aplicaciones y los servicios dependen de IPv4 para que se elimine rápidamente. Sin embargo, hay varias tecnologías que
Facilitar la transición al permitir la comunicación entre hosts de solo IPv4 y solo IPv6. Tambien hay
tecnologías que permiten la comunicación IPv6 a través de redes IPv4.
Esta lección proporciona información sobre el protocolo de direccionamiento automático de túneles intra-sitio (ISATAP), 6to4,
y Teredo, que ayudan a proporcionar conectividad entre la tecnología IPv4 e IPv6. Esta lección también
direcciones PortProxy, que proporciona compatibilidad para aplicaciones.
• Describe ISATAP.
• Describe 6to4.
• Describe a Teredo.
• Describir PortProxy.
• Describir el proceso de transición de IPv4 a IPv6.
¿Qué es ISATAP?
La tecnología de asignación de direcciones ISATAP

proporciona conectividad IPv6 unicast entre
Hosts IPv6 / IPv4 a través de una intranet IPv4. IPv6
los paquetes se canalizan en paquetes IPv4 para
transmisión a través de la red. Comunicación
puede ocurrir directamente entre dos hosts ISATAP
en una red IPv4, o la comunicación puede ir
a través de un enrutador ISATAP si una red tiene
solo hosts de solo IPv6.
Los hosts ISATAP no requieren ningún manual

configuración, y puede crear direcciones ISATAP
utilizando la configuración automática de direcciones estándar
mecanismos. Aunque el componente ISATAP está habilitado de forma predeterminada, asigna direcciones basadas en ISATAP
solo si puede resolver el nombre ISATAP en su red.
Una dirección ISATAP que se basa en una dirección IPv4 privada tiene el formato del siguiente ejemplo:
[Prefijo de unidifusión de 64 bits]: 0: 5EFE: wxyz
Una dirección ISATAP que se basa en una dirección IPv4 pública tiene el formato del siguiente ejemplo:
[Prefijo de unidifusión de 64 bits]: 200: 5EFE: wxyz
Por ejemplo, FD00 :: 5EFE: 192.168.137.133 es un ejemplo de una dirección IPv4 privada y
2001: db8 :: 200: 5EFE: 131.107.137.133 es un ejemplo de una dirección IPv4 pública.
Página 98
¿Qué es un enrutador ISATAP?

Si no hay hosts solo IPv6, el enrutador ISATAP anuncia el prefijo IPv6 que los clientes ISATAP son
utilizando. La interfaz ISATAP en los equipos cliente está configurada para utilizar este prefijo. Cuando los programas utilizan
Interfaz ISATAP para entregar datos, el paquete IPV6 está encapsulado en un paquete IPv4 para entregarlo al IPv4
dirección del host ISATAP de destino.
Si hay hosts solo de IPv6, el enrutador ISATAP también descomprime los paquetes de IPv6. Los hosts ISATAP envían paquetes
a la dirección IPv4 del enrutador ISATAP. El enrutador ISATAP desempaqueta los paquetes IPv6 y los envía a
la red de solo IPv6.
Cómo habilitar la tunelización ISATAP

Puede iniciar el túnel ISATAP de muchas formas, pero la forma más sencilla es configurar un host ISATAP
registro en DNS que se resuelve en la dirección IPv4 del enrutador ISATAP. Hosts de Windows que pueden resolver esto
nombre comenzará automáticamente a utilizar el enrutador ISATAP especificado. Al utilizar este método, puede configurar
ISATAP para varios equipos simultáneamente.
También puede definir la resolución de nombres ISATAP en un archivo de hosts, pero no lo recomendamos porque es
difícil de manejar.
Nota: de forma predeterminada, los servidores DNS en Windows Server 2008 o Windows Server
Los sistemas tienen una lista de bloqueo de consultas global que evita la resolución de ISATAP, incluso si el registro de host es
creado y configurado correctamente. Debe eliminar ISATAP de la lista global de bloqueo de consultas en
DNS si está utilizando un registro de host ISATAP para configurar clientes ISATAP.
Otras formas en que puede configurar hosts con un enrutador ISATAP son:
• Utilice el cmdlet de Windows PowerShell Set-NetIsatapConfiguration -Router xxxx .
• Utilice el cmdlet IPv6 ISATAP Set Router xxxx de la interfaz netsh .
• Configure la configuración de directiva de grupo del nombre del enrutador ISATAP .
Nota: Todos los nodos ISATAP están conectados a una única subred IPv6. Esto significa que todo ISATAP
linfáticos son parte de la misma Active Directory ® sitio de Servicios de dominio (AD DS), que no puede ser
deseable.
Por lo tanto, debe usar ISATAP solo para pruebas limitadas. Para la implementación en toda la intranet,
debe implementar soporte nativo de IPv6.
¿Qué es 6to4?
La tecnología de transición 6to4 proporciona unidifusión

Conectividad IPv6 a través de Internet IPv4. Usted puede
utilice 6to4 para proporcionar conectividad IPv6 entre
dos sitios IPv6 o entre un host IPv6 y un
Sitio IPv6. Sin embargo, 6to4 no es adecuado para
escenarios que requieren NAT.
Un enrutador 6to4 proporciona un sitio con IPv6

Conectividad a través de Internet IPv4. El 6to4
el enrutador tiene una dirección IPv4 pública que está configurada
en la interfaz externa y una dirección IPv6 6to4
que está configurado en la interfaz interna. A
Página 99
configurar los equipos cliente, la interfaz interna anuncia la red 6to4. Cualquier computadora cliente que
comienza a usar la dirección de red 6to4 es un host 6to4. Los hosts 6to4 del sitio envían paquetes 6to4 al
Enrutador 6to4 para entrega a otros sitios a través de Internet IPv4.
La dirección de red IPv6 que se utiliza para 6to4 se basa en la dirección IPv4 de la interfaz externa en un
Enrutador IPv6. El formato de IPv6 es 2002: WWXX: YYZZ: Subnet_ID: Interface_ID, donde WWXX: YYZZ es el
Representación hexadecimal de dos puntos de wxyz, una dirección IPv4 pública.
Cuando un solo host en Internet IPv4 participa en 6to4, se configura como host / enrutador. Un 6to4
el host / enrutador no realiza el enrutamiento para otros hosts, pero genera su propia red IPv6 que utiliza
para 6to4.
Habilitación de la funcionalidad de enrutador 6to4 en sistemas operativos Windows

En la mayoría de los casos, utiliza componentes de infraestructura de red existentes para actuar como un enrutador 6to4. Sin embargo, tu
puede configurar Windows Server 2012 como un enrutador 6to4 de las siguientes maneras:
• Habilite Conexión compartida a Internet. Cuando habilita Conexión compartida a Internet, Windows
El servidor 2012 se configura automáticamente como un enrutador 6to4.
• Utilice Windows PowerShell. Puede usar el cmdlet Set-Net6to4Configuration para configurar 6to4.
¿Qué es Teredo?
Teredo es similar a 6to4 en que le permite

para canalizar paquetes IPv6 a través de Internet IPv4.
Sin embargo, a diferencia de 6to4, Teredo es compatible con
NAT. Teredo es útil porque muchas organizaciones
utilizar direcciones IP privadas, que necesitan utilizar NAT en
para acceder a Internet. Si un dispositivo NAT puede
configurarse como un enrutador 6to4, entonces Teredo no es
necesario.
Nota: Teredo se usa solo si es IPv6 nativo,

6to4 o ISATAP no proporcionan conectividad.
La comunicación IPv6 entre dos clientes Teredo a través de Internet IPv4 requiere un servidor Teredo que sea
alojado en Internet IPv4. El servidor Teredo facilita la comunicación entre los dos clientes Teredo
actuando como un punto central conocido para iniciar la comunicación. Normalmente, los hosts detrás de un dispositivo NAT son
se les permite iniciar la comunicación saliente, pero no se les permite aceptar la comunicación entrante. A
Para solucionar este problema, ambos clientes Teredo inician la comunicación con el servidor Teredo. Después
La conexión se inicia con el servidor Teredo, y después de que el dispositivo NAT ha permitido la salida
comunicación, cualquier otra comunicación se produce directamente entre los dos clientes de Teredo.
Nota: varios servidores públicos de Teredo están disponibles para su uso en Internet. Ventanas
Los sistemas operativos utilizan el servidor Teredo proporcionado por Microsoft en teredo.ipv6.microsoft.com por
defecto.
Teredo también puede facilitar la comunicación con hosts solo IPv6 en Internet IPv6 mediante el uso de un Teredo
relé. La retransmisión Teredo reenvía paquetes desde un cliente Teredo a Internet IPv6.
Puede configurar Windows Server 2012 como cliente Teredo, retransmisión Teredo o servidor Teredo. Para configurar
Teredo usa el cmdlet de Windows PowerShell Set-NetTeredoConfiguration . La configuración predeterminada para
Página 100
Teredo es como cliente. Cuando se configura como cliente, Teredo se desactiva cuando se conecta a una red de dominio.
Para habilitar Teredo en una red de dominio, debe configurarlo como un cliente empresarial.
Estructura de direcciones de Teredo

Una dirección Teredo es una dirección IPv6 de 128 bits, pero usa una estructura diferente a la típica unicast IPv6
direcciones. La estructura es la siguiente:
• 2001 :: / 32 (32 bits). Este es el prefijo específico de Teredo que utilizan todas las direcciones de Teredo.
• Dirección IPv4 del servidor Teredo (32 bits). Esto identifica el servidor Teredo.
• Opciones (16 bits). Hay una serie de opciones que describen la configuración de la comunicación, como
como si el cliente está detrás de NAT.
• Puerto externo oculto (16 bits). Este es el puerto externo utilizado para la comunicación por el dispositivo NAT.
para esta comunicación. Está oculto para evitar que el dispositivo NAT lo traduzca.
• Dirección IP externa oculta (32 bits). Esta es la dirección IP externa del dispositivo NAT. Está oscurecido
para evitar que el dispositivo NAT lo traduzca.
¿Qué es PortProxy?
Los desarrolladores de aplicaciones usan una red específica
interfaces de programador de aplicaciones (API) para
acceder a los recursos de la red cuando están escribiendo
aplicaciones. Las API modernas pueden utilizar IPv4 o
IPv6, y deja la responsabilidad de elegir el
Versión IP del sistema operativo. Sin embargo,
algunas aplicaciones más antiguas usan API que solo pueden usar IPv4.
Puede utilizar el servicio PortProxy para permitir

programas o aplicaciones que no admiten IPv6 para
comunicarse con hosts IPv6. Tu habilitas
PortProxy en el servidor donde el programa o
la aplicación se está ejecutando. Paquetes IPv6 entrantes para
El programa o la aplicación se traducen a IPv4 y luego se pasan al programa o la aplicación.
También puede utilizar PortProxy como proxy entre hosts solo IPv4 y solo IPv6. Para hacer esto, debes
configure DNS para resolver el nombre del host remoto como la dirección de la computadora PortProxy. por
Por ejemplo, un host solo con IPv4 resolvería el nombre de un host remoto solo con IPv6 como la dirección IPv4 del
Computadora PortProxy. Los paquetes luego se enviarían a la computadora PortProxy, que luego los enviaría a
la computadora sólo con IPv6.
PortProxy tiene las siguientes limitaciones:
• Está limitado a conexiones TCP únicamente. No se puede usar para programas o aplicaciones que usan UDP.
• No puede cambiar la información de la dirección que está incrustada en la porción de datos del paquete. Si el programa
o aplicación, como el Protocolo de transferencia de archivos (FTP), incorpora información de dirección en la parte de datos, luego
No funciona.
Puede configurar PortProxy en Windows Server 2012 mediante la interfaz netsh portproxy
mando. Sin embargo, es preferible utilizar una tecnología de tunelización en lugar de PortProxy.
Página 101
Proceso de transición a IPv6
La migración de toda la industria de IPv4 a IPv6

se espera que lleve un tiempo considerable. Esto era
tomado en consideración al diseñar IPv6
y como resultado, el plan de transición para IPv6 es un
proceso de varios pasos que permite ampliar
coexistencia.
Para lograr el objetivo de un entorno solo IPv6,

utilice las siguientes pautas generales:
• Actualice sus programas y aplicaciones para

independiente de IPv6 o IPv4. por
ejemplo, puede cambiar las aplicaciones para usar nuevas
API de Windows Sockets para que ese nombre
La resolución, la creación de sockets y otras funciones son independientes independientemente de si está utilizando
IPv4 o IPv6.
• Actualizar la infraestructura de enrutamiento para el enrutamiento IPv6 nativo. Debe actualizar los enrutadores para admitir ambos
enrutamiento IPv6 nativo y protocolos de enrutamiento IPv6.
• Actualice los dispositivos para que sean compatibles con IPv6. La mayoría del hardware de red actual es compatible con IPv6, pero
muchos otros tipos de dispositivos no lo hacen. Debe verificar que todos los dispositivos conectados a la red, como
impresoras y escáneres: también admiten IPv6.
• Actualizar la infraestructura de DNS para admitir registros de recursos de dirección y puntero (PTR) IPv6. Podrías
tiene que actualizar la infraestructura de DNS para admitir el nuevo recurso de dirección de host IPv6 (AAAA)
registros (obligatorio) y registros de recursos de puntero (PTR) en el dominio inverso IP6.ARPA, pero esto es
Opcional. Además, asegúrese de que los servidores DNS admitan tanto el tráfico DNS a través de IPv6 como el DNS
Actualización dinámica para registros de recursos de direcciones de host IPv6 (AAAA) para que los hosts IPv6 puedan registrar sus
nombres y direcciones IPv6 automáticamente.
• Actualice los hosts a los nodos IPv6 / IPv4. Debe actualizar los hosts para usar tanto IPv4 como IPv6. Esto permite
hosts para acceder a los recursos IPv4 e IPv6 durante el proceso de migración.
La mayoría de las organizaciones probablemente agregarán IPv6 a un entorno IPv4 existente y seguirán teniendo
convivencia durante un tiempo prolongado. Todavía hay muchos programas, aplicaciones y dispositivos heredados que no
soporta IPv6, y la coexistencia es mucho más simple que usar tecnologías de transición como ISATAP. usted
debe eliminar IPv4 solo después de que los recursos que dependen de él se eliminen o actualicen para usar IPv6.
IPv6 está habilitado de forma predeterminada para Windows Vista y los sistemas operativos de cliente Windows más nuevos, y Windows
Server 2008 y sistemas operativos Windows Server más recientes. Como práctica recomendada, no debe deshabilitar IPv6
a menos que exista una razón técnica para hacerlo. Algunas características de los sistemas operativos Windows se basan en IPv6.
Página 102
Laboratorio: Implementación de IPv6

Guión
El gerente de TI de A. Datum Corporation ha sido informado por varios proveedores de programas y aplicaciones
sobre el soporte recientemente agregado para IPv6 en sus productos. A. Datum Corporation no es compatible con IPv6
actualmente. Sin embargo, el gerente de TI quiere que configure un laboratorio de pruebas que use IPv6. Como parte del laboratorio de pruebas
configuración, también debe configurar ISATAP para permitir la comunicación entre una red IPv4 y
una red IPv6.
Este es el diseño del entorno de prueba completado.
FIGURA 8.1: RESULTADO FINAL DEL LABORATORIO
Objetivos
• Configurar una red IPv6.
• Configure un enrutador ISATAP.

20410D-LON-RTR
20410D ‑ LON ‑ SVR2
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar .
Espere hasta que se inicie la máquina virtual.
Página 103
o Dominio: Adatum
5. Repita los pasos 2 a 4 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Ejercicio 1: configuración de una red IPv6

Guión
Para el primer paso en la configuración del laboratorio de pruebas, debe configurar LON-DC1 como un nodo solo IPv4 y
LON-SVR2 como un nodo solo IPv6. También debe configurar LON-RTR para admitir el enrutamiento IPv6 agregando
una red a una interfaz en la red IPv6 y habilitando anuncios de enrutadores. El enrutador
Los anuncios permiten a los clientes IPv6 en la red IPv6 obtener la red IPv6 correcta.
automáticamente a través de la configuración sin estado.
1. Verifique el enrutamiento IPv4.
2. Desactive IPv6 en LON-DC1.
3. Desactive IPv4 en LON-SVR2.
4. Configure una red IPv6 en LON-RTR.
5. Verifique IPv6 en LON-SVR2.
▶ Tarea 1: Verificar el enrutamiento IPv4

1. En LON-SVR2, abra un indicador de Windows PowerShell .
2. Haga ping a LON-DC1 para verificar que IPv4 se enruta a través de LON-RTR.
3. Utilice el comando ipconfig para verificar que LON-SVR2 solo tiene una dirección IPv6 local de enlace que no se puede
enrutado.
4. Use el cmdlet Get-NetIPAddress para ver la configuración de red y la dirección IPv6 local de vínculo en
el adaptador Ethernet .
▶ Tarea 2: Desactive IPv6 en LON-DC1

1. En LON-DC1, en el Administrador del servidor, haga clic en Servidor local y luego seleccione 172.16.0.10, IPv6 habilitado para
abra el cuadro de diálogo Conexiones de red .
2. En el cuadro de diálogo Conexiones de red , abra el cuadro de diálogo Propiedades de Ethernet y luego desactive
IPv6 para adaptador Ethernet para convertir LON-DC1 en un host solo IPv4.
▶ Tarea 3: Desactive IPv4 en LON-SVR2

1. En LON-SVR2, en el Administrador del servidor, haga clic en Servidor local y luego seleccione 10.10.0.11, IPv6 habilitado para
abra el cuadro de diálogo Conexiones de red .
2. En el cuadro de diálogo Conexiones de red , abra el cuadro de diálogo Propiedades de Ethernet y luego desactive
IPv4 para Ethernet , para hacer de LON-SVR2 un host solo IPv6.
Página 104
▶ Tarea 4: Configurar una red IPv6 en LON-RTR

1. En LON-RTR, abra Windows PowerShell.
2. Configure una dirección de red que se utilizará en la red IPv6 mediante el siguiente Windows
Cmdlet PowerShell New-NetRoute para agregar una red IPv6 en Ethernet 2 a la tabla de enrutamiento local:
New-NetRoute -InterfaceAlias "Ethernet 2" -DestinationPrefix 2001: db8: 0: 1 :: / 64

-Publicar Sí
3. Permita que los clientes obtengan la dirección de red IPv6 automáticamente de LON-RTR mediante el siguiente
Cmdlet Set-NetIPInterface para habilitar anuncios de enrutador en Ethernet 2:
Set-NetIPInterface -InterfaceAlias "Ethernet 2" -AddressFamily IPv6 -Publicidad

Habilitado
4. Utilice ipconfig para verificar que Ethernet 2 tenga una dirección IPv6 en la red 2001: db8: 0: 1 :: / 64 .
Esta dirección se utiliza para la comunicación en la red solo IPv6.
▶ Tarea 5: Verificar IPv6 en LON-SVR2

• En LON-SVR2, use ipconfig para verificar que Ethernet tenga una dirección IPv6 en 2001: db8: 0: 1 :: / 64
red.
La dirección de red se obtuvo del enrutador mediante una configuración sin estado.
Resultados : Después de completar el ejercicio, habrá configurado una red solo IPv6.
Ejercicio 2: configuración de un enrutador ISATAP

Guión
Después de configurar la infraestructura para una red solo IPv4 y una red solo IPv6, debe
configurar LON-RTR como un enrutador ISATAP para admitir la comunicación entre los nodos sólo IPv4 y el
Nodos solo IPv6.
Para configurar LON-RTR como un enrutador ISATAP, debe habilitar la interfaz IPv4 como enrutador ISATAP.
Luego configura una red IPv6 en la interfaz ISATAP y habilita la publicidad de la ruta de la red
que incluye esa red. Los clientes ISATAP obtendrán la red IPv6 automáticamente del
anuncios.
Para habilitar ISATAP automáticamente en los clientes, debe crear un registro de host ISATAP en DNS. Clientes que
puede resolver este nombre automáticamente convertirse en clientes ISATAP. Para permitir que los clientes resuelvan este nombre,
debe eliminar ISATAP de la lista global de bloqueo de consultas en el servidor DNS.
1. Agregue un registro de host ISATAP a DNS.
2. Habilite el enrutador ISATAP en LON-RTR.
3. Elimine ISATAP de la Lista global de consultas bloqueadas.
4. Habilite LON-DC1 como cliente ISATAP.
5. Pruebe la conectividad.
Página 105
▶ Tarea 1: Agregar un registro de host ISATAP a DNS

1. En LON-DC1, en el Administrador del servidor, abra la herramienta DNS.
2. Agregue un registro de host ISATAP en el dominio Adatum.com que se resuelva en 172.16.0.1 . Clientes ISATAP
resuelva este nombre de host para encontrar el enrutador ISATAP.
▶ Tarea 2: Habilite el enrutador ISATAP en LON-RTR

1. En LON-RTR, configure la dirección IP del adaptador Ethernet como enrutador ISATAP. Utilizar el
siguiente cmdlet Set-NetIsatapConfiguration para habilitar ISATAP:
Set-NetIsatapConfiguration -Router 172.16.0.1
2. Utilice el siguiente cmdlet Get-NetIPAddress para identificar el índice de interfaz de la interfaz ISATAP
con 172.16.0.1 en la dirección de enlace local:
Get-NetIPAddress | Formato de tabla InterfaceAlias, InterfaceIndex, IPv6Address
Registre el índice de la interfaz aquí:
3. Utilice el cmdlet Get-NetIPInterface para verificar lo siguiente en la interfaz ISATAP:
o El reenvío está habilitado
o La publicidad está deshabilitada
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |

Lista de formato
4. La interfaz ISATAP para un enrutador ISATAP debe tener habilitado el reenvío y la publicidad habilitada.
Use el siguiente cmdlet Set-NetIPInterface para habilitar anuncios de enrutador en ISATAP
interfaz:
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Publicidad habilitada
5. Cree una nueva red IPv6 que se utilizará para la red ISATAP. Utilice lo siguiente
Cmdlet New-NetRoute para configurar una ruta de red para la interfaz ISATAP:
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix 2001: db8: 0: 2 :: / 64

-Publicar Sí
6. Use el siguiente cmdlet Get-NetIPAddress para verificar que la interfaz ISATAP tenga una dirección IPv6
en la red 2001: db8: 0: 2 :: / 64:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
▶ Tarea 3: Eliminar ISATAP de la lista global de consultas bloqueadas

1. En LON-DC1, en Windows PowerShell, ejecute el siguiente comando:
dnscmd / config / globalqueryblocklist wpad
2. Reinicie el servicio DNS.
3. Haga ping a isatap.adatum.com para verificar que se puede resolver.
El nombre debería resolverse y debería recibir cuatro respuestas de 172.16.0.1.
Página 106
▶ Tarea 4: Habilite LON-DC1 como cliente ISATAP

1. En LON-DC1, use el siguiente cmdlet Set-NetIsatapConfiguration para habilitar ISATAP:
Set-NetIsatapConfiguration -State habilitado
2. Utilice ipconfig para verificar que el adaptador de túnel para ISATAP tenga una dirección IPv6 en 2001: db8: 0: 2/64
red.
Tenga en cuenta que esta dirección incluye la dirección IPv4 de LON-DC1.
▶ Tarea 5: Probar la conectividad

1. En LON-SVR2, use el siguiente comando ping para probar la conectividad a la dirección ISATAP para
LON-DC1:
ping 2001: db8: 0: 2: 0: 5efe: 172.16.0.10
2. Utilice el Administrador del servidor para modificar las propiedades de TCP / IPv6 en Ethernet y agregue
2001: db8: 0: 2: 0: 5efe: 172.16.0.10 como servidor DNS preferido.
3. Utilice el comando ping para probar la conectividad a LON-DC1 .
Un ping de LON-DC1 a LON-SVR2 no responde porque la configuración del firewall en

LON-SVR2 bloquea las solicitudes de ping.
Resultados : Después de completar este ejercicio, habrá configurado un enrutador ISATAP en LON-RTR para permitir
comunicación entre una red solo IPv6 y una red solo IPv4.
Pregunta: ¿Configuró IPv6 de forma estática o dinámica en esta práctica de laboratorio?
Pregunta: ¿Por qué no necesita configurar LON-DC1 con la dirección IPv4 de ISATAP?
enrutador?

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial. Para hacer esto, complete lo siguiente
pasos.
4. Repita los pasos 2 y 3 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Página 107

Pregunta: ¿Cuál es la principal diferencia entre 6to4 y Teredo?
Pregunta: ¿Cómo puede proporcionar un servidor DNS a un host IPv6 de forma dinámica?
Pregunta: Su organización planea implementar IPv6 internamente. Después de algunas investigaciones,

ha identificado direcciones IPv6 locales únicas como el tipo correcto de direcciones IPv6 para usar
para redes privadas. Para utilizar direcciones IPv6 locales únicas, debe seleccionar un identificador de 40 bits
que es parte de la red. Un colega sugiere usar todos los ceros para los 40 bits. Por qué es esto
¿no es Buena idea?
Pregunta: ¿Cuántas direcciones IPv6 se deben configurar en un nodo IPv6?
Mejores prácticas
Utilice las siguientes mejores prácticas al implementar IPv6:
• No desactive IPv6 en Windows 8 o Windows Server 2012.
• Habilite la coexistencia de IPv4 e IPv6 en su organización en lugar de utilizar tecnologías de transición.
• Utilice direcciones IPv6 locales únicas en su red interna.
• Utilice Teredo para implementar la conectividad IPv6 a través de Internet IPv4.
Página 108
Página 109
9-1
Módulo 9
Implementación de almacenamiento local
Contenido:
Lección 1: Descripción general del almacenamiento 9-2
Lección 2: Administrar discos y volúmenes 9-12
Lección 3: Implementación de espacios de almacenamiento 9-23
Laboratorio: Implementación de almacenamiento local 9-29

El almacenamiento es uno de los componentes clave que debe considerar al planificar e implementar un sistema de Windows.
Servidor ® 2012 sistema operativo. La mayoría de las organizaciones requieren una gran cantidad de almacenamiento, porque los usuarios trabajan
regularmente con aplicaciones que crean nuevos archivos que requieren almacenamiento en una ubicación central. Cuando los usuarios mantienen su
archivos durante períodos de tiempo más largos, la demanda de almacenamiento aumenta. Cada vez que un usuario inicia sesión en un servidor, una auditoría
El rastro se crea en un registro de eventos. Esto también usa almacenamiento. Incluso cuando se crean, copian y mueven archivos,
Se requiere almacenamiento.
Este módulo le presenta diferentes tecnologías de almacenamiento. Discute cómo implementar el almacenamiento
soluciones en Windows Server 2012, y cómo utilizar la nueva función Espacios de almacenamiento, que le permite
combine discos en grupos que pueda configurar para la administración automática.
Objetivos
Después de completar este módulo, podrá:
• Describir varias tecnologías de almacenamiento.
• Explicar cómo administrar discos y volúmenes.
• Explicar cómo implementar espacios de almacenamiento.
Página 110
9-2 Implementación de almacenamiento local
Lección 1
Descripción general del almacenamiento
Cuando planifica una implementación de servidor, uno de los componentes clave que necesita es el almacenamiento. Existen
varios tipos de almacenamiento que puede utilizar, como almacenamiento adjunto localmente, almacenamiento remoto
se accede a través de Ethernet, o almacenamiento conectado con fibra óptica. Debe conocer las
beneficios y limitaciones.
Mientras se prepara para implementar el almacenamiento en su entorno, debe tomar algunas decisiones importantes. Esta
La lección aborda preguntas a considerar, tales como:
• ¿Es necesario que el almacenamiento sea rápido?
• ¿Es necesario que el almacenamiento esté altamente disponible?
• ¿Cuánto almacenamiento requiere realmente su implementación?
• ¿Cuánta resiliencia necesita agregar al requisito de almacenamiento inicial para garantizar que su
la inversión permanece segura en el futuro?
Después de completar esta lección, podrá:
• Describir el rendimiento y los tipos de disco.
• Describir el almacenamiento adjunto directo.
• Describir el almacenamiento conectado a la red.
• Describir una red de área de almacenamiento (SAN).
• Describir la matriz redundante de discos independientes (RAID).
• Describir los niveles de RAID.
• Describir las nuevas características del servicio de almacenamiento y archivos en Windows Server 2012 y Windows
Servidor 2012 R2.
Tipos de disco y rendimiento
Hay varios tipos de discos disponibles que

que puede utilizar para proporcionar almacenamiento al servidor y
sistemas del cliente. La velocidad de los discos se mide en
Operaciones de entrada / salida por segundo (IOPS).
Los tipos de discos más comunes son:
• Electrónica de accionamiento integrada mejorada (EIDE) .

EIDE se basa en estándares que fueron creados
en 1986. La electrónica de accionamiento integrada (IDE)
La interfaz admite tanto el avanzado
Adjunto de tecnología 2 (ATA-2) y
Paquete adjunto de tecnología avanzada
Estándares de interfaz (ATAPI). Enhanced refiere
según el estándar ATA-2 (Fast ATA). Debido a los estándares de direccionamiento de esta tecnología, hay 128
Limitación de gigabytes (GB) en el almacenamiento con EIDE. Además, la velocidad de una unidad EIDE está limitada a un
máximo de 133 megabytes (MB) por segundo. Las unidades EIDE casi nunca se utilizan en servidores en la actualidad.
Página 111
• Accesorio de tecnología avanzada en serie (SATA). Introducido en 2003, SATA es un bus de computadora
interfaz, o canal, para conectar la placa base o adaptadores de dispositivo a dispositivos de almacenamiento masivo
como unidades de disco duro y unidades ópticas. SATA fue diseñado para reemplazar a EIDE. Es capaz de utilizar el
mismos comandos de bajo nivel que EIDE, pero los dispositivos y adaptadores de host SATA se comunican a través de un
cable serial de velocidad sobre dos pares de conductores. Puede funcionar a velocidades de 1,5, 3,0 y 6,0 GB por
segundo, dependiendo de la revisión SATA (1, 2 o 3 respectivamente). Los discos SATA son generalmente de bajo costo
discos que proporcionan almacenamiento masivo. Debido a que las unidades SATA son menos costosas que otras opciones de unidades, pero
también proporcionan menos rendimiento, las organizaciones pueden optar por implementar unidades SATA cuando lo necesiten
grandes cantidades de almacenamiento pero no alto rendimiento. Los discos SATA también son menos confiables en comparación con
Discos SCSI (SAS) conectados en serie.
Una variación de la interfaz SATA es eSATA, que está diseñada para permitir el acceso de alta velocidad a
Unidades SATA conectadas externamente.
• Interfaz de sistema informático pequeño (SCSI). SCSI es un conjunto de estándares para la conexión física y
Transferencia de datos entre computadoras y dispositivos periféricos. SCSI se introdujo originalmente en 1978
y se convirtió en un estándar en 1986. Similar a EIDE, SCSI fue diseñado para funcionar sobre cables paralelos;
sin embargo, recientemente se ha ampliado el uso para que se ejecute en otros medios. El paralelo de 1986
La especificación de SCSI tenía transferencias de velocidad inicial de 5 MB por segundo. El 2003 más reciente
implementación, Ultra 640 SCSI, también conocido como Ultra 5, puede transferir datos a velocidades de 640 MB por
segundo. Los discos SCSI proporcionan un mayor rendimiento que los discos SATA, pero también son más caros.
• SAS . SAS es una implementación adicional del estándar SCSI. SAS depende de una serie de punto a punto
protocolo que reemplaza la tecnología de bus SCSI paralelo y utiliza el conjunto de comandos SCSI estándar. SAS
ofrece compatibilidad con versiones anteriores de unidades SATA de segunda generación. Las unidades SAS son confiables y están hechas
durante las 24
por minuto, horas
estos del día,
discos son los siete días
también de la semana
los discos (24/7) en losmás
duros tradicionales centros de datos. Con hasta 15.000 rotaciones
rápidos.
• Unidades de estado sólido (SSD). Los SSD son dispositivos de almacenamiento de datos que utilizan memoria de estado sólido para almacenar datos
en lugar de utilizar los discos giratorios y los cabezales de lectura / escritura móviles que se utilizan en otros discos. SSD
utilice microchips para almacenar los datos y no contengan partes móviles. Los SSD brindan acceso rápido al disco,
usan menos energía y son menos susceptibles a fallas por caídas que los discos duros tradicionales,
como las unidades SAS, pero también son mucho más caras por GB de almacenamiento. Los SSD suelen utilizar un SATA
interfaz, por lo que normalmente puede reemplazar las unidades de disco duro con SSD sin ninguna modificación.
Nota: Los discos de canal de fibra, FireWire o USB también son opciones de almacenamiento disponibles.
Definen el bus de transporte o el tipo de disco. Por ejemplo, bus serie universal (USB) -
Los discos adjuntos se utilizan principalmente con unidades SATA o SSD para almacenar datos.
¿Qué es el almacenamiento adjunto directo?
Casi todos los servidores proporcionan algo de almacenamiento integrado.

Este tipo de almacenamiento se denomina directo
almacenamiento adjunto (DAS). DAS puede incluir discos que
están ubicados físicamente dentro del servidor o se conectan
directamente con una matriz externa, o discos que
conectarse al servidor con un cable USB o un
método alternativo. Porque el almacenamiento DAS es
conectado físicamente al servidor, el almacenamiento
deja de estar disponible si el servidor sufre una
fracaso. DAS viene en varios tipos de discos, como
SATA, SAS o SSD, que afectan la velocidad y la
rendimiento del almacenamiento, y tiene tanto
ventajas y desventajas.
Página 112
9-4 Implementación del almacenamiento local
Ventajas de usar DAS

Un sistema DAS típico se compone de un dispositivo de almacenamiento de datos que incluye varias unidades de disco duro que
conéctese directamente a una computadora a través de un adaptador de bus de host (HBA). Entre el DAS y la computadora,
no hay dispositivos de red como concentradores, conmutadores o enrutadores. En cambio, el almacenamiento está conectado directamente
al servidor que lo utiliza, lo que convierte a DAS en el sistema de almacenamiento más fácil de implementar y mantener.
DAS también suele ser el almacenamiento menos costoso disponible en la actualidad y está ampliamente disponible en varias velocidades.
y tamaños para adaptarse a diversas instalaciones. Además de ser económico, DAS es muy fácil de
configurar. En la mayoría de los casos, simplemente conectaría el dispositivo, asegúrese de que el sistema operativo Windows ®
El sistema operativo lo reconoce y luego usa la función Administración de discos para configurar los discos.
Desventajas de usar DAS

El almacenamiento de datos localmente en DAS dificulta la centralización de datos porque los datos se encuentran en
múltiples servidores. Esto puede hacer que la copia de seguridad de los datos sea más compleja y, para los usuarios, más difícil de localizar.
los datos que quieren encontrar. Además, si un dispositivo que tiene DAS conectado sufre una
interrupción, el almacenamiento en esa computadora deja de estar disponible.
DAS también tiene inconvenientes en sus metodologías de acceso. Debido a la forma en que las lecturas y escrituras son manejadas por
sistema operativo del servidor, DAS puede ser más lento que otras tecnologías de almacenamiento. Otro inconveniente es que
DAS comparte la potencia de procesamiento y la memoria del servidor del servidor al que está conectado. Esto significa
que, en servidores muy ocupados, el acceso al disco puede volverse lento cuando el sistema operativo está sobrecargado.
¿Qué es el almacenamiento conectado a la red?
El almacenamiento conectado a la red (NAS) es el almacenamiento

conectado a un dispositivo de almacenamiento dedicado y luego
se accede a través de la red. NAS es diferente de
DAS en el sentido de que el almacenamiento no se adjunta directamente a
cada servidor individual, sino que es accesible
a través de la red a muchos servidores. NAS tiene dos
Soluciones distintas: un dispositivo de gama baja (solo NAS),
y un NAS de clase empresarial que se integra con
red de área de almacenamiento (SAN).
Cada dispositivo NAS tiene un

sistema que únicamente controla el acceso a la
datos en el dispositivo, lo que reduce la sobrecarga
asociado con compartir el dispositivo de almacenamiento con otros servicios del servidor. Un ejemplo de software NAS es
Windows Storage Server, una característica de Windows Server 2012.
Los dispositivos NAS generalmente brindan acceso a nivel de archivo al almacenamiento. Esto significa que los datos en el almacenamiento son
accesible solo como archivos, y debe utilizar protocolos como Common Internet Files System (CIFS), Server
Bloque de mensajes (SMB) o Sistema de archivos de red (NFS) para acceder a los archivos.
Para habilitar el almacenamiento NAS, necesita un dispositivo de almacenamiento. Con frecuencia, estos dispositivos no tienen servidor
interfaces como teclados, ratones y monitores. Para configurar el dispositivo, debe proporcionar una red
configuración y luego acceder al dispositivo a través de la red. A continuación, puede crear recursos compartidos de red en
dispositivo utilizando el nombre del NAS y el recurso compartido creado. Estos recursos compartidos son accesibles para los
usuarios de la red.
Página 113
Ventajas de usar NAS

NAS es una opción ideal para organizaciones que buscan una forma simple y rentable de lograr
acceso rápido a datos para múltiples clientes a nivel de archivo. Los usuarios de NAS se benefician del rendimiento y
ganancias de productividad porque la potencia de procesamiento del dispositivo NAS se dedica exclusivamente a la distribución
de los archivos.
NAS también encaja muy bien en el mercado como solución de precio medio. No es caro, pero se adapta a más necesidades.
que DAS de las siguientes formas:
• El almacenamiento NAS suele ser mucho más grande que el DAS.
• NAS ofrece una ubicación única para todos los archivos críticos, en lugar de dispersarlos en varios servidores o
dispositivos con DAS.
• NAS ofrece almacenamiento centralizado a un precio asequible.
• Las unidades NAS son accesibles desde cualquier sistema operativo. A menudo tienen soporte multiprotocolo y pueden
servir datos a través de CIFS y NFS simultáneamente. Por ejemplo, los hosts de Windows y Linux pueden
acceder simultáneamente a una unidad NAS.
NAS también puede considerarse una solución Plug and Play que es fácil de instalar, implementar y administrar, con o
sin personal de TI en el sitio.
Desventajas de usar NAS

NAS es más lento que las tecnologías SAN. Se accede con frecuencia al NAS a través de protocolos Ethernet. Debido a esto,
depende en gran medida de la red que admite la solución NAS. Por esta razón, NAS se usa comúnmente como un archivo
solución de intercambio / almacenamiento y no se puede (y no se debe) utilizar con programas de uso intensivo de datos como
Microsoft ® Exchange Server y Microsoft SQL Server ® .
NAS es asequible para empresas pequeñas y medianas, pero ofrece menos rendimiento y puede ser menos confiable
que una SAN. Por esta razón, la mayoría de las grandes empresas utilizan SAN en lugar de NAS.
Lectura adicional: para obtener más información sobre Windows Storage Server 2012 R2, consulte
a “Windows Server 2012 R2” en http://go.microsoft.com/fwlink/?LinkID=199647 .
¿Qué es una SAN?
El tercer tipo de almacenamiento es una SAN, que es una

red de alta velocidad que conecta la computadora
sistemas o servidores host de alto rendimiento
subsistemas de almacenamiento. Una SAN generalmente incluye
varios componentes como HBA, especiales
conmutadores para ayudar a enrutar el tráfico y el disco de almacenamiento
matrices con números de unidad lógica (LUN) para
almacenamiento.
Una SAN permite que varios servidores accedan a un grupo de

almacenamiento en el que cualquier servidor puede acceder potencialmente
cualquier unidad de almacenamiento. Debido a que una SAN usa una red,
puede utilizar una SAN para conectar muchos
dispositivos y hosts y brinde acceso a cualquier dispositivo conectado desde cualquier lugar.
Las SAN proporcionan acceso a nivel de bloque. Esto significa que, en lugar de acceder al contenido de los discos como archivos
mediante un protocolo de acceso a archivos, las SAN escriben bloques de datos directamente en los discos mediante protocolos como Fiber
Channel over Ethernet o Internet Small Computer System Interface (iSCSI).
Página 114
Hoy en día, la mayoría de las soluciones SAN ofrecen SAN y NAS juntos. Las unidades principales, los discos y las tecnologías de backend
Son identicos; el método de acceso es lo único que cambia. Las empresas suelen proporcionar almacenamiento en bloque
de la SAN a los servidores que utilizan Fibre Channel sobre Ethernet o iSCSI, mientras que los servicios NAS se realizan
disponible a través de CIFS y NFS.
Ventajas de utilizar SAN

Las tecnologías SAN leen y escriben a niveles de bloque, lo que agiliza el acceso a los datos. Por ejemplo, con la mayoría
Soluciones DAS y NAS, si escribe un archivo de 8 GB, se debe leer / escribir todo el archivo y su suma de comprobación
calculado. Con una SAN, el archivo se escribe en el disco según el tamaño del bloque para el que está configurada la SAN.
Esta velocidad se logra mediante el uso de canal de fibra y escritura a nivel de bloque, en lugar de tener que leer / escribir
un archivo completo mediante una suma de comprobación.
Las SAN también proporcionan:
• Centralización del almacenamiento en un solo grupo, que permite que los recursos de almacenamiento y los recursos del servidor
crecer de forma independiente. También permiten que el almacenamiento se asigne dinámicamente desde el grupo cuando se
necesario. El almacenamiento en un servidor determinado se puede aumentar o disminuir según sea necesario sin complejos
reconfiguración o recableado de dispositivos.
• Infraestructura común para conectar almacenamiento, que permite un único modelo de gestión común
para configuración e implementación.
• Dispositivos de almacenamiento que son compartidos inherentemente por múltiples sistemas.
• Transferencia de datos directamente de un dispositivo a otro sin la intervención del servidor.
• Alto nivel de redundancia. La mayoría de las SAN se implementan con múltiples rutas y dispositivos de red
a través de la red. Además, el dispositivo de almacenamiento contiene componentes redundantes como energía
suministros y discos duros.
Desventajas de usar SAN

El principal inconveniente de la tecnología SAN es que, debido a las complejidades de la configuración, SAN a menudo
requiere herramientas de gestión y habilidades expertas. También es considerablemente más caro que DAS o NAS. Un
SAN de nivel de entrada a menudo cuesta tanto como un servidor completamente cargado con un dispositivo DAS o NAS, y eso es
sin ningún disco o configuración SAN.
Para administrar una SAN, a menudo se utilizan herramientas de línea de comandos. Debe tener un conocimiento firme de la
tecnología subyacente, incluida la configuración de LUN, la red de canal de fibra, el tamaño del bloque y otros
factores. Además, cada proveedor de almacenamiento a menudo implementa SAN utilizando diferentes herramientas y características.
Debido a esto, las organizaciones a menudo tienen personal dedicado cuyo único trabajo es administrar la SAN.
despliegue.
Nota: Puede implementar SAN mediante una variedad de tecnologías. Los más comunes
las opciones son Fibre Channel e iSCSI.
Página 115
¿Qué es RAID?
RAID es una tecnología que puede utilizar para
configurar los sistemas de almacenamiento para proporcionar alta
fiabilidad y (potencialmente) alto rendimiento.
RAID implementa sistemas de almacenamiento combinando
varios discos en una sola unidad lógica llamada
Matriz RAID . Según la configuración, un
La matriz RAID puede soportar la falla de uno o
más de los discos duros físicos contenidos en el
matriz y / o proporcionar un rendimiento superior al
disponible usando un solo disco.
RAID proporciona redundancia, que es un importante

componente que puede utilizar al planificar y
implementar servidores de Windows Server 2012. En la mayoría de las organizaciones, es importante que los servidores estén
disponible todo el tiempo. La mayoría de los servidores proporcionan componentes altamente redundantes, como energía redundante.
suministros y adaptadores de red redundantes. El objetivo de esta redundancia es garantizar que el servidor
permanece disponible incluso cuando falla un solo componente en el servidor. Al implementar RAID, puede
proporcionan el mismo nivel de redundancia para el sistema de almacenamiento.
Cómo funciona RAID

RAID permite la tolerancia a fallos mediante el uso de discos adicionales para garantizar que el subsistema de discos pueda continuar
funcionar incluso si uno o más discos del subsistema fallan. RAID usa dos opciones para habilitar fallas
tolerancia:
• Duplicación de disco. Con la duplicación de disco, toda la información que se escribe en un disco también se escribe en
otro disco. Si uno de los discos falla, el otro todavía está disponible.
• Información de paridad. La información de paridad se utiliza en caso de falla del disco para calcular la información.
que se almacenó en un disco. Si usa esta opción, el servidor o el controlador RAID calcula la paridad
información para cada bloque de datos que se escribe en los discos, y luego almacena esta información en
otro disco o en varios discos. Si uno de los discos de la matriz RAID falla, el servidor puede utilizar la
datos que todavía están disponibles en los discos funcionales junto con la información de paridad para recrear la
datos que se almacenaron en el disco fallido.
Los subsistemas RAID también pueden proporcionar un rendimiento potencialmente mejor que los discos individuales al distribuir
lee y escribe en varios discos. Por ejemplo, al implementar la división de discos, el servidor puede leer
información de todos los discos duros del conjunto de bandas. Cuando se combina con varios controladores de disco, esto puede
proporcionan mejoras significativas en el rendimiento del disco.
Nota: aunque RAID puede proporcionar un mayor nivel de tolerancia para fallas en el disco, debe
No utilice RAID para reemplazar las copias de seguridad tradicionales. Si un servidor tiene una subida de tensión o una falla catastrófica
y todos los discos fallan, entonces deberá confiar en las copias de seguridad estándar.
RAID de hardware frente a RAID de software

Implemente RAID de hardware instalando un controlador RAID en el servidor y, a continuación, configúrelo mediante el
Herramienta de configuración del controlador RAID. Cuando usa esta implementación, la configuración RAID está oculta
desde el sistema operativo. Sin embargo, las matrices RAID están expuestas al sistema operativo como discos individuales.
La única configuración que debe realizar en el sistema operativo es crear volúmenes en el
discos.
Puede implementar RAID de software exponiendo todos los discos que están disponibles en el servidor al
sistema operativo. A continuación, configura RAID desde el sistema operativo. Windows Server 2012
Página 116
admite el uso de software RAID, y puede usar la Administración de discos para configurar varios niveles diferentes
de RAID.
Al elegir implementar RAID de hardware o software, tenga en cuenta lo siguiente:
• El hardware RAID requiere controladores de disco que sean compatibles con RAID. La mayoría de los controladores de disco enviados con
los nuevos servidores tienen esta funcionalidad.
• Para configurar RAID de hardware, debe acceder al programa de administración del controlador de disco. Normalmente,
puede acceder a esto durante el proceso de arranque del servidor o utilizando una página web que ejecuta la administración
software.
• Implementación de duplicación de disco para el disco que contiene el sistema y el volumen de arranque con software RAID
puede requerir una configuración adicional cuando falla un disco. Debido a que la configuración RAID es administrada por
el sistema operativo, debe configurar uno de los discos en el espejo como el disco de arranque. Si ese disco
falla, es posible que deba modificar la configuración de inicio del servidor para iniciar el servidor. Esta no es una
problema con el hardware RAID, porque el controlador de disco accede al disco disponible y lo expone a la
sistema operativo.
• En servidores más antiguos, puede obtener un mejor rendimiento con el software RAID cuando usa paridad, porque
El procesador del servidor puede calcular la paridad más rápidamente que el controlador de disco. Esto no es un problema
con servidores más nuevos, donde puede obtener un mejor rendimiento en el servidor porque puede descargar el
cálculos de paridad al controlador de disco.
Niveles RAID
Al implementar RAID, debe decidir

qué nivel de RAID implementar. La mesa de abajo
enumera las funciones para cada nivel RAID diferente.
Espacio
Nivel Descripción Actuación Redundancia Comentarios
utilización
Conjunto de rayas RAID 0 Alta lectura y Todo el espacio en Un solo disco Usar solo en
sin paridad o escribir los discos son resultados de falla situaciones donde
reflejando actuación disponible en la perdida de tu necesitas alto
Los datos se escriben toda la información actuación
secuencialmente a y puede tolerar
cada disco pérdida de datos
RAID 1 Conjunto reflejado Bueno Solo puede usar Puede tolerar Usado frecuentemente
sin paridad o actuación la cantidad un solo disco para el sistema y
rayado del espacio fracaso volúmenes de arranque
Los datos se escriben en es decir con hardware
ambos discos disponible en REDADA
simultaneamente el mas pequeño
disco
Página 117
Espacio
utilización
Los datos de RAID 2 se escriben en Extremadamente alto Utiliza uno o Puede tolerar Requiere que todo
bits a cada disco actuación más discos un solo disco los discos sean
con paridad escrita por la paridad fracaso sincronizado
para separar disco o No actualmente
discos usado
Los datos de RAID 3 se escriben en Muy alto Usa uno Puede tolerar Requiere que todo
bytes en cada disco actuación disco para un solo disco los discos sean
con paridad escrita paridad fracaso sincronizado
para separar disco o Raramente usado
discos
RAID 4 Los datos se escriben en Buena lectura Usa uno Puede tolerar Raramente usado
bloques a cada uno actuación, disco para un solo disco
disco con paridad mala escritura paridad fracaso
escrito a un actuación
disco dedicado
RAID 5 Striped set con Buena lectura Usa el Puede tolerar Comúnmente utilizado
paridad distribuida actuación, equivalente un solo disco para almacenamiento de datos
Los datos están escritos en mala escritura de un disco fracaso dónde
bloques a cada uno actuación por la paridad el rendimiento es
disco con paridad no crítico, pero
repartidos por todos maximizando el disco
discos el uso es
importante
RAID 6 Conjunto de rayas con Buena lectura Usa el Puede tolerar Comúnmente utilizado
distribuido dual actuación, equivalente dos discos para almacenamiento de datos
paridad mala escritura de dos discos fracasos dónde
Los datos están escritos en actuación por la paridad el rendimiento es
bloques a cada uno no crítico pero
disco con doble maximizando el disco
paridad escrita uso y
en todos los discos disponibilidad son
importante
REDADA Conjuntos de rayas en un Muy buena lectura Sólo la mitad Puede tolerar No comúnmente
0+1 conjunto de espejos y escribe el disco el fracaso de usado
Un conjunto de unidades es actuación el espacio es dos o más
rayado, y luego disponible discos tan largos
el conjunto de tiras es debido a como todos fallaron
reflejado reflejando los discos están en
lo mismo
conjunto de rayas
REDADA Conjunto reflejado en un Muy buena lectura Sólo la mitad Puede tolerar Usado frecuentemente
1+0 conjunto de rayas y escribe el disco el fracaso de en escenarios
(o 10) Varias unidades son actuación el espacio es dos o más dónde
reflejado en un disponible discos tan largos actuación
segundo conjunto de debido a como ambos discos y redundancia
conduce, y luego reflejando en un espejo haz son críticos, y
una unidad de no fallar el costo de la
cada espejo es necesario
a rayas discos adicionales
es aceptable
Página 118
Espacio
utilización
REDADA Conjunto de rayas con Buena lectura los Proporciona Este nivel es
5+0 paridad distribuida actuación, equivalente mejor culpa recomendado
(o 50) en un conjunto de rayas mejor escribe de al menos tolerancia para programas
Las unidades están rayadas actuación dos discos es que un solo que requieren alto
con RAID 5 y que RAID 5 usado para Nivel de RAID Tolerancia a fallos,
luego rayado paridad capacidad, y
sin paridad aleatorio
posicionamiento
actuación
Requiere al menos
seis unidades
Nota: Los niveles RAID más comunes son RAID 1 (también conocido como duplicación), RAID 5 (también
conocido como conjunto seccionado con paridad distribuida) y RAID 1 + 0 (también conocido como conjunto reflejado en un
conjunto de rayas).
Pregunta: ¿Debería configurar todos los discos con la misma cantidad de tolerancia a fallas?
Características de almacenamiento de Windows Server 2012 y Windows Server 2012 R2
Windows Server 2012 y Windows

Server 2012 R2 incluye algunos importantes
mejoras en el archivo y almacenamiento
Función del servidor de servicios. Las nuevas funciones incluyen:
• Espacios de almacenamiento. Storage Spaces es un almacenamiento

función de virtualización que puede utilizar para agregar
múltiples discos físicos de cualquier tipo y tamaño para
un grupo de almacenamiento y luego crear
discos virtuales disponibles del grupo de almacenamiento.
Con Storage Spaces, puede implementar y
administrar una infraestructura de almacenamiento que proporcione
un alto nivel de rendimiento y redundancia
sin implementar ninguna infraestructura de almacenamiento especial.
• Desduplicación de datos. La deduplicación de datos optimiza el almacenamiento de volumen al encontrar datos redundantes en un
volumen y luego asegurarse de que los datos se almacenen solo una vez en el volumen. Lo hace almacenando el
datos en una única ubicación, y luego proporcionar una referencia a esta única ubicación en lugar de otra
copias redundantes de los datos. Los datos se segmentan en fragmentos de 32 KB a 218 KB, por lo que la deduplicación de datos
puede optimizar no solo archivos redundantes, sino también partes de archivos que son redundantes en el volumen.
• Servidor de destino iSCSI. Windows Server 2012 incluye la función de servidor de destino iSCSI para proporcionar bloqueo
almacenamiento en otros servidores y programas. iSCSI le permite implementar una SAN de alta disponibilidad
infraestructura utilizando una infraestructura de red estándar. Windows Server 2012 R2 proporciona
mejoras en la función del servidor de destino iSCSI al admitir la creación de discos virtuales más grandes que
utilice el formato .vhdx, optimizando el almacenamiento en caché del disco y aumentando el número de sesiones por servidor.
• Mejoras en la gestión. Windows Server 2012 proporciona una única consola de administración para
Función del servidor de servicios de archivos y almacenamiento. Puede usar esta consola para administrar todos los archivos y el almacenamiento
Página 119
componentes en un servidor local o remoto. Windows Server 2012 también proporciona nuevas ventanas
Comandos de PowerShell que puede usar para administrar discos y almacenamiento.
• Carpetas de trabajo. Carpetas de trabajo permiten a los usuarios acceder a archivos de trabajo en computadoras y dispositivos que no
miembros de un Active Directory ® dominio de Servicios de dominio (AD DS). Puede sincronizar el trabajo
Carpeta de contenido de los servidores de archivos corporativos a los dispositivos, para que los usuarios puedan trabajar con los archivos fácilmente.
Los administradores pueden mantener el control sobre los datos corporativos estableciendo permisos y dispositivos
políticas de administración para administrar cómo los usuarios pueden usar Carpetas de trabajo.
• Mejoras en el sistema de archivos distribuido (DFS). Windows Server 2012 R2 proporciona varias características nuevas
para DFS, incluidos los siguientes:
o Un módulo de Windows PowerShell para administrar DFS
o Una función de clonación de la base de datos para la sincronización inicial
o Una función de recuperación de corrupción de la base de datos
o Una opción para deshabilitar la compresión diferencial remota entre archivos (RDC)
Si deshabilita RDC de archivos cruzados, aumenta el ancho de banda de red utilizado para la replicación. Sin embargo, esto
disminuye la carga del procesador en los servidores de archivos.
Nota: los espacios de almacenamiento y los grupos de almacenamiento se tratan más adelante en este módulo y las carpetas de trabajo
se tratan en el siguiente módulo. "Curso 20411C: Administración de Windows Server 2012 " y
El "Curso 20412C: Configuración de servicios avanzados de Windows Server 2012" cubre el resto del almacenamiento
mejoras.
Página 120
Lección 2
Administrar discos y volúmenes
Identificar qué tecnología de almacenamiento desea implementar es el primer paso crítico para preparar su
entorno para los requisitos de almacenamiento de datos. Sin embargo, este es solo el primer paso. Debes tomar otros pasos
para preparar su entorno para los requisitos de almacenamiento de datos.
Por ejemplo, una vez que identifique la mejor solución de almacenamiento o haya elegido una combinación de almacenamiento
soluciones, debe determinar la mejor manera de administrar ese almacenamiento y debe preguntarse
siguientes preguntas:
• ¿Qué discos va a asignar a un grupo de almacenamiento?
• ¿El tipo de sistemas de archivos será el mismo para todos los discos?
Esta lección aborda estas y otras preguntas similares, incluido por qué es importante administrar discos y qué
herramientas de gestión que necesitará.
• Explica cómo seleccionar un formato de tabla de particiones.
• Describir la diferencia entre los tipos de discos básicos y dinámicos.
• Explica cómo seleccionar un sistema de archivos.
• Describir un sistema de archivos resistente.
• Describir puntos de montaje y enlaces.
• Explica cómo crear enlaces y puntos de montaje.
• Describir el proceso de ampliación y reducción de volúmenes.
Seleccionar un formato de tabla de particiones
Un formato de tabla de particiones, o estilo de partición , se refiere a

el método que un sistema operativo como
Usos de Windows Server 2012 para organizar particiones
o volúmenes en un disco. Para el funcionamiento de Windows
sistemas, puede decidir entre arranque maestro
registro (MBR) e identificador único global
(GUID) tabla de particiones (GPT).
MBR
El formato de la tabla de particiones MBR es el estándar
esquema de particionamiento que se ha utilizado en
discos desde el inicio de las computadoras personales en
los 80. El formato de la tabla de particiones MBR tiene el
siguientes características:
• Una partición admite un máximo de cuatro particiones primarias por unidad.
• Una partición puede tener un máximo de 2 terabytes (TB) (2,19 x 10 ^ 12 bytes).
Página 121
• Si inicializa un disco de más de 2 TB con MBR, los discos solo pueden almacenar volúmenes de hasta 2 TB
y el resto del almacenamiento no se utiliza. Debe convertir el disco a GPT si desea utilizar todos sus
espacio.
Nota: Puede utilizar el formato de tabla de particiones MBR para unidades de disco que nunca superen los 2 TB en
Talla. Esto le proporciona un poco más de espacio, porque GPT requiere más espacio en disco que MBR.
GPT
El GPT se introdujo con Windows Server 2003 y Windows XP 64-bit Edition para superar el
limitaciones de MBR y para hacer frente a discos más grandes. GPT tiene las siguientes características:
• GPT es el sucesor del formato de tabla de particiones MBR.
• GPT admite un máximo de 128 particiones por unidad.
• Una partición puede tener hasta 18 exabytes (EB).
• Un disco duro puede tener hasta 8 zettabytes (ZB), con 512 kilobytes (KB) de direccionamiento de bloque lógico (LBA).
• Para arrancar desde una tabla de particiones GPT, su BIOS debe admitir GPT.
Nota: Si su disco duro tiene más de 2 TB, debe utilizar el formato de tabla de particiones GPT.
Lectura adicional: Para obtener más información, consulte “Preguntas frecuentes sobre el
Arquitectura de disco de la tabla de particionamiento GUID ”en http://go.microsoft.com/fwlink/?LinkID=266748.
Seleccionar un tipo de disco
Al seleccionar un tipo de disco para usar en Windows

Server 2012, puede elegir entre básico y
discos dinámicos.
Disco básico
El almacenamiento básico utiliza tablas de particiones normales que
utilizado por todas las versiones del sistema operativo Windows
sistema. Se inicializa un disco básico para almacenamiento básico,
y contiene particiones básicas, como primaria
particiones y particiones extendidas. Usted puede
subdividir particiones extendidas en lógicas
volúmenes.
De forma predeterminada, cuando inicializa un disco en el sistema operativo Windows, el disco se configura como un
disco. Es fácil convertir discos básicos en discos dinámicos sin pérdida de datos. Sin embargo, cuando convierte un
disco dinámico a disco básico, se pierden todos los datos del disco.
No hay ganancia de rendimiento al convertir discos básicos en discos dinámicos, y algunos programas no pueden
datos de direcciones que se almacenan en discos dinámicos. Por estas razones, la mayoría de los administradores no convierten los
discos a discos dinámicos, a menos que necesiten usar algunas de las opciones de configuración de volumen adicionales que
proporcionan discos dinámicos.
Página 122
Disco dinámico
El almacenamiento dinámico se introdujo en el sistema operativo Microsoft Windows 2000 Server. Dinámica
El almacenamiento le permite realizar la administración de discos y volúmenes sin tener que reiniciar las computadoras que
están ejecutando sistemas operativos Windows. Un disco dinámico es aquel que se inicializa para almacenamiento dinámico y
contiene volúmenes dinámicos.
Cuando configura discos dinámicos, crea volúmenes en lugar de particiones. Un volumen es una unidad de almacenamiento
que está hecho de espacio libre en uno o más discos. Puede formatear el volumen con un sistema de archivos y puede
asígnele una letra de unidad o configúrela con un punto de montaje.
La siguiente es una lista de los volúmenes dinámicos que están disponibles:
• Volúmenes simples . Un volumen simple usa espacio libre de un solo disco. Puede ser una sola región en un
disco, o constan de varias regiones concatenadas. Puede extender un volumen simple dentro del mismo
disco o extendido a discos adicionales. Si extiende un volumen simple en varios discos, se convierte en un
volumen abarcado.
• Volúmenes distribuidos. Un volumen distribuido se crea a partir del espacio libre en disco de varios discos vinculados
juntos. Puede extender un volumen distribuido a un máximo de 32 discos. No puedes reflejar un
volumen distribuido y no son tolerantes a errores. Por lo tanto, si pierde un disco, perderá el
todo el volumen abarcado.
• Volúmenes rayados. Un volumen seccionado tiene datos que se distribuyen en dos o más discos físicos. Los datos
en este tipo de volumen se asigna de forma alternativa y uniforme a cada uno de los discos físicos. Un rayado
el volumen no se puede duplicar ni extender, y no es tolerante a errores. Esto significa que la pérdida de un disco
provoca la pérdida inmediata de todos los datos. La creación de bandas también se conoce como RAID-0.
• Volúmenes reflejados. Un volumen reflejado es un volumen tolerante a fallas que tiene todos los datos duplicados en dos
discos físicos. Todos los datos de un volumen se copian en otro disco para proporcionar redundancia de datos. Si
uno de los discos falla, puede acceder a los datos del disco restante. Además, no puede
extender un volumen reflejado. La duplicación también se conoce como RAID-1 .
• Volúmenes RAID-5 . Un volumen RAID-5 es un volumen tolerante a fallas que tiene datos seccionados en un mínimo
de tres o más discos. La paridad también se divide en bandas en la matriz de discos. Si falla un disco físico, puede
recrear la parte del volumen RAID-5 que estaba en ese disco fallido, utilizando los datos restantes
y la paridad. No puede duplicar ni extender un volumen RAID-5.
Volúmenes de disco requeridos

Independientemente del tipo de disco que utilice, debe configurar un volumen del sistema y un volumen de arranque
en uno de los discos duros del servidor:
• Volúmenes del sistema . El volumen del sistema contiene los archivos específicos del hardware necesarios para cargar el
Sistema operativo Windows, como Bootmgr y BOOTSECT.bak. El volumen del sistema puede ser el
igual que el volumen de arranque, aunque no es necesario.
• Volúmenes de arranque . El volumen de arranque contiene los archivos del sistema operativo Windows que se encuentran en el
Carpetas% Systemroot% y% Systemroot% \ System32. El volumen de arranque puede ser el mismo que el
volumen del sistema, aunque no es necesario.
Nota: cuando instala el sistema operativo Windows 8 o Windows Server 2012

sistema operativo en una instalación limpia, se crea un volumen de sistema separado para permitir el cifrado
el volumen de arranque mediante el cifrado de unidad Windows BitLocker ® .
Página 123
Lectura adicional:
• Para obtener más información, consulte "Cómo funcionan los volúmenes y discos básicos" en
• Para obtener más información, consulte "Discos y volúmenes dinámicos" en

Seleccionar un sistema de archivos
Cuando configura sus discos en Windows Server

2012, puede elegir entre la tabla de asignación de archivos
(FAT), el sistema de archivos NTFS y Resilient File
Sistemas de archivos del sistema (ReFS).
GRASA
El sistema de archivos FAT es el más simplista de los
sistemas de archivos que los sistemas operativos Windows
apoyo. El sistema de archivos FAT se caracteriza por una
mesa que reside en la parte superior del volumen.
Para proteger el volumen, dos copias del archivo FAT
sistema se mantienen en caso de que uno se convierta
dañado. Además, las tablas de asignación de archivos
y el directorio raíz debe almacenarse en una ubicación fija, de modo que se puedan ubicar los archivos de inicio del sistema.
Un disco formateado con el sistema de archivos FAT se asigna en grupos, y el tamaño del volumen determina
el tamaño de los racimos. Cuando se crea un archivo, se crea una entrada en el directorio y el primer grupo
Se establece el número que contiene los datos. Esta entrada en la tabla indica que este es el último grupo de
el archivo o apunta al siguiente clúster. No hay organización en la estructura del directorio FAT y los archivos se
dada la primera ubicación abierta en la unidad.
Debido a la limitación de tamaño con la tabla de asignación de archivos, la versión original de FAT solo podía acceder
particiones que tenían menos de 2 GB de tamaño. Para habilitar discos más grandes, Microsoft desarrolló FAT32. FAT32
admite particiones de hasta 2 TB.
FAT no proporciona ninguna seguridad para los archivos de la partición. Nunca debe usar FAT o FAT32 como archivo
sistema para discos conectados a servidores Windows Server 2012. Podría considerar usar FAT o FAT32 para
formatee medios externos como medios flash USB.
El sistema de archivos diseñado especialmente para unidades flash es Extended FAT (exFAT). Puede usarlo cuando FAT32 está
no adecuado, como cuando necesita un formato de disco que funcione con un televisor, que requiere un disco que
es mayor de 2 TB. Varios dispositivos de medios admiten exFAT, como televisores de pantalla plana modernos,
centros y reproductores multimedia portátiles.
NTFS
NTFS es el sistema de archivos estándar para todos los sistemas operativos Windows a partir de Windows NT ® Servidor
3.1. A diferencia de FAT, no hay objetos especiales en el disco y no hay dependencia del subyacente
hardware, como sectores de 512 bytes. Además, en NTFS no hay ubicaciones especiales en el disco, como
las mesas.
NTFS es una mejora con respecto a FAT en varios aspectos, como un mejor soporte para metadatos y el uso de
estructuras de datos avanzadas para mejorar el rendimiento, la confiabilidad y la utilización del espacio en disco. NTFS también tiene
extensiones adicionales como listas de control de acceso de seguridad (ACL), que puede usar para auditar,
registro en diario del sistema y cifrado.
Página 124
NTFS es necesario para una serie de funciones y funciones de Windows Server 2012, como AD DS, Volume Shadow
Servicio de copia (VSS), Sistema de archivos distribuido (DFS) y Servicio de replicación de archivos (FRS). NTFS también proporciona un
nivel de seguridad significativamente más alto que FAT o FAT 32.
Sistema de archivos resistente (ReFS)

Windows Server 2012 introdujo ReFS para mejorar las capacidades de NTFS. ReFS mejora NTFS por
ofreciendo tamaños máximos más grandes para archivos individuales, directorios, volúmenes de disco y otros elementos. Adicionalmente,
ReFS ofrece una mayor resistencia, lo que significa una mejor verificación de datos, corrección de errores y escalabilidad.
Debe usar ReFS con Windows Server 2012 para volúmenes y recursos compartidos de archivos muy grandes, para superar la
Limitación NTFS de verificación y corrección de errores. Sin embargo, no puede usar ReFS para el volumen de inicio.
Lectura adicional:
• Para obtener más información, consulte “Cómo funciona FAT” en http://go.microsoft.com/fwlink/?LinkID=199652 .
• Para obtener más información, consulte “Cómo funciona NTFS” en http://go.microsoft.com/fwlink/?LinkID=199654 .
Pregunta: ¿Qué sistema de archivos utiliza actualmente en su servidor de archivos? ¿Continuarás usándolo?
¿Qué es ReFS?
ReFS es una nueva característica de Windows Server 2012 que

se basa en el sistema de archivos NTFS. Proporciona el
siguientes ventajas:
• Integridad de metadatos con sumas de verificación.
• Protección ampliada contra la corrupción de datos.
• Maximiza la confiabilidad, especialmente durante una pérdida

de poder (mientras que se sabe que NTFS
experimentar corrupción en similares
circunstancias).
• Grandes volúmenes, archivos y directorios.
• Agrupación de almacenamiento y virtualización, que

facilita la creación y gestión de sistemas de archivos.
• Redundancia por tolerancia a fallos.
• Limpieza de disco para protección contra errores de disco latentes.
• Resistencia a la corrupción con recuperación para la máxima disponibilidad de volumen.
• Grupos de almacenamiento compartido en todas las máquinas para una tolerancia adicional a fallas y equilibrio de carga.
ReFS hereda algunas características de NTFS, incluidas las siguientes:
• Cifrado de unidad BitLocker.
• ACL para seguridad.
• Actualizar el diario del número de secuencia (USN).
• Cambiar notificaciones.
• Enlaces simbólicos, puntos de unión, puntos de montaje y puntos de análisis.
• Instantáneas de volumen.
• ID de archivo.
Página 125
ReFS utiliza un subconjunto de características NTFS, por lo que mantiene la compatibilidad con versiones anteriores de NTFS. Por lo tanto,
Los programas que se ejecutan en Windows Server 2012 pueden acceder a archivos en ReFS, tal como lo harían en NTFS.
Sin embargo, una unidad con formato ReFS no se reconoce cuando se coloca en computadoras que ejecutan Windows
Sistemas operativos de servidor que se lanzaron antes de Windows Server 2012. Puede usar unidades ReFS
con Windows 8.1, pero no con Windows 8.
NTFS le permite cambiar el tamaño de un clúster. Sin embargo, con ReFS, cada clúster tiene un tamaño fijo de
64 KB, que no puede cambiar. ReFS no admite el sistema de archivos cifrados (EFS) para archivos.
Como su nombre lo indica, el nuevo sistema de archivos ofrece una mayor resistencia, lo que significa una mejor verificación de datos, errores
corrección y escalabilidad.
Más allá de su mayor capacidad de recuperación, ReFS también supera a NTFS al ofrecer tamaños máximos más grandes para
archivos, directorios, volúmenes de disco y otros elementos, que se enumeran en la siguiente tabla.
Atributo Límite
Tamaño máximo de un solo archivo Aproximadamente 16 EB

(18.446.744.073.709.551.616 bytes)
Tamaño máximo de un solo volumen 2 ^ 78 bytes con un tamaño de clúster de 16 KB

(2 ^ 64 * 16 * 2 ^ 10)
El direccionamiento de la pila de Windows permite 2 ^ 64 bytes
Número máximo de archivos en un directorio 2 ^ 64
Número máximo de directorios en un volumen 2 ^ 64
Longitud máxima del nombre de archivo 32.000 caracteres Unicode
Longitud máxima del camino 32 000
Tamaño máximo de cualquier grupo de almacenamiento 4 petabytes (PB)
Número máximo de agrupaciones de almacenamiento en un sistema Sin límite
Número máximo de espacios en una agrupación de almacenamiento Sin límite
Lectura adicional: para obtener más información sobre ReFS, consulte “Creación del siguiente
Generación del sistema de archivos para Windows: ReFS ”en http://go.microsoft.com/fwlink/?linkID=270872.
Página 126
¿Qué son los puntos de montaje y los enlaces?
Los sistemas de archivos NTFS y ReFS le permiten crear

puntos de montaje y enlaces para hacer referencia a archivos, directorios,
y volúmenes.
Puntos de montaje
Los sistemas operativos Windows usan puntos de montaje para
hacer que una parte de un disco o todo el disco sea utilizable
por el sistema operativo. Más comúnmente, monte
los puntos están asociados con asignaciones de letras de unidad,
para que el sistema operativo pueda acceder al disco
a través de la letra de la unidad.
Desde la introducción de Windows 2000 Server,

ha podido habilitar puntos de montaje de volumen, que luego puede usar para montar un disco duro en un
carpeta vacía en otra unidad. Por ejemplo, si agrega un nuevo disco duro a un servidor, en lugar de montar
la unidad utilizando una letra de unidad, puede asignar un nombre de carpeta como C: \ datadrive a la unidad. Cuando usted
Haga esto, cada vez que acceda a la carpeta C: \ datadrive, en realidad estará accediendo al nuevo disco duro.
Los puntos de montaje de volumen pueden resultar útiles en los siguientes escenarios:
• Si se está quedando sin espacio en disco en un servidor y desea agregar espacio en disco sin modificar
la estructura de carpetas. Puede agregar el disco duro y configurar una carpeta para que apunte al disco duro.
• Si se está quedando sin letras disponibles para asignar a particiones o volúmenes. Si tienes varios duros
discos que están conectados al servidor, puede quedarse sin letras disponibles en el alfabeto al que
puede asignar letras de unidad. Al usar un punto de montaje de volumen, puede agregar particiones o volúmenes adicionales
sin utilizar más letras de unidad.
• Si necesita separar la entrada / salida del disco (E / S) dentro de una estructura de carpetas. Por ejemplo, si está utilizando
un programa que requiere una estructura de archivo específica, pero que utiliza los discos duros de manera extensiva, puede
separe la E / S del disco creando un punto de montaje de volumen dentro de la estructura de carpetas.
Nota: Puede asignar puntos de montaje de volumen solo a carpetas vacías en una partición NTFS.
Esto significa que si desea utilizar un nombre de carpeta existente, primero debe cambiar el nombre de la carpeta,
cree y monte el disco duro usando el nombre de carpeta requerido, y luego copie los datos al
Carpeta montada.
Enlaces
Un enlace es un tipo especial de archivo que contiene una referencia a otro archivo o directorio en forma de
ruta absoluta o relativa. Windows admite los siguientes dos tipos de vínculos:
• Un enlace de archivo simbólico o un enlace suave
• Un enlace de directorio simbólico o unión de directorio
Un enlace que se almacena en un recurso compartido de servidor podría hacer referencia a un directorio en un cliente que no es
accesible desde el servidor donde se almacena el enlace. El procesamiento del enlace se produce en el cliente, por lo que el enlace
funcionaría correctamente para acceder al cliente, aunque el servidor no pueda acceder al cliente.
Los enlaces funcionan de forma transparente. Los programas que leen o escriben en archivos nombrados por un enlace se comportan como si
están operando directamente en el archivo de destino. Por ejemplo, puede utilizar un enlace simbólico para enlazar a un Hyper-V ®
archivo de disco duro virtual principal (.vhd) desde otra ubicación. Hyper-V usa el enlace para trabajar con el padre
disco duro virtual porque sería el archivo original. La ventaja de utilizar enlaces simbólicos es que no
necesita modificar las propiedades de su disco duro virtual de diferenciación.
Página 127
Los enlaces a veces son más fáciles de administrar que los puntos de montaje. Los puntos de montaje le obligan a colocar los archivos en el
raíz de los volúmenes, mientras que con los enlaces, puede ser más flexible con respecto a dónde guarda los archivos.
Puede crear vínculos mediante la herramienta de línea de comandos mklink.exe .
Demostración: Creación de enlaces y puntos de montaje
• Cree un punto de montaje.
• Cree una unión de directorio para una carpeta.
• Cree un vínculo físico para un archivo.
Crea un punto de montaje

1. Inicie sesión en LON-SVR1 con el nombre de usuario Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. Abra Administración de equipos y luego expanda Administración de discos .
3. En Administración de discos, inicialice Disk2 con GPT (Tabla de particiones GUID) .
4. En el Disco 2, cree un Volumen simple con los siguientes parámetros:
o Tamaño: 4000 MB
o No asigne una letra de unidad o ruta de unidad
o Sistema de archivos: NTFS
o Etiqueta de volumen: MountPoint
5. Espere hasta que se cree el volumen, haga clic con el botón derecho en MountPoint y luego haga clic en Cambiar letra de unidad y
Caminos .
6. Cambie la letra de la unidad de la siguiente manera:
o Monte en la siguiente carpeta NTFS vacía
o Cree una nueva carpeta C: \ MountPointFolder y utilícela como punto de montaje.
7. En la barra de tareas, abra una ventana del Explorador de archivos y luego haga clic en Disco local (C :) . Ahora deberías ver el
Carpeta MountPoint con un tamaño de 4.095.996 KB asignado. Observe el icono que se asigna al
punto de montaje.
Crear una unión de directorio para una carpeta

1. Abra una ventana de símbolo del sistema.
2. Cree una carpeta en C: \ llamada CustomApp y ejecute lo siguiente: copie C: \ windows \ system32
\ notepad.exe C: \ CustomApp .
3. En el símbolo del sistema, escriba mklink / j AppLink CustomApp y luego presione Entrar.
4. En una ventana del Explorador de archivos, busque C: \ AppLink . Tenga en cuenta que debido a que es un enlace, la ruta del directorio en
la barra de direcciones no se actualiza a C: \ CustomApp.
Página 128
Crear un vínculo físico para un archivo

1. En el símbolo del sistema, escriba mklink / h C: \ AppLink \ Notepad2.exe C: \ AppLink \ Notepad.exe .
2. En el Explorador de archivos, observe que Notepad2.exe aparece exactamente igual que Notepad.exe. Ambos nombres de archivo
apunte al mismo archivo.
Ampliación y reducción de volúmenes
En versiones de Windows anteriores a Windows Server

2008 o Windows Vista ® , necesita más
software para reducir o ampliar un volumen en su
disco. Desde Windows Server 2008 y Windows
Vista, esta funcionalidad está incluida en Windows
sistema operativo para que pueda utilizar el disco
Complemento de administración para cambiar el tamaño de los volúmenes NTFS.
Cuando desee cambiar el tamaño de un volumen, debe

consciente de lo siguiente:
• Solo tienes la capacidad de encoger o extender

Volúmenes NTFS. Volúmenes FAT, FAT32 o exFAT
no se puede cambiar de tamaño.
• Solo puede ampliar los volúmenes de ReFS, no reducirlos.
• Puede ampliar un volumen utilizando espacio libre en el mismo disco y en otros discos. Cuando extiendes un
volumen con otros discos, crea un disco dinámico con un volumen distribuido. En un volumen extendido, si
falla un disco, se pierden todos los datos del volumen. Además, un volumen distribuido no puede contener boot o
particiones del sistema, por lo que no puede extender sus particiones de arranque utilizando otro disco.
• Cuando desee reducir una partición, los archivos inamovibles, como los archivos de página, no se reubican. Esto significa
que no puede recuperar espacio más allá de la ubicación donde se encuentran estos archivos en el volumen. Si usted tiene
El requisito de reducir aún más una partición, es necesario eliminar o mover los archivos inamovibles. por
Por ejemplo, puede eliminar el archivo de página, reducir el volumen y luego volver a agregar el archivo de página.
• Si existen clústeres defectuosos en la partición, no puede reducirlos.
Nota: como práctica recomendada para reducir volúmenes, debe desfragmentar los archivos en el
volumen antes de encogerlo. Este procedimiento devuelve la cantidad máxima de espacio libre en disco.
Durante el proceso de desfragmentación, puede identificar cualquier archivo inamovible.
Para modificar un volumen, puede usar Administración de discos, la herramienta Diskpart.exe o Resize-Partition
cmdlet en Windows PowerShell ® .
Lectura adicional:
• Para obtener más información, consulte "Ampliar un volumen básico" en

• Para obtener más información, consulte "Reducir un volumen básico" en

Página 129
Administrar discos duros virtuales
A partir de Windows 7 y Windows 2008 R2,

puede administrar discos duros virtuales dentro del
sistema operativo de la misma manera que usted
puede administrar discos físicos. Por ejemplo, puedes
crear y conectar un disco duro virtual y utilizarlo para
almacenamiento de datos. El disco duro virtual aparece como
otra letra de unidad en el disco o carpeta
herramientas administrativas.
Los discos duros virtuales son archivos que representan un

unidad de disco duro tradicional. Normalmente, usa
discos duros virtuales con Hyper-V como sistema operativo
disco del sistema y los discos de almacenamiento para virtual
máquinas. En Windows 7 y Windows Server 2008 R2, puede acceder a los mismos discos duros virtuales desde
dentro del sistema operativo. Los discos duros virtuales tienen las siguientes características:
• En Windows 7 y Windows Server 2008 R2, solo puede trabajar con archivos .vhd.
• En Windows 8 o Windows Server 2012 o posterior, también puede crear y administrar archivos .vhdx, que
permiten tamaños de disco mucho más grandes y ofrecen otros beneficios.
Nota: Para obtener detalles sobre las diferencias entre los archivos .vhd y .vhdx, consulte el “Módulo 13:
Implementación de la virtualización de servidores con Hyper-V ”, que cubre el uso de discos duros virtuales en
Hyper-V.
• Puede crear y conectar discos duros virtuales mediante el uso de herramientas de administración de discos, como Disk
Management y Diskpart.exe . Después de crear y adjuntar el disco duro virtual, puede crear
volúmenes en la unidad y formatee la partición. Además, en Windows 8 o versiones más recientes, y
Windows Server 2012 o versiones más recientes, puede montar discos duros virtuales en el Explorador de archivos.
• Puede configurar Windows 7 o Windows Server 2008 R2 o versiones posteriores para comenzar desde un disco duro virtual.
discos que utilizan la función de arranque del disco duro virtual nativo. Esta función le permite configurar múltiples
sistemas operativos en una sola computadora y elija qué sistema operativo usar cuando comience
el ordenador.
• Puede adjuntar discos duros virtuales que cree mediante Hyper-V o que cree en otro
computadora. Por ejemplo, si crea un disco duro virtual en Hyper-V, puede copiar ese disco duro virtual
disco a otra computadora, y luego use la función de arranque del disco duro virtual nativo para iniciar la computadora
utilizando el disco virtual que creó en Hyper-V.
• Puede utilizar discos duros virtuales como tecnología de implementación. Por ejemplo, puede utilizar Hyper-V para
crear una imagen estándar para computadoras de escritorio o servidor y luego distribuir la imagen a otros
ordenadores.
Página 130
Demostración: Gestión de discos duros virtuales
• Cree un disco duro virtual.
• Administrar un disco duro virtual.
Crea un disco duro virtual

1. En el Administrador del servidor, abra Administración de discos .
2. Cree un nuevo archivo .vhdx llamado DiskF.vhdx en la carpeta Documentos . Asigne un tamaño de 10 MB y
configurar el archivo como expandible dinámicamente .
3. Verifique que el archivo .vhdx se haya creado en la carpeta de documentos.
Administrar un disco duro virtual

1. En Administración de discos, inicialice el disco.
2. Cree y formatee un nuevo volumen utilizando todo el espacio en el disco y luego póngale una etiqueta de volumen.
de datos .
3. Verifique que el nuevo disco aparezca en el Administrador de archivos.
Página 131
Lección 3
Implementar espacios de almacenamiento

La administración de discos físicos que están conectados directamente a un servidor ha demostrado ser una tarea tediosa para
administradores. Para superar este problema, muchas organizaciones utilizan SAN que esencialmente agrupan
discos juntos.
Las SAN requieren una configuración especializada y, a veces, hardware especializado, lo que las convierte en
costoso. Para superar estos problemas, puede utilizar la función Espacios de almacenamiento en Windows Server 2012. Se
agrupa los discos y los presenta al sistema operativo como un solo disco. Esta lección explica cómo
para configurar e implementar la función Espacios de almacenamiento.
• Describir la función de espacios de almacenamiento.
• Describir varias opciones para configurar discos virtuales.
• Describir opciones de administración avanzadas para espacios de almacenamiento.
• Describir cómo configurar espacios de almacenamiento.
• Compare los espacios de almacenamiento con otros métodos de almacenamiento.
¿Qué es la función de espacios de almacenamiento?
Storage Spaces es una virtualización de almacenamiento

capacidad que está integrada en Windows Server
2012 y Windows 8 y sistemas más nuevos. Es un
función que está disponible para NTFS y ReFS
volúmenes, proporcionando redundancia y agrupados
almacenamiento para numerosos discos internos y externos
de diferentes tamaños e interfaces. Puedes usar
Espacios de almacenamiento para agregar discos físicos de cualquier tipo
y tamaño a un grupo de almacenamiento, y luego crear
discos virtuales disponibles del grupo de almacenamiento. los
La principal ventaja de los espacios de almacenamiento es que
no administra discos individuales, pero puede administrar
varios discos como una sola unidad.
Para crear un disco virtual de alta disponibilidad, necesita lo siguiente:
• Disco físico. Los discos físicos son discos como discos SATA o SAS. Si desea agregar discos físicos a un
grupo de almacenamiento, los discos deben cumplir los siguientes requisitos:
o Se requiere un disco físico para crear un grupo de almacenamiento; un mínimo de dos discos físicos es
necesario para crear un disco virtual espejo resistente.
o Se requiere un mínimo de tres discos físicos para crear un disco virtual con resistencia a través de
paridad.
o La duplicación de tres vías requiere al menos cinco discos físicos.
o Los discos deben estar en blanco y sin formato; no debe existir ningún volumen en ellos.
Página 132
o Los discos se pueden conectar mediante una variedad de interfaces de bus, incluidas SAS, SATA, SCSI y USB. Si tu
Si desea utilizar agrupación en clústeres de conmutación por error con grupos de almacenamiento, no puede utilizar discos SATA, USB o SCSI.
• Piscina de almacenamiento. Un grupo de almacenamiento es una colección de uno o más discos físicos que puede usar para crear
discos virtuales. Puede agregar a un grupo de almacenamiento cualquier disco físico disponible que no esté formateado o
adjunto a otra piscina de almacenamiento.
• Disco virtual (o espacio de almacenamiento). Esto es similar a un disco físico desde la perspectiva de los usuarios y
programas. Sin embargo, los discos virtuales son más flexibles porque incluyen aprovisionamiento ligero o solo en
asignaciones de tiempo (JIT), e incluyen resistencia a fallas de disco físico con funcionalidad incorporada
como el reflejo.
• Unidad de disco . Este es un volumen al que puede acceder desde su sistema operativo Windows, por ejemplo, mediante
utilizando una letra de unidad.
Nuevas funciones de los espacios de almacenamiento de Windows Server2012 R2

Los espacios de almacenamiento se introdujeron por primera vez en Windows 2012. Windows Server 2012 R2 proporciona lo siguiente
mejoras en los espacios de almacenamiento:
• Espacios de almacenamiento escalonados. Los espacios de almacenamiento por niveles le permiten utilizar una combinación de discos en un
Espacio: discos duros muy rápidos pero de pequeña capacidad (como SSD) junto con discos duros más lentos pero de gran capacidad
discos. Cuando usa esta combinación de discos, Storages Spaces se mueve automáticamente con frecuencia:
accedió a los datos a los discos duros más rápidos y mueve los datos a los que se accede con menos frecuencia a los discos más lentos. Por
por defecto, el almacenamiento de datos Espacios mueve una vez día a las 01:00 A . M . También puede configurar dónde estarán los archivos
almacenado. La ventaja de esto es que si tiene archivos a los que se accede con frecuencia, puede anclarlos al
disco más rápido. El objetivo de utilizar el almacenamiento por niveles es equilibrar la capacidad con el rendimiento. Ventanas
Server 2012 R2 solo admite dos niveles de niveles de disco.
• Almacenamiento en caché de escritura diferida. El propósito del almacenamiento en caché de escritura diferida es optimizar el proceso de escritura de datos en
los discos en un espacio de almacenamiento. El almacenamiento en caché de escritura diferida normalmente funciona con espacios de almacenamiento en niveles. Si el
servidor que ejecuta Storage Space detecta un pico en la actividad de escritura en disco, automáticamente comienza a escribir
datos a los discos más rápidos. El almacenamiento en caché de escritura no simultánea está habilitado de forma predeterminada. El almacenamiento en caché de escritura diferida está limitado a
1 GB por defecto.
Opciones de configuración de disco virtual
Puede crear discos virtuales a partir de grupos de almacenamiento.

Si su grupo de almacenamiento contiene más de un disco,
también puede crear discos virtuales redundantes. A
configurar discos virtuales o espacios de almacenamiento en el servidor
Manager o Windows PowerShell, necesita
considere las siguientes características y sus
funcionalidades de redundancia.
Disposición de almacenamiento
Configure esta función para definir el número de
discos del grupo de almacenamiento asignados.
Las opciones válidas incluyen:
• Sencillo. Un espacio simple tiene bandas de datos pero no redundancia. En la distribución de datos, datos lógicamente secuenciales
está segmentado en todos los discos de forma que se pueda acceder a estos segmentos secuenciales para
diferentes unidades de almacenamiento físico. La creación de bandas permite acceder a múltiples segmentos de datos
al mismo tiempo. No aloje datos importantes en un volumen simple, porque no proporciona conmutación por error
capacidades cuando falla el disco que almacena los datos.
Página 133
• Espejos de dos y tres direcciones . Los espacios espejo mantienen dos o tres copias de los datos que
host (dos copias de datos para espejos de dos vías y tres copias de datos para espejos de tres vías). Datos
la duplicación ocurre con cada escritura para garantizar que todas las copias de datos estén siempre actualizadas. Espacios espejo
también distribuye los datos en varias unidades físicas. Los espacios espejo brindan el beneficio de una mayor cantidad de datos
rendimiento y latencia de acceso más baja. Tampoco presentan el riesgo de corromper los datos en reposo, y
no requiere la etapa de registro en diario adicional al escribir datos.
• Paridad. Un espacio de paridad es similar a RAID 5. Los datos, junto con la información de paridad, están divididos
múltiples unidades físicas. La paridad permite que los espacios de almacenamiento continúen atendiendo solicitudes de lectura y escritura
incluso cuando falla una unidad. La paridad siempre se rota entre los discos disponibles para permitir la optimización de E / S.
Los espacios de almacenamiento requieren un mínimo de tres unidades físicas para los espacios de paridad. Los espacios de paridad tienen
aumento de la resiliencia a través del diario.
Nota: Una opción para implementar grupos de almacenamiento es utilizar un receptáculo de discos que esté directamente
adjunto al servidor. Al utilizar espacios de almacenamiento, puede utilizar todos los discos del gabinete y
configurar una variedad de diseños de almacenamiento en función de los niveles de rendimiento y redundancia
que requiere un volumen particular.
Tamaño del sector de disco

El tamaño del sector de una agrupación de almacenamiento se establece cuando se crea. Si la lista de unidades que se utilizan contiene solo 512
y / o unidades 512e, entonces el grupo está predeterminado en 512e. Un disco de 512 utiliza sectores de 512 bytes. Una unidad 512e es una
Disco duro con 4.096 sectores de bytes que emula sectores de 512 bytes. Si la lista contiene al menos una unidad de 4 KB,
entonces, el tamaño del sector de la agrupación se establece de forma predeterminada en 4 KB. Opcionalmente, un administrador puede definir explícitamente el sector
tamaño que heredan todos los espacios contenidos en el grupo. Una vez que un administrador define esto, Windows
El sistema operativo solo le permite agregar unidades que tienen un tamaño de sector compatible, es decir: 512 o 512e para
un grupo de almacenamiento 512e y 512, 512e o 4 KB para un grupo de 4 KB.
Asignación de unidades
Esto define cómo se asigna la unidad al grupo. Las opciones son:
• Automático. Esta es la asignación predeterminada cuando se agrega cualquier unidad a un grupo. Los espacios de almacenamiento pueden
seleccionar automáticamente la capacidad disponible en las unidades de almacenamiento de datos para la creación de espacio de almacenamiento y JIT
asignación.
• Manual. Los administradores pueden optar por especificar Manual como el tipo de uso para las unidades que se agregan a un
piscina. Una unidad manual no se utiliza automáticamente como parte de un espacio de almacenamiento a menos que sea específicamente
seleccionado en la creación de ese espacio de almacenamiento. Esta propiedad de uso hace posible que los administradores
para especificar tipos particulares de unidades para que las utilicen solo determinados espacios de almacenamiento.
• Repuesto de emergencia. Las unidades agregadas como Hot Spares a un grupo son unidades de reserva que no se utilizan en la creación de
un espacio de almacenamiento. Si ocurre una falla en una unidad que aloja columnas de un espacio de almacenamiento, una reserva
se solicita la unidad para reemplazar la unidad defectuosa.
Esquemas de aprovisionamiento
Puede aprovisionar un disco virtual mediante dos esquemas diferentes:
• Espacio de aprovisionamiento reducido. El aprovisionamiento ligero es un mecanismo que le permite asignar almacenamiento tal como está
necesario. La capacidad de almacenamiento en el grupo se organiza en losas de aprovisionamiento que no se asignan hasta
el momento en el que los conjuntos de datos crecen para requerir el almacenamiento. A diferencia del tradicional fijo
método de asignación de almacenamiento, en el que puede asignar grandes grupos de capacidad de almacenamiento que quedan
El aprovisionamiento fino no utilizado optimiza la utilización del almacenamiento disponible. Las organizaciones también pueden
Ahorre en costos operativos, como electricidad y espacio en el piso, que están asociados con mantenerlos sin usar.
accionamientos en funcionamiento. La desventaja de utilizar el aprovisionamiento ligero es un menor rendimiento del disco.
Página 134
• Espacio de aprovisionamiento fijo. Con Storage Spaces, los espacios fijos aprovisionados también emplean el flexible
aprovisionamiento de losas. La diferencia entre el aprovisionamiento ligero y un espacio de aprovisionamiento fijo es que el
La capacidad de almacenamiento en el espacio de aprovisionamiento fijo se asigna al mismo tiempo que el espacio se
creado.
Requisito de disco de clúster

La agrupación en clústeres de conmutación por error evita la interrupción de las cargas de trabajo o los datos en caso de una falla de la máquina. Para una piscina
Para admitir la conmutación por error, la agrupación en clústeres de todas las unidades asignadas debe admitir un protocolo de iniciador múltiple, como SAS.
Nota: Puede utilizar espacios de almacenamiento para crear discos virtuales de aprovisionamiento fijos y delgados
dentro de la misma piscina de almacenamiento. Tener ambos tipos aprovisionados en el mismo grupo de almacenamiento es
convenientes, particularmente cuando están relacionados con la misma carga de trabajo. Por ejemplo, puedes
elegir tener un espacio de aprovisionamiento delgado para alojar una base de datos y un espacio de aprovisionamiento fijo para
alojar su registro.
Pregunta: ¿Cuál es el nombre de un disco virtual que es más grande que la cantidad de espacio en disco?
disponible en la parte de discos físicos del grupo de almacenamiento?
Opciones de administración avanzadas para espacios de almacenamiento
Server Manager le proporciona información básica

gestión de discos virtuales y pools de almacenamiento.
En el Administrador del servidor, puede crear grupos de almacenamiento,
agregar y eliminar discos físicos de las agrupaciones, y
crear, administrar y eliminar discos virtuales. por
ejemplo, en el Administrador del servidor puede ver el
discos físicos que están conectados a un disco virtual.
Si alguno de estos discos no funciona correctamente, verá
un icono de disco en mal estado junto al nombre del disco.
Para corregir un disco fallido en un disco o almacenamiento virtual

grupo, debe quitar el disco que está causando el
problema. Herramientas como desfragmentar, escanear disco,
o chkdsk no puede reparar un grupo de almacenamiento. Para reemplazar un disco fallido, agregue un nuevo disco al grupo. El nuevo
el disco se resincroniza automáticamente cuando se realiza el mantenimiento del disco durante el mantenimiento diario. Alternativamente,
puede activar el mantenimiento del disco manualmente.
Windows PowerShell proporciona opciones de administración avanzadas para discos virtuales y grupos de almacenamiento. Algunos
En la siguiente tabla se enumeran ejemplos de cmdlets de administración.
Cmdlet de Windows PowerShell Descripción
Get-StoragePool Muestra las agrupaciones de almacenamiento.
Get-VirtualDisk Enumera los discos virtuales.
Reparación-VirtualDisk Repara un disco virtual.
Get-PhysicalDisk | Donde {$ _. HealthStatus -ne Enumera los discos físicos en mal estado.
"Saludable"}
Reset-PhysicalDisk Elimina un disco físico de un grupo de almacenamiento.
Página 135
Cmdlet de Windows PowerShell Descripción
Get-VirtualDisk | Get-PhysicalDisk Enumera los discos físicos que se utilizan para un virtual
disco.
Lectura adicional: para obtener más información, consulte "Cmdlets de almacenamiento en Windows
PowerShell ”en http://go.microsoft.com/fwlink/?LinkID=266751 .
Demostración: configuración de espacios de almacenamiento
• Cree un grupo de almacenamiento.
• Cree un disco virtual y un volumen.
Crea un grupo de almacenamiento

1. Inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-SVR1, en el Administrador del servidor, acceda a Servicios de archivo y almacenamiento y Grupos de almacenamiento .
3. En el panel STORAGE POOLS, cree un nuevo Storage Pool llamado StoragePool1 y luego agregue todos los
los discos disponibles.
Crea un disco virtual y un volumen

1. En el panel DISCOS VIRTUALES, cree un Disco virtual nuevo con la siguiente configuración:
o Grupo de almacenamiento: StoragePool1
o Nombre del disco: disco virtual simple
o Diseño de almacenamiento: simple
o Tipo de aprovisionamiento: delgado
o Tamaño: 2 GB
2. En la página Ver resultados , espere hasta que se complete la tarea y luego asegúrese de que Crear un volumen
Cuando este asistente se cierra , la casilla de verificación está seleccionada.
3. En el Asistente para nuevo volumen, cree un volumen con esta configuración:
o Disco virtual: disco virtual simple
o Sistema de archivos: ReFS
o Etiqueta de volumen: Volumen simple
4. Espere hasta que se complete la tarea y luego haga clic en Cerrar .
Página 136
Discusión: Comparación de espacios de almacenamiento con otras soluciones de almacenamiento
Los espacios de almacenamiento en Windows Server 2012 proporcionan

una alternativa al uso de almacenamiento más tradicional
soluciones, como SAN y NAS.
Preguntas de discusión
Considere las siguientes preguntas para prepararse
la discusión de la clase:
Pregunta: ¿Su organización actualmente

utilizar SAN o NAS?
Pregunta: ¿Cuáles son las ventajas de usar

Espacios de almacenamiento en comparación con el uso de SAN o
NAS?
Pregunta: ¿Cuáles son las desventajas de usar espacios de almacenamiento en comparación con el uso de SAN o
NAS?
Pregunta: ¿En qué escenarios recomendaría cada opción?
Página 137
Laboratorio: Implementación de almacenamiento local

Guión
Su gerente ha solicitado agregar espacio en disco a un servidor de archivos. Después de crear volúmenes, su gerente también
le pidió que cambiara el tamaño de esos volúmenes en función de la información actualizada que se le ha proporcionado. Finalmente, necesitas
Haga que el almacenamiento de datos sea redundante mediante la creación de un disco virtual duplicado de tres vías.
Objetivos
• Instale y configure un nuevo disco.
• Cambiar el tamaño de los volúmenes.
• Configure un espacio de almacenamiento redundante.

20410D ‑ LON ‑ SVR1
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Iniciar .
o Dominio: Adatum
Ejercicio 1: instalación y configuración de un disco nuevo

Guión
El servidor de archivos de su sucursal tiene poco espacio en disco. Necesita agregar un nuevo disco al servidor y
cree volúmenes basados en las especificaciones proporcionadas por su gerente.
1. Inicialice un nuevo disco.
2. Cree y formatee dos volúmenes simples en el disco.
3. Verifique la letra de la unidad en una ventana del Explorador de archivos.
Página 138
▶ Tarea 1: inicializar un nuevo disco

1. Inicie sesión en LON-SVR1 con el nombre de usuario Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, abra Administración de equipos y luego acceda a Administración de discos .
3. Inicialice Disk2 y luego configúrelo para usar GPT (tabla de particiones GUID) .
▶ Tarea 2: Cree y formatee dos volúmenes simples en el disco

1. En la consola de administración de equipos, en el disco 2, cree un volumen simple con lo siguiente
atributos:
o Tamaño del volumen: 4000 MB
o Letra de unidad: F
o Sistema de archivos: NTFS
o Etiqueta de volumen: Volumen1
2. En la consola de administración de equipos, en el disco 2, cree un volumen simple con lo siguiente

atributos:
o Tamaño del volumen: 5000 MB
o Letra de unidad: G
o Etiqueta de volumen: Volumen2
▶ Tarea 3: Verifique la letra de la unidad en una ventana del Explorador de archivos
1. Utilice el Explorador de archivos para asegurarse de que puede acceder a los siguientes volúmenes:
o Volumen1 (F :)
o Volumen2 (G :)
2. En Volume2 (G :), cree una carpeta llamada Folder1 .
Resultados : Después de completar este ejercicio, debería haber inicializado un nuevo disco, creado dos
volúmenes y luego formatearlos. Además, debería haber verificado que las letras de unidad que
asignados están disponibles en el Explorador de archivos.
Ejercicio 2: Cambiar el tamaño de los volúmenes

Guión
Después de instalar el nuevo disco en su servidor de archivos, su gerente se comunicará con usted para indicarle que la información
que te dio fue incorrecto. Ahora necesita que cambie el tamaño de los volúmenes, sin perder ningún dato.
1. Reducir el volumen1.
2. Extienda Volume2.
▶ Tarea 1: Reducir el volumen1

• Utilice Administración de discos para reducir el Volumen1 (F :) a 3000 MB.
Página 139
▶ Tarea 2: Ampliar Volume2

1. Utilice Administración de discos para ampliar el Volumen2 (G :) en 1000 MB.
2. Utilice el Explorador de archivos para comprobar que la carpeta Carpeta1 todavía está en la unidad G .
Resultados : Después de completar este ejercicio, debería haber reducido un volumen y haber extendido otro.
Ejercicio 3: configuración de un espacio de almacenamiento redundante

Guión
Su servidor no tiene una tarjeta RAID basada en hardware, pero se le ha pedido que configure
almacenamiento. Para admitir esta función, debe crear un grupo de almacenamiento.
Después de crear el grupo de almacenamiento, debe crear un disco virtual redundante. Debido a que los datos son críticos,
la solicitud de almacenamiento redundante especifica que debe utilizar un volumen duplicado de tres vías. Poco después de
el volumen está en uso, un disco falla y debe reemplazarlo agregando otro disco al grupo de almacenamiento.
1. Cree un grupo de almacenamiento a partir de cinco discos que están conectados al servidor.
2. Cree un disco virtual duplicado de tres vías.
3. Copie un archivo en el volumen y verifique que esté visible en el Explorador de archivos.
4. Quite una unidad física.
5. Verifique que aún se pueda acceder al archivo write.exe.
6. Agregue un nuevo disco al grupo de almacenamiento y elimine un disco roto.
▶ Tarea 1: crear un grupo de almacenamiento a partir de cinco discos que están conectados al servidor
2. En el panel izquierdo, haga clic en Servicios de archivo y almacenamiento y , a continuación, en el panel Servidores, haga clic en Grupos de almacenamiento .
3. Cree un grupo de almacenamiento con la siguiente configuración:
o Nombre: StoragePool1
o Discos físicos:
▪ DiscoFísico3
▪ DiscoFísico4
▪ DiscoFísico5
▪ DiscoFísico6
▪ DiscoFísico7
▶ Tarea 2: Cree un disco virtual duplicado de tres vías

1. En LON-SVR1, en el Administrador del servidor, en el panel DISCOS VIRTUALES, cree un disco virtual con lo siguiente
ajustes:
o Grupo de almacenamiento: StoragePool1
o Nombre: Disco reflejado
o Disposición de almacenamiento: espejo
Página 140
o Configuraciones de resiliencia: espejo de tres vías
o Tipo de aprovisionamiento: delgado
o Tamaño del disco virtual: 10 GB
2. En el Asistente para nuevo volumen, cree un volumen con la siguiente configuración:
o Disco virtual: Disco duplicado
o Letra de unidad: H
o Etiqueta de volumen: Volumen reflejado
▶ Tarea 3: Copie un archivo en el volumen y verifique que esté visible en el Explorador de archivos
1. Abra una ventana de símbolo del sistema.
2. Escriba el siguiente comando:
Copie C: \ windows \ system32 \ write.exe H: \
3. Abra el Explorador de archivos desde la barra de tareas y luego acceda a Volumen reflejado (H :) . Deberías ver
write.exe en la lista de archivos.
▶ Tarea 4: Extraiga una unidad física

• En la computadora host, en Hyper-V Manager, en el panel Máquinas virtuales, cambie el
20410D-LON-SVR1 a lo siguiente:
o Extraiga el disco duro que comienza con 20410D-LON-SVR1-Disk5 .
▶ Tarea 5: Verifique que el archivo write.exe aún sea accesible

1. Cambie a LON-SVR1.
2. Abra el Explorador de archivos y luego busque H: \ write.exe para asegurarse de que el acceso al archivo aún esté disponible.
3. En el Administrador del servidor, en el panel PISCINAS DE ALMACENAMIENTO, en la barra de menú, haga clic en Actualizar "Almacenamiento
Botón de piscinas ” .
Observe la advertencia que está visible junto a Disco duplicado .
4. Abra el cuadro de diálogo Propiedades de disco duplicado y luego acceda al panel Salud.
Observe que el estado de salud indica una advertencia. El estado operativo debe indicar
Incompleto , Desconocido o Degradado .
▶ Tarea 6: agregue un nuevo disco al grupo de almacenamiento y elimine un disco roto

1. En LON-SVR1, en el Administrador del servidor, en el panel PISCINAS DE ALMACENAMIENTO, en la barra de menú, haga clic en Actualizar
Botón "Grupos de almacenamiento" .
2. En el panel STORAGE POOLS, haga clic con el botón derecho en StoragePool1 , haga clic en Add Physical Disk y luego haga clic en
Disco Físico8 (LON-SVR1) .
3. Abra Windows PowerShell y luego ejecute los siguientes comandos para quitar el disco desconectado:
a. Get-PhysicalDisk
Anote el FriendlyName del disco que muestra un OperationalStatus of Lost Communication .
segundo. $ Disk = Get-PhysicalDisk -FriendlyName nombre de disco
Reemplace diskname con el nombre del disco que anotó anteriormente.
Página 141
C. Remove-PhysicalDisk -PhysicalDisks $ disk -StoragePoolFriendlyName StoragePool1
4. Si recibe una advertencia de que no se puede quitar el disco, espere cinco minutos y luego ejecute el último
comando de nuevo. Es posible que el disco reflejado tarde un poco en volver a sincronizarse después de quitar un disco.
y se agrega otro. Si no puede quitar el disco después de cinco minutos, reinicie LON-SVR1, inicie sesión como
Adatum \ Administrator usando la contraseña Pa $$ w0rd , y luego repita el paso 3.
5. En el Administrador del servidor, actualice la vista de los grupos de almacenamiento para ver desaparecer las advertencias.
Resultados : después de completar este ejercicio, debería haber creado un grupo de almacenamiento y agregarle cinco discos.
Además, debería haber creado un disco virtual de aprovisionamiento fino y duplicado de tres vías desde el
grupo de almacenamiento; copió un archivo en el nuevo volumen; y luego verificó que sea accesible. A continuación, después de eliminar un
unidad física, debería haber verificado que el disco virtual todavía estaba disponible y que podía acceder a él.
Finalmente, debería haber agregado otro disco físico al grupo de almacenamiento.

Pregunta: Como mínimo, ¿cuántos discos debe agregar a un grupo de almacenamiento para crear un
forma de disco virtual reflejado?
Pregunta: Tiene un disco conectado por USB, cuatro discos SAS y un disco SATA que están
adjunto a un servidor de Windows Server 2012. Quiere proporcionar un solo volumen a su
usuarios que pueden utilizar para el almacenamiento de archivos. ¿Qué usarías?

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando los siguientes pasos:
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 .
Página 142

Pregunta: Su volumen actual se queda sin espacio en disco. Tiene otro disco disponible en el
mismo servidor. ¿Qué acciones en el sistema operativo Windows puede realizar para ayudarlo?
agregar espacio en disco?
Pregunta: ¿Cuáles son los dos tipos de discos en Administración de discos?
Pregunta: ¿Cuáles son las implementaciones más importantes de RAID?
Pregunta: Conecta cinco discos de 2 TB a su computadora con Windows Server 2012. Tú quieres
simplificar el proceso de administración de los discos, y si un disco falla, desea asegurarse de que
los datos no se pierden. ¿Qué característica puede implementar para lograr esto?
Mejores prácticas
Las siguientes son las mejores prácticas recomendadas:
• Si desea reducir un volumen, primero desfragmente el volumen para que pueda recuperar más espacio del
volumen.
• Utilice el formato de tabla de particiones GPT para discos de más de 2 TB.
• Para volúmenes muy grandes, use ReFS.
• No utilice FAT o FAT32 en discos del sistema operativo Windows Server.
• Utilice la función Espacios de almacenamiento para que el sistema operativo Windows administre sus discos.
Herramientas
Herramienta Utilizar Donde encontrarlo
Gestión de discos • Inicializar discos En el Administrador del servidor en

el menú Herramientas (parte
• Crear y modificar volúmenes
de computadora
Administración)
Diskpart.exe • Inicializar discos Símbolo del sistema
• Crear y modificar volúmenes desde un símbolo del sistema.
Mklink.exe • Crear un enlace simbólico a un archivo o carpeta. Símbolo del sistema
Chkdsk.exe • Verifique si un disco tiene un volumen con formato NTFS Símbolo del sistema
• No se puede usar para ReFS o discos virtuales
Defrag.exe • Herramienta de desfragmentación de disco para formato NTFS Símbolo del sistema
volúmenes.
• No se puede usar para ReFS o discos virtuales
Página 143
10-1
Módulo 10
Implementación de servicios de impresión y archivo
Contenido:
Lección 1: Protección de archivos y carpetas 10-2
Lección 2: Protección de carpetas y archivos compartidos mediante instantáneas 10-15
Lección 3: Configurar carpetas de trabajo 10-18
Lección 4: Configuración de la impresión en red 10-26
Laboratorio: Implementación de servicios de impresión y archivo 10-32

Acceder a archivos e impresoras en la red es una de las actividades más comunes en Windows Server ®
ambiente. El acceso seguro y confiable a archivos, carpetas y recursos de impresión suele ser el primer requisito.
de una red basada en Windows Server 2012. Para proporcionar acceso a los recursos de archivos e impresión en su red,
debe comprender cómo configurar estos recursos dentro del servidor de Windows Server 2012 y cómo
Configure el acceso adecuado a los recursos para los usuarios de su entorno.
Este módulo explica cómo proporcionar estos importantes recursos de archivos e impresión con Windows Server 2012.
Describe cómo proteger archivos y carpetas, cómo proteger versiones anteriores de archivos y carpetas usando
instantáneas y cómo dar a los trabajadores acceso remoto a archivos corporativos mediante la implementación de la nueva versión de Trabajo
Servicio de rol de carpetas. También describe las nuevas funciones de impresión en red que ayudan a administrar la red.
entorno de impresión.
Objetivos
• Proteja los archivos y carpetas compartidos.
• Proteja los archivos y carpetas compartidos mediante el uso de instantáneas.
• Configurar el servicio de función Carpetas de trabajo.
• Configurar la impresión en red.
Página 144
10-2 Implementación de servicios de impresión y archivo
Lección 1
Protección de archivos y carpetas
Los archivos y carpetas que almacenan sus servidores suelen contener los datos funcionales y empresariales de su organización.
datos. Proporcionar el acceso adecuado a estos archivos y carpetas, generalmente a través de la red, es una parte importante
de la administración de servicios de archivos e impresión en Windows Server 2012. Históricamente, los permisos de archivos y carpetas
conocido como permisos NTFS . Sin embargo, con el lanzamiento de Windows Server 2012, ahora los llamamos
permisos permisos de archivo, para reflejar que puede usar estos permisos en el sistema de archivos resistente (ReFS)
volúmenes formateados, también.
Esta lección le brinda la información necesaria para proteger archivos y carpetas en su Windows Server 2012
servidores, para que pueda hacer que los datos de su organización estén disponibles mientras ayuda a protegerlos.
• Describir los permisos de archivos y carpetas.
• Describe una carpeta compartida.
• Describir la herencia de permisos.
• Explique cómo funcionan el acceso y los permisos efectivos cuando accede a las carpetas compartidas.
• Describir la enumeración basada en el acceso.
• Describir la función Archivos sin conexión.
• Explica cómo crear y configurar una carpeta compartida.
¿Qué son los permisos de archivo?
Usted asigna permisos de archivo a archivos o carpetas en

un volumen de almacenamiento que formatea con NTFS o
ReFS. Los permisos que asigna a los archivos y
las carpetas gobiernan el acceso de los usuarios a ellas.
Hay varios puntos clave para recordar, con
respecto a los permisos de archivos, incluido que puede:
• Configurar permisos de archivo para un individuo

archivo o carpeta, o conjuntos de archivos o carpetas.
• Asignar permisos de archivos de forma individual a los objetos

que incluyen usuarios, grupos y computadoras.
• Controle los permisos de los archivos otorgando o

negar tipos específicos de acceso a archivos y carpetas, como lectura o escritura.
• Configurar la herencia de permisos de archivos de carpetas principales. De forma predeterminada, los permisos de archivo que
asignar a una carpeta también se asignan a nuevas carpetas o archivos dentro de esa carpeta principal.
Página 145
Tipos de permisos de archivos

Hay dos tipos de permisos de archivo asignables: estándar y avanzado.
Permisos estándar
Los permisos estándar proporcionan la configuración de permisos más utilizada para archivos y carpetas. usted
Asigne permisos estándar en el cuadro de diálogo Permisos para el nombre de la carpeta .
La siguiente tabla enumera las opciones de permisos estándar para archivos y carpetas.
Permisos de archivo Descripción
Control total Otorga al usuario el control total del archivo o carpeta, incluido el control de
permisos.
Modificar Otorga al usuario permiso para leer, escribir o eliminar un archivo o carpeta,
incluida la creación de un archivo o carpeta. También otorga permiso para ejecutar archivos.
Leer y ejecutar Otorga permiso al usuario para leer un archivo e iniciar aplicaciones.
Leer Otorga permiso al usuario para ver el contenido de archivos o carpetas.
Escribir Otorga permiso al usuario para escribir en un archivo.
Lista de contenidos en la carpeta Otorga permiso al usuario para ver una lista del contenido de la carpeta.
(solo carpetas)
Nota: Otorgar a los usuarios permisos de Control total sobre un archivo o carpeta les da la capacidad de
realizar cualquier operación del sistema de archivos en el objeto, y la capacidad de cambiar los permisos en el
objeto. También pueden eliminar los permisos sobre el recurso para cualquiera o todos los usuarios, incluido usted.
Permisos avanzados
Los permisos avanzados pueden proporcionar un nivel mucho mayor de control sobre archivos y carpetas. Avanzado
los permisos son accesibles haciendo clic en el botón Avanzado de la pestaña Seguridad de un archivo o carpeta
Cuadro de diálogo de propiedades.
La siguiente tabla enumera los permisos avanzados para archivos y carpetas.
atravesar El permiso Traverse Folder se aplica solo a las carpetas. Este permiso otorga o
Carpeta / Ejecutar niega a los usuarios el derecho a navegar a través de carpetas para llegar a otros archivos o carpetas, incluso
Archivo si el usuario no tiene permisos para las carpetas recorridas. La carpeta transversal
El permiso entra en vigencia solo cuando no otorga la opción Omitir verificación transversal
derecho de usuario a un grupo o usuario. De forma predeterminada, al grupo Todos se le da el Bypass
Derecho de usuario de comprobación transversal.
El permiso Ejecutar archivo otorga o deniega el acceso para ejecutar archivos de programa.
Si establece el permiso Recorrer carpeta en una carpeta, el permiso Ejecutar archivo es
no se establece en todos los archivos de esa carpeta automáticamente.
Página 146
Lista El permiso Listar carpeta otorga al usuario permiso para ver nombres de archivos y
Carpeta / Leer nombres de subcarpetas. Este permiso se aplica solo a carpetas y afecta solo a
Datos contenido de esa carpeta; no afecta si la carpeta en sí aparece en la lista. En
Además, esta configuración no tiene ningún efecto en la visualización de la estructura del archivo desde un
interfaz de línea de comandos.
El permiso Leer datos otorga o deniega al usuario el permiso para ver datos en archivos.
El permiso Leer datos se aplica solo a archivos.
Leer atributos El permiso Leer atributos otorga al usuario permiso para ver los
atributos de un archivo o carpeta, como atributos de solo lectura y ocultos. Atributos
están definidos por el sistema de archivos del volumen.
Leer extendido El permiso Leer atributos extendidos otorga al usuario permiso para ver el
Atributos atributos extendidos de un archivo o carpeta. Los atributos extendidos los definen las aplicaciones y
puede variar según la aplicación.
Crear El permiso Crear archivos se aplica solo a las carpetas y otorga al usuario permiso para
Archivos / Escribir datos crear archivos en la carpeta.
El permiso de escritura de datos otorga al usuario permiso para realizar cambios en los archivos
y sobrescribir el contenido existente. El permiso de escritura de datos se aplica solo a archivos.
Crear El permiso Crear carpetas otorga al usuario permiso para crear carpetas dentro
Carpetas / Adjuntar la carpeta. El permiso Crear carpetas se aplica solo a las carpetas.
Datos El permiso Agregar datos otorga al usuario permiso para realizar cambios en el
final del archivo, pero no para eliminar o sobrescribir los datos existentes. Los datos agregados
el permiso se aplica solo a archivos.
Atributos de escritura El permiso de atributos de escritura otorga al usuario permiso para cambiar el
atributos de un archivo o carpeta, como Solo lectura u Oculto. El sistema de archivos del volumen
define los atributos.
El permiso de escritura de atributos no implica que pueda crear o eliminar archivos o
carpetas; incluye solo el permiso para realizar cambios en los atributos de un archivo o
carpeta. Para otorgar permisos de Crear o Eliminar, consulte Crear archivos / Escribir datos, Crear
Carpetas / Adjuntar datos, Eliminar subcarpetas y archivos y Eliminar entradas en esta tabla.
Escribir extendido El permiso de escritura de atributos extendidos otorga al usuario permiso para cambiar el
Atributos atributos extendidos de un archivo o carpeta. Los programas y la aplicación definen la extensión
atributos y pueden variar.
El permiso de escritura de atributos extendidos no implica que el usuario pueda crear o
eliminar archivos o carpetas; incluye solo el permiso para realizar cambios en el
atributos de un archivo o carpeta. Para otorgar permisos de Crear o Eliminar, consulte Crear
Archivos / Escribir datos, Crear carpetas / Agregar datos, Eliminar subcarpetas y archivos, y
Elimina las entradas de esta tabla.
Eliminar El permiso Eliminar subcarpetas y archivos otorga al usuario permiso para eliminar
Subcarpetas y subcarpetas y archivos, incluso si no otorga el permiso Eliminar en la subcarpeta
Archivos o archivo. El permiso Eliminar subcarpetas y archivos se aplica solo a las carpetas.
Eliminar El permiso Eliminar otorga al usuario permiso para eliminar el archivo o la carpeta. Si tu
no tiene permiso de eliminación en un archivo o carpeta, aún puede eliminar el archivo o
carpeta si tiene permisos de Eliminar subcarpetas y archivos en la carpeta principal.
Leer Los permisos de lectura conceden al usuario permiso para leer permisos sobre el archivo o
Permisos carpeta, como Control total, Lectura y Escritura.
Página 147
Cambio Cambiar permisos otorga al usuario permiso para cambiar los permisos en el archivo o
Permisos carpeta, como Control total, Lectura y Escritura.
Tomar posesión El permiso Tomar posesión otorga al usuario permiso para tomar posesión del
archivo o carpeta. El propietario de un archivo o carpeta puede cambiar sus permisos, independientemente
de cualquier permiso existente que proteja el archivo o carpeta.
Sincronizar El permiso Sincronizar asigna diferentes subprocesos para esperar en el identificador

archivo o carpeta, y luego sincronizar con otro hilo que pueda señalarlo. Esta
El permiso se aplica solo a aplicaciones y programas de múltiples procesos y subprocesos múltiples.
Nota: los permisos estándar son combinaciones de varios permisos avanzados individuales
que se agrupan en escenarios de archivos y carpetas de uso común.
Ejemplos de permisos de archivos

Los siguientes son ejemplos básicos de asignación de permisos de archivos:
• Para una carpeta llamada Imágenes de marketing, un administrador ha asignado permisos de Permitir a Adam Carter
para el tipo de permiso de lectura. Bajo el comportamiento de permisos de archivo predeterminado, Adam Carter tendrá Read
acceso a los archivos y carpetas de la carpeta Imágenes de marketing.
• Al aplicar permisos de archivo, los resultados son acumulativos. Por ejemplo, en el ejemplo anterior,
decir que Adam Carter también es parte del grupo de marketing, que tiene permisos de escritura en el
Carpeta de imágenes de marketing. Cuando combinamos los permisos asignados a la cuenta de usuario de Adam Carter
con los permisos asignados al grupo de marketing, Adam tendrá lectura y escritura
permisos para la carpeta Imágenes de marketing.
Reglas importantes para los permisos de archivos

Hay dos grupos importantes de permisos de archivos:
• Explícito versus heredado.
Los permisos que asigna explícitamente tienen prioridad sobre los que se heredan de un padre
carpeta.
• Denegar frente a permitir.
Dentro de un conjunto de permisos explícitos, los permisos Denegar anulan los permisos Permitir en conflicto.
Del mismo modo, dentro de un conjunto de permisos heredados implícitos, los permisos denegar anulan los permisos en conflicto.
permisos.
Por lo tanto, teniendo en cuenta estas reglas, los permisos de archivo se aplican en el siguiente orden:
1. Denegación explícita
2. Permitir explícitamente
3. Denegación heredada
4. Permitir heredado
Es importante recordar que los permisos de archivo son acumulativos y estas reglas se aplican solo cuando dos archivos
los ajustes de permisos entran en conflicto entre sí.
Página 148
Cómo configurar los permisos de archivo

Puede ver y configurar los permisos de archivo siguiendo este procedimiento:
1. Haga clic con el botón derecho en el archivo o carpeta para los que desea asignar permisos y luego haga clic en Propiedades .
2. En el cuadro de diálogo Propiedades , haga clic en la pestaña Seguridad .
3. En la pestaña Seguridad , seleccione el usuario o grupo que desea ver o para el que desea editar
permisos específicos.
4. Para modificar los permisos existentes o agregar nuevos usuarios o grupos, haga clic en el botón Editar .
Esto abre el cuadro de diálogo Permisos .
¿Qué son las carpetas compartidas?
Las carpetas compartidas son un componente clave para otorgar

acceso a archivos en su servidor desde la red.
Cuando comparte una carpeta, la carpeta y todos sus
los contenidos están disponibles para múltiples usuarios
simultáneamente a través de su red. Carpetas compartidas
tener un conjunto de permisos separado del archivo
permisos, que se aplican al contenido de la carpeta.
Estos permisos de carpeta compartida proporcionan un extra
nivel de seguridad para los archivos y carpetas que crea
disponible en su red.
La mayoría de las organizaciones implementan servidores de archivos dedicados

para alojar carpetas compartidas. Puede almacenar archivos en
carpetas compartidas según categorías o funciones. Por ejemplo, puede poner archivos compartidos para Ventas
departamento en una carpeta compartida y archivos compartidos para el departamento de marketing en otra.
Nota: El proceso de uso compartido se aplica solo al nivel de carpeta. No puedes compartir un individuo
archivo o un grupo de archivos.
Acceder a una carpeta compartida

Los usuarios suelen acceder a una carpeta compartida a través de la red mediante su Convención de nomenclatura universal (UNC)
habla a. La dirección UNC contiene el nombre del servidor que aloja la carpeta y el nombre compartido real.
nombre de la carpeta, separado por una barra invertida (\) y precedido por dos barras invertidas (\\). Por ejemplo,
la ruta UNC para la carpeta compartida Sales en el servidor LON-SVR1 es \\ LON-SVR1 \ Sales.
Compartir una carpeta en la red

Windows Server 2012 proporciona diferentes formas de compartir una carpeta:
• Haga clic en la unidad apropiada y luego en la sección Archivos y servicios de almacenamiento en el Administrador del servidor, haga clic en
la tarea New Share.
• Utilice el Asistente para compartir archivos, ya sea desde el menú de acceso directo de la carpeta o haciendo clic en el botón Compartir
en la pestaña Compartir del cuadro de diálogo Propiedades de la carpeta.
• Utilice el uso compartido avanzado haciendo clic en el botón Uso compartido avanzado en la pestaña Compartir de la carpeta
Cuadro de diálogo de propiedades.
• Utilice la herramienta de línea de comandos de net share desde una ventana de línea de comandos.
Página 149
• Utilice el cmdlet New-SMBShare en Windows PowerShell ® .
Nota: cuando está configurando una carpeta compartida, debe darle un nombre. Este nombre lo hace
no tiene que ser el mismo que el nombre real de la carpeta. Puede ser un nombre descriptivo que mejor
describe el contenido de la carpeta a los usuarios de la red.
Acciones ocultas
Si tiene carpetas compartidas que deben estar disponibles en la red, pero de las que desea ocultarse
usuarios que están navegando por la red, puede crear carpetas compartidas ocultas. Puede acceder a un
carpeta compartida escribiendo su ruta UNC, pero no puede acceder a ella si navega por el servidor utilizando Archivo
Explorador. Las carpetas compartidas ocultas también suelen tener un conjunto de permisos más restrictivo para reflejar la
naturaleza administrativa del contenido de la carpeta.
Para ocultar una carpeta compartida, agregue el símbolo de dólar ($) al nombre compartido de la carpeta. Por ejemplo, puedes
cambie una carpeta compartida en LON-SVR1 llamada Ventas en una carpeta compartida oculta al nombrar la carpeta
Ventas $. Se podrá acceder a la carpeta compartida a través de la red mediante la ruta UNC \\ LON-SVR1 \ Sales $ .
Acciones administrativas
Los recursos compartidos administrativos son recursos compartidos de red ocultos que existen en todos los servidores Windows. La raíz de cada
el volumen se comparte como un recurso compartido oculto y usted nombra los recursos compartidos agregando una letra de unidad y un signo de dólar.
Por ejemplo, en LON-DC1, la raíz de la unidad C: \ se comparte como \\ LON-DC1 \ C $. Si hay varias unidades,
cada letra de unidad es un recurso compartido independiente. La siguiente tabla enumera otros recursos compartidos administrativos.
Compartir nombre Propósito
Admin $ Esta es la carpeta del sistema operativo y normalmente se llama Windows.
Imprimir $ Este despliega controladores de impresión de servidores a Windows ® sistemas cliente.
FAX $ Los clientes lo utilizan para acceder a las portadas y otros archivos de fax en un servidor de fax.
IPC $ El recurso compartido de comunicación entre procesos (IPC) permite que las aplicaciones compartan
información.
Nota: En el pasado, los recursos compartidos administrativos estaban disponibles en los sistemas operativos de los clientes.
Sin embargo, a partir de Windows ® 8, las acciones administrativas fueron desactivados por defecto en el cliente
sistemas.
De forma predeterminada, solo los miembros del grupo Administradores tienen permiso para estas carpetas compartidas.
Permisos de carpetas compartidas

Al igual que los permisos de archivos, puede asignar permisos de carpeta compartida a usuarios, grupos o computadoras.
Sin embargo, a diferencia de los permisos de archivo, no puede configurar permisos de carpeta compartida para archivos individuales o
carpetas en la carpeta compartida. Los permisos de carpeta compartida se establecen para la propia carpeta compartida y se aplican
universalmente a todo el contenido de la carpeta compartida para los usuarios que acceden a la carpeta a través de la red.
Cuando crea una carpeta compartida, se establece el permiso compartido asignado predeterminado para el grupo Todos
leer.
Página 150
La siguiente tabla enumera los permisos que puede asignar a una carpeta compartida.
Carpeta compartida
Descripción
permiso
Leer Los usuarios pueden ver nombres de carpetas y archivos, ver datos y atributos de archivos, ejecutar programas
archivos y scripts, y navegue por la estructura de carpetas dentro de la carpeta compartida.
Cambio Los usuarios pueden crear carpetas, agregar archivos a carpetas, cambiar datos en archivos, agregar datos a
archivos, cambiar atributos de archivo, eliminar carpetas y archivos y realizar todas las tareas
permitido por el permiso de lectura.
Control total Los usuarios pueden cambiar los permisos de los archivos, tomar posesión de los archivos y realizar todas las tareas.
permitido por el permiso de cambio.
Nota: Los permisos de carpeta compartida se aplican solo a los usuarios que acceden a la carpeta a través del
red. No afectan a los usuarios que acceden a la carpeta localmente en la computadora que almacena la
carpeta.
Nota: Cuando asigna a un usuario permisos de Control total en una carpeta compartida, ese usuario puede
modificar los permisos en la carpeta compartida. Es importante comprender que asignar a un usuario Completo
Controlar los permisos en una carpeta compartida significa que él o ella tendría la capacidad de eliminar todos
usuarios, incluidos los administradores, de la lista de permisos de la carpeta compartida. Por tanto, en la mayoría de los casos,
debe asignar el permiso de cambio en lugar del permiso de control total.
Herencia de permisos
De forma predeterminada, los archivos y las carpetas compartidas usan herencia

para propagar permisos a través de una carpeta
estructura. Cuando crea un archivo o una carpeta, es
asigna automáticamente los permisos que se
establecido en cualquier carpeta que exista encima de él (padre
carpetas) en la jerarquía de la estructura de carpetas.
Cómo se aplica la herencia

Considere el siguiente ejemplo. Adam Carter
es miembro del grupo de Marketing y el
Grupo de editores de Nueva York. La siguiente tabla
resume los permisos para este ejemplo.
Permisos asignados para el
Carpeta o archivo grupos Permisos de Adam
Marketing (carpeta) Leer - Marketing Leer

…. Imágenes de marketing (carpeta) Ninguno establecido Leer (heredado)
…… ..Nueva York (carpeta) Escribir - Editores de Nueva York Leer (i) + Escribir
………… Fall_Composite.jpg (archivo) Ninguno establecido Leer (i) + Escribir (i)
Página 151
En este ejemplo, Adam es miembro de dos grupos a los que se les asignan permisos para archivos o carpetas dentro de
la estructura de carpetas. Son los siguientes:
• La carpeta de nivel superior, Marketing, tiene un permiso asignado para el Grupo de marketing que les otorga
Leer acceso.
• En el siguiente nivel, la carpeta Imágenes de marketing no tiene permisos explícitos establecidos, pero debido a
herencia de permisos Adam tiene acceso de lectura a esta carpeta y su contenido de los permisos
que se establecen en la carpeta Marketing.
• En el tercer nivel, la carpeta Nueva York tiene permisos de escritura asignados a uno de los grupos de Adam:
Editores de Nueva York. Además de este permiso de escritura explícito, la carpeta Nueva York también hereda la
Leer permiso de la carpeta Marketing. Estos permisos se transmiten a los objetos de archivo y carpeta,
acumularse con cualquier permiso explícito de lectura y escritura establecido en esos archivos.
• El cuarto y último nivel es el archivo Fall_Composite.jpg. Aunque no se establezcan permisos explícitos para
este archivo, Adam tiene acceso de lectura y escritura al archivo debido a los permisos heredados de
tanto la carpeta Marketing como la carpeta Nueva York.
Conflictos de permisos
A veces, los permisos asignados explícitamente en un archivo o carpeta entran en conflicto con los permisos heredados de un
carpeta principal. En estos casos, los permisos asignados explícitamente siempre anulan los permisos heredados.
En el ejemplo dado, a Adam Carter se le negó el acceso de escritura a la carpeta de marketing principal. Sin embargo, l
se le asignó explícitamente acceso de escritura a la carpeta Nueva York. Por lo tanto, el acceso de escritura asignado explícitamente
El permiso tiene prioridad sobre el permiso de denegación de acceso de escritura heredado.
Bloqueo de herencia
También puede deshabilitar el comportamiento de herencia para un archivo o carpeta (y su contenido). Haces esto cuando
desea definir explícitamente permisos para un conjunto de objetos sin incluir ninguno de los permisos heredados
desde cualquier carpeta principal. Windows Server 2012 ofrece una opción para bloquear la herencia en un archivo o
carpeta. Para bloquear la herencia en un archivo o carpeta, complete el siguiente procedimiento:
1. Haga clic con el botón derecho en el archivo o carpeta para los que desea bloquear la herencia y luego haga clic en Propiedades .
2. En el cuadro de diálogo Propiedades , haga clic en la pestaña Seguridad y luego en Avanzado .
3. En el cuadro de diálogo Configuración de seguridad avanzada , haga clic en Cambiar permisos .
4. En el siguiente cuadro de diálogo Configuración de seguridad avanzada , haga clic en Deshabilitar herencia .
5. En este punto, se le pedirá que convierta los permisos heredados en permisos explícitos.
o elimine todos los permisos heredados del objeto para comenzar con una lista de permisos en blanco.
Restablecimiento del comportamiento de herencia predeterminado

Después de bloquear la herencia, los cambios realizados en los permisos en la estructura de la carpeta principal ya no tienen efecto
los permisos para el objeto secundario (y su contenido) que ha bloqueado la herencia, a menos que restablezca ese
comportamiento de una de las carpetas principales. Puede restablecer ese comportamiento en una de las carpetas principales mediante
seleccionando la opción Reemplazar todos los objetos secundarios con permisos heredables de este objeto. Cuando usted
seleccione esta opción, el conjunto de permisos existente en la carpeta actual se propaga a todos los
objetos en la estructura de árbol y anula todos los permisos asignados explícitamente para esos archivos y carpetas. Esta
La casilla de verificación se encuentra directamente debajo de la verificación Incluir permisos heredables del elemento primario de este objeto
caja.
Página 152
Permisos efectivos
Cuando un usuario intenta acceder a un archivo o carpeta en

Windows Server 2012, el permiso que se aplica
depende de varios factores, que incluyen:
• Permisos asignados explícitamente y heredados

permisos que se aplican al usuario
• Permisos asignados explícitamente y heredados

permisos que se aplican a los grupos a los que
el usuario pertenece
• Cómo accede el usuario al archivo o carpetas:

localmente o en la red
Los permisos de archivo efectivos son acumulativos

permisos que se asignan a un usuario para un archivo o carpeta en función de los factores enumerados anteriormente. El seguimiento
Los principios determinan los permisos de archivo efectivos:
• Los permisos acumulativos son la combinación de los permisos de archivo más altos asignados al usuario y
a todos los grupos de los que el usuario es miembro. Por ejemplo, si un usuario es miembro de un grupo que
tiene permiso de lectura y es miembro de un grupo que tiene permiso de modificación, el usuario está asignado
Modificar permisos acumulativos.
• Los permisos denegación anulan los permisos Permitir equivalentes. Sin embargo, un permiso Permitir explícito puede
anular un permiso de Denegación heredado. Por ejemplo, si a un usuario se le niega el acceso de escritura a una carpeta a través de un
heredado el permiso Denegar, pero se le asigna explícitamente acceso de escritura a una subcarpeta o un archivo en particular, el
Permitir explícito anula la Denegación heredada para esa subcarpeta o archivo en particular.
• Puede aplicar permisos a un usuario o un grupo. Es preferible asignar permisos a grupos

porque son más eficientes que la administración de permisos establecidos para muchas personas.
• Los permisos de archivo tienen prioridad sobre los permisos de carpeta. Por ejemplo, si un usuario tiene permiso de lectura para un
carpeta, pero tiene permiso Modificar para ciertos archivos en esa carpeta, el permiso efectivo para esos archivos
es Modificar.
• Cada objeto en un volumen NTFS o ReFS o en Active Directory ® es propiedad de Servicios de dominio (AD DS).
El propietario controla cómo se establecen los permisos en el objeto y a quién se asignan los permisos. por
Por ejemplo, un usuario que crea un archivo en una carpeta en la que tiene permisos Modificar puede cambiar la
permisos sobre el archivo a Control total.
Herramienta de acceso efectivo

Windows Server 2012 proporciona una herramienta de acceso efectivo que muestra los permisos de archivo efectivos en un archivo
o carpeta para un usuario, según los permisos asignados a la cuenta de usuario y los grupos a los que el usuario
la cuenta pertenece. Puede acceder a la herramienta Acceso efectivo completando el siguiente procedimiento:
1. Haga clic con el botón derecho en el archivo o la carpeta cuyos permisos desea analizar y luego haga clic en Propiedades .
2. En el cuadro de diálogo Propiedades , haga clic en el botón Avanzado .
3. En el cuadro de diálogo Configuración de seguridad avanzada , haga clic en la pestaña Acceso efectivo .
4. Elija un usuario o grupo para evaluar mediante Seleccionar un usuario .
Página 153
Combinar permisos de archivos y permisos de carpetas compartidas

Los permisos de archivos y los permisos de carpetas compartidas funcionan juntos para controlar el acceso a los recursos de archivos y carpetas
que los usuarios acceden desde una red. Cuando configura el acceso a los recursos de red en un NTFS o ReFS
volumen, use los permisos de archivo más restrictivos para controlar el acceso a carpetas y archivos, y combínelos
con los permisos de carpeta compartida más restrictivos para controlar el acceso a la red.
Cómo funciona la combinación de permisos de archivos y carpetas compartidas

Cuando aplique permisos de archivos y carpetas compartidas, recuerde que el más restrictivo de los dos
los permisos dictan qué acceso tiene un usuario a un archivo o carpeta. Los siguientes dos ejemplos explican esto
más lejos:
• Si establece los permisos de archivo en una carpeta en Control total, pero establece los permisos de carpeta compartida en
Leer, entonces ese usuario solo tiene permiso de lectura cuando accede a la carpeta a través de la red. El acceso es
restringido en el nivel de carpeta compartida, y cualquier mayor acceso a nivel de permisos de archivo no
aplicar.
• Del mismo modo, si establece el permiso de carpeta compartida en Control total y establece los permisos de archivo en
Escribir, el usuario no tendrá restricciones a nivel de carpeta compartida, pero los permisos de archivo en el
carpeta concede sólo permisos de escritura a esa carpeta.
El usuario debe tener permisos de archivo y permisos de carpeta compartida. Si no existen permisos para el
usuario (ya sea como individuo o como miembro de un grupo) en cualquiera de los recursos, se deniega el acceso.
Consideraciones para permisos combinados de archivos y carpetas compartidas

Las siguientes pautas hacen que la administración de permisos sea más manejable:
• Asignar permisos a grupos en lugar de usuarios. Los grupos siempre pueden tener personas agregadas o eliminadas,
pero los permisos individuales son difíciles de rastrear y engorrosos de administrar.
• Utilice Denegar permisos solo cuando sea necesario. Debido a que los permisos de Denegar se heredan, asignar denegar
los permisos a una carpeta pueden hacer que los usuarios no puedan acceder a los archivos que se encuentran más abajo en la carpeta
árbol de estructura. Debe asignar permisos Denegar solo en las siguientes situaciones:
o Para excluir un subconjunto de un grupo que tiene permisos Permitir
o Para excluir un permiso específico cuando ha otorgado permisos de Control total a un usuario o
grupo
• Nunca niegue el acceso del grupo Todos a un objeto. Si niega el acceso del grupo Todos a un
objeto, deniega el acceso a los administradores, incluido usted mismo. En su lugar, elimine el grupo Todos de
la lista de permisos, siempre que otorgue permisos para el objeto a otros usuarios, grupos o
ordenadores.
• Asignar permisos a un objeto que esté lo más alto posible en la estructura de carpetas, para que la seguridad
los entornos se propagan por todo el árbol. Por ejemplo, en lugar de traer grupos que representen a todos
departamentos de la empresa juntos en una carpeta de lectura, asigne usuarios de dominio (que es un
grupo para todas las cuentas de usuario en el dominio) al recurso compartido. De esta manera, elimina la necesidad de
actualice los grupos de departamentos antes de que los nuevos usuarios reciban la carpeta compartida.
• Utilice permisos de archivo en lugar de permisos compartidos para un acceso detallado. Configurando archivos y
los permisos de carpetas compartidas pueden resultar difíciles. Considere asignar los permisos más restrictivos para un
grupo que contiene muchos usuarios en el nivel de carpeta compartida, y luego usa permisos de archivo para asignar
permisos que son más específicos.
Página 154
¿Qué es la enumeración basada en acceso?
Con la enumeración basada en acceso, los usuarios solo ven

los archivos y carpetas que tienen permiso
acceder. La enumeración basada en el acceso proporciona una
mejor experiencia de usuario porque muestra menos
vista compleja del contenido de una carpeta compartida,
facilitando que los usuarios encuentren los archivos que
necesitar. Windows Server 2012 permite el acceso basado
enumeración de carpetas que comparte un servidor
la red.
Habilitación de la enumeración basada en acceso

Para habilitar la enumeración basada en el acceso para un
carpeta, debe realizar este procedimiento:
1. Abra el Administrador del servidor.
2. En el panel de navegación, haga clic en Servicios de archivo y almacenamiento .
3. En el panel de navegación, haga clic en Recursos compartidos .
4. En el panel Recursos compartidos, haga clic con el botón derecho en la carpeta compartida para la que desea habilitar el acceso basado
enumeración y, a continuación, haga clic en Propiedades .
5. En el cuadro de diálogo Propiedades , haga clic en Configuración y luego seleccione Habilitar enumeración basada en acceso .
Cuando se selecciona Habilitar enumeración basada en acceso, la enumeración basada en acceso se habilita en el
carpeta compartida. Esta configuración es única para cada carpeta compartida en el servidor.
Nota: La consola de Servicios de archivo y almacenamiento es el único lugar en Windows Server 2012
interfaz donde puede configurar la enumeración basada en acceso para una carpeta compartida. Basado en acceso
La enumeración no está disponible en ninguno de los cuadros de diálogo de propiedades a los que puede acceder
haciendo clic con el botón derecho en la carpeta compartida en el Explorador de archivos.
¿Qué es la función de archivos sin conexión?
Un archivo sin conexión es una copia de un archivo de red que se

almacenado en una computadora cliente. Al usar archivos sin conexión,
los usuarios pueden acceder a archivos basados en la red cuando
el equipo cliente está desconectado de la red.
Cuando se utiliza la función Archivos sin conexión, si un usuario

cambia sus archivos y carpetas sin conexión,
los cambios se sincronizan con la copia de red
de los archivos y carpetas la próxima vez que el cliente
se conecta a la red. La sincronizacion
la programación y el comportamiento de los archivos sin conexión están controlados
por el sistema operativo del cliente Windows.
Página 155
Archivos sin conexión está disponible con los siguientes sistemas operativos:
• Windows 8.1
• Windows 8
• Windows Server 2012 R2
• Windows Server 2012
• Windows 7
• Windows Server 2008 R2
• Windows Vista ®
Nota: La función Archivos sin conexión no está disponible en las versiones domésticas del sistema operativo Windows.
sistemas.
Configuración para archivos sin conexión

Con Windows Server 2012, puede ver el cuadro de diálogo Configuración sin conexión para una carpeta compartida haciendo clic en el
Botón de almacenamiento en caché en el cuadro de diálogo Uso compartido avanzado. Las siguientes opciones están disponibles dentro de Offline
Cuadro de diálogo de configuración:
• Solo los archivos y programas que especifican los usuarios están disponibles sin conexión. Esta es la opción predeterminada cuando
configura una carpeta compartida. Cuando usa esta opción, no hay archivos o programas disponibles sin conexión por
predeterminado, y los usuarios controlan a qué archivos y programas quieren acceder cuando no están conectados
a la red. Alternativamente, puede elegir la opción Habilitar BranchCache. Esta opción habilita
equipos que acceden a los archivos para almacenar en caché los archivos descargados de la carpeta mediante Windows
BranchCache ® . Debe instalar y configurar BranchCache en el servidor de Windows Server 2012 para
seleccione esta opción.
• No hay archivos o programas de la carpeta compartida disponibles sin conexión. Esta opción bloquea las computadoras cliente
de realizar copias de los archivos y programas de la carpeta compartida.
• Todos los archivos y programas que los usuarios abren desde la carpeta compartida están disponibles automáticamente sin conexión.
Siempre que un usuario accede a la carpeta o unidad compartida y abre un archivo o programa en ella, ese archivo o
El programa pasa automáticamente a estar disponible sin conexión para ese usuario. Archivos y programas que se hacen
automáticamente disponibles sin conexión permanecen en la caché de archivos sin conexión y se sincronizan con la versión
en el servidor hasta que la caché esté llena o el usuario elimine los archivos. Archivos y programas que los usuarios no tienen
abiertos no están disponibles sin conexión.
• Optimizado para rendimiento. Si selecciona esta opción, los archivos ejecutables (.exe, .dll) que un equipo cliente
las ejecuciones desde la carpeta compartida se almacenan en caché en ese equipo cliente automáticamente. La próxima vez que el
la computadora cliente ejecuta los archivos ejecutables, accederá a su caché local en lugar de a la carpeta compartida en
el servidor.
Nota: La función Archivos sin conexión debe estar habilitada en la computadora cliente para archivos y
programas que se almacenarán en caché automáticamente.
Además, la opción Optimizado para el rendimiento no afecta a los equipos cliente que utilizan
Windows Vista o sistemas operativos Windows anteriores, porque estos sistemas operativos funcionan
el almacenamiento en caché a nivel de programa automáticamente, según lo especificado por esta opción.
Página 156
El modo siempre sin conexión

Puede configurar equipos con Windows Server 2012 y Windows 8 para que utilicen la opción Siempre disponible sin conexión
Modo cuando acceden a carpetas compartidas. Cuando configura esta opción, los equipos cliente siempre
utilizar la versión en caché local de los archivos de un recurso compartido de red, incluso si están conectados al archivo
servidor mediante una conexión de red de alta velocidad.
Esta configuración generalmente da como resultado un acceso más rápido a los archivos para los equipos cliente, especialmente cuando
la conectividad o la velocidad de una conexión de red es intermitente. Sincronización con los archivos del
El servidor se produce de acuerdo con la configuración de archivos fuera de línea del equipo cliente.
Cómo habilitar el modo siempre fuera de línea

Para habilitar el modo Siempre fuera de línea, use la directiva de grupo para habilitar la opción Configurar el modo de enlace lento y establezca
el valor de latencia en 1. La opción Configurar el modo de enlace lento se encuentra en la Política de grupo en la
Nodo Configuración del equipo \ Políticas administrativas \ Red \ Archivos sin conexión.
Demostración: creación y configuración de una carpeta compartida
Por lo general, crea y configura una carpeta compartida mediante el Explorador de archivos, desde el archivo o carpeta
Cuadro de diálogo Propiedades en la pestaña Compartir. Al crear una carpeta compartida, asegúrese siempre de configurar
permisos que son apropiados para todos los archivos y carpetas dentro de la ubicación de la carpeta compartida.
• Cree una carpeta compartida.
• Asignar permisos para la carpeta compartida.
• Configurar la enumeración basada en acceso.
• Configurar archivos sin conexión.
Crea una carpeta compartida

2. En la unidad E, cree una carpeta denominada Datos .
3. Comparta la carpeta de datos .
Asignar permisos para la carpeta compartida

• Otorgue permisos de Cambio de usuarios autenticados para la carpeta Datos .
Configurar la enumeración basada en acceso

2. Navegue hasta el panel Compartir en la consola de administración de Servicios de almacenamiento y archivos.
3. Abra el cuadro de diálogo Propiedades de datos para \\ LON-SVR1 \ Data y, a continuación, habilite el
enumeración.
Configurar archivos sin conexión

1. Abra el cuadro de diálogo Propiedades de datos para E: \ Data .
2. Navegue a la pestaña Compartir y luego abra la configuración de Uso compartido avanzado .
3. Abra la configuración de Almacenamiento en caché y luego desactive los archivos sin conexión.
Página 157
Lección 2
Protección de carpetas y archivos compartidos mediante la sombra
Copias
Utiliza instantáneas para restaurar versiones anteriores de archivos y carpetas. Es mucho más rápido restaurar un
versión anterior de un archivo de una instantánea que de una copia de seguridad tradicional, porque las copias de seguridad
a menudo se almacenan fuera del sitio. Los administradores y los usuarios finales pueden recuperar archivos y carpetas cuando usa shadow
copias.
Esta lección le presenta las instantáneas y le muestra cómo configurar una programación de instantáneas.
copias en Windows Server 2012.
• Describir las instantáneas.
• Describir consideraciones para programar instantáneas.
• Identificar métodos para restaurar datos a partir de instantáneas.
• Restaurar datos desde una instantánea.
¿Qué son las instantáneas?
Una instantánea es una imagen estática, o instantánea, de una

conjunto de datos, como un archivo o carpeta. Copias de sombra
proporcionar la capacidad de recuperar archivos y carpetas
basado en instantáneas de unidades de almacenamiento. Después de
se toma una instantánea, puede ver y potencialmente
restaurar versiones anteriores de archivos y carpetas de
esa instantánea.
Una instantánea no hace una copia completa

de todos los archivos para cada instantánea. En cambio, después de un
se toma una instantánea, Windows Server 2012 rastrea
cambios en la unidad. Una cantidad específica de disco
se asigna espacio para rastrear el disco cambiado
bloques. Cuando accede a una versión anterior de un archivo, parte del contenido puede estar en la versión actual
del archivo y algunos podrían estar en la instantánea.
De forma predeterminada, los bloques de disco modificados se almacenan en la misma unidad que el archivo original, pero puede modificar
donde se almacenan. También puede definir cuánto espacio en disco se asigna a las instantáneas. Múltiple
Las instantáneas se retienen hasta que se llena el espacio en disco asignado, después de lo cual, las instantáneas más antiguas se eliminan para
Haga espacio para nuevas instantáneas. La cantidad de espacio en disco que utiliza una instantánea se basa en la cantidad
cambiado en los archivos desde la instantánea anterior.
Debido a que una instantánea no es una copia completa de los archivos, no puede usar instantáneas como reemplazo de
copias de seguridad tradicionales. Si el disco que contiene una unidad se pierde o se daña, las instantáneas de esa unidad se
también perdido.
Las instantáneas son adecuadas para recuperar archivos de datos, pero no para datos más complejos (como bases de datos),
que deben ser lógicamente coherentes antes de realizar una copia de seguridad. Una base de datos desde la que restaure
Es probable que las versiones anteriores estén corruptas y requieran reparaciones en la base de datos.
Página 158
10-16 Implementación de servicios de archivo e impresión
Consideraciones para la programación de instantáneas
El programa predeterminado para crear instantáneas es

Lunes a viernes a las 07:00 AM, y nuevamente
al mediodía. Puede modificar el horario predeterminado como
deseado para su organización.
Al programar instantáneas:
• Considere que aumentar la frecuencia de

instantáneas aumenta la carga en el
servidor. Como práctica recomendada, no debe
programar instantáneas de unidad más de una vez
cada hora.
• Aumentar la frecuencia de las instantáneas para

datos que cambian con frecuencia. Esto aumenta la probabilidad de que una instantánea capture un archivo reciente.
cambios.
• Aumente la frecuencia de las instantáneas de datos importantes. Esto aumenta la probabilidad de que un
La instantánea capturará cambios importantes en el archivo.
Restauración de datos desde una instantánea
Tanto los usuarios como los administradores pueden restaurar

versiones de archivos. Sin embargo, la mayoría de los usuarios desconocen
que pueden hacer esto, y necesitarán
instrucciones sobre cómo restaurar una versión anterior
de un archivo.
Los administradores pueden acceder y restaurar

versiones de archivos directamente en el servidor que almacena
los archivos, mientras que los usuarios pueden acceder y restaurar
versiones anteriores de archivos a través de la red desde un
recurso compartido de archivos. En ambos escenarios, administradores y
los usuarios acceden a versiones anteriores desde el archivo o
cuadro de diálogo Propiedades de la carpeta.
Al ver versiones anteriores de una carpeta, puede examinar los archivos disponibles y seleccionar solo el archivo que
necesitas. Si hay varias versiones de archivos disponibles, puede revisar cada versión antes de decidir cuál
para restaurar. Finalmente, puede copiar una versión anterior de un archivo a una ubicación alternativa en lugar de restaurarlo
a su ubicación anterior. Esto evita sobrescribir la versión actual del archivo.
Los clientes del sistema operativo Windows Vista y Windows 7 pueden acceder a versiones de archivo anteriores sin instalar
cualquier software adicional. Sin embargo, los sistemas operativos Windows anteriores a Windows Vista ya no son compatibles
acceder a versiones de archivos anteriores.
Página 159
Demostración: restauración de datos a partir de una instantánea
Puede crear instantáneas utilizando la programación predeterminada, o puede tomar instantáneas más frecuentes al
modificando el horario. En cualquier caso, verá solo las versiones del archivo que han cambiado desde
se tomó la instantánea anterior. Hacer una instantánea de un archivo que no ha cambiado no tiene
efecto en la instantánea. No hay versiones adicionales disponibles y la instantánea no ocupa espacio para eso.
archivo particular.
• Configurar instantáneas.
• Cree un archivo nuevo.
• Cree una instantánea.
• Modificar el archivo.
• Restaurar la versión anterior.
Configurar instantáneas
1. En LON-SVR1, abra el Explorador de archivos.
2. Active las instantáneas para el disco local (C :) .
Crea un archivo nuevo

1. Abra el Explorador de archivos.
2. Cree una carpeta en la unidad C denominada Datos .
3. Cree un archivo de texto denominado TestFile.txt en la carpeta Datos .
4. Cambie el contenido de TestFile.txt agregando y guardando el texto Versión 1 .
Crea una instantánea

1. En el Explorador de archivos, haga clic con el botón derecho en Disco local (C :) y luego haga clic en Configurar instantáneas .
2. En las instantáneas cuadro de diálogo, haga clic en Crear ahora .
3. Cuando se complete la instantánea, haga clic en Aceptar .
Modifica el archivo
1. Abra TestFile.txt como un documento de Bloc de notas.
2. En el Bloc de notas, escriba Versión 2 .
3. Guarde los cambios.
Restaurar la versión anterior

1. En el Explorador de archivos, haga clic con el botón derecho en TestFile.txt y luego haga clic en Restaurar versiones anteriores .
2. Elija la versión más reciente.
3. En el mensaje ¿Está seguro de que desea restaurar , haga clic en Restaurar ?
4. Abra TestFile.txt y luego verifique que se restaure la versión anterior.
Página 160
Lección 3
Configurar carpetas de trabajo
Cada vez más, los trabajadores de la información quieren utilizar sus propios dispositivos, como teléfonos inteligentes y tabletas, para
acceder a los archivos de datos corporativos mientras está fuera de la oficina. Carpetas de trabajo permite a los usuarios almacenar y acceder a archivos de trabajo
desde cualquier lugar cumpliendo con las políticas corporativas. Las carpetas de trabajo utilizan un nuevo protocolo de sincronización
para sincronizar los datos corporativos con los dispositivos de los usuarios desde un servidor local centralizado. La corporación
La organización aún mantiene el control de los datos mediante la implementación de políticas como el cifrado.
Después de completar la lección, debería poder:
• Describir carpetas de trabajo.
• Analice los beneficios y las limitaciones de las carpetas de trabajo.
• Describir los componentes de Carpetas de trabajo.
• Configurar carpetas de trabajo.
¿Qué es el servicio de roles Carpetas de trabajo?
Carpetas de trabajo es un nuevo servicio de función del archivo y

Función de servicios de almacenamiento y solo está disponible en
Windows Server 2012 R2. Carpetas de trabajo permite
a los usuarios para sincronizar los datos corporativos con todos sus
dispositivos. Cuando un usuario crea o modifica un archivo en
una carpeta de Carpetas de trabajo en cualquier dispositivo o PC, es
replicado automáticamente en el archivo corporativo
recurso compartido de sincronización del servidor a través de Secure Sockets Layer (SSL)
conexiones en el puerto 443. Los cambios en la sincronización
compartir se replican de forma segura a ese usuario
otros dispositivos si esos dispositivos también están configurados
para utilizar Carpetas de trabajo. Un mapa compartido de sincronización a un
ubicación física en el servidor de archivos donde se almacenan los archivos. Se pueden crear nuevas carpetas o carpetas compartidas
mapeado para sincronizar recursos compartidos.
Puede configurar los equipos cliente para que se conecten al recurso compartido de sincronización de forma manual o automática. Una vez el
la computadora cliente está configurada, los usuarios no verán ninguna diferencia entre la carpeta de trabajo y otras carpetas
en el Explorador de archivos. Los usuarios pueden crear archivos y carpetas en la carpeta de trabajo como lo hacen en otra red.
carpetas compartidas. Estos archivos y carpetas se sincronizarán con todos los demás dispositivos configurados para usar Work
Carpetas.
Otros factores a tener en cuenta al trabajar con carpetas de trabajo son:
• Se pueden aplicar políticas de seguridad corporativas a los datos para hacer cumplir el cifrado, bloquear dispositivos y borrar
datos corporativos de dispositivos.
• Las tecnologías de gestión de archivos, como cuotas, filtros de archivos, informes y clasificación, se pueden
aplicado a archivos y carpetas que se encuentran en Carpetas de trabajo.
• Los dispositivos cliente están limitados a una asociación de sincronización por usuario por dispositivo.
Página 161
Cómo los archivos se mantienen sincronizados

Una vez que se establece la asociación de sincronización entre el cliente y el servidor, se crea un directorio de datos.
creado en el volumen NTFS o ReFS del dispositivo. Además, se crea una base de datos de versión oculta y
almacenado en el perfil de usuario. Esta base de datos rastrea los metadatos de los archivos y carpetas almacenados en el trabajo.
carpetas y detecta cuando se producen cambios. Un directorio oculto de preparación de descargas acepta archivos actualizados
desde el servidor de Carpetas de trabajo.
La primera vez que un usuario sincroniza un dispositivo, se crea un directorio de datos y un directorio de etapas de carga en el
servidor para ese usuario. Se crea una base de datos de versión en el recurso compartido de sincronización para cada usuario, y la sincronización
ocurre a través de la detección de cambios en el cliente o por sondeo. El sondeo se produce cada 10 minutos, de forma predeterminada.
Cuando el sondeo detecta un cambio local en un dispositivo, el cliente se conecta al servidor y carga el cambio.
al directorio upload-staging. Luego, el cambio se aplica al directorio de datos del usuario en el servidor. los
el dispositivo cliente siempre inicia la sincronización.
La resolución de conflictos
Si un archivo se edita y se guarda en diferentes dispositivos al mismo tiempo, ambas copias se cargan en el servidor.
y el nombre del dispositivo se agrega a uno de los nombres de archivo. Por ejemplo, un usuario abre, edita y
guarda un archivo llamado Doc1 en la PC de su oficina; luego edita la versión sin conexión en su tableta. Cuando la tableta
sincroniza la versión, el archivo se guarda como el nombre Doc1 de la tableta . Habrá dos versiones del archivo en el
sincronizar compartir.
Copia de seguridad y recuperación

Puede restaurar el archivo de forma selectiva, en el servidor o en el cliente. Carpetas de trabajo ve el archivo restaurado como
otro cambio, y el archivo restaurado se convierte en la versión autorizada que se sincroniza con el otro
dispositivos.
Cuando realice una copia de seguridad de los sistemas cliente, no haga una copia de seguridad de la base de datos de la versión; se reconstruye a sí mismo desde el
servidor.
Para escenarios de desastre del servidor, el escritor del Servicio de instantáneas de volumen (VSS) admite una restauración completa del servidor.
El cliente inicia las sincronizaciones, por lo que la base de datos se actualiza automáticamente después de recibir
actualizaciones de clientes.
Comparación de carpetas de trabajo con almacenamiento basado en la nube

Para organizaciones que desean mantener el almacenamiento de datos en las instalaciones y ya tienen prácticas establecidas
en torno a la gestión y el almacenamiento de datos, Work Folders ofrece una solución que los usuarios encontrarán familiar.
Tecnologías basadas en la nube como Microsoft ® onedrive ™ para Negocios (anteriormente conocido como SkyDrive Pro)
son buenas soluciones para organizaciones que utilizan Microsoft SharePoint ® y necesitan las funciones de colaboración
de Office 365 ® .
Página 162
Beneficios y limitaciones de las carpetas de trabajo
Carpetas de trabajo proporciona varios beneficios que

las tecnologías existentes no ofrecen, pero hay
limitaciones de lo que pueden hacer las carpetas de trabajo.
Beneficios
Carpetas de trabajo ofrece varios beneficios, que incluyen
que es:
• Funciona con dispositivos que están unidos al

dominio y dispositivos que no están unidos al
dominio. Los usuarios deben proporcionar credenciales para
conectarse desde dispositivos que no están unidos a
el dominio.
• Proporciona un único punto de acceso a los archivos de trabajo en el trabajo de un usuario y en las computadoras y dispositivos personales.
• Brinda a los usuarios acceso a archivos de trabajo mientras sus computadoras están fuera de línea.
• Sincroniza archivos para los usuarios la próxima vez que la computadora o dispositivo tenga acceso a Internet o red.
• Se puede implementar junto con tecnologías existentes como la redirección de carpetas y los archivos sin conexión.
• Habilita el cifrado de datos mientras los datos están en tránsito y cuando están en el propio dispositivo.
• Permite a los administradores configurar políticas de seguridad. Estas políticas pueden incluir instruir al usuario
computadoras y dispositivos para encriptar carpetas de trabajo y usar una contraseña de pantalla de bloqueo.
• Puede utilizar tecnologías de gestión de servidor de archivos existentes, como clasificación de archivos y cuotas de carpetas, para
gestionar los datos del usuario.
• Permite el uso de clústeres de conmutación por error para garantizar una alta disponibilidad.
Limitaciones
Carpetas de trabajo tiene limitaciones, incluidas las siguientes:
• Actualmente solo es compatible con Windows Server 2012 R2 y Windows 8.1.
• No permite a los usuarios compartir archivos o carpetas sincronizados con otros usuarios.
• No le permite sincronizar archivos en carpetas de trabajo de forma selectiva. Sincroniza todos los archivos.
• Permite la sincronización de los usuarios solo con su propia carpeta en el servidor de archivos. No pueden sincronizar
a otros archivos compartidos.
Página 163
Componentes de las carpetas de trabajo
Si desea implementar Carpetas de trabajo, existen

requisitos de software específicos y servidor y
componentes del lado del cliente, que debe configurar.
Requisitos de Software
El servicio de rol Carpetas de trabajo requiere
siguiente software para servidores de archivos:
• Un servidor que ejecuta Windows

Server 2012 R2, en el que alojar recursos compartidos de sincronización
y datos del usuario.
• Un volumen formateado con NTFS o ReFS, en

que almacenar archivos de usuario.
• Un certificado de servidor de una autoridad de certificación (CA) en la que confían sus usuarios. Lo mejor es una CA pública.
Para permitir a los usuarios sincronizar a través de Internet, Carpetas de trabajo también requiere que:
• Se puede acceder al servidor de archivos desde Internet.
• Tiene un nombre de dominio registrado públicamente y registros del Sistema de nombres de dominio (DNS) asociados.
Carpetas de trabajo tiene los siguientes requisitos de software para los equipos cliente:
• Windows 8.1
• Windows RT 8.1
• Un volumen formateado con NTFS o ReFS en el que almacenar archivos de usuario
Nota: Windows Server 2012 R2 no puede ser cliente del servicio de función Carpetas de trabajo.
Componentes del servidor

Carpetas de trabajo es un servicio de rol del rol Servicios de archivo y almacenamiento, y puede instalarlo en cualquier edición de
Windows Server 2012 R2 y con cualquier otro rol o programa. Por ejemplo, un controlador de dominio o
El servidor Exchange también puede alojar carpetas de trabajo.
La instalación del servicio de rol Carpetas de trabajo también instala los siguientes roles y servicios de rol:
• El servicio de rol de servidor de archivos
• La función del servidor web (servicios de información de Internet (IIS))
• Servicio de rol de Consola de administración de IIS
• Servicio de rol de IIS Hostable Web Core
Una vez que se instala el servicio de rol, debe crear el recurso compartido de sincronización. Puede crear varios recursos compartidos de sincronización en un
servidor de archivos. Cada uno se asigna a diferentes ubicaciones del sistema de archivos a las que diferentes usuarios y grupos tienen
acceso. Puede definir diferentes políticas para cada recurso compartido.
Componentes del cliente

Windows 8.1 incluye soporte integrado para conectarse y administrar archivos y carpetas de Carpetas de trabajo.
La implementación puede ser manual o automática.
Página 164
Despliegue manual
Se utiliza un elemento integrado en el Panel de control llamado Carpetas de trabajo para proporcionar la dirección de correo electrónico corporativa del usuario.
Esta dirección de correo electrónico se usa para construir la URL para el servidor de Carpetas de trabajo, y esa URL se usa para
conéctese a la carpeta Carpetas de trabajo. Si no hay una dirección de correo electrónico corporativa, puede ingresar la URL
a mano.
Implementación opt-in
Puede entregar la configuración de Carpetas de trabajo mediante la directiva de grupo, la configuración de Microsoft System Center 2012
Manager o Windows Intune ™ . Después de la entrega de la configuración, el usuario puede decidir si quiere
use Carpetas de trabajo en ese dispositivo.
Despliegue obligatorio
Puede entregar la configuración mediante la directiva de grupo, System Center 2012 Configuration Manager o Windows
Afinado. No se requiere ninguna acción por parte del usuario y las carpetas de trabajo se configuran automáticamente en el dispositivo.
Configurar carpetas de trabajo
Hay una serie de pasos tanto en el servidor

y un cliente que debes completar para configurar
Carpetas de trabajo con éxito.
Configuración del servidor

Configura el servidor agregando el trabajo
Servicio de rol de carpetas y luego configurar la sincronización
compartir como se describe en los siguientes pasos:
1. Utilice el Administrador del servidor o Windows PowerShell

para agregar el servicio de rol Carpetas de trabajo y
servicios de rol dependiente.
El siguiente comando de Windows PowerShell

agrega el servicio de rol Carpetas de trabajo:
Add-WindowsFeature FS-SyncShareService
2. Utilice el Asistente para nuevo recurso compartido de sincronización o Windows PowerShell para crear un recurso compartido de sincronización. Debe proporcionar el
siguiente información:
o El nombre del servidor que albergará el recurso compartido de sincronización.
o La ruta al recurso compartido de sincronización. Esta es una ruta a una carpeta local o una carpeta compartida existente en el local.
servidor. Si está utilizando una carpeta compartida existente, también puede acceder a las carpetas de trabajo mediante el
Ruta UNC.
o El formato para nombrar carpetas. Tiene la forma de una dirección de correo electrónico o un alias de usuario. El alias de usuario
es compatible con tecnologías como las carpetas de inicio. También puede especificar que solo una subcarpeta
del recurso compartido de sincronización se sincronizará.
o El nombre del recurso compartido de sincronización. Este es el nombre descriptivo del recurso compartido de sincronización.
o Los nombres de los usuarios o grupos que tendrán acceso al recurso compartido de sincronización. Por defecto, heredado
los permisos en las carpetas de usuario están deshabilitados y el usuario tiene acceso exclusivo a la carpeta,
pero puedes cambiar eso.
o Puede especificar si desea cifrar las carpetas de trabajo y si desea bloquear la pantalla
automáticamente y requiere una contraseña.
Página 165
Si está usando Windows PowerShell, use los cmdlets New-SyncShare y Set-SyncShare para crear y
modificar el recurso compartido de sincronización. El siguiente ejemplo crea un recurso compartido de sincronización denominado SalesShare en la ruta local de
C: \ SalesShare, otorga acceso al grupo de ventas y establece el método de resolución de conflictos para mantener la última
archivo guardado:
New-SyncShare SalesShare -ruta C: \ SalesShare -User Contoso \ Sales -ConflictResolution

KeepLatest
Debe instalar un certificado SSL en la Autoridad de certificación raíz de confianza de la computadora. Lo común
El nombre (CN) del certificado debe coincidir con el nombre de la URL de las carpetas de trabajo. Por ejemplo, si el cliente está haciendo un
solicitud a https://syncsvr.contoso.com, el CN también debe ser https://syncsvr.contoso.com.
Nota: Un solo servidor de archivos puede alojar varios recursos compartidos de sincronización. Para hacer esto, necesita usar un
certificado con varios nombres de host, como un certificado de nombre alternativo del sujeto (SAN).
Configuración del cliente

Puede configurar los clientes manualmente o puede establecer una configuración automática. En cualquier caso, el
La conexión de Carpetas de trabajo utiliza SSL, por lo que los clientes deben confiar en el certificado del servidor. Aunque es posible
use una CA interna, esos certificados generalmente no son confiables para dispositivos que no están unidos al dominio
en cuestión. Por lo tanto, como práctica recomendada, debe adquirir el certificado de servidor de una CA pública.
Lectura adicional: para obtener más información sobre certificados para carpetas de trabajo, consulte
"Gestión de certificados de carpetas de trabajo" en http://go.microsoft.com/fwlink/?LinkID=331094.
Configuración manual
Para configurar el cliente manualmente, los usuarios inician el elemento Carpetas de trabajo en el Panel de control e ingresan su
dirección de correo electrónico corporativo. Esta dirección se usa para construir la URL (por defecto HTTPS: // FQDN) del archivo
servidor, que conecta a los usuarios con las carpetas de trabajo. Si no se puede descubrir la URL mediante el correo electrónico del usuario
dirección, puede ingresarla manualmente.
Configuración automática mediante la política de grupo

Utiliza la directiva de grupo para realizar la configuración automática. Se utilizan las siguientes configuraciones de directiva de grupo.
Ajuste Descripción
Forzar automático Esta opción de configuración de la computadora especifica si se configurarán las carpetas de trabajo
configuración para todos losautomáticamente
usuarios para todos los usuarios de esta computadora. Esto evita que los usuarios
especificando la carpeta local en la que se almacenan los archivos. Carpetas de trabajo usa la configuración
especificado en la configuración de la Política de grupo del usuario para Carpetas de trabajo.
Especificar trabajo Esta opción de configuración de usuario especifica el servidor de Carpetas de trabajo y si
Configuración de carpetas los usuarios pueden cambiar la configuración en equipos unidos a un dominio. Cuando está habilitado, los usuarios
recibir la configuración de la URL de las carpetas de trabajo y se puede evitar manualmente
especificando la carpeta local en la que se almacenan las carpetas de trabajo. La ubicación predeterminada es
% userprofile% \ Carpetas de trabajo.
Nota: Realización de la configuración automática mediante la configuración de System Center 2012

Manager o Windows Intune está fuera del alcance de este curso.
Página 166
Demostración: cómo configurar carpetas de trabajo
• Instale el servicio de función Carpetas de trabajo.
• Cree un recurso compartido de sincronización para carpetas de trabajo en un servidor de archivos.
• Configurar el acceso a la carpeta de trabajo en un cliente de Windows 8.1.
• Cree un archivo en la carpeta de trabajo.
• Configure Carpetas de trabajo para sincronizar datos en un segundo cliente de Windows 8.1.
Instalar el servicio de rol Carpetas de trabajo

• En LON-SVR1, instale el servicio de función Carpetas de trabajo.
Crear un recurso compartido de sincronización en un servidor de archivos

• En el Administrador del servidor, en Servicios de archivo y almacenamiento, use el Asistente para compartir sincronización nueva para crear una nueva sincronización
compartir con los siguientes parámetros:
o Nombre del servidor: LON-SVR1
o Seleccionar por recurso compartido de archivos: Datos
o Estructura de las carpetas de usuario: alias de usuario
o Nombre del recurso compartido de sincronización: WorkFolders
o Otorgar acceso sincronizado a grupos: Usuarios de dominio
o Políticas del dispositivo: Bloquea automáticamente la pantalla y requiere una contraseña
Configurar el acceso a la carpeta de trabajo en un cliente de Windows 8.1

2. Vaya a C: \ Labfiles \ Mod10 y luego ejecute WorkFolders.bat .
Este archivo por lotes agrega una entrada de registro que permite conexiones no seguras a carpetas de trabajo.
3. Abra el Panel de control y luego en Sistema y seguridad, abra el elemento Carpetas de trabajo .
4. Configure las carpetas de trabajo de la siguiente manera:
o Haga clic en Ingresar una URL de carpetas de trabajo en su lugar .
o URL de carpetas de trabajo: http://lon-svr1.adatum.com
Normalmente, esto requiere una conexión segura.
o Ubicación de las carpetas de trabajo: Aceptar predeterminado
o Políticas: acepta las políticas
5. Configure la carpeta Carpetas de trabajo .
6. Abra el Explorador de archivos y observe que ahora hay una carpeta Carpetas de trabajo en la carpeta Esta PC .
Página 167
Crea un archivo en la carpeta de trabajo

• Abra la carpeta Carpetas de trabajo y luego cree un nuevo documento de texto.
Sincronizar datos en una segunda computadora cliente

2. Navegue a C: \ Labfiles \ Mod10 y luego haga doble clic en SetIP.bat .
Esto configura la dirección IP del cliente para que esté en la subred correcta.
3. Repita los pasos 2 a 6 desde el acceso Configurar carpeta de trabajo en una tarea Cliente de Windows 8.1 .
4. Abra la carpeta Carpetas de trabajo y observe que el archivo que creó está disponible en este
computadora.
5. Cierre todas las ventanas abiertas.
6. Utilice Hyper-V ® Manager en la computadora host para revertir 20410D-LON-CL2 .
Página 168
Lección 4
Configuración de la impresión en red
Al utilizar la función Servicios de impresión y documentos en Windows Server 2012, puede compartir impresoras en un
red, centralizando así la gestión de servidores de impresión e impresoras de red. Puede utilizar Print
Consola de administración para monitorear las colas de impresión y recibir notificaciones importantes sobre el servidor de impresión
actividad.
Windows Server 2012 presenta nuevas características y cambios importantes en los servicios de impresión y documentos.
función, que puede utilizar para administrar mejor el entorno de impresión de su red. Esta lección explica el
aspectos importantes de la impresión en red e introduce nuevas funciones de impresión en red que están disponibles en
Windows Server 2012.
Después de completar la lección, debería poder:
• Identificar los beneficios de la impresión en red.
• Describir la función de impresión y punto mejorada.
• Identificar opciones de seguridad para la impresión en red.
• Cree múltiples configuraciones para un dispositivo de impresión.
• Describir la agrupación de impresoras.
• Describir la impresión directa de sucursales.
• Identificar métodos para implementar impresoras en clientes.
Beneficios de la impresión en red
Puede configurar la impresión en red utilizando

Windows Server 2012 como servidor de impresión para usuarios.
En esta configuración, los equipos cliente envían
imprimir trabajos en el servidor de impresión, que luego entrega
el trabajo a una impresora de red.
Beneficios de la impresión en red

• Gestión centralizada. El mayor beneficio
de usar Windows Server 2012 como impresión
El servidor es la gestión centralizada de la impresión.
En lugar de administrar las conexiones del cliente a
muchos dispositivos individuales, gestiona sus
conexión al servidor. Tu instalas la impresora
controladores de forma centralizada en el servidor y luego distribuirlos a las estaciones de trabajo.
• Solución de problemas simplificada. Al instalar controladores de impresora de forma centralizada en un servidor, también simplifica
solución de problemas. Es relativamente fácil determinar si los problemas de impresión son causados por
impresora, servidor o computadora cliente.
• Costos mas bajos. Una impresora de red es más cara que las que se utilizan normalmente para la impresión local, pero
tiene costos de consumibles significativamente más bajos y una impresión de mejor calidad. Por tanto, ahorrarás dinero
en la impresión, porque el costo inicial de la impresora se distribuye entre todos los equipos que se conectan a
esa impresora. Por ejemplo, una sola impresora de red podría dar servicio a 100 usuarios o más.
Página 169
• Búsqueda más sencilla. Puede publicar impresoras de red en AD DS, lo que permite a los usuarios buscar impresoras
en su dominio.
Gestión de impresión empresarial

Puede administrar la impresión para toda la empresa desde Windows Server 2012 Print Management
consola. La consola Print Management proporciona información en tiempo real sobre el estado de las impresoras y
servidores de impresión en la red y pueden enviar notificaciones o ejecutar scripts cuando las impresoras necesitan atención. Con
esta consola puede conectarse y administrar impresoras en servidores de impresión que ejecutan Microsoft Windows 2000
y más alto.
Las herramientas de Servicios de impresión no están instaladas de forma predeterminada. Puede instalar el rol mediante el Administrador del servidor o
Windows PowerShell. Una vez instaladas, las herramientas de Servicios de impresión pueden detectar los dispositivos de impresión que existen en el
misma subred que el servidor de impresión, instale los controladores de impresora adecuados, configure las colas de impresión y comparta la
impresoras. Luego, puede implementar impresoras para usuarios o computadoras a través de Políticas de grupo nuevas o existentes,
directamente desde la consola Print Management.
Lectura adicional: para obtener más información sobre la administración de impresoras, consulte "Imprimir
Guía paso a paso de administración "en http://go.microsoft.com/fwlink/?LinkID=331093 .
¿Qué es Point and Print mejorado?
Point and Print mejorado es una nueva función en

Windows Server 2012 que facilita la
instale controladores para impresoras de red. Punto mejorado
e Imprimir utiliza el nuevo tipo de controlador de la versión 4 (v4)
que se introduce en Windows Server 2012 y
Windows 8.
Comprensión de los controladores V3 y V4

Conductores
El controlador de impresora de Windows estándar que el anterior
versiones de Windows Server utilizadas ha existido en
relativamente la misma forma desde la introducción
de los controladores de la versión 3 (v3) en Microsoft
Sistemas operativos Windows 2000. Con los controladores v3, los fabricantes de impresoras crean controladores de impresión personalizados
para cada dispositivo específico que producen, para garantizar que las aplicaciones de Windows puedan usar todas las
caracteristicas. Con el modelo v3, la gestión de la infraestructura de la impresora requiere que los administradores mantengan
controladores para cada dispositivo de impresión en el entorno y controladores separados de 32 bits y 64 bits para una sola impresión
dispositivo, para soportar ambas plataformas.
Presentación del controlador de impresora V4

Windows Server 2012 y Windows 8 incluyen compatibilidad con controladores de impresión v4, que permiten una impresión mejorada
administración e instalación de controladores de dispositivo. En el modelo v4, los fabricantes de dispositivos de impresión pueden crear
Controladores de clase de impresión que admiten funciones de impresión y lenguaje de impresión similares que pueden ser comunes a un
gran conjunto de dispositivos. Los lenguajes de impresión comunes pueden incluir Printer Control Language (PCL), .ps o XML
Especificación de papel (XPS).
Los controladores V4 generalmente se entregan mediante Windows Update o Windows Software Update Services. diferente a
controladores v3, los controladores v4 no se entregan desde una tienda de impresoras alojada en el servidor de impresión.
Página 170
El modelo de controlador v4 ofrece los siguientes beneficios:
• Compartir una impresora no requiere el aprovisionamiento de controladores que coincidan con la arquitectura del cliente.
• Los archivos de controlador se aíslan por controlador, lo que evita conflictos de nombres de archivos de controlador.
• Un solo controlador puede admitir varios dispositivos.
• Los paquetes de controladores son más pequeños y más optimizados que los controladores v3, lo que resulta en controladores más rápidos
tiempos de instalación.
• Puede implementar el controlador de impresora y la interfaz de usuario de la impresora de forma independiente.
Uso de Point and Print mejorado para la instalación del controlador

En el modelo v4, el uso compartido de la impresora y la instalación del controlador funcionan automáticamente en Enhanced Point
e imprimir. Cuando instala una impresora de red en una computadora cliente, el servidor y el cliente trabajan juntos para
identificar el dispositivo de impresión. A continuación, el controlador se instala directamente desde el almacén de controladores en la máquina cliente, o
desde Windows Update o Windows Software Update Services.
Cuando usa Apuntar e imprimir mejorados, ya no necesita mantener los controladores del dispositivo de impresión en el
servidor de impresión. La instalación del controlador para dispositivos de impresión en red se vuelve más rápida porque los controladores de impresora ya no
deben transferirse a través de la red del servidor al cliente.
Si el almacén de controladores de la máquina cliente no contiene un controlador para la impresora de red que se está
instalado, y si no se puede obtener un controlador apropiado de Windows Update o Windows Server
Update Services (WSUS), Windows utiliza un mecanismo de reserva para habilitar la impresión multiplataforma mediante
el controlador de impresión del servidor de impresión.
Opciones de seguridad para la impresión en red
Cuando una impresora se comparte en una red, muchos

los escenarios no requieren seguridad. La impresora es
considerado de acceso abierto, lo que significa que
todos pueden imprimir en él. Este es el predeterminado
configuración para una impresora que se comparte en un
Servidor de windows.
Los permisos que están disponibles para compartir

la impresión incluye:
• Impresión. Este permiso permite a los usuarios imprimir

documentos en la impresora. Por defecto, este
El permiso se asigna al grupo Todos.
• Administrar esta impresora. Este permiso permite a los usuarios modificar la configuración de la impresora, incluida la actualización
conductores. De forma predeterminada, este permiso se otorga a administradores, operadores de servidor y operadores de impresión.
• Gestionar documentos. Este permiso permite a los usuarios modificar y eliminar trabajos de impresión en la cola. Esta
El permiso se asigna a CREATOR OWNER, lo que significa que el usuario que crea un trabajo de impresión
gestiona ese trabajo. Los administradores, operadores de servidor y operadores de impresión también tienen este permiso para
todos los trabajos de impresión.
Página 171
Demostración: creación de múltiples configuraciones para un dispositivo de impresión

Cuando crea varias configuraciones para un dispositivo de impresión, puede asignar colas de impresión a usuarios específicos
o grupos. Si asigna diferentes prioridades a las colas de impresión, los documentos enviados a las colas de alta prioridad
se imprimirá antes de que los documentos se envíen a las colas de baja prioridad. Por lo tanto, cuando un usuario que tiene un alto
cola de prioridad envía un trabajo a la impresora, el servidor de impresión procesará ese trabajo antes de que lleguen los trabajos
de las colas de menor prioridad.
• Cree una impresora compartida.
• Cree una segunda impresora compartida en el mismo puerto.
• Aumente la prioridad de impresión para una cola de impresión de alta prioridad.
Crea una impresora compartida

1. En LON-SVR1, abra la ventana Dispositivos e impresoras.
2. Agregue una impresora que utilice el puerto local LPT1 y el controlador Brother Color Leg Type1 Class .
3. Nombre la impresora Todos los usuarios .
4. Comparta la impresora utilizando la configuración predeterminada.
Cree una segunda impresora compartida en el mismo puerto

1. En LON-SVR1, abra la ventana Dispositivos e impresoras.
2. Agregue una impresora que utilice el puerto local LPT1 y el controlador Brother Color Leg Type1 Class .
3. Asigne un nombre a los ejecutivos de la impresora .
4. Comparta la impresora utilizando la configuración predeterminada.
Aumente la prioridad de impresión para una cola de impresión de alta prioridad

1. Abra la ventana de propiedades de Executives Printer.
2. Aumente la prioridad a 10 .
¿Qué es la agrupación de impresoras?
La agrupación de impresoras combina múltiples
impresoras en una sola unidad lógica. Al cliente
computadoras, el grupo de impresoras parece ser un
impresora única. Cuando los trabajos se envían al
grupo de impresoras, cualquier impresora disponible en la impresora
pool puede procesarlos.
La agrupación de impresoras aumenta la escalabilidad y

disponibilidad de impresión en red. Si una impresora en
la piscina no está disponible (por ejemplo, de una gran
trabajo de impresión, un atasco de papel o estar fuera de línea), todos los trabajos
se distribuyen al resto de impresoras. Si un
el grupo de impresoras no tiene capacidad suficiente,
puede agregar otra impresora al grupo de impresoras sin realizar ninguna configuración de cliente.
Página 172
Puede crear un grupo de impresoras en un servidor especificando varios puertos para una impresora. Cada puerto es la ubicación de
una impresora física. En la mayoría de los casos, los puertos son una dirección IP en la red, en lugar de un LPT local o
Conexión USB.
Los requisitos para un grupo de impresoras son los siguientes:
• Las impresoras deben utilizar el mismo controlador. Los clientes utilizan un solo controlador de impresora para generar trabajos de impresión. Todas
las impresoras deben aceptar trabajos de impresión en el mismo formato. En muchos casos, esto significa que una sola impresora
modelo se utiliza en una piscina.
• Las impresoras deben estar en la misma ubicación. Las impresoras en un grupo de impresoras deben ubicarse físicamente
muy juntos. Cuando los usuarios recuperan sus trabajos de impresión, deben comprobar todas las impresoras del grupo de impresoras para
encontrar su documento. Los usuarios no tienen forma de saber qué impresora ha impreso su documento.
¿Qué es la impresión directa de sucursales?
La impresión directa de sucursales reduce la

costos para las organizaciones que han centralizado sus
Roles de Windows Server. Cuando habilita Branch
Impresión directa de oficina, los clientes de Windows obtienen
información de la impresora desde el servidor de impresión, pero
envíe los trabajos de impresión directamente a la impresora. los
los datos de impresión no viajan al servidor central
y luego de vuelta a la impresora de la sucursal. Esta
arreglo reduce el tráfico entre el cliente
la computadora, el servidor de impresión y la sucursal
impresora, y da como resultado una mayor eficiencia de la red.
La impresión directa de sucursales es transparente para

usuario. Además, el usuario puede imprimir incluso si el servidor de impresión no está disponible por algún motivo, como que el
El enlace de la red de área amplia (WAN) al centro de datos no funciona. Esto se debe a que la información de la impresora se almacena en caché
en la computadora cliente en la sucursal.
Configuración de la impresión directa de sucursales

Puede configurar la impresión directa de sucursales mediante la consola de administración de impresión o una
Interfaz de línea de comandos de PowerShell.
Para configurar la impresión directa de sucursales desde la consola de administración de impresión, utilice lo siguiente
procedimiento:
1. En el Administrador del servidor, abra la consola de Administración de impresión.
2. En el panel de navegación, expanda Servidores de impresión y luego expanda el servidor de impresión que aloja el
impresora de red para la que está habilitando la impresión directa de sucursales.
3. Haga clic en el nodo Impresoras , haga clic con el botón derecho en la impresora deseada y luego haga clic en Activar Branch Office Direct.
Impresión .
Para configurar la impresión directa de sucursales mediante Windows PowerShell, escriba el siguiente cmdlet en un
Indicador de Windows PowerShell:
Set-Printer -name "< Nombre de impresora aquí >" - ComputerName < Nombre del servidor de impresión aquí >
-RenderingMode BranchOffice
Página 173
Implementación de impresoras en clientes

La implementación de impresoras en los clientes es una parte fundamental de
gestión de servicios de impresión en la red. UNA
Un sistema bien diseñado para implementar impresoras es
escalable y puede gestionar cientos o miles
de computadoras.
Las opciones para implementar impresoras son:
• Preferencias de política de grupo. Puedes usar Group

Preferencias de política para implementar impresoras compartidas
a Windows XP, Windows Vista, Windows 7,
Clientes de Windows 8 y Windows 8.1. Usted puede
asociar la impresora con un usuario o computadora
cuenta y se puede segmentar por grupo. por
En equipos con Windows XP, debe instalar la Extensión de cliente de preferencias de directiva de grupo.
• Objeto de política de grupo (GPO) creado por Print Management. La herramienta administrativa de gestión de impresión
puede agregar impresoras a un GPO para su distribución a los equipos cliente en función de una cuenta de usuario o una
cuenta de computadora. Debe configurar las computadoras con Windows XP para ejecutar PushPrinterConnections.exe.
• Instalación manual. Cada usuario puede agregar impresoras manualmente navegando por la red o usando
el Asistente para agregar impresoras. Es importante tener en cuenta que las impresoras de red que los usuarios instalan manualmente
disponible solo para el usuario que los instaló. Si varios usuarios comparten una computadora, cada uno debe
instale la impresora manualmente.
Impresión fácil
Easy Print es la capacidad para un cliente que accede a un servidor de forma remota utilizando el Escritorio remoto
Programa de conexión o RD Web Access para imprimir en una impresora cliente local desde ese servidor remoto. Se necesita
la forma de un controlador instalado en el servidor y está habilitado de forma predeterminada una vez Conexiones de escritorio remoto
están permitidos o la función de Servicios de escritorio remoto está instalada en el servidor, es decir, no requiere
configuración. Una vez instalada, aparece como una impresora de servidor "redirigida" en la consola de administración de impresión.
y se puede acceder y administrar normalmente en el servidor. Luego, un cliente puede imprimir localmente usando el
Impresora "redirigida".
Página 174
Laboratorio: Implementación de servicios de impresión y archivo
Guión
Su gerente le ha pedido recientemente que configure los servicios de archivo e impresión para la sucursal. Esta
requiere que configure una nueva carpeta compartida que tendrá subcarpetas para varios departamentos,
configurar instantáneas en los servidores de archivos y configurar un grupo de impresoras.
Además, muchos usuarios quieren poder trabajar en sus archivos de datos mientras están fuera de la oficina y
trabajando en dispositivos como tabletas basadas en Windows RT. Debe asegurarse de que estos usuarios puedan
acceder a sus archivos de datos relacionados con el trabajo desde otras ubicaciones cuando esté desconectado.
Objetivos
Después de realizar esta práctica de laboratorio, debería poder:
• Crear y configurar un archivo compartido.
• Configurar instantáneas.
• Activar y configurar Carpetas de trabajo.
• Crear y configurar un grupo de impresoras.
Maquinas virtuales 20410D ‑ LON ‑ CL1

20410D-LON-DC1
20410D ‑ LON ‑ SVR1
2. En Hyper-V Manager, haga clic en 20410D-LON-DC1 , y luego en el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar .
Espere hasta que se inicie la máquina virtual.
o Dominio: Adatum
6. Repita los pasos 2 y 3 para 20410D-LON-CL1 . No inicie sesión en LON-CL1 hasta que se le indique.
Página 175
Ejercicio 1: creación y configuración de un recurso compartido de archivos

Guión
Su gerente le ha pedido que cree una nueva carpeta compartida, que usarán todos los departamentos. Habrá una
un solo archivo compartido, con carpetas separadas, para cada departamento. Para asegurarse de que los usuarios vean solo las carpetas y
archivos a los que tienen acceso, debe establecer los permisos de archivo en las carpetas departamentales y
habilitar la enumeración basada en el acceso en el recurso compartido.
Ha habido problemas en otras sucursales con varias versiones de archivos cuando los archivos sin conexión
utilizado para estructuras de datos compartidas. Para evitar estos conflictos, debe deshabilitar los archivos sin conexión para este recurso compartido.
1. Cree la estructura de carpetas para el nuevo recurso compartido.
2. Configure los permisos de archivo en la estructura de carpetas.
3. Cree la carpeta compartida.
4. Pruebe el acceso a la carpeta compartida.
5. Habilite la enumeración basada en acceso.
6. Pruebe el acceso al recurso compartido.
7. Deshabilite los archivos sin conexión para el recurso compartido.
▶ Tarea 1: Cree la estructura de carpetas para el nuevo recurso compartido

• En LON-SVR1, abra el Explorador de archivos y cree las siguientes carpetas:
o E: \ Datos
o E: \ Datos \ Desarrollo
o E: \ Datos \ Marketing
▶ Tarea 2: configurar permisos de archivo en la estructura de carpetas

1. En el Explorador de archivos, bloquee la herencia de permisos de archivo para E: \ Data \ Development y
E: \ Data \ Marketing y, cuando se le solicite, convierta los permisos heredados en permisos explícitos.
2. En el Explorador de archivos, elimine los permisos para LON-SVR1 \ Users en E: \ Data \ Development y
E: \ Datos \ Marketing .
3. En el Explorador de archivos, agregue los siguientes permisos de archivo para la estructura de carpetas.
Carpeta Permisos
E: \ Datos Ningún cambio
E: \ Datos \ Desarrollo Modificar: Adatum \ Development
E: \ Datos \ Marketing Modificar: Adatum \ Marketing
▶ Tarea 3: Cree la carpeta compartida

1. En el Explorador de archivos, comparta la carpeta E: \ Data .
2. Asigne los siguientes permisos a la carpeta compartida:
o Cambio: Adatum \ Usuarios autenticados
Página 176
▶ Tarea 4: probar el acceso a la carpeta compartida

1. Inicie sesión en LON-CL1 como Adatum \ Bernard con la contraseña Pa $$ w0rd .
Observe que Bernard es miembro del grupo Desarrollo.
3. Navegue hasta \\ LON-SVR1 \ Data .
4. Intente abrir las carpetas Desarrollo y Marketing .
Bernard debería tener acceso a la carpeta Desarrollo. Sin embargo, aunque Bernard todavía puede ver el
Carpeta de marketing, no tiene acceso a su contenido.
5. Salga de LON-CL1.
▶ Tarea 5: habilitar la enumeración basada en el acceso

3. Haga clic en Servicios de archivo y almacenamiento .
4. Haga clic en Recursos compartidos .
5. Abra el cuadro de diálogo Propiedades para el recurso compartido de datos y, a continuación, en la página Configuración , habilite
Enumeración basada en acceso .
▶ Tarea 6: probar el acceso al recurso compartido

1. Inicie sesión en LON-CL1 como Adatum \ Bernard con la contraseña Pa $$ w0rd .
2. Abra el Explorador de archivos y luego navegue hasta \\ LON-SVR1 \ Data .
Bernard ahora puede ver solo la carpeta Desarrollo, la carpeta para la que tiene permisos.
3. Abra la carpeta Desarrollo para confirmar el acceso.
4. Cierre sesión en LON-CL1.
▶ Tarea 7: deshabilite los archivos sin conexión para compartir

3. vaya a la unidad E .
4. Abra el cuadro de diálogo Propiedades de la carpeta Datos y luego desactive el almacenamiento en caché de archivos sin conexión.
Resultados : después de completar este ejercicio, habrá creado una nueva carpeta compartida para que la utilicen varios
departamentos.
Página 177
Ejercicio 2: configuración de instantáneas

Guión
R. Datum Corporation almacena copias de seguridad diarias fuera del sitio para la recuperación de desastres. Cada mañana, la copia de seguridad de
la noche anterior se toma fuera del sitio. Para recuperar un archivo de la copia de seguridad, las cintas de copia de seguridad deben enviarse
en el sitio, por lo que el tiempo total para recuperar un archivo de la copia de seguridad puede ser de un día o más.
Su gerente le ha pedido que habilite las instantáneas en el servidor de archivos para que pueda restaurar recientemente
archivos modificados o eliminados sin utilizar una cinta de respaldo. Porque los datos en esta sucursal cambian
con frecuencia, creará una instantánea una vez por hora.
1. Configure instantáneas para el recurso compartido de archivos.
2. Cree varias instantáneas de un archivo.
3. Recupere un archivo eliminado de una instantánea.
▶ Tarea 1: configurar instantáneas para el recurso compartido de archivos

1. En LON-SVR1.
3. Navegue hasta la unidad E, haga clic con el botón derecho en Todos los archivos (E :) y luego haga clic en Configurar instantáneas .
4. Habilite las instantáneas para la unidad E.
5. Configure los ajustes para programar instantáneas por hora para la unidad E.
▶ Tarea 2: Cree múltiples instantáneas de un archivo

1. En LON-SVR1, cambie al Explorador de archivos y luego navegue hasta E: \ Data \ Development .
2. Cree un nuevo archivo de texto llamado Report.txt .
3. Vuelva al cuadro de diálogo Propiedades de Allfiles (E :) . Debería abrirse en las instantáneas.

lengüeta. Haga clic en Crear ahora .
▶ Tarea 3: recuperar un archivo eliminado de una instantánea

1. En LON-SVR1, vuelva al Explorador de archivos.
2. Elimine el archivo Report.txt .
3. Abra el cuadro de diálogo Propiedades para E: \ Datos \ Desarrollo y luego haga clic en Versiones anteriores.
lengüeta.
4. Abra la versión más reciente de la carpeta Desarrollo y luego copie el archivo Report.txt .
5. Vuelva a pegar el archivo en la carpeta Desarrollo .
6. Cierre el Explorador de archivos y todas las ventanas abiertas.
Resultados : Después de completar este ejercicio, habrá habilitado las instantáneas en el servidor de archivos.
Página 178
Ejercicio 3: habilitación y configuración de carpetas de trabajo

Guión
Debe habilitar y configurar Carpetas de trabajo para cumplir con los requisitos de sus usuarios. Usuarios de dominio
tienen sus propios dispositivos de tableta con Windows 8.1 y Windows RT 8.1 y desean acceder a sus datos de trabajo desde
en cualquier sitio. Cuando regresen al trabajo, quieren poder sincronizar estos archivos de datos. Usarás
Política de grupo para forzar la configuración de Carpetas de trabajo a los usuarios y probar la configuración.
1. Instale el servicio de función Carpetas de trabajo.
2. Cree un recurso compartido de sincronización en el servidor de archivos.
3. Automatice la configuración de los usuarios mediante la política de grupo.
4. Pruebe la sincronización.
▶ Tarea 1: Instale el servicio de función Carpetas de trabajo

• En LON-SVR1, use Windows PowerShell para ejecutar el siguiente comando para instalar las Carpetas de trabajo
servicio de rol:
Add-WindowsFeature FS-SyncShareService
Tenga en cuenta que el nombre de la función distingue entre mayúsculas y minúsculas.
▶ Tarea 2: Cree un recurso compartido de sincronización en el servidor de archivos

1. En LON-SVR1, use Windows PowerShell para ejecutar el siguiente comando para crear el recurso compartido de sincronización
llamado Corp :
New-SyncShare Corp - ruta C: \ CorpData - Usuario "Adatum \ Usuarios de dominio"
2. Abra el Administrador del servidor y luego vea las Carpetas de trabajo para asegurarse de que se creó el recurso compartido de sincronización.
▶ Tarea 3: Automatizar la configuración de los usuarios mediante la política de grupo

1. En LON-DC1, cree un GPO llamado Carpetas de trabajo y luego vincúlelo al dominio Adatum.com .
2. Edite el GPO Carpetas de trabajo , de la siguiente manera:
o Vaya a Configuración de usuario \ Políticas \ Plantillas administrativas \ Componentes de Windows

\ Carpetas de trabajo .
o Habilite la política de configuración Especificar carpetas de trabajo y luego especifique la URL de las carpetas de trabajo como
http://lon-svr1.Adatum.com .
o Seleccione Forzar configuración automática para forzar la configuración automática.
3. Cierre todas las ventanas abiertas.
▶ Tarea 4: Probar la sincronización

2. Utilice el Explorador de archivos para navegar a C: \ Labfiles \ Mod10 y luego haga doble clic en WorkFolders.bat .
Esto agrega una entrada de registro para permitir conexiones no seguras a las carpetas de trabajo.
3. Cierre sesión en LON-CL1.
4. Inicie sesión en LON-CL1 como Adatum \ Administrator .
Página 179
5. En el Explorador de archivos, abra Carpetas de trabajo y luego cree un nuevo documento de texto llamado TestFile2 .
6. Cambie a LON-SVR1 y luego use el Explorador de archivos para abrir C: \ CorpData \ Administrator .
Asegúrese de que exista el nuevo archivo de texto que creó.
Resultados : Después de completar este ejercicio, habrá instalado el servicio de rol Carpetas de trabajo, creado un
sincronizar compartir y crear un GPO para entregar la configuración a los usuarios automáticamente. Además,
han probado los ajustes.
Ejercicio 4: creación y configuración de un grupo de impresoras

Guión
Su gerente le ha pedido que cree una nueva impresora compartida para su sucursal. Sin embargo, en lugar de
Al crear la impresora compartida en el servidor local de la sucursal, le ha pedido que cree la impresora compartida.
impresora en la oficina central y utilice la impresión directa de sucursales. Esto permite a las personas de la oficina central
administrar la impresora, pero evita que los trabajos de impresión atraviesen enlaces WAN.
Para garantizar una alta disponibilidad de esta impresora, debe formatearla como una impresora agrupada. Dos impresiones físicas
En la sucursal se han instalado dispositivos del mismo modelo para este fin.
1. Instale la función del servidor Servicios de impresión y documentos.
2. Instale una impresora.
3. Configure la agrupación de impresoras.
4. Instale una impresora en una computadora cliente.
▶ Tarea 1: Instale la función del servidor Servicios de impresión y documentos

2. Instale la función Servicios de impresión y documentos y luego acepte la configuración predeterminada.
▶ Tarea 2: Instale una impresora

1. En LON-SVR1, use la consola de administración de impresión para instalar una impresora con los siguientes parámetros:
o Dirección IP: 172.16.0.200
o Controlador: controlador de clase Microsoft XPS
o Nombre: Impresora de la sucursal
2. Comparta la impresora.
3. Incluya la impresora en AD DS.
4. Habilite la impresión directa de sucursales.
Página 180
▶ Tarea 3: Configurar la agrupación de impresoras

1. En LON-SVR1, en la consola de administración de impresión, cree un nuevo puerto con la siguiente configuración:
o Tipo: puerto TCP / IP estándar
o Dirección IP: 172.16.0.201
o Conexión: Tarjeta de red genérica
2. Abra el cuadro de diálogo Propiedades de la impresora de la sucursal y luego, en la pestaña Puertos , active la impresora.
agrupación.
3. Seleccione el puerto 172.16.0.201 como segundo puerto.
▶ Tarea 4: Instale una impresora en una computadora cliente
• En LON-CL1, agregue una impresora seleccionando la Impresora de sucursal en la impresora LON-SVR1 .
Resultados : después de completar este ejercicio, habrá instalado la función del servidor Servicios de impresión y documentos
e instalé una impresora con agrupación de impresoras.

Pregunta: ¿Cómo beneficia la implementación de la enumeración basada en el acceso a los usuarios de los datos?
carpeta compartida en este laboratorio?
Pregunta: ¿Existe otra forma de recuperar el archivo en el ejercicio de instantánea? Qué

¿Qué ventajas ofrecen las instantáneas en comparación?
Pregunta: En el ejercicio 3, ¿cómo podría configurar la impresión directa de sucursal si estuviera en

una ubicación remota y no tenía acceso a la GUI de Windows Server 2012 para la impresión
¿servidor?

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial. Para hacer esto, complete lo siguiente
pasos.
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-SVR1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-CL1 y 20410D-LON-DC1 .
Página 181

Pregunta: ¿Cómo afecta la herencia a los permisos asignados explícitamente en un archivo?
Pregunta: ¿Por qué no debería utilizar instantáneas como medio para realizar copias de seguridad de datos?
Pregunta: ¿ En qué situaciones podría resultar beneficiosa la impresión directa de sucursales?
Herramientas
Herramienta Usado para Donde encontrarlo
Herramienta de acceso efectivo Evaluación de permisos combinados En Avanzado, en la pestaña Seguridad

para un archivo, carpeta o carpeta compartida del cuadro de diálogo Propiedades de un archivo,
carpeta o carpeta compartida
participación neta Configuración de Windows Server 2012 Ventana de símbolo del sistema
herramienta de línea de comandoscomponentes de red
Gestión de impresión Gestión del entorno de impresión El menú Herramientas en el Administrador del servidor
consola en Windows Server 2012
Página 182
Página 183
11-1
Módulo 11
Implementación de la política de grupo
Contenido:
Lección 1: Descripción general de la directiva de grupo 11-2
Lección 2: Procesamiento de políticas de grupo 11-9
Lección 3: Implementación de un almacén central para plantillas administrativas 11-16
Laboratorio: Implementación de políticas de grupo 11-20

Mantener un entorno informático coherente en toda una organización es un desafío. Administradores
necesitan un mecanismo para configurar y hacer cumplir las configuraciones y restricciones del usuario y del equipo. La directiva de grupo puede
proporcione esa coherencia al permitir que los administradores administren y apliquen los ajustes de configuración de forma centralizada.
Este módulo proporciona una descripción general de la Política de grupo y proporciona detalles sobre cómo implementar
Política.
Objetivos
• Crear y administrar objetos de política de grupo (GPO).
• Describir el procesamiento de políticas de grupo.
• Implementar un almacén central para plantillas administrativas.
Página 184
11-2 Implementación de la política de grupo
Lección 1
Descripción general de la política de grupo
Puede utilizar la directiva de grupo para controlar la configuración del entorno informático. Es importante
comprender cómo funciona la Política de grupo, para que pueda aplicar la Política de grupo correctamente. Esta lección proporciona una
descripción general de la estructura de la directiva de grupo y define los GPO locales y basados en dominios. También describe los tipos
de configuraciones disponibles para usuarios y grupos.
• Describir los componentes de la Política de grupo.
• Describir varios GPO locales.
• Describir las opciones de almacenamiento para los GPO de dominio.
• Describir las políticas y preferencias de GPO.
• Describir los GPO iniciales.
• Describir el proceso de delegación de la gestión de GPO.
• Describir el proceso de creación y gestión de GPO.
Componentes de la directiva de grupo
Las opciones de directiva de grupo son opciones de configuración

que permiten a los administradores hacer cumplir la configuración
modificar el específico del ordenador y el específico del usuario
configuración del registro en equipos basados en dominios. usted
puede agrupar la configuración de la directiva de grupo para hacer
GPO, que luego puede aplicar a los usuarios o
ordenadores.
GPO
Un GPO es un objeto que contiene uno o más
ajustes de política que aplican ajustes de configuración para
usuarios, computadoras o ambos. Las plantillas de GPO son
almacenados en SYSVOL, y los objetos de contenedor de GPO son
almacenada en Active Directory ® servicios de dominio (AD DS). Puede administrar GPO mediante la directiva de grupo
Consola de administración (GPMC). Dentro de la GPMC, puede abrir y editar un GPO utilizando la Política de grupo
Ventana del Editor de administración. Los GPO están vinculados a los contenedores de Active Directory y aplican la configuración al
objetos en esos contenedores.
Configuración de políticas de grupo

Una configuración de directiva de grupo es el componente más granular de la directiva de grupo. Define una configuración específica
configuración para aplicar a un objeto (una computadora, un usuario o ambos) dentro de AD DS. La directiva de grupo tiene miles de
ajustes configurables. Esta configuración puede afectar a casi todas las áreas del entorno informático.
Sin embargo, no se puede aplicar todos los ajustes a todas las versiones de Windows Server ® y Windows ® operativo
sistemas. Cada nueva versión introduce nuevas configuraciones y capacidades que solo se aplican a esa versión específica.
Si una computadora tiene aplicada una configuración de directiva de grupo que no puede procesar, simplemente ignora la configuración.
Página 185
La mayoría de las configuraciones de políticas tienen tres estados:
• No configurado. El GPO no modifica la configuración existente de la configuración particular para el

usuario o computadora.
• Habilitado. Se aplica la configuración de política.
• Discapacitado. La configuración de la política se invierte.
De forma predeterminada, la mayoría de las configuraciones están configuradas como No configuradas.
Nota: Algunas configuraciones son de varios valores o tienen valores de cadena de texto, y puede usarlas para
proporcionar detalles de configuración específicos para aplicaciones o componentes del sistema operativo. Por ejemplo, un
configuración puede proporcionar la dirección URL de la página principal que Windows Internet Explorer ® usos o la
ruta a las aplicaciones bloqueadas.
El efecto de un cambio de configuración depende de la configuración de la política. Por ejemplo, si habilita el

Prohibir el acceso a la configuración de política del Panel de control, los usuarios no pueden abrir el Panel de control. Si deshabilita la política
configuración, se asegura de que los usuarios puedan abrir el Panel de control. Observe el doble negativo en esta configuración de política.
Desactiva una política que evita una acción, permitiendo así la acción.
Estructura de configuración de directiva de grupo

Hay dos áreas distintas de la configuración de la directiva de grupo:
• Ajustes de usuario. La configuración que modifica el subárbol de usuario actual de HKey del registro.
• Configuración de la computadora. La configuración que modifica el subárbol de la máquina local HKEY del registro.
Las configuraciones de usuario y computadora tienen cada una tres áreas de configuración, que se describen en la siguiente tabla.
Sección Descripción
Configuraciones de software Contienen configuraciones de software que puede implementar para el usuario o el
computadora. El software que implementa para un usuario es específico para ese usuario.
El software que implementa en la computadora está disponible para todos los usuarios de ese
computadora.
Sistema operativo Windows Contienen configuraciones de script y configuraciones de seguridad tanto para el usuario como para la computadora,
ajustes y la configuración de mantenimiento de Internet Explorer para la configuración del usuario.
Plantillas Administrativas Contiene cientos de configuraciones que modifican el registro para controlar varios
aspectos del usuario y del entorno informático. Microsoft ® u otro
los proveedores pueden crear nuevas plantillas administrativas, como Microsoft
Plantillas de Office, que puede descargar desde el sitio web de Microsoft,
y luego agregar al Editor de administración de políticas de grupo.
Ventana del editor de administración de políticas de grupo

La ventana del Editor de administración de políticas de grupo muestra la configuración de la política de grupo individual que se
disponible en un GPO. La ventana muestra la configuración en una jerarquía organizada que comienza con el
división entre la configuración de la computadora y la del usuario, y luego se expande para mostrar la configuración de la computadora y
Nodos de configuración de usuario. La ventana Editor de administración de políticas de grupo es donde se configuran todos los
Configuración de políticas y preferencias.
Preferencias de directiva de grupo

Un nodo Preferencias está presente en los nodos Configuración del equipo y Configuración del usuario en
la ventana del Editor de administración de políticas de grupo. El nodo Preferencias proporciona aún más capacidades con
cuáles configurar el entorno, y una sección posterior de este módulo los detalla.
Página 186
Política de grupo local

Todos los sistemas que ejecutan sistemas operativos cliente o servidor Microsoft Windows también tienen
GPO locales. La configuración de la política local solo se aplica a la máquina local, pero puede exportarla e importarla a
otras computadoras.
Nuevo en Windows Server 2012 R2

Windows Server 2012 R2 ofrece varias configuraciones y características de directiva de grupo nuevas o actualizadas para computadoras
que ejecutan Windows Server ® 2012 R2 o Windows ® 8.1. Estas configuraciones y características incluyen:
• Procesamiento más rápido mediante la configuración de caché de directivas de grupo. Estas nuevas configuraciones permiten que las computadoras
depender de un caché local de un GPO cuando se ejecuta en modo síncrono, que es el modo predeterminado para
Procesamiento de políticas de grupo.
• Mayor soporte para IPv6. La nueva configuración del Protocolo de Internet versión 6 (IPv6) incluye la capacidad de
Impresoras IPv6 y conexiones de red privada virtual (VPN) IPv6 a computadoras. Además, item-
La segmentación por nivel está disponible para IPv6.
• Registro extendido para operaciones de políticas de grupo. El registro de eventos operativos de la directiva de grupo contiene más
detalles de los eventos operativos, incluida la duración del tiempo de procesamiento y la cantidad de tiempo para
descarga de políticas, que las versiones anteriores. Este registro está disponible en Visor de eventos \ Aplicaciones y
Servicios \ Microsoft \ Windows \ GroupPolicy \ Operational.
• Muchas configuraciones nuevas para Windows 8.1 y Windows Server 2012 R2, incluidas configuraciones para administrar
el diseño de la pantalla de Inicio, la configuración de accesos y la personalización de los colores de fondo.
Almacenamiento de GPO de dominio
Un GPO se compone de dos componentes: una plantilla de directiva de grupo y un contenedor de directiva de grupo.
Plantilla de directiva de grupo

Las plantillas de directiva de grupo son la colección real de configuraciones que puede cambiar. La política de grupo
La plantilla incluye archivos que se almacenan en el SYSVOL de cada controlador de dominio. SYSVOL está en el
% SystemRoot% \ SYSVOL \ Domain \ Policies \ GPOGUID ruta, donde GPOGUID es el único global
identificador (GUID) del contenedor de políticas de grupo. Cuando crea un GPO, se crea una nueva plantilla de directiva de grupo.
creado en la carpeta SYSVOL y se crea un nuevo contenedor de directiva de grupo en AD DS.
Contenedor de políticas de grupo

El contenedor de directiva de grupo es un objeto de Active Directory que se almacena en la base de datos de Active Directory.
Cada contenedor de directiva de grupo incluye un atributo GUID que identifica el objeto de forma única dentro de AD DS.
El contenedor de directiva de grupo define los atributos básicos del GPO, como vínculos y números de versión, pero
no contiene ninguna de las configuraciones.
De forma predeterminada, durante la actualización de una directiva de grupo, las extensiones del lado del cliente de la directiva de grupo solo aplican la configuración de GPO
si el GPO se ha actualizado.
El cliente de directiva de grupo puede identificar un GPO actualizado por su número de versión. Un GPO tiene un número de versión
que aumenta cuando se produce un cambio en la configuración de GPO. El número de versión de GPO se almacena como un atributo de
el contenedor de políticas de grupo. Además, se almacena en un archivo de texto llamado GPT.ini, en la Política de grupo
Carpeta de plantillas. El cliente de directiva de grupo conoce el número de versión de cada GPO que ha aplicado
previamente. Si, durante la actualización de la política de grupo, el cliente de la política de grupo establece que el número de versión de
el contenedor de directiva de grupo ha cambiado, notifica a las extensiones del lado del cliente que el GPO ha sido
actualizado.
Al editar un GPO, la versión que está editando es la versión del controlador de dominio que tiene la
Controlador de dominio primario (PDC) emulador de operaciones de maestro único flexible, o función FSMO. No es asi
Página 187
Independientemente de la computadora que esté utilizando para realizar la edición, la GPMC se centra en el emulador de PDC al
defecto. Sin embargo, puede cambiar el enfoque de la GPMC para editar una versión en un dominio diferente
controlador.
¿Qué son las preferencias de directiva de grupo?
Las preferencias de la directiva de grupo son una función de directiva de grupo, que incluye más de 20 extensiones de directiva de grupo
que amplían la gama de ajustes configurables de un GPO. Configurar estas preferencias ayuda a reducir la necesidad
para scripts de inicio de sesión.
Características de las preferencias

Preferencias de política de grupo:
• Existen tanto para computadoras como para usuarios.
• No se aplican, a diferencia de la configuración de la directiva de grupo. Los usuarios pueden cambiar las configuraciones que estos
las preferencias establecen.
• Se puede administrar a través de las Herramientas de administración de servidor remoto (RSAT).
• Se puede aplicar solo una vez al inicio o durante el inicio de sesión y se puede actualizar a intervalos.
• No se eliminan cuando el GPO ya no se aplica, a diferencia de la configuración de la directiva de grupo. Sin embargo, puedes
cambiar este comportamiento.
• Permitirle dirigirse a ciertos usuarios o computadoras mediante el uso de una variedad de métodos, como por el usuario
pertenencia al grupo de seguridad o por la versión del sistema operativo.
• No están disponibles para GPO locales.
• No tiene una interfaz de usuario deshabilitada, a diferencia de una configuración de directiva de grupo.
Usos comunes de las preferencias de directiva de grupo

Puede configurar muchas opciones a través de las preferencias de la Política de grupo. Sin embargo, los usos comunes de
La configuración de las preferencias de la Política de grupo incluye:
• Mapear unidades de red para usuarios.
• Configurar accesos directos de escritorio para usuarios o computadoras.
• Establecer variables de entorno.
• Impresoras de mapas.
• Establecer opciones de energía.
• Configurar los menús de inicio.
• Configurar fuentes de datos.
• Configurar las opciones de Internet.
• Programar tareas.
¿Qué son los GPO iniciales?
Los GPO iniciales son plantillas que ayudan en la creación de GPO. Al crear nuevos GPO, puede elegir
para utilizar un GPO de inicio como fuente. Esto hace que sea más fácil y rápido crear varios GPO con el mismo
configuración de línea de base.
Página 188
Configuraciones disponibles
Los GPO de inicio contienen configuraciones solo del nodo Plantillas administrativas del Usuario
Sección Configuración o la sección Configuración del equipo. La configuración del software y Windows
Los nodos de configuración de la directiva de grupo no están disponibles, porque estos nodos implican la interacción de servicios y
son más complejos y dependientes del dominio.
Exportación de GPO iniciales

Puede exportar los GPO de inicio a un archivo contenedor (.cab) y luego cargar ese archivo .cab en otro entorno
que es completamente independiente del dominio o bosque de origen. Al exportar un GPO de inicio, puede enviar
el archivo .cab a otros administradores, que pueden usarlo en otras áreas. Por ejemplo, puede crear un GPO
que define la configuración de seguridad de Internet Explorer. Si desea que todos los sitios y dominios utilicen el mismo
configuración, puede exportar el GPO de inicio a un archivo .cab y luego distribuirlo.
Cuándo usar los GPO iniciales

La situación más común en la que usaría un GPO de inicio es cuando desea un grupo de configuraciones
para un tipo de función informática. Por ejemplo, es posible que desee que todas las computadoras portátiles corporativas tengan el mismo escritorio
restricciones, o es posible que desee que todos los servidores de archivos tengan la misma configuración de directiva de grupo de referencia, pero
desea habilitar variaciones para diferentes departamentos.
GPO de inicio incluidos

La GPMC incluye un enlace para crear una carpeta de inicio GPO, que contiene una serie de iniciadores predefinidos
GPO. Estas políticas proporcionan configuraciones preconfiguradas y orientadas a la seguridad para los clientes empresariales (EC), en
además de los clientes de seguridad especializada-funcionalidad limitada (SSLF) para la configuración del usuario y la computadora
en Windows Vista ® y Windows XP con Service Pack 2 (SP2) de los sistemas operativos. Puedes usar estos
políticas como puntos de partida al diseñar políticas de seguridad.
Delegación de la gestión de GPO
Los administradores pueden delegar algunas de las tareas administrativas de la Política de grupo a otros usuarios. Estos usuarios hacen
no tener que ser administradores de dominio; pueden ser usuarios a los que se les otorgan ciertos derechos sobre los GPO.
Por ejemplo, un usuario que gestiona una unidad organizativa (OU) en particular podría tener la tarea de realizar
tareas de informes y análisis, mientras que el grupo de la mesa de ayuda puede editar los GPO para esa OU. Un tercio
grupo formado por desarrolladores podría supervisar la creación del Instrumental de administración de Windows
(WMI) filtros.
Las siguientes tareas administrativas de la directiva de grupo se pueden delegar de forma independiente:
• Creación de GPO, incluida la creación de GPO iniciales
• Edición de GPO
• Administrar enlaces de políticas de grupo para un sitio, dominio u OU
• Realización de análisis de modelado de políticas de grupo
• Leer datos de resultados de políticas de grupo
• Creación de filtros WMI
Los miembros del grupo Propietarios del creador de políticas de grupo pueden crear nuevos GPO y editar o eliminar GPO que
ellos han creado.
Página 189
Permisos predeterminados de la política de grupo

De forma predeterminada, los siguientes usuarios y grupos tienen acceso completo para administrar la Política de grupo:
• Administradores de dominio
• Administradores de empresas
• Creador proprietario
• Sistema local
El grupo de usuarios autenticados solo tiene permisos de lectura y aplicación de políticas de grupo.
Permisos para crear GPO

De forma predeterminada, solo los administradores de dominio, los administradores de empresas y los propietarios de creadores de políticas de grupo pueden crear
GPO. Puede utilizar dos métodos para otorgar este derecho a un grupo o usuario:
• Agregar el usuario al grupo Propietarios del creador de políticas de grupo
• Otorgue explícitamente al grupo o al usuario permiso para crear GPO mediante GPMC
Permisos para editar GPO

Para editar un GPO, el usuario debe tener acceso de lectura y escritura al GPO. Puedes conceder este permiso
mediante el uso de GPMC.
Administrar enlaces de GPO

La capacidad de vincular GPO a un contenedor es un permiso específico de ese contenedor. En la GPMC,
puede administrar este permiso utilizando la pestaña Delegación en el contenedor. También puedes delegarlo
mediante el Asistente para delegación de control en usuarios y equipos de Active Directory.
Modelado de políticas de grupo y resultados de políticas de grupo

Puede delegar la capacidad de utilizar las herramientas de informes a través de la GPMC o mediante la
Asistente para delegación de control en usuarios y equipos de Active Directory.
Creación de filtros WMI

Puede delegar la capacidad de crear y administrar filtros WMI a través de GPMC o mediante el
Asistente para delegación de control en usuarios y equipos de Active Directory.
Demostración: creación y administración de GPO
• Cree un GPO utilizando GPMC.
• Edite un GPO en la ventana Editor de administración de políticas de grupo.
• Utilice Windows PowerShell ® para crear un GPO.
Crear un GPO mediante GPMC

• Inicie sesión en LON-DC1 como administrador con la contraseña Pa $$ w0rd y cree una política denominada
Prohibir Windows Messenger .
Página 190
Edite un GPO en la ventana Editor de administración de políticas de grupo
1. Edite la política para prohibir el uso de Windows Messenger.
2. Vincule el GPO Prohibir Windows Messenger al dominio.
Use Windows PowerShell ® para crear un GPO llamado Desktop Lockdown

• En Windows PowerShell, importe el módulo de políticas de grupo y luego use el siguiente GPO nuevo
cmdlet:
New-GPO: nombre "Bloqueo de escritorio"
Página 191
Lección 2
Procesamiento de políticas de grupo
Comprender cómo se aplica la política de grupo es la clave para poder desarrollar una estrategia de política de grupo.
Esta lección le muestra cómo la directiva de grupo se asocia con los objetos de Active Directory, cómo se procesa,
y cómo controlar la aplicación de la Política de grupo. Después de crear los GPO y configurar los ajustes
que desea aplicar, debe vincularlos a los contenedores. Los GPO se aplican en un orden específico, y esto
El orden puede determinar qué configuraciones se aplican a los objetos. Se crean dos políticas predeterminadas automáticamente,
y puede usarlos para entregar la contraseña y la configuración de seguridad para el dominio y para el dominio
controladores. También puede controlar la aplicación de políticas mediante el filtrado de seguridad.
• Describir un enlace de GPO.
• Explicar cómo aplicar GPO a contenedores y objetos.
• Describir el orden de procesamiento de la Política de grupo.
• Describir los GPO predeterminados.
• Describir el filtrado de seguridad de GPO.
Enlaces de GPO
Una vez que haya creado un GPO y definido todas las configuraciones que desea que entregue, el siguiente paso es
vincular la política a un contenedor de Active Directory. Un enlace de GPO es la conexión lógica de la política a un
envase. Puede vincular un solo GPO a varios contenedores mediante GPMC, incluidos los siguientes
tipos de contenedores:
• Sitios
• dominios
• UO
Una vez que vincula un GPO a un contenedor, de forma predeterminada, la política se aplica a todos los objetos del contenedor y a todos
los contenedores secundarios debajo de ese objeto principal. Esto se debe a que los permisos predeterminados del GPO son tales
que los usuarios autenticados tienen permiso de lectura y aplicación de políticas de grupo. Puede modificar este comportamiento
administrar permisos en el GPO.
Puede deshabilitar los enlaces a contenedores, lo que elimina los ajustes de configuración. También puede eliminar enlaces,
que no elimina el GPO real, solo la conexión lógica al contenedor.
No puede vincular GPO directamente a usuarios, grupos o equipos. Además, no puede vincular GPO a la
contenedores del sistema en AD DS, incluidos Builtin, Computers, Users o Managed Service Accounts. El AD DS
Los contenedores del sistema reciben la configuración de la directiva de grupo de los GPO que están vinculados al nivel de dominio únicamente.
Página 192
Aplicar GPO
Los ajustes de configuración del equipo se aplican en

inicio y luego se actualizan en forma regular
intervalos. Cualquier script de inicio se ejecuta en la computadora
puesta en marcha. El intervalo predeterminado es cada 90 minutos,
pero esto es configurable. Las excepciones a esto
intervalo predeterminado son controladores de dominio, que
actualizar su configuración cada cinco minutos.
La configuración de usuario se aplica al iniciar sesión y se

actualizado a intervalos regulares configurables. los
el valor predeterminado para esto es 90 minutos. Antes de Windows 8.1
y Windows Server 2012 R2, todos los scripts de inicio de sesión se ejecutan
al iniciar sesión. De forma predeterminada, en Windows 8.1 y
Windows Server 2012 R2, las secuencias de comandos de inicio de sesión se ejecutan cinco minutos después del inicio de sesión. Puede utilizar la política de grupo para eliminar
este retraso al modificar la Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema
\ Política de grupo \ Configurar el retardo del script de inicio de sesión.
Nota: varias configuraciones de usuario requieren dos inicios de sesión antes de que el usuario vea el efecto de la
GPO. Esto se debe a que varios usuarios que inician sesión en la misma computadora usan credenciales en caché para
acelerar los registros. Esto significa que, aunque la configuración de la política se envía a la computadora,
el usuario ya ha iniciado sesión. Por lo tanto, la configuración no tendrá efecto hasta la próxima vez que el usuario
inicia sesión. La configuración de redireccionamiento de carpetas es un ejemplo de esto.
Puede cambiar el intervalo de actualización mediante la configuración de una directiva de grupo. Para la configuración de la computadora, el
La configuración del intervalo de actualización se encuentra en Configuración del equipo \ Políticas \ Plantillas administrativas
Nodo \ Sistema \ Política de grupo. Para la configuración del usuario, el intervalo de actualización se encuentra en la configuración correspondiente
en Configuración de usuario. Una excepción al intervalo de actualización son las configuraciones de seguridad. La configuración de seguridad
La sección de la Política de grupo se actualiza al menos cada 16 horas, independientemente del intervalo que establezca.
el intervalo de actualización.
También puede actualizar la Política de grupo manualmente. La herramienta de línea de comandos, Gpupdate , actualiza y entrega
cualquier nueva configuración de directiva de grupo. El comando Gpupdate / force actualiza todas las configuraciones de la directiva de grupo.
También hay un nuevo cmdlet de Windows PowerShell Invoke-Gpupdate , que realiza la misma función.
Una nueva característica en Windows Server 2012 y en Windows 8 es Actualización de política remota. Esta característica permite
que los administradores usen la GPMC para apuntar a una OU y forzar la actualización de la Política de grupo en todos sus equipos
y sus usuarios registrados actualmente. Para forzar la actualización de una directiva de grupo, haga clic con el botón derecho en cualquier OU y luego haga clic en
Actualización de la política de grupo. La actualización se produce en 10 minutos.
Orden de procesamiento de políticas de grupo
Los GPO no se aplican simultáneamente. Más bien, se aplican en un orden lógico y los GPO que se
aplicado más adelante en el proceso sobrescribe cualquier configuración de política en conflicto que se haya aplicado anteriormente.
Los GPO se aplican en el siguiente orden:
1. GPO locales. Los GPO locales se procesan primero. Equipos que ejecutan sistemas operativos Windows
ya tiene una política de grupo local configurada.
2. GPO del sitio. Las políticas que están vinculadas a sitios se procesan a continuación.
Página 193
3. GPO de dominio. Las políticas que están vinculadas al dominio se procesan a continuación. A menudo hay varios
políticas a nivel de dominio. Estas políticas se procesan en orden de preferencia.
4. OU GPO. Las políticas vinculadas a las unidades organizativas se procesan a continuación. Estas políticas contienen configuraciones que son exclusivas de
los objetos en esa OU. Por ejemplo, los usuarios de Ventas pueden tener configuraciones especiales requeridas. Puedes vincular
una política a la unidad organizativa de ventas para entregar esa configuración.
5. Políticas de unidades organizativas secundarias. Las políticas vinculadas a las unidades organizativas secundarias se procesan en último lugar.
Los objetos en los contenedores reciben el efecto acumulativo de todas las políticas en su orden de procesamiento. En el caso
de un conflicto entre configuraciones, la última política aplicada entra en vigencia. Por ejemplo, una política a nivel de dominio
puede restringir el acceso a las herramientas de edición del registro, pero puede configurar una política de nivel de unidad organizativa y vincularla a la
Es OU revertir esa política. Dado que la política de nivel de unidad organizativa se aplica más adelante en el proceso, el acceso al registro
las herramientas estarían disponibles.
Nota: otros métodos, como el bloqueo de la ejecución y la herencia, pueden cambiar el efecto
de pólizas sobre contenedores.
Si se aplican varias políticas al mismo nivel, el administrador puede asignar un valor de preferencia a
controlar el orden de procesamiento. El orden de preferencia predeterminado es el orden en el que se
vinculado.
El administrador también puede deshabilitar la configuración de usuario o computadora de un GPO en particular. Si una sección
de una política está vacía, debe desactivarla para acelerar el procesamiento de la política. Por ejemplo, si hay una política
que solo ofrece la configuración del escritorio del usuario, el administrador podría deshabilitar el lado de la computadora del
política.
¿Qué son varios GPO locales?
En los sistemas operativos Windows anteriores a Windows Vista, solo había una configuración de usuario disponible en
la directiva de grupo local. Esa configuración se aplicó a todos los usuarios que iniciaron sesión desde ese local.
computadora. Esto sigue siendo cierto, pero Windows Vista y los sistemas operativos de cliente Windows más nuevos, y Windows
Server 2008 y los sistemas operativos Windows Server más recientes tienen una característica adicional: varios GPO locales.
Desde Windows 8 y Windows Server 2012, también puede tener diferentes configuraciones de usuario para diferentes
usuarios, pero esto solo está disponible para las configuraciones de usuarios que están en la Política de grupo. De hecho, solo hay una
conjunto de configuraciones de computadora disponibles que afecta a todos los usuarios de la computadora.
Desde Windows 8 y Windows Server 2012, las computadoras que ejecutan Windows brindan esta capacidad con la
siguientes tres capas de GPO locales:
• Política de grupo local (contiene las opciones de configuración de la computadora)
• Política de grupo local de administradores y no administradores
• Política de grupo local específica del usuario
Nota: La excepción a esta función son los controladores de dominio. Debido a la naturaleza de su función,
los controladores de dominio no pueden tener GPO locales.
Página 194
Cómo se procesan las capas

Las capas de GPO locales se procesan en el siguiente orden:
1. Política de grupo local
2. Política de grupo de administradores y no administradores
3. Política de grupo local específica del usuario
Con la excepción de las categorías de administrador o no administrador, no es posible aplicar

GPO a grupos, pero solo a cuentas de usuarios locales individuales. Los usuarios del dominio están sujetos al grupo local
Política, o a la configuración de Administrador o No administrador, según corresponda.
Nota: los administradores de dominio pueden deshabilitar el procesamiento de GPO locales en clientes que
Los sistemas operativos de cliente Windows y los sistemas operativos Windows Server habilitando el Turn
Desactivado Configuración de directiva de procesamiento de objetos de directiva de grupo local.
¿Qué son los GPO predeterminados?
Durante la instalación de la función AD DS, se crean dos GPO predeterminados: Política de dominio predeterminada y
Política de controladores de dominio predeterminada.
Política de dominio predeterminada

La Política de dominio predeterminada está vinculada al dominio y afecta a todos los principales de seguridad del dominio. Eso
contiene la configuración de la política de contraseña predeterminada, la configuración de bloqueo de la cuenta y el protocolo Kerberos. Como
una práctica recomendada, esta política no debe tener otros ajustes configurados. Si necesita configurar otros
configuración para aplicar a todo el dominio, entonces debe crear nuevas políticas para entregar la configuración, y
luego vincule esas políticas al dominio.
Nota: Actualmente, las políticas de contraseñas detalladas son el método empresarial típico de
hacer cumplir las políticas de contraseñas y la configuración de bloqueo de cuentas, aunque están fuera del alcance de
este módulo.
Política de controladores de dominio predeterminada

La política de controladores de dominio predeterminada está vinculada a la unidad organizativa de controladores de dominio y solo debería afectar
controladores de dominio. Esta política proporciona configuraciones de auditoría y derechos de usuario, y no debe usarla para
otros fines.
Filtrado de seguridad de GPO
Por naturaleza, un GPO se aplica a todos los principales de seguridad del contenedor y a todos los contenedores secundarios debajo del
padre. Sin embargo, es posible que desee cambiar ese comportamiento y hacer que ciertos GPO se apliquen solo a determinados
principios de seguridad. Por ejemplo, es posible que desee eximir a determinados usuarios de una unidad organizativa de una restricción
política de escritorio. Puede lograr esto mediante el filtrado de seguridad.
Cada GPO tiene una lista de control de acceso (ACL) que define los permisos para ese GPO. El permiso predeterminado es
para que los usuarios autenticados tengan aplicados los permisos de lectura y aplicación de la política de grupo.
Página 195
Al ajustar los permisos en la ACL, puede controlar qué directores de seguridad reciben permiso para
aplicar la configuración de GPO. Hay dos enfoques que puede tomar para hacer esto:
• Denegar el acceso a la política de grupo.
• Limite los permisos a la política de grupo.
Nota: El grupo Usuarios autenticados incluye todas las cuentas de usuario y computadora que tienen
autenticado en AD DS.
Denegar el acceso a la política de grupo

Si la mayoría de los principales de seguridad en el contenedor deben recibir la configuración de la política, pero algunos no, entonces
puede eximir a determinados principales de seguridad negándoles el acceso a la Política de grupo. Por ejemplo,
es posible que tenga una política de grupo que todos los usuarios de la unidad organizativa de ventas deberían recibir, excepto los gerentes de ventas
grupo. Puede eximir a ese grupo (o usuario) agregando ese grupo (o usuario) a la ACL del GPO, y
luego estableciendo el permiso en Denegar.
Limitar los permisos a la política de grupo

Alternativamente, si ha creado un GPO que desea aplicar solo a algunas entidades de seguridad en un
contenedor, puede eliminar el grupo Usuarios autenticados de la ACL, agregar los principales de seguridad que
debe recibir la configuración de GPO y luego otorgar a las entidades de seguridad la Política de grupo de lectura y aplicación
permisos. Por ejemplo, puede tener un GPO con opciones de configuración de la computadora que solo deberían
se aplica a las computadoras portátiles. Puede eliminar el grupo Usuarios autenticados de la ACL, agregar el
cuentas de computadora de las computadoras portátiles, y luego otorgue a los directores de seguridad la Política de grupo de lectura y aplicación
permiso.
Se accede a la ACL de un GPO en la GPMC seleccionando el GPO en la carpeta Objeto de directiva de grupo y
luego haga clic en la pestaña Delegación> Avanzado .
Nota: como práctica recomendada, nunca debe denegar el acceso al grupo de usuarios autenticados. Si
lo hace, las entidades de seguridad nunca recibirán la configuración de GPO.
Página 196
Discusión: Identificación de la aplicación de políticas de grupo
Para esta discusión, revise la estructura de AD DS en el gráfico, lea el escenario y luego responda la
preguntas en la diapositiva.
Guión
La siguiente ilustración representa una parte de la estructura AD DS de A. Datum Corporation, que
contiene la unidad organizativa de ventas con sus unidades organizativas secundarias y la unidad organizativa de servidores.
• GPO1 está vinculado al contenedor del dominio Adatum. El GPO configura las opciones de energía que apagan el
monitorea y discos después de 30 minutos de inactividad y restringe el acceso a las herramientas de edición del registro.
• GPO2 tiene configuraciones para bloquear los escritorios de la unidad organizativa de usuarios de ventas y configurar impresoras para ventas
Usuarios.
• GPO3 configura las opciones de energía para computadoras portátiles en la unidad organizativa Sales Laptops.
• GPO4 configura un conjunto diferente de opciones de energía para garantizar que los servidores nunca entren en modo de ahorro de energía
modo.
Algunos usuarios de la unidad organizativa Ventas tienen derechos administrativos en sus equipos y han creado políticas locales.
para otorgar acceso específicamente al Panel de control.
Preguntas de discusión
Con base en este escenario, responda las siguientes preguntas:
Pregunta: ¿Qué opciones de energía recibirán los servidores de la OU Servidores?
Pregunta: ¿Qué opciones de energía recibirán las computadoras portátiles de la unidad organizativa Sales Laptops?
Pregunta: ¿Qué opciones de energía recibirán todas las demás computadoras del dominio?
Pregunta: ¿Los usuarios de la unidad organizativa de usuarios de ventas que han creado políticas locales para otorgar acceso a
Panel de control puede acceder al Panel de control?
Página 197
Pregunta: Si necesita otorgar acceso al Panel de control a algunos usuarios, ¿cómo lo haría?
¿eso?
Pregunta: ¿Puede aplicar GPO2 a otras unidades organizativas de departamento?
Demostración: uso de herramientas de diagnóstico de directivas de grupo
• Utilice Gpupdate para actualizar la política de grupo.
• Utilice el cmdlet Gpresult para generar los resultados en un archivo HTML.
• Utilice el Asistente de modelado de políticas de grupo para probar la política.
Utilice Gpupdate para actualizar la política de grupo

• En LON-DC1, use Gpupdate para actualizar los GPO.
Use el cmdlet Gpresult para generar los resultados en un archivo HTML

1. Utilice Gpresult / H para crear un archivo HTML que muestre la configuración actual de GPO.
2. Abra el informe HTML y revise los resultados.
Utilice el Asistente de modelado de políticas de grupo para probar la política
• Utilice el Asistente de modelado de políticas de grupo para simular una aplicación de políticas para los usuarios de la unidad organizativa Managers
que inician sesión en cualquier computadora.
Página 198
11-16 Implementación de políticas de grupo
Lección 3
Implementación de una tienda central para administración
Plantillas
Las organizaciones más grandes pueden tener muchos GPO con varios administradores que los administran. Cuando un
administrador edita un GPO, los archivos de plantilla se extraen de la estación de trabajo local. La tienda central
proporciona una sola carpeta en SYSVOL que contiene todas las plantillas necesarias para crear y editar GPO.
Esta lección analiza los archivos que componen las plantillas y cubre cómo crear una tienda central
ubicación para proporcionar coherencia en las plantillas que utilizan los administradores.
• Describe la tienda central.
• Describir plantillas administrativas.
• Describir cómo funcionan las plantillas administrativas.
• Describir la configuración de políticas administradas y no administradas.
¿Qué es la tienda central?
Si su organización tiene varias estaciones de trabajo de administración, podría haber problemas potenciales al editar
GPO. Si no tiene un almacén central que contenga los archivos de plantilla, entonces la estación de trabajo desde la cual
que está editando utilizará los archivos .admx (ADMX) y .adml (ADML) que se almacenan en el local
Carpeta PolicyDefinitons. Si diferentes estaciones de trabajo de administración tienen diferentes sistemas operativos o están en
diferentes niveles de Service Pack, puede haber diferencias en los archivos ADMX y ADML. Por ejemplo, el
Archivos ADMX y ADML que se almacenan en una estación de trabajo con Windows 7 sin Service Pack instalado
Es posible que no sean los mismos que los archivos almacenados en un controlador de dominio que ejecuta Windows Server 2012.
Esto podría hacer que los administradores no vean la misma configuración en un GPO.
La tienda central aborda este problema. El almacén central proporciona un único punto desde el que la administración
las estaciones de trabajo pueden descargar los mismos archivos ADMX y ADML al editar un GPO. La tienda central es
detectado automáticamente por los sistemas operativos Windows (Windows Vista o más reciente o Windows Server 2008
o mas nuevo). Debido a este comportamiento automático, la estación de trabajo local que utiliza el administrador para
realizar la administración siempre comprueba si existe un almacén central antes de cargar el ADMX local y
Archivos ADML en la ventana Editor de administración de políticas de grupo. Cuando la estación de trabajo local detecta una central
store, luego descarga los archivos de plantilla desde allí. De esta forma, hay una administración consistente
experiencia entre múltiples estaciones de trabajo.
Creación y aprovisionamiento de la tienda central

Debe crear y aprovisionar el almacén central manualmente. Primero debes crear una carpeta en un dominio
controlador, el nombre del PolicyDefinitions carpeta , y almacenar en la carpeta C: \ Windows \ SYSVOL \ sysvol
\ {Nombre de dominio} \ Políticas \. Esta carpeta es ahora su tienda central. A continuación, debe copiar todo el contenido de
la carpeta C: \ Windows \ PolicyDefinitions al almacén central. Los archivos ADML en esta carpeta también están en un
carpeta específica del idioma, como en-US.
Página 199
¿Qué son las plantillas administrativas?
Una plantilla administrativa se compone de dos

Tipos de archivos XML:
• Archivos ADMX que especifican la configuración del registro para

cambio. Los archivos AMDX son independientes del idioma.
• Archivos ADML que generan la interfaz de usuario para

configurar la política de Plantillas administrativas
configuración en la administración de políticas de grupo
Ventana del editor. Los archivos ADML son
específico del idioma.
Los archivos ADMX y ADML se almacenan en el

% SystemRoot% \ PolicyDefinitions carpeta o en la
tienda central. También puede crear sus propias plantillas administrativas personalizadas en formato XML.
Plantillas administrativas que controlan los productos de Microsoft Office (como Office Word, Office Excel y
Office PowerPoint) también están disponibles en el sitio web de Microsoft.
Las plantillas administrativas tienen las siguientes características:
• Están organizados en subcarpetas que albergan opciones de configuración para áreas específicas del
entorno, como la red, el sistema y los componentes de Windows.
• La configuración en la sección Equipo edita el subárbol de registro HKEY_LOCAL_MACHINE y la configuración en

la sección Usuario edita el subárbol de registro HKEY_CURRENT_USER.
• Existen algunas configuraciones tanto para Usuario como para Computadora. Por ejemplo, hay una configuración para evitar que Windows
Messenger se ejecute en las plantillas de Usuario y Computadora. En caso de conflictos de configuración,
prevalece la configuración de Computadora.
• Algunas configuraciones están disponibles solo para ciertas versiones de los sistemas operativos Windows. Doble clic
la configuración muestra las versiones compatibles para esa configuración. El sistema ignora cualquier ajuste que un
El sistema operativo Windows más antiguo no puede procesar.
Archivos ADM
Antes de Windows Vista, las plantillas administrativas tenían una extensión de archivo .adm (ADM). Los archivos ADM eran
específicos del idioma y eran difíciles de personalizar. Los archivos ADM se almacenan en SYSVOL como parte del grupo
Plantilla de política. Si se utiliza un archivo ADM en varios GPO, el archivo se almacena varias veces. Esta
aumenta el tamaño de SYSVOL y, por lo tanto, aumenta el tamaño del tráfico de replicación de Active Directory.
Cómo funcionan las plantillas administrativas
Las plantillas administrativas tienen configuraciones para casi todos los aspectos del entorno informático. Cada
la configuración en la plantilla corresponde a una configuración de registro que controla un aspecto de la informática
ambiente. Por ejemplo, cuando habilita la configuración que impide el acceso al Panel de control, este
cambia el valor en la clave de registro que lo controla.
Página 200
La siguiente tabla detalla la organización del nodo Plantillas administrativas.
Sección Nodos
Configuraciones de computadora • Panel de control
• Red
• Impresoras
• Sistema
• Componentes de Windows
• Todos los ajustes
Ajustes de usuario • Panel de control
• Escritorio
• Red
• Carpetas compartidas
• Menú de inicio y barra de tareas
• Sistema
• Componentes de Windows
• Todos los ajustes
La mayoría de los nodos contienen varias subcarpetas que le permiten organizar la configuración aún más en
agrupaciones lógicas. Incluso con esta organización, encontrar el entorno que necesita puede ser una tarea abrumadora.
Para ayudarlo a ubicar la configuración en la carpeta Todas las configuraciones, puede filtrar la lista completa de configuraciones en el
computadora o la sección de usuario. Están disponibles las siguientes opciones de filtro:
• Administrado o no administrado
• Configurado o no configurado
• Comentado
• Por palabra clave
• Por plataforma
También puede combinar varios criterios. Por ejemplo, puede filtrar para encontrar todos los ajustes configurados
que se aplican a Internet Explorer 10 mediante el uso de la palabra clave ActiveX .
Configuración de políticas administradas y no administradas
Hay dos tipos de configuraciones de políticas: administradas y no administradas. Todas las configuraciones de políticas en un GPO
Las plantillas administrativas son políticas administradas. El servicio de política de grupo controla la política administrada
settings y quita una configuración de directiva cuando ya no está dentro del alcance del usuario o del equipo. los
El servicio de políticas de grupo no controla la configuración de políticas no administradas. Estas configuraciones de política son persistentes. los
El servicio de directiva de grupo no elimina la configuración de directiva no administrada.

Página 1: Número de Bits Número de Redes Combinadas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Página 1: Número de Bits Número de Redes Combinadas

Cargado por

Copyright:

Formatos disponibles

17/11/2020 USO DE MCT ÚNICAMENTE.

PROHIBIDO EL USO DE ESTUDIANTES

Instalación y configuración de Windows Server ® 2012 5-17

Número de bits Número de redes combinadas

192.168. 00010000 .00000000 / 24 192.168.16.0-192.168.16.255

192.168. 00010001 .00000000 / 24 192.168.17.0-192.168.17.255

192.168. 00010000 .00000000 / 23 192.168.16.0-192.168.17.255

• Configurar un servidor para que obtenga una configuración IPv4 automáticamente.

• Explicar cómo utilizar las herramientas de resolución de problemas de IPv4.

• Describir la función de Microsoft Message Analyzer.

• Utilice Microsoft Message Analyzer para capturar y analizar el tráfico de red.

Configuración manual de IPv4

Puede configurar direcciones IPv4 manualmente o

• Puerta de enlace predeterminada

Configuración de una dirección IP estática mediante Windows PowerShell

Cmdlet Descripción de los usos de la configuración de IPv4

Set-NetIPAddress Este comando cambia la configuración de una dirección IP.

New-NetRoute Este comando crea entradas en la tabla de enrutamiento, incluida la

Set-DNSClientServerAddress Configura el servidor DNS que se utiliza para una interfaz.

• Dirección IP estática 10.10.0.10

• Máscara de subred 255.255.255.0

• Puerta de enlace predeterminada10.10.0.1

New-NetIPAddress –InterfaceAlias "Conexión de área local" –IPAddress 10.10.0.10

Set-DNSClientServerAddress –InterfaceAlias "Conexión de área local" -ServerAddresses

Configuración de una dirección IP estática mediante Netsh

• Dirección IP estática 10.10.0.10

• Máscara de subred 255.255.255.0

• Puerta de enlace predeterminada10.10.0.1

Pregunta: ¿Alguna computadora o dispositivo en su organización tiene direcciones IP estáticas?

Configuración automática de IPv4

DHCP para IPv4 le permite automatizar la

Get-NetIPInterface Obtiene una lista de interfaces y su configuración. Esto no lo hace

Set-NetIPInterface Habilita o deshabilita DHCP para una interfaz.

Get-NetAdapter Obtiene una lista de adaptadores de red en una computadora.

Set-NetIPInterface –InterfaceAlias "Conexión de área local" –Dhcp habilitado

Restart-NetAdapter –Name "Conexión de área local"

Uso de cmdlets de Windows PowerShell para solucionar problemas de IPv4

Puede utilizar herramientas de línea de comandos o Windows

La siguiente tabla enumera algunas de las

Get-NetAdapter Obtiene una lista de adaptadores de red en una computadora.

Reiniciar-NetAdapter Desactiva y vuelve a activar un adaptador de red.

Get-NetIPInterface Obtiene una lista de interfaces y su configuración.

Get-NetIPAddress Obtiene una lista de direcciones IP configuradas para interfaces.

Get-NetRoute Obtiene la lista de rutas en la tabla de enrutamiento local.

Get-NetConnectionProfile Obtiene el tipo de red (pública, privada, dominio) al que

Get-DnsClient Recupera detalles de configuración específicos de las diferentes redes.

Get-DNSClientCache Obtiene la lista de nombres DNS resueltos que se almacenan en el DNS

Registro-DnsClient Registra todas las direcciones IP en la computadora en la configuración

Set-DnsClient Establece las configuraciones de cliente DNS específicas de la interfaz en el

Set-DnsClientServerAddress Configura el adaptador de red de la computadora con las direcciones IP de

Set-NetIPAddress Establece información sobre la configuración de la dirección IP.

Set-NetIPInterface Modifica las propiedades de la interfaz IP.

Test-NetConnection Muestra lo siguiente:

Herramientas de resolución de problemas de IPv4

Windows Server 2012 incluye varios

ipconfig / all Ver información de configuración detallada.

ipconfig / release Vuelva a liberar la configuración arrendada al servidor DHCP.

ipconfig / renovar Renovar la configuración alquilada.

ipconfig / displaydns Ver las entradas de la caché de resolución de DNS.

ipconfig / flushdns Purgue la caché de resolución de DNS.

Para solucionar problemas de comunicación de red, debe comprender la comunicación general

o Windows PowerShell: Get-NetIPAddress

o Línea de comandos: ipconfig