p3 PDF

17/11/2020 USO DE MCT ÚNICAMENTE.
PROHIBIDO EL USO DE ESTUDIANTES
Página 1
Instalación y configuración de Windows Server ® 2012 11-19
Configuración de políticas administradas

Una configuración de política administrada tiene las siguientes características:
• La interfaz de usuario (UI) está bloqueada, por lo que un usuario no puede cambiar la configuración. Configuración de políticas administradas
resultar en la desactivación de la interfaz de usuario adecuada. Por ejemplo, si configura el fondo de escritorio mediante
una configuración de directiva de grupo, esa configuración aparece atenuada en la interfaz de usuario local del usuario.
• Se realizan cambios en las áreas restringidas del registro a las que solo los administradores tienen acceso.
Estas claves de registro reservadas son:
o HKLM \ Software \ Policies (configuración de la computadora)
o HKCU \ Software \ Policies (configuración de usuario)
o HKLM \ Software \ Microsoft \ Windows \ Current Version \ Policies (configuración de la computadora)
o HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies (configuración de usuario)
• Los cambios realizados por una configuración de directiva de grupo y el bloqueo de la interfaz de usuario se liberan si el usuario o la computadora se caen
fuera del alcance de la GPO. Por ejemplo, si elimina un GPO, la configuración de políticas administrada que se
aplicados a un usuario se liberan. Normalmente, la configuración se restablece a su estado anterior. Además, la interfaz de usuario
La interfaz para la configuración está habilitada.
Configuración de políticas no administradas

Por el contrario, una configuración de política no administrada realiza un cambio que es persistente en el registro. Si el GPO no
ya se aplica, el ajuste permanece. A esto se le suele llamar tatuar el registro; en otras palabras, hacer una
cambio permanente. Para revertir el efecto de la configuración de política, debe implementar un cambio que revierte la
configuración al estado deseado. Además, una configuración de política no administrada no bloquea la interfaz de usuario para ese
ajuste.
De forma predeterminada, la ventana Editor de administración de políticas de grupo no muestra configuraciones de políticas no administradas para
disuadir a los administradores de implementar una configuración que sea difícil de revertir. Mucho de
Las configuraciones que están disponibles en las preferencias de la directiva de grupo son configuraciones no administradas.
Página 2
https://translate.googleusercontent.com/translate_f 1/146
17/11/2020 USO DE MCT ÚNICAMENTE. PROHIBIDO EL USO DE ESTUDIANTES
11-20 Implementación de la política de grupo
Laboratorio: Implementación de políticas de grupo

Guión
A. Datum Corporation es una empresa global de ingeniería y fabricación con una oficina central basada en
Londres, Inglaterra. Una oficina de TI y un centro de datos se encuentran en Londres para respaldar la ubicación de Londres
y otros lugares. A. Datum ha implementado recientemente una infraestructura de Windows Server 2012 con
Clientes de Windows 8.
En su rol como miembro del equipo de soporte del servidor, ayuda a implementar y configurar nuevos servidores y
servicios en la infraestructura existente según las instrucciones que le haya dado su gerente de TI.
Su gerente le ha pedido que cree un almacén central para archivos ADMX para asegurarse de que todos puedan editar
GPO que se han creado con archivos ADMX personalizados. También necesita crear un GPO de inicio que
incluye la configuración de Internet Explorer y, a continuación, configure un GPO que aplique la configuración de GPO para el marketing
departamento y el departamento de TI.
Objetivos
Después de completar esta práctica de laboratorio, debería poder:
• Configurar una tienda central.
• Crear GPO.
Configuración de laboratorio
Tiempo estimado: 45 minutos
Maquinas virtuales 20410D-LON-DC1

20410D ‑ LON ‑ CL1
Nombre de usuario Adatum \ Administrador
Contraseña Pa $$ w0rd
Instrucciones de configuración de laboratorio

Para esta práctica de laboratorio, utilizará el entorno de máquina virtual disponible. Antes de comenzar el laboratorio, debe
complete los siguientes pasos:
1. En la computadora host, inicie Hyper-V Manager .
2. En Hyper-V ® Manager, haga clic 20410D-LON-DC1 . En el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar . Espere hasta que se inicie la máquina virtual.
4. Inicie sesión con las siguientes credenciales:
o Nombre de usuario: Adatum \ Administrator
o Contraseña: Pa $$ w0rd
5. Repita los pasos 2 y 3 para 20410D-LON-CL1 . No inicie sesión hasta que se le indique.
Página 3
Ejercicio 1: configurar una tienda central

Guión
A. Datum implementó recientemente una plantilla ADMX personalizada para configurar un programa. Un colega
obtuvo los archivos ADMX del proveedor antes de crear el GPO con los ajustes de configuración. los
La configuración se aplicó al programa como se esperaba.
Después de la implementación, notó que no puede modificar la configuración del programa en el GPO desde
cualquier ubicación que no sea la estación de trabajo que fue utilizada originalmente por su colega. Para resolver este problema,
su gerente le ha pedido que cree un almacén central para las plantillas administrativas. Después de crear el
tienda central, su colega copiará la plantilla ADMX del proveedor de la estación de trabajo a la
Tienda.
Las principales tareas de este ejercicio son las siguientes:
1. Vea la ubicación de las plantillas administrativas en un GPO.
2. Cree una tienda central.
3. Copie las plantillas administrativas en el almacén central.
4. Verifique la ubicación de la plantilla administrativa en GPMC.
▶ Tarea 1: ver la ubicación de las plantillas administrativas en un GPO

1. Inicie sesión en LON-DC1 como administrador con la contraseña Pa $$ w0rd .
2. Inicie la Consola de administración de políticas de grupo.
3. En la carpeta Objeto de política de grupo , abra la Política de dominio predeterminada y luego vea la ubicación de
las plantillas administrativas.
▶ Tarea 2: Crear una tienda central

1. Abra el Explorador de archivos y luego vaya a C: \ Windows \ SYSVOL \ sysvol \ Adatum.com \ Policies .
2. Cree una carpeta para utilizarla en el almacén central, con el nombre PolicyDefinitions .
▶ Tarea 3: Copie las plantillas administrativas en el almacén central

• Copie el contenido de la carpeta PolicyDefinitions predeterminada ubicada en C: \ Windows \ PolicyDefinitions
a la nueva carpeta PolicyDefinitions ubicada en C: \ Windows \ SYSVOL \ sysvol \ Adatum.com \ Policies .
▶ Tarea 4: Verificar la ubicación de la plantilla administrativa en GPMC

1. En la ventana Editor de administración de directivas de grupo, compruebe que los archivos ADMX en la Administración
La carpeta de plantillas se ha recuperado del almacén central.
2. Cierre la ventana Editor de administración de políticas de grupo.
Resultados : Después de completar este ejercicio, debería haber configurado un almacén central.
Página 4
Ejercicio 2: creación de GPO

Guión
Después de una reunión reciente del comité de políticas de TI, la gerencia ha decidido que A. Datum utilizará Group
Política para restringir el acceso de los usuarios a la página General de Internet Explorer.
Su gerente le ha pedido que cree un GPO de inicio que se pueda usar para todos los departamentos, con
configuración de restricción para Internet Explorer. Luego debe crear los GPO que entregarán la configuración para
miembros de todos los departamentos excepto el departamento de TI.
1. Cree un GPO de inicio predeterminado de restricción de Windows Internet Explorer.
2. Configure el GPO de inicio de restricción de Internet Explorer.
3. Cree un GPO de restricciones de Internet Explorer desde el GPO de inicio de Restricciones de Internet Explorer.
4. Pruebe el GPO para usuarios de dominio.
5. Utilice filtros de seguridad para eximir al Departamento de TI de la política de restricciones de Internet Explorer.
6. Pruebe la aplicación GPO para los usuarios del departamento de TI.
7. Pruebe la aplicación del GPO para otros usuarios del dominio.
▶ Tarea 1: Cree un GPO de inicio predeterminado de restricción de Windows Internet Explorer

1. Abra la GPMC y luego cree un GPO de inicio llamado Restricciones de Internet Explorer .
2. Escriba un comentario que indique Este GPO deshabilita la página General en Opciones de Internet .
▶ Tarea 2: Configurar el GPO de inicio de restricciones de Internet Explorer

1. Configure el GPO de inicio para deshabilitar la página General de Opciones de Internet y luego asígnele un nombre.
Restricciones de Internet Explorer .
Sugerencia: para seleccionar todo el contenido, haga clic en en el panel de detalles y luego presione CTRL + A.
▶ Tarea 3: Cree un GPO de restricciones de Internet Explorer desde Internet Explorer

Restricciones starter GPO
• Cree un nuevo GPO llamado Restricciones de IE que se base en el iniciador de Restricciones de Internet Explorer
GPO y luego vincularlo al dominio Adatum.com .
▶ Tarea 4: Pruebe el GPO para usuarios de dominio

1. Inicie sesión en LON-CL1 como Adatum \ Brad con la contraseña Pa $$ w0rd .
2. Abra el Panel de control.
3. Intente cambiar su página de inicio.
4. Abra Opciones de Internet para verificar que la pestaña General esté restringida.
5. Salga de LON-CL1.
▶ Tarea 5: Utilice el filtrado de seguridad para eximir al Departamento de TI de Internet Explorer

Política de restricciones
1. En LON-DC1, abra la GPMC.
2. Configure el filtrado de seguridad en la política de restricciones de Internet Explorer para denegar el acceso a la TI.
Departamento.
Página 5
▶ Tarea 6: Pruebe la aplicación GPO para los usuarios del departamento de TI

1. Cambie a LON-CL1.
2. Inicie sesión en LON-CL1 como Brad con la contraseña Pa $$ w0rd .
4. Intente cambiar su página de inicio. Verifique que se abra el cuadro de diálogo Propiedades de Internet
La pestaña General y todas las configuraciones están disponibles.
▶ Tarea 7: probar la aplicación del GPO para otros usuarios del dominio
1. Inicie sesión en LON-CL1 como Boris con la contraseña Pa $$ w0rd .
3. Intente cambiar su página de inicio.
4. Abra Opciones de Internet para verificar que la pestaña General esté restringida.
Resultados : después de completar esta práctica de laboratorio, debería haber creado un GPO.
Preguntas de revisión de laboratorio

Pregunta: ¿Cuál es la diferencia entre los archivos ADMX y ADML?
Pregunta: El grupo de gerentes de ventas debe estar exento del bloqueo del escritorio
política que se está aplicando a toda la unidad organizativa de ventas. Todas las cuentas de usuario de ventas y grupos de ventas
residir en Sales OU. ¿Cómo eximiría al grupo de directores de ventas?
Pregunta: ¿Qué comando de Windows puede usar para forzar la actualización inmediata de todos los GPO?
en una computadora cliente?
▶ Prepárese para el siguiente módulo

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando los siguientes pasos:
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-DC1 y luego haga clic en Revertir .
3. En el cuadro de diálogo Revertir máquina virtual , haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-CL1 .
Página 6
Revisión del módulo y conclusiones

Preguntas de revisión
Pregunta: ¿Cuáles son algunas de las ventajas y desventajas de utilizar GPO a nivel de sitio?
Pregunta: Tiene varios scripts de inicio de sesión que asignan unidades de red a los usuarios. No todo
los usuarios necesitan estas asignaciones de unidades, por lo que debe asegurarse de que solo los usuarios deseados reciban la
mapeos. Quiere dejar de usar scripts. ¿Cuál es la mejor manera de mapear la red?
unidades para usuarios seleccionados sin utilizar scripts?
Mejores prácticas
Las siguientes son las mejores prácticas recomendadas:
• No utilice las políticas de Dominio predeterminado y Controladores de dominio predeterminados para usos distintos a los
usos predeterminados. En su lugar, cree nuevas políticas.
• Limite el uso de filtrado de seguridad y otros mecanismos que hacen que los diagnósticos sean más complejos.
• Si no tienen ajustes configurados, desactive las secciones de políticas de Usuario o Equipo.
• Si tiene varias estaciones de trabajo de administración, cree un almacén central.
• Agregue comentarios a sus GPO para explicar qué están haciendo las políticas.
• Diseñe la estructura de su unidad organizativa para admitir la aplicación de políticas de grupo.
Problemas habituales y consejos para la resolución de problemas
Problema común Sugerencia de solución de problemas
Un usuario experimenta anomalías

comportamiento en su estación de trabajo.
Todos los usuarios de una unidad organizativa en particular son

teniendo problemas, y la unidad organizativa ha
se han aplicado varios GPO.
Página 7
Herramientas
Herramienta Utilizar Donde encontrarlo
Administración de Políticas de Grupo Controla todos los aspectos del grupo En el Administrador del servidor, en Herramientas
Consola (GPMC) Política menú
Administración de Políticas de Grupo Configurar ajustes en GPO Se accede editando cualquier GPO
Complemento del editor
Conjunto resultante de políticas (RSoP) Determine qué ajustes son En la GPMC

aplicando a un usuario o
computadora
Asistente de modelado de políticas de grupo Pruebe lo que ocurriría si En la GPMC

se aplicaron configuraciones a los usuarios
o computadoras, antes de
aplicando la configuración
Editor de políticas de grupo local Configurar la política de grupo Se accede creando un nuevo
ajustes que se aplican solo a Consola de administración de Microsoft
computadora local (MMC) en la computadora local,
y agregando la Política de grupo
Complemento del editor de administración
Página 8
Página 9
12-1
Módulo 12
Protección de servidores Windows mediante objetos de directiva de grupo

Contenido:
Descripción general del módulo 12-1
Lección 1: Descripción general de seguridad para sistemas operativos Windows 12-2
Lección 2: Configurar los ajustes de seguridad 12-6
Laboratorio A: Aumento de la seguridad de los recursos del servidor 12-18
Lección 3: Restricción de software 12-25
Lección 4: Configuración de Firewall de Windows con seguridad avanzada 12-29
Laboratorio B: Configuración de AppLocker y Firewall de Windows 12-34
Revisión del módulo y conclusiones 12-40
Descripción general del módulo

La protección de la infraestructura de TI siempre ha sido una prioridad para las organizaciones. Muchos riesgos de seguridad amenazan
empresas y sus datos críticos. Cuando las empresas no tienen políticas de seguridad adecuadas, pueden perder
datos, experimentar la indisponibilidad del servidor y perder credibilidad.
Para ayudar a protegerse contra las amenazas de seguridad, las empresas deben tener políticas de seguridad bien diseñadas que incluyan
muchos componentes organizativos y relacionados con TI. Las organizaciones deben evaluar las políticas de seguridad en un
de forma regular, porque a medida que evolucionan las amenazas a la seguridad, también debe evolucionar la TI.
Antes de comenzar a diseñar políticas de seguridad para ayudar a proteger los datos, los servicios y la TI de su organización
infraestructura, debe aprender a identificar las amenazas a la seguridad, planificar su estrategia para mitigar la seguridad
amenazas y proteja su infraestructura de Windows Server ® 2012.
Objetivos
Después de completar este módulo, debería poder:
• Describir la seguridad del sistema operativo Windows Server.
• Configure las opciones de seguridad mediante la política de grupo.
• Incrementar la seguridad de los recursos del servidor.
• Restrinja la ejecución de software no autorizado en servidores y clientes.
• Configurar de Windows ® Firewall con seguridad avanzada.
Página 10
12-2 Protección de servidores Windows mediante objetos de directiva de grupo
Lección 1
Descripción general de seguridad para sistemas operativos Windows
A medida que las organizaciones amplían su disponibilidad de datos, aplicaciones, programas y sistemas de red,
la seguridad de las infraestructuras de red se vuelve más desafiante. Tecnologías de seguridad en Windows
Server 2012 permite a las organizaciones proporcionar una mejor protección para sus recursos de red y
activos organizacionales en entornos y escenarios empresariales cada vez más complejos. Esta lección repasa
las herramientas y conceptos que están disponibles para la implementación de la seguridad dentro de un equipo con Windows ® 8 y Windows
Infraestructura del servidor 2012.
Windows Server 2012 incluye numerosas características que proporcionan diferentes métodos para implementar
seguridad. Estas características se combinan para formar el núcleo de la funcionalidad de seguridad de Windows Server 2012.
Comprender estas características y sus conceptos asociados, y estar familiarizado con sus
implementación, son fundamentales para mantener un entorno seguro.
Objetivos de la lección
Después de completar esta lección, debería poder:
• Identificar los riesgos de seguridad para Windows Server 2012 y sus costos asociados.
• Aplicar el modelo de defensa en profundidad para aumentar la seguridad.
• Describir las mejores prácticas para aumentar la seguridad de Windows Server 2012.
Discusión: Identificación de riesgos y costos de seguridad
El primer paso para defender sus sistemas es

identificar posibles riesgos de seguridad y sus
costos asociados. Entonces puedes empezar a hacer
decisiones precisas sobre cómo asignar
recursos para mitigar esos riesgos.
Revise la pregunta de la diapositiva y discuta

cómo identificar algunos riesgos de seguridad en Windows-
redes basadas y sus costos asociados.
Aplicar defensa en profundidad a

Aumentar la seguridad
Puede mitigar los riesgos de su organización
red informática proporcionando seguridad en varios
capas de infraestructura. El término defensa en profundidad
a menudo se utiliza para describir el uso de múltiples
tecnologías de seguridad en diferentes puntos
en toda su organización.
Las tecnologías de defensa en profundidad incluyen capas

de seguridad que se extienden desde las políticas de usuario hasta la
aplicación, y luego a los datos en sí.
Políticas, procedimientos y conciencia

Las medidas de política de seguridad deben operar dentro
el contexto de las políticas organizacionales con respecto a las mejores prácticas de seguridad. Por ejemplo, imponer una fuerte
La política de contraseña de usuario no es útil si los usuarios escriben sus contraseñas y las colocan junto a sus
Página 11
pantallas de computadora. Las organizaciones deben educar a los usuarios sobre cómo proteger sus contraseñas. Otro
Un ejemplo de una mejor práctica de seguridad es asegurarse de que los usuarios no abandonen su computadora de escritorio sin
bloquear el escritorio o cerrar la sesión de la computadora. Cuando está estableciendo una base de seguridad para su
red de la organización, es una buena idea comenzar por establecer políticas y procedimientos adecuados, y
luego, educar a sus usuarios sobre esas políticas y procedimientos. A continuación, puede avanzar a la otra
aspectos del modelo de defensa en profundidad.
Seguridad física
Si alguna persona no autorizada puede obtener acceso físico a una computadora en su red, entonces él o ella
normalmente puede eludir la mayoría de las otras medidas de seguridad más fácilmente. Debe asegurarse de que las computadoras
que contienen los datos más confidenciales, como servidores, son físicamente seguros y que usted otorga
acceso solo a personal autorizado.
Perímetro
En estos días, ninguna organización es una empresa aislada. Las organizaciones operan en Internet y muchas
Los recursos de la red organizativa están disponibles en Internet. Esto podría incluir un sitio web que describa
los servicios de su organización o los servicios internos que pone a disposición externamente, como
conferencias y correo electrónico, para que los usuarios puedan trabajar desde casa o desde sucursales.
Las redes perimetrales marcan el límite entre las redes públicas y privadas. Proporcionar proxy inverso
Los servidores en la red perimetral le permiten brindar servicios corporativos más seguros en todo el público.
red. Un servidor proxy inverso le permite publicar servicios como correo electrónico o servicios web, desde el
intranet corporativa sin colocar el correo electrónico o los servidores web en el perímetro o exponerlos a
usuarios. Algunas soluciones de proxy inverso actúan como proxy inverso y como solución de firewall.
Muchas organizaciones diseñan su plan de acceso a la red para que las computadoras que se conectan a la
Se verifican diferentes criterios de seguridad en la red, como si el equipo tiene la seguridad más reciente.
actualizaciones, actualizaciones de antivirus y otras configuraciones de seguridad recomendadas por la empresa. Si se cumplen estos criterios,
la computadora puede conectarse a la red corporativa. De lo contrario, la computadora se coloca en un
red, llamada cuarentena , sin acceso a recursos corporativos. Una vez que la configuración de seguridad de la computadora
se han corregido, se elimina de la red de cuarentena y se le permite conectarse a la
recursos. Una forma de implementar este tipo de plan de acceso a la red es mediante la protección de acceso a la red.
(NAP), una plataforma de aplicación de políticas.
Redes
Una vez que conecte sus computadoras a una red (interna o pública), son susceptibles a una
número de amenazas que incluyen escuchas clandestinas, suplantación de identidad, denegación de servicio y ataques de reproducción. Por
implementando Internet Protocol Security (IPsec), puede cifrar el tráfico de red y proteger los datos mientras
está en tránsito entre computadoras.
Cuando la comunicación tiene lugar a través de redes públicas, por ejemplo, cuando los empleados trabajan desde
en casa o desde oficinas remotas, como práctica recomendada, deben conectarse a una solución, como DirectAccess
servidor, para protegerse contra diferentes tipos de amenazas de red.
Fortalecimiento de la seguridad del equipo host

La siguiente capa de defensa está en la computadora host. Juntos, los siguientes pasos forman un proceso llamado
endurecimiento de la seguridad del equipo host . En su computadora host, debe:
• Mantenga las computadoras seguras con las últimas actualizaciones de seguridad.
• Configurar políticas de seguridad, como la complejidad de las contraseñas.
• Configure el servidor de seguridad del host.
• Instale software antivirus.
Pagina 12
Fortalecimiento de la seguridad de las aplicaciones

Las aplicaciones son tan seguras como su última actualización de seguridad. Juntos, los siguientes pasos forman un proceso
eso se llama endurecimiento de la seguridad de la aplicación:
• Utilice la función de Windows Update o los sitios web de actualización del proveedor de la aplicación de manera consistente para mantener su
aplicaciones actualizadas.
• Pruebe las aplicaciones para determinar si tienen alguna vulnerabilidad de seguridad que pueda permitir una
atacante para comprometerlos a ellos u otros componentes de la red.
Seguridad de datos
La última capa de seguridad es la seguridad de los datos. Para ayudar a garantizar la protección de su red, debe:
• Garantizar el uso adecuado de los permisos de usuario de archivos mediante el uso de listas de control de acceso (ACL).
• Implementar el cifrado de datos confidenciales con Encrypting File System (EFS).
• Realice copias de seguridad de datos con regularidad.
Lectura adicional:
• Para obtener el boletín de seguridad y la información de asesoramiento más recientes de Microsoft, consulte "Seguridad para profesionales de TI" en
http://go.microsoft.com/fwlink/?LinkID=266741 .
• Para obtener más información sobre los tipos comunes de ataques a la red, consulte
Pregunta: ¿Cuántas capas del modelo de defensa en profundidad debería implementar en su

¿organización?
Mejores prácticas para aumentar la seguridad
Con respecto al aumento de la seguridad en su

organización, debe considerar lo siguiente
mejores prácticas:
• Aplicar todas las actualizaciones de seguridad disponibles tan rápido

como sea posible después de su lanzamiento. usted
debería implementar actualizaciones de seguridad tan pronto
como sea posible para asegurar que sus sistemas
protegido de vulnerabilidades conocidas.
Microsoft ® publica los detalles de cualquier
vulnerabilidades públicamente después de que lanza un
actualización, que puede conducir a un aumento
volumen de malware que intenta explotar el
vulnerabilidades. Sin embargo, debe asegurarse de probar las actualizaciones adecuadamente antes que usted o su
los usuarios finales los aplican ampliamente dentro de su organización.
• Siga el principio de privilegio mínimo. Proporcionar a los usuarios y cuentas de servicio el permiso más bajo
niveles requeridos para completar sus tareas necesarias. Esto limitará el impacto de cualquier malware que utilice
esas credenciales. También garantiza que los usuarios tengan una capacidad limitada para eliminar datos de forma accidental o
modificar la configuración crítica del sistema operativo.
Página 13
• Exigir que los administradores utilicen cuentas administrativas independientes para la administración y
cambios de configuración. Esto asegura que los administradores, mientras navegan por Internet o leen
correo electrónico, no exponen una cuenta de usuario que tiene acceso prácticamente ilimitado al entorno de TI.
• Restrinja el inicio de sesión de la consola de administrador. Iniciar sesión localmente en una consola es un riesgo mayor para un servidor que
acceder a los datos de forma remota. Esto se debe a que algunos programas maliciosos pueden infectar una computadora solo mediante el uso de un usuario
sesión en el escritorio. Si permite que los administradores utilicen Conexión a escritorio remoto para el servidor
administración, asegúrese de que las funciones de seguridad mejoradas, como el Control de cuentas de usuario (UAC), estén
habilitado.
• Restrinja el acceso físico. Si alguien tiene acceso físico a sus servidores, esa persona tiene virtualmente
acceso ilimitado a los datos de ese servidor. Una persona no autorizada podría utilizar una amplia variedad de herramientas
para restablecer la contraseña en las cuentas de administrador local rápidamente y permitir el acceso local, o usar un USB
impulso para introducir malware. BitLocker puede ser eficaz para limitar o reducir la eficacia de
algunos ataques físicos.
Lectura adicional: Para obtener más información sobre las mejores prácticas para la seguridad empresarial,
consulte los artículos sobre seguridad de Windows Server en
http://go.microsoft.com/fwlink/?LinkID=392100.
Página 14
Lección 2
Configurar los ajustes de seguridad
Una vez que haya aprendido sobre las amenazas de seguridad, los riesgos y las mejores prácticas para aumentar la seguridad, puede
comience a configurar la seguridad para su entorno Windows 8 y Windows Server 2012. Esta lección explica
cómo configurar los ajustes de seguridad.
Puede aplicar la configuración de seguridad a varios usuarios y equipos de su organización mediante Group
Política. Por ejemplo, puede configurar la directiva de contraseñas mediante la directiva de grupo y luego implementar
a varios usuarios.
La directiva de grupo tiene un gran componente de seguridad que puede utilizar para configurar la seguridad tanto para los usuarios como para
ordenadores. Se puede aplicar la seguridad coherente en toda la organización en Active Directory ® de dominio
Servicios (AD DS) mediante la definición de la configuración de seguridad en un objeto de política de grupo (GPO) que está asociado con un sitio,
dominio o unidad organizativa (OU).
Lectura adicional: para obtener una lista detallada de la configuración de la política de grupo, consulte "Política de grupo
Referencia de configuración para Windows y Windows Server "en
• Describir cómo configurar plantillas de seguridad.
• Describir los derechos de usuario y cómo configurarlos.
• Describir cómo configurar las opciones de seguridad.
• Describir cómo configurar la función UAC.
• Describir cómo configurar la auditoría de seguridad.
• Describir cómo configurar la política de Grupos restringidos.
• Describir cómo configurar la política de la cuenta.
• Describir la función Security Compliance Manager.
• Instale y utilice Security Compliance Manager.
Configurar plantillas de seguridad
Las plantillas de seguridad son archivos que usa para

administrar y configurar los ajustes de seguridad en
Computadoras basadas en Windows. Dependiendo de
varias categorías de configuraciones de seguridad, seguridad
las plantillas se dividen en secciones lógicas. usted
puede configurar cada una de las siguientes secciones
según las necesidades y solicitudes de la empresa:
• Políticas de cuenta. Esto incluye contraseña,

bloqueo de cuenta y Kerberos versión 5
políticas.
Página 15
• Políticas locales. Esto incluye políticas de auditoría, asignación de derechos de usuario y opciones de seguridad.
• Registro de eventos. Esto incluye la configuración del registro de eventos de seguridad, sistema y aplicaciones.
• Grupos restringidos. Esto incluye la pertenencia a grupos que tienen derechos y permisos especiales.
• Servicios del sistema. Esto incluye el inicio y los permisos para los servicios del sistema.
• Registro. Esto incluye permisos para claves de registro.
• Sistema de archivos. Esto incluye permisos para carpetas y archivos.
Cuando configura una plantilla de seguridad, puede usarla para configurar una sola computadora o para configurar
varias computadoras en una red. Puede configurar y distribuir plantillas de seguridad de varias formas,
incluso mediante el uso de:
• Herramienta de línea de comandos Secedit . Puede usar secedit para comparar la configuración actual de una computadora
que ejecuta Windows Server 2012 a plantillas de seguridad específicas.
• Complemento de plantillas de seguridad. Puede utilizar este complemento para crear una política de seguridad utilizando seguridad
plantillas.
• Asistente de configuración y análisis de seguridad. Puede utilizar este asistente para analizar y configurar
la seguridad informática.
• Política de grupo. Puede utilizar la directiva de grupo para analizar y configurar la configuración de la computadora y distribuir
configuraciones de seguridad específicas.
• Gerente de Cumplimiento de Seguridad. Puede utilizar Security Compliance Manager para ver la configuración de seguridad,
comparar la configuración con las líneas base de seguridad (que son grupos de configuraciones diseñadas sobre la base de
Guías de seguridad y mejores prácticas de Microsoft), personalice la configuración e importe o exporte copias de seguridad de GPO.
Un tema posterior de este módulo proporciona más detalles sobre Security Compliance Manager.
Configuración de derechos de usuario
La asignación de derechos de usuario se refiere a la capacidad de

realizar acciones en el sistema operativo. Cada
la computadora tiene su propio conjunto de derechos de usuario, como
el derecho a cambiar la hora del sistema. Por defecto,
la mayoría de los derechos se otorgan al sistema local
o al Administrador.
Los privilegios y los derechos de inicio de sesión son dos tipos de usuarios
derechos:
• Los privilegios definen el acceso a la computadora y

recursos del dominio, como el derecho a respaldar
hasta archivos y directorios.
• Los derechos de inicio de sesión definen quién está autorizado para iniciar sesión en una computadora y cómo pueden iniciar sesión.
Por ejemplo, los derechos de inicio de sesión pueden definir el derecho a iniciar sesión en un sistema localmente.
Puede configurar los derechos a través de la Política de grupo. Inicialmente, la política de dominio predeterminada no tiene definida
derechos de los usuarios.
Puede configurar los ajustes de los Derechos de usuario accediendo a la siguiente ubicación desde la Política de grupo
Consola de administración (GPMC):
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas locales
\ Asignación de derechos de usuario
Página 16
Algunos ejemplos de derechos de usuario de uso común y las políticas que configuran son:
• Agregar estaciones de trabajo al dominio . Determina qué usuarios o grupos pueden agregar estaciones de trabajo al dominio.
• Permitir iniciar sesión localmente. Determina qué usuarios pueden iniciar sesión en la computadora.
• Permitir el inicio de sesión a través de Servicios de escritorio remoto. Determina qué usuarios o grupos tienen permiso para
inicie sesión mediante el cliente de servicios de escritorio remoto.
• Realice copias de seguridad de archivos y directorios. Determina qué usuarios tienen permisos para realizar copias de seguridad de archivos y carpetas
un ordenador.
• Cambiar la hora del sistema. Determina qué usuarios o grupos tienen derechos para cambiar la hora y
fecha en el reloj interno de la computadora.
• Forzar el apagado desde un sistema remoto. Determina qué usuarios pueden apagar una computadora
desde una ubicación remota en la red.
• Apague el sistema. Determina cuáles de los usuarios que han iniciado sesión en una computadora localmente están
permitido apagar la computadora.
Configurar opciones de seguridad
También puede utilizar la Política de grupo para acceder y

configurar las opciones de seguridad. La seguridad informática
ajustes que puede configurar en Opciones de seguridad
incluir:
• Nombres de cuentas de administrador e invitado
• Acceso a unidades de CD / DVD
• Firmas de datos digitales
• Comportamiento de instalación del controlador
• Mensajes de inicio de sesión
• UAC
Puede configurar las opciones de seguridad accediendo a la siguiente ubicación desde la GPMC:
\Opciones de seguridad
Las opciones de seguridad más utilizadas incluyen:
• Solicitar al usuario que cambie la contraseña antes de que caduque. Determina cuántos días antes de que un usuario
caducará la contraseña que el sistema operativo proporciona una advertencia.
• Inicio de sesión interactivo: no muestra el último nombre de usuario. Determina si el nombre del último usuario que firmó
en la computadora se muestra en la ventana de inicio de sesión de Windows.
• Inicio de sesión interactivo: especifique un mensaje que se mostrará cuando los usuarios inicien sesión. Una común
El mensaje es una advertencia de que el sistema es para uso privado y autorizado únicamente y que todos los intentos de
el uso del sistema son monitoreados.
• Cuentas: cambie el nombre de la cuenta de administrador. Determina si se asocia un nombre de cuenta diferente
con el identificador de seguridad (SID) de la cuenta de administrador.
Página 17
Configuración del control de cuentas de usuario
Las cuentas administrativas llevan consigo una mayor

grado de riesgo de seguridad. Cuando un administrativo
cuenta está registrada, sus privilegios permiten el acceso a
todo el sistema operativo Windows, incluido
el registro, los archivos del sistema y la configuración
ajustes. Siempre que una cuenta administrativa esté
iniciado sesión, el sistema es vulnerable a ataques y
puede verse comprometido.
UAC es una función de seguridad que ayuda a prevenir

cambios no autorizados en una computadora. Lo hace
esto pidiendo permiso al usuario o
credenciales de administrador antes de realizar
acciones que podrían afectar el funcionamiento de la computadora o que podrían cambiar configuraciones que afectan a múltiples usuarios.
De forma predeterminada, tanto los usuarios estándar como los administradores ejecutan aplicaciones y acceden a los recursos en la seguridad.
contexto de un usuario estándar. El indicador de UAC proporciona una forma para que un usuario eleve su estado de un
cuenta de usuario estándar a una cuenta de administrador sin cerrar sesión, cambiar de usuario o ejecutar una
aplicación utilizando diferentes credenciales. Por lo tanto, UAC crea un entorno más seguro en el que
ejecutar e instalar aplicaciones.
Cuando una aplicación requiere permiso de nivel de administrador, UAC notifica al usuario de la siguiente manera:
• Si el usuario es un administrador, el usuario confirma esto para elevar su nivel de permiso y

Seguir. Este proceso de solicitud de aprobación se conoce como modo de aprobación de administrador .
Nota: desde Windows Server 2008, la cuenta de administrador integrada no se ejecuta en
Modo de aprobación de administrador. El resultado es que no se muestran mensajes de UAC cuando se utiliza el local
Cuenta de administrador.
• Si el usuario no es un administrador, entonces el usuario debe ingresar un nombre de usuario y contraseña para un
cuenta que tiene permisos administrativos. Proporcionar credenciales administrativas le da al usuario
privilegios administrativos temporalmente, pero solo para completar la tarea actual. Después de que la tarea sea
completa, los permisos vuelven a los de un usuario estándar.
Cuando utiliza este proceso de notificación y elevación a los privilegios de la cuenta de administrador,
no puede realizar cambios en la computadora sin que el usuario lo sepa. Esto se debe a que un mensaje le pregunta al usuario
para obtener permiso o credenciales de administrador. Esto puede ayudar a prevenir la aparición de software malicioso y espía.
instalado o realizando cambios en una computadora.
UAC permite que se produzcan cambios a nivel del sistema sin preguntar, incluso cuando un usuario ha iniciado sesión como local
usuario, incluido el:
• Instalación de actualizaciones de Windows Update.
• Instalación de controladores desde Windows Update o aquellos empaquetados con el sistema operativo.
• Visualización de la configuración del sistema operativo Windows.
• Emparejamiento de dispositivos Bluetooth con la computadora.
• Restablecimiento del adaptador de red y ejecución de otras tareas de diagnóstico y reparación de la red.
Página 18
Modificar el comportamiento de UAC

Puede modificar la experiencia de notificación de UAC para ajustar la frecuencia y el comportamiento de las indicaciones de UAC. A
modificar el comportamiento de UAC en una sola computadora, acceder al panel de control de Windows Server 2012 en Sistema y
Seguridad.
Puede configurar los ajustes para UAC accediendo a la siguiente ubicación desde la GPMC:
\Opciones de seguridad
Los siguientes son ejemplos de algunas configuraciones de GPO que puede configurar para UAC:
• Control de cuentas de usuario: ejecute a todos los administradores en el modo de aprobación de administrador. Controla el comportamiento de todos
Configuración de políticas de UAC para la computadora. Si esta configuración está deshabilitada, UAC no se ejecutará en esta computadora.
• Control de cuentas de usuario: modo de aprobación de administrador para la cuenta de administrador integrada. Cuando
Si habilita esta configuración, la cuenta de administrador integrada utiliza el modo de aprobación de administrador.
• Control de cuentas de usuario: detecta instalaciones de aplicaciones y solicita elevación. Esta configuración controla
el comportamiento de la detección de instalación de aplicaciones para la computadora.
• Control de cuentas de usuario: Eleve solo los ejecutables firmados y validados. Cuando habilitas esto
configuración, se realiza una verificación de Infraestructura de clave pública (PKI) en el archivo ejecutable para verificar que
proviene de una fuente confiable. Si se verifica el archivo, se permite que se ejecute.
Nota: De forma predeterminada, UAC no está configurado ni habilitado en las instalaciones Server Core de Windows
Servidor 2012.
Configurar la auditoría de seguridad
Normalmente, uno de los componentes de un

la estrategia de seguridad de la organización está registrando
actividades del usuario. Las actividades pueden incluir
intentos de acceso exitosos o infructuosos
datos críticos para el negocio que se almacenan en diferentes
carpetas o inicio de sesión exitoso o incorrecto
intentos en diferentes servidores. Grabando estos
Los eventos relacionados con la seguridad se denominan auditoría de seguridad .
La auditoría de seguridad agrega entradas a la seguridad
Registro de eventos que luego puede ver en el evento
Espectador.
La información en los registros de eventos de seguridad puede ayudar a su

La organización audita su cumplimiento de importantes objetivos relacionados con el negocio y la seguridad mediante
seguimiento de actividades definidas con precisión. Estas actividades incluyen:
• Un administrador que modificó la configuración o los datos en servidores que contienen información altamente confidencial
información.
• Un empleado dentro de un grupo definido que ha accedido a una carpeta importante que contiene datos de
diferentes departamentos.
• Un usuario que intenta iniciar sesión en su cuenta repetidamente sin éxito desde un
computadora de la empresa. Puede encontrar que el empleado propietario de esa cuenta de usuario estaba de vacaciones
esa semana, lo que significa que otro empleado estaba intentando iniciar sesión con una cuenta de usuario diferente.
Página 19
Puede configurar los ajustes para la auditoría de seguridad accediendo a la siguiente ubicación desde la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Política de auditoría
La configuración de GPO que puede configurar para la auditoría incluye:
• Auditar los eventos de inicio de sesión de la cuenta. Determina si el sistema operativo audita cada vez que
computadora valida las credenciales de una cuenta.
• Gestión contable de auditoría. Determina si auditar cada evento de gestión de cuentas,

como crear, cambiar, renombrar o eliminar una cuenta de usuario, cambiar una contraseña o habilitar
o deshabilitar una cuenta de usuario.
• Auditar el acceso a objetos. Determina si las auditorías del sistema operativo tienen acceso a objetos externos
de AD DS, como carpetas o archivos. Antes de configurar los ajustes de auditoría con la directiva de grupo, debe
configurar listas de control de acceso al sistema (SACL) en carpetas o archivos. Esto permite auditar para un
tipo de acción, como escribir, leer o modificar.
• Auditoría de eventos del sistema. Determina si el sistema operativo audita los eventos relacionados con el sistema, como
intentar cambiar la hora del sistema, intentar iniciar o apagar el sistema, o el registro de seguridad
tamaño que excede un umbral configurable de advertencia.
Cuando trabaje con auditoría de seguridad, tenga en cuenta las siguientes preocupaciones:
• Configurar Windows Server 2012 para auditar actividades genera una gran cantidad de datos que es difícil
analizar.
• Una gran cantidad de datos puede hacer que los servidores o controladores de dominio se queden sin espacio en disco porque
el registro de eventos de seguridad puede llegar a ser muy grande. La grabación de una gran cantidad de datos también puede causar
rendimiento en servidores heredados.
Desde el lanzamiento de Windows 7 y Windows Server 2008 R2, la directiva de grupo incluye auditoría avanzada
opciones de configuración de políticas. Las políticas de auditoría avanzadas proporcionan opciones de auditoría muy detalladas, que
proporcionar a los administradores un mayor control sobre las tareas específicas que se auditan. Para más detalles sobre
auditoría avanzada, consulte el "Curso 20411C: Administración de Windows Server 2012".
Lectura adicional: para obtener más información sobre la auditoría de seguridad, consulte "Novedades de
Auditoría de seguridad "en http://go.microsoft.com/fwlink/?LinkID=266747 .
Configurar grupos restringidos
En algunos casos, es posible que desee controlar

pertenencia a ciertos grupos en un dominio, como
como grupo de administradores locales, para evitar otros
cuentas de usuario para que no se agreguen a esos grupos.
Puede utilizar la política de grupos restringidos para

controlar la pertenencia al grupo utilizando cualquiera de
los siguientes métodos:
• Puede especificar qué miembros se agregan a

Un grupo.
Si elige esta opción, entonces cuando

definir una política de grupos restringidos y actualizar
Política de grupo, todos los miembros actuales permanecen y los miembros que define la política se agregan al
membresía existente.
Página 20
• Puede especificar qué miembros componen la membresía total de un grupo.
Si elige esta opción, cuando defina una política de Grupos restringidos y actualice la Política de grupo,
Se elimina cualquier miembro actual de un grupo que no esté en la lista de miembros de la política de Grupos restringidos.
Esto incluye miembros predeterminados, como el grupo de administradores de dominio.
Aunque puede controlar los grupos de dominio asignando políticas de grupos restringidos a los controladores de dominio,
debe usar esta configuración para configurar la pertenencia a grupos críticos únicamente, como los administradores de empresas
y administradores de esquemas.
Tenga en cuenta que el uso de políticas de grupos restringidos para grupos basados en dominios no se admite oficialmente y
hay consideraciones importantes en las que pensar antes de hacerlo.
Lectura adicional: para obtener más información sobre las políticas de grupos restringidos, consulte
"Descripción de grupos restringidos por políticas de grupo" en
También puede utilizar las políticas de grupos restringidos para controlar la membresía de grupos locales integrados en
estaciones de trabajo y servidores miembro. Por ejemplo, puede colocar el grupo Helpdesk en el local
Grupo de administradores en todas las estaciones de trabajo.
No puede especificar usuarios locales en un GPO de dominio. Los usuarios locales que están actualmente en el grupo local que el
Los controles de la política de Grupos restringidos se eliminarán, según la opción de política de Grupos restringidos que
tu eliges. La única excepción a esto es que la cuenta de administradores locales siempre está en la
Grupo de administradores.
Puede configurar los ajustes para los grupos restringidos accediendo a la siguiente ubicación desde la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Grupos restringidos
Configuración de la política de la cuenta
Puede ayudar a proteger las cuentas de su organización

y datos mediante la implementación de políticas de cuenta que
reducir la amenaza de ataques de fuerza bruta, que
son ataques de usuarios malintencionados que intentan adivinar
nombres de usuario y contraseñas. Puedes implementar
políticas de contraseña de cuenta que controlan
complejidad y vida útil de las contraseñas de usuario para
asegúrese de que los usuarios utilicen contraseñas seguras.
Además, puede implementar el bloqueo de la cuenta
políticas que bloquean los ataques automatizados de fuerza bruta
controlando el número y la frecuencia de fallos
intentos de inicio de sesión.
Políticas de cuenta
Los componentes de la política de cuenta incluyen políticas de contraseñas, políticas de bloqueo de cuentas y políticas de Kerberos.
La configuración de la política en Políticas de cuenta se implementa a nivel de dominio. Un servidor de Windows 2012
El dominio puede tener varias políticas de bloqueo de cuentas y contraseñas, que se denominan contraseñas detalladas
políticas . Puede aplicar estas políticas múltiples a un usuario o a un grupo de seguridad global en un dominio, pero no
a una OU.
Página 21
Nota: Si necesita aplicar una política de contraseña detallada a los usuarios de una OU, puede usar una
grupo de sombra . Este es un grupo de seguridad global que se asigna lógicamente a una unidad organizativa.
Puede configurar las opciones de las políticas de la cuenta accediendo a la siguiente ubicación desde la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas de cuenta
Política de contraseñas
La siguiente tabla enumera las políticas de contraseñas que puede configurar.
Política Función Mejores prácticas
La contraseña debe cumplir Requiere contraseñas para: Habilite esta configuración. Esta complejidad
complejidad Los requisitos pueden ayudar a garantizar una
• Ser al menos tan largo como lo especifica
requisitos contraseña. Las contraseñas seguras son más
la longitud mínima de la contraseña,
difícil de descifrar que los
con un mínimo de tres
que contiene letras o números simples.
caracteres si el mínimo
La longitud de la contraseña se establece en 0. Indique a los usuarios que utilicen frases de paso para
Cree contraseñas largas que sean fáciles de
• Contener una combinación de al menos recuerda.
tres de los siguientes tipos de
caracteres: letras mayúsculas,
letras minúsculas, números y
símbolos (signos de puntuación).
• No debe contener al usuario del usuario

nombre o nombre de pantalla.
Hacer cumplir la contraseña Impide que los usuarios creen un nuevo Recordando más contraseñas
historia contraseña que es la misma que su garantiza una mejor seguridad. El valor por defecto
contraseña actual o una usada recientemente el valor es 24. Aplicación del historial de contraseñas
contraseña. asegura que las contraseñas que son
Si el número de recordado comprometidos no se utilizan repetidamente.
contraseñas se establece en 1, entonces solo el
se recuerda la última contraseña. Si el
el número se establece en 5, luego los últimos cinco
son recordados.
Contraseña máxima Establece el número máximo de días El valor predeterminado es 42 días. Ajuste
años que una contraseña es válida. Después de este el número de días demasiado alto proporciona
número de días, el usuario debe hackers con una ventana extendida de
cambiar la contraseña. oportunidad de romper o forzar el
contraseña. Configurar el número de días
demasiado bajo frustra a los usuarios que tienen que
cambiar sus contraseñas con demasiada frecuencia,
y podría resultar en llamadas más frecuentes
a la mesa de ayuda de TI.
Página 22
Contraseña mínima Establece el número mínimo de días Establezca la antigüedad mínima de la contraseña en
años que debe pasar antes de una contraseña al menos un día. Al hacerlo, necesita
puede ser cambiado. que el usuario puede cambiar su
contraseña solo una vez al día. Esto ayuda
hacer cumplir otras configuraciones.
Por ejemplo, si las últimas cinco contraseñas
son recordados, esto asegura que en
deben pasar al menos cinco días antes de
el usuario puede reutilizar la contraseña original. Si
la antigüedad mínima de la contraseña se establece en 0,
el usuario puede cambiar su contraseña seis
veces el mismo
reutilizando día y comenzar
la contraseña original en el
mismo día.
Contraseña mínima Especifica el menor número de Establezca la longitud entre ocho y

longitud caracteres que puede tener una contraseña. 12 caracteres, siempre que también
cumplir con los requisitos de complejidad. UNA
una contraseña más larga es más difícil de
crack que una contraseña más corta,
asumiendo que la contraseña no es una
palabra común.
Almacenar contraseñas por Brinda soporte para aplicaciones No utilice esta configuración a menos que utilice
usando reversible que necesitan saber una contraseña de usuario una aplicación que lo requiera.
cifrado para fines de autenticación. Habilitar este ajuste reduce la
seguridad de las contraseñas almacenadas.
Política de bloqueo de cuenta

La siguiente tabla enumera las políticas de bloqueo de cuentas que puede configurar.
Bloqueo de cuenta Especifica el número de fallos Un valor de 5 permite un error de usuario razonable,
límite intentos de inicio de sesión que están permitidos
y limita los intentos de inicio de sesión maliciosos. Tenga en cuenta que un
antes de que se bloquee la cuenta. El umbral bajo puede facilitar la negación de
Por ejemplo, si el umbral es ataque de servicio a objetos de usuario que ocurra,
establecido en 3, la cuenta está bloqueada especialmente de Internet. Debido a esto,
después de que un usuario ingresa algunas organizaciones están empezando a utilizar un
Información de ingreso incorrecta umbral más alto.
tres veces.
Bloqueo de cuenta Le permite especificar un Una vez alcanzado el umbral y la cuenta

duración período de tiempo, en minutos, después está bloqueado, la cuenta debe permanecer bloqueada
que la cuenta desbloquea el tiempo suficiente para bloquear o disuadir cualquier potencial
automáticamente y se reanuda ataques, pero lo suficientemente cortos para no interferir con
operación normal. Si tu productividad para usuarios legítimos. Una duración de
especificar 0, entonces la cuenta es 30 a 90 minutos funcionan bien en la mayoría de las situaciones.
bloqueado indefinidamente hasta que un
el administrador lo desbloquea
a mano.
Página 23
Restablecer cuenta Define un marco de tiempo para Usando un marco de tiempo entre 30 y 60 minutos
contador de bloqueo contando el inicio de sesión incorrecto suele ser suficiente para disuadir los ataques automatizados
después intentos. Si la política se establece para e intentos manuales de un atacante de adivinar
una hora, y la cuenta contraseña.
El umbral de bloqueo está establecido para
tres intentos, un usuario puede
ingrese el inicio de sesión incorrecto
información tres veces dentro
una hora. Si entran
información incorrecta dos veces,
pero hazlo correcto el tercero
tiempo, el contador se reinicia después
ha transcurrido una hora (desde
la primera entrada incorrecta) de modo que
futuros intentos fallidos
empiece a contar de nuevo desde uno.
Política de Kerberos
Esta política es para cuentas de usuario de dominio y determina la configuración relacionada con Kerberos, como la duración de los tickets.
y ejecución. Las políticas de Kerberos no existen en la Política de equipo local.
¿Qué es Security Compliance Manager?
Visión general
Security Compliance Manager es una herramienta gratuita de
Microsoft que ayuda a los administradores a proteger
computadoras si las computadoras residen localmente,
de forma remota o en la nube. Cumplimiento de seguridad
Manager es un Acelerador de soluciones de Microsoft,
actualmente en la versión 3.0, que automatiza algunos de
las tareas administrativas de ayudar a asegurar
ordenadores. Security Compliance Manager funciona
como herramienta independiente, o puede mejorarla
combinándolo con System Center 2012 R2
Administrador de configuración.
¿Qué hace Security Compliance Manager?

Las principales características de Security Compliance Manager incluyen:
• Líneas de base. Las líneas de base se basan en las guías de seguridad y las mejores prácticas de Microsoft, y proporcionan una
base desde la cual implementar nuevas configuraciones. Los ajustes de la línea de base son específicos de una operación
versión del sistema, una versión específica del producto o un componente específico, y se pueden descargar o
importados a Security Compliance Manager en forma de archivos .cab a medida que haya nuevos disponibles.
Puede utilizar la interfaz del Administrador de cumplimiento de seguridad para ver la configuración y comparar
líneas de base importadas a su configuración existente, o para comparar las líneas de base importadas con la configuración predeterminada.
Puede personalizar la configuración de la línea de base y luego exportarla como una copia de seguridad de GPO.
Página 24
• Guías de seguridad. Las guías de seguridad son guías de Microsoft para las principales versiones del sistema operativo y
versiones del producto. Contienen instrucciones y recomendaciones para ayudar a proteger su entorno.
Security Compliance Manager incluye guías para Windows 7 ® Service Pack 1 (SP1), Internet
Explorador ® 10, Microsoft Exchange Server y Windows Server 2012.
• Soporte para implementar políticas en equipos independientes. Además de automatizar la implementación

de la configuración para equipos unidos a un dominio mediante la directiva de grupo, Security Compliance Manager ayuda
reducir la sobrecarga administrativa de proteger equipos que no son miembros del dominio.
• Soporte para importar copias de seguridad de GPO existentes. Puede importar los GPO con copia de seguridad existentes en
Security Compliance Manager para compararlo con las líneas de base y luego personalizar la configuración
antes de exportar la nueva configuración a una copia de seguridad de GPO.
Uso de Security Compliance Manager

Los principales usos de Security Compliance Manager incluyen:
• Mantener e informar sobre el cumplimiento. Muchas organizaciones se adhieren a industrias específicas o

regulaciones gubernamentales, y deben someterse a pruebas de cumplimiento periódicas. Puedes usar Seguridad
Administrador de cumplimiento para validar que los equipos estén configurados para cumplimiento, especialmente cuando
Úselo en combinación con la función de administración de configuración deseada que es parte de System
Administrador de configuración de Center 2012 R2. Utilice la función de gestión de configuración deseada para
recopila información de cumplimiento y luego exporta una línea de base desde Security Compliance Manager,
y utilícelo en System Center 2012 R2 Configuration Manager.
• Configurar computadoras para políticas de seguridad o cumplimiento. Puede utilizar Security Compliance Manager
para reducir el trabajo que realiza al configurar equipos para políticas de seguridad o cumplimiento.
Puede exportar un GPO desde Security Compliance Manager y luego vincularlo al
contenedores en AD DS.
• Mantener la configuración en dos entornos independientes. Puede importar varios GPO a

Security Compliance Manager y, a continuación, utilícelos para comparar y / o fusionar configuraciones en
Ambientes. Esto es útil cuando su organización tiene un entorno de producción y un
entorno de desarrollo, o múltiples iteraciones de cada entorno.
• Conocer la configuración de seguridad recomendada por Microsoft. Las guías de seguridad integradas son detalladas
y específico del producto. Contienen información y recomendaciones pertinentes que ayudarán a un
La organización comprende los riesgos y la mitigación. Puede utilizar estas guías para formular o actualizar
políticas de seguridad y garantizar que los equipos de TI tengan el conocimiento de seguridad para implementar y mantener el
entornos con éxito.
Página 25
Requisitos para Security Compliance Manager 3.0

Puede instalar Security Compliance Manager en un sistema operativo cliente Windows o en un
sistema operativo del servidor. Security Compliance Manager 3.0 tiene varios requisitos previos de instalación, que incluyen
que tienes:
• Microsoft Visual C ++ 2010 x86. El instalador viene empaquetado con Security Compliance
Gerente 3.0. Si no está instalado en el equipo de destino, Security Compliance Manager
El instalador le solicita que lo instale.
• Microsoft SQL Server 2008 (incluida la edición Express) o más reciente instalado en el equipo de destino.
Si no tiene SQL instalado, el instalador de Security Compliance Manager instala Microsoft SQL
Servidor 2008 Express.
• Microsoft Word y Microsoft Excel ® . Algunos materiales de apoyo y guías requieren que tenga
Word y Excel instalados, aunque Security Compliance Manager no los requiere específicamente.
En el caso de documentos de texto, WordPad, que se instala con el sistema operativo Windows, puede
satisfacer. Sin embargo, los usuarios pueden guardar todos los documentos en otro lugar y luego abrirlos desde otra
computadora que tiene Word y Excel instalados.
Página 26
Laboratorio A: Aumento de la seguridad de los recursos del servidor

Guión
Su gerente le ha proporcionado algunas configuraciones relacionadas con la seguridad que deben implementarse en todos
servidores miembros. También debe implementar la auditoría del sistema de archivos para un recurso compartido de archivos utilizado por el
Departamento de Marketing. Por último, debe implementar la auditoría para los inicios de sesión de dominio.
Objetivos
• Utilice la política de grupo para proteger los servidores miembros.
• Auditar quién está accediendo a archivos específicos.
• Auditar inicios de sesión de dominio.

20410D ‑ LON ‑ SVR1
20410D ‑ LON ‑ SVR2
20410D ‑ LON ‑ CL1
2. En Hyper-V ® Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Iniciar .
3. En el panel Acciones, haga clic en Conectar .
Espere hasta que se inicie la máquina virtual.
4. Inicie sesión con las siguientes credenciales:
5. Repita los pasos 2 a 4 para 20410D-LON-SVR1 y 20410D-LON-SVR2 .
6. Repita los pasos 2 y 3 para 20410D-LON-CL1 . No inicie sesión en LON-CL1 hasta que se le indique.
Página 27
Ejercicio 1: uso de la directiva de grupo para proteger los servidores miembro

Guión
A. Datum Corporation utiliza el grupo de administradores de computadoras para proporcionar a los administradores
permisos para administrar servidores miembro. Como parte del proceso de instalación de un nuevo servidor, el
El grupo de administradores de equipos del dominio se agrega al grupo de administradores locales en el
nuevo servidor. Recientemente, se pasó por alto este importante paso al configurar varios servidores miembros nuevos.
Para asegurarse de que el grupo de administradores de equipos siempre tenga permiso para administrar servidores miembro,
su gerente le ha pedido que cree un GPO que establece la membresía del grupo de administradores local
en servidores miembro para incluir administradores de servidores informáticos. Este GPO también debe habilitar Admin
Modo de aprobación para UAC.
1. Cree una unidad organizativa (OU) de servidores miembro y mueva los servidores a ella.
2. Cree un grupo de administradores de servidor.
3. Cree un objeto de directiva de grupo (GPO) de configuración de seguridad del servidor miembro y vincúlelo al miembro.
Servidores OU.
4. Configure la pertenencia a grupos para que los administradores locales incluyan administradores de servidor y dominio.
Administradores.
5. Verifique que los administradores de equipos se hayan agregado al grupo de administradores local.
6. Modifique el GPO de configuración de seguridad del servidor miembro para quitar Usuarios de Permitir inicio de sesión local.
7. Modifique el GPO de configuración de seguridad del servidor miembro para habilitar el Control de cuentas de usuario: Aprobación del administrador
Modo para la cuenta de administrador incorporada.
8. Verifique que un usuario no administrativo no pueda iniciar sesión en un servidor miembro.
▶ Tarea 1: Cree una unidad organizativa (OU) de servidores miembro y mueva los servidores a ella
1. En LON-DC1, abra Usuarios y equipos de Active Directory .
2. Cree una nueva OU denominada Servidores miembro OU .
3. Mueva los servidores LON-SVR1 y LON-SVR2 a la unidad organizativa de los servidores miembro .
▶ Tarea 2: Cree un grupo de administradores de servidor

• En LON-DC1, en la unidad organizativa de servidores miembro , cree un nuevo grupo de seguridad global llamado Servidor
Administradores .
▶ Tarea 3: Crear un objeto de directiva de grupo (GPO) de configuración de seguridad del servidor miembro y un vínculo
a la unidad organizativa de servidores miembros
1. En LON-DC1, abra la Consola de administración de políticas de grupo.
2. En la Consola de administración de políticas de grupo, en el contenedor Objetos de políticas de grupo, cree un nuevo GPO
con un nombre Configuración de seguridad del servidor miembro .
3. En la Consola de administración de directivas de grupo, enlazar los Parámetros de seguridad de servidores miembro a miembro
Servidores OU .
Página 28
▶ Tarea 4: configurar la pertenencia al grupo para que los administradores locales incluyan
Administradores y administradores de dominio
1. En LON-DC1, para la Política de dominio predeterminada, abra la ventana Editor de administración de políticas de grupo.
2. En la ventana Editor de administración de políticas de grupo, vaya a Configuración del equipo \ Políticas
\ Configuración de Windows \ Configuración de seguridad \ Grupos restringidos .
3. Agregue los grupos Administradores de servidor y Administradores de dominio al grupo Administradores .
▶ Tarea 5: Verifique que los administradores de computadoras se hayan agregado a la

Grupo de administradores
1. Cambie a LON-SVR1 .
2. Abra Windows PowerShell ® y, en el indicador de Windows PowerShell, escriba el siguiente comando:
Gpupdate / force
3. Abra el Administrador del servidor , abra la consola Administración de equipos y luego expanda Usuarios locales y
Grupos .
4. Confirme que el grupo de administradores contiene ADATUM \ Domain Admins y

ADATUM \ Server Administrators como miembros.
5. Cierre la consola de administración de equipos.
▶ Tarea 6: Modifique el GPO de configuración de seguridad del servidor miembro para eliminar
Permitir iniciar sesión localmente
1. En LON-DC1, en la Consola de administración de políticas de grupo, edite la Configuración de seguridad del servidor miembro
GPO.
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Asignación de derechos de usuario .
3. Configure Permitir el inicio de sesión localmente para administradores de dominio y grupos de seguridad de administradores .
▶ Tarea 7: Modifique el GPO de configuración de seguridad del servidor miembro para habilitar la cuenta de usuario
Control: modo de aprobación de administrador para la cuenta de administrador integrada
1. En LON-DC1, en la ventana Editor de administración de políticas de grupo, vaya a Configuración del equipo
\ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad .
2. Habilite el Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada .
▶ Tarea 8: Verificar que un usuario no administrativo no pueda iniciar sesión en un servidor miembro
1. Cambie a LON-SVR1.
2. Abra una ventana de Windows PowerShell y, en el indicador de Windows PowerShell, escriba lo siguiente
mando:
Gpupdate / force
3. Cierre sesión en LON-SVR1.
4. Intente iniciar sesión en LON-SVR1 como Adatum \ Adam con la contraseña Pa $$ w0rd .
Verifique que no pueda iniciar sesión en LON-SVR1.
Página 29
5. Para prepararse para el siguiente ejercicio, cierre sesión en LON-SVR1 y luego vuelva a iniciar sesión en LON-SVR1 como
Adatum \ Administrador con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, habrá utilizado la directiva de grupo para proteger los servidores miembro.
Ejercicio 2: auditoría del acceso al sistema de archivos

Guión
Al gerente del departamento de marketing le preocupa que no haya forma de rastrear quién está accediendo
archivos que se encuentran en el recurso compartido de archivos departamental. Su gerente ha explicado que solo los usuarios con permisos
tienen permitido acceder a los archivos. Sin embargo, el director del departamento de marketing quiere intentar grabar
quién accede a archivos específicos.
Su gerente le ha pedido que habilite la auditoría para el sistema de archivos que se encuentra en el departamento de marketing
compartir archivos y revisar los resultados con el gerente del departamento de marketing.
1. Modifique el GPO de configuración de seguridad del servidor miembro para habilitar la auditoría de acceso a objetos.
2. Cree y comparta una carpeta.
3. Habilite la auditoría en la carpeta Marketing para usuarios del dominio.
4. Cree un nuevo archivo en el recurso compartido de archivos de LON-CL1.
5. Vea los resultados en el registro de seguridad en el controlador de dominio.
▶ Tarea 1: Modificar el GPO de configuración de seguridad del servidor miembro para habilitar el acceso a objetos
revisión de cuentas
1. Cambie a LON-DC1.
2. En la Consola de administración de directivas de grupo, edite el GPO de configuración de seguridad del servidor miembro .
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Política de auditoría .
4. Habilite el acceso a objetos de auditoría con la configuración de éxito y error .
5. Salga de LON-DC1.
▶ Tarea 2: crear y compartir una carpeta

2. En LON-SVR1, en la unidad C, cree una nueva carpeta con el nombre Marketing .
3. Configure la carpeta Marketing con permisos de uso compartido de lectura / escritura para el usuario Adam .
▶ Tarea 3: Habilite la auditoría en la carpeta Marketing para usuarios del dominio

1. En LON-SVR1, en la ventana Disco local (C :), configure la auditoría en la carpeta Marketing , con el
siguientes configuraciones:
o Seleccione un principal: Usuarios de dominio
o Tipo: Todo
o Permiso: Leer y ejecutar, Listar el contenido de la carpeta, Leer, Escribir
o Dejar otras configuraciones con sus valores predeterminados
Página 30
2. Actualice la política de grupo escribiendo el siguiente comando en el indicador de Windows PowerShell:
gpupdate / force
▶ Tarea 4: Cree un nuevo archivo en el recurso compartido de archivos de LON-CL1

1. Inicie sesión en LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. Abra la ventana del símbolo del sistema y luego escriba el siguiente comando:
gpupdate / force
3. Cierre la ventana del símbolo del sistema.
4. Cierre sesión en LON-CL1 y luego inicie sesión nuevamente como Adatum \ Adam con la contraseña Pa $$ w0rd .
5. Abra la carpeta Marketing en LON-SVR1, utilizando la siguiente convención de nomenclatura universal

(UNC) ruta: \\ LON-SVR1 \ Marketing .
6. Cree un documento de texto con un nombre Empleados .
7. Cierre sesión en LON-CL1.
▶ Tarea 5: ver los resultados en el registro de seguridad en el controlador de dominio

1. Cambie a LON-SVR1 y luego inicie el Visor de eventos .
2. En la ventana Visor de eventos, expanda Registros de Windows y luego abra Seguridad .
3. Verifique que se muestre el siguiente evento e información:
o Fuente: Auditoría de seguridad de Microsoft Windows
o Id. de suceso: 4663
o Categoría de tarea: Sistema de archivos
o Se intentó acceder a un objeto
Resultados : Después de completar este ejercicio, habrá habilitado la auditoría de acceso al sistema de archivos.
Ejercicio 3: auditoría de inicios de sesión de dominio

Guión
Después de una revisión de seguridad, el comité de políticas de TI ha decidido comenzar a rastrear todos los inicios de sesión de los usuarios al
dominio. Su gerente le ha pedido que habilite la auditoría de los inicios de sesión de dominio y verifique que estén
trabajando.
1. Modifique el GPO de política de dominio predeterminado.
2. Ejecute gpupdate .
3. Inicie sesión en LON-CL1 con una contraseña incorrecta.
4. Revise los registros de eventos en LON-DC1.
5. Inicie sesión en LON-CL1 con la contraseña correcta.
6. Revise los registros de eventos en LON-DC1.
Página 31
▶ Tarea 1: Modificar el GPO de política de dominio predeterminado

1. Inicie sesión en LON-DC1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-DC1, inicie el Administrador del servidor y luego, desde el Administrador del servidor, inicie GPMC .
3. En LON-DC1, en la Consola de administración de directivas de grupo, edite el GPO de directiva de dominio predeterminado .
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Política de auditoría .
5. Habilite Auditar eventos de inicio de sesión de la cuenta con la configuración de éxito y error .
6. Actualice la Política de grupo mediante el comando gpupdate / force .
▶ Tarea 2: Ejecute gpupdate

gpupdate / force
3. Cierre la ventana del símbolo del sistema y luego cierre la sesión de LON-CL1.
▶ Tarea 3: Inicie sesión en LON-CL1 con una contraseña incorrecta

• Inicie sesión en LON-CL1 como Adatum \ Adam con la contraseña contraseña .
Esta contraseña es intencionalmente incorrecta para generar una entrada de registro de seguridad que muestra que un
Se ha realizado un intento de inicio de sesión fallido.
▶ Tarea 4: Revise los registros de eventos en LON-DC1

1. En LON-DC1, inicie el Visor de eventos .
2. En la ventana Visor de eventos, expanda Registros de Windows y luego haga clic en Seguridad .
3. Revise los registros de eventos para ver el siguiente mensaje: "Evento ID 4771 Error de autenticación previa de Kerberos.
Información de la cuenta: ID de seguridad: ADATUM \ Adam ”.
▶ Tarea 5: Inicie sesión en LON-CL1 con la contraseña correcta

1. Inicie sesión en LON-CL1 como Adatum \ Adam con la contraseña Pa $$ w0rd .
Esta contraseña es correcta y debería poder iniciar sesión correctamente como Adam .
▶ Tarea 6: Revisar los registros de eventos en LON-DC1

1. En LON-DC1, inicie el Visor de eventos .
3. Revise los registros de eventos para ver el siguiente mensaje: "ID de evento 4624 Se registró una cuenta correctamente
en. Nuevo inicio de sesión: ID de seguridad: ADATUM \ Adam ”.
Resultados : después de completar este ejercicio, habrá habilitado la auditoría de inicio de sesión de dominio.
Página 32

Pregunta: ¿Qué sucede si configura el grupo de administradores de equipos, pero no el
Grupo de administradores de dominio, para ser miembro del grupo de administradores locales en todos los
las computadoras del dominio?
Pregunta: ¿Por qué necesita restringir el inicio de sesión local a algunas computadoras?
Pregunta: ¿Qué sucede cuando un usuario no autorizado intenta acceder a una carpeta que tiene
auditoría habilitada para intentos de acceso exitosos y no exitosos?
Pregunta: ¿Qué sucede cuando configura la auditoría para los inicios de sesión de dominio para ambos
intentos de inicio de sesión exitosos y no exitosos?
▶ Prepárese para el próximo laboratorio

• Para prepararse para el próximo laboratorio, deje las máquinas virtuales funcionando.
Página 33
Lección 3
Restricción de software
Los usuarios deben tener acceso a las aplicaciones que les ayudan a realizar su trabajo. Sin embargo, innecesario o
Las aplicaciones no deseadas a menudo se instalan en los equipos cliente, ya sea de forma no intencionada o con fines maliciosos.
o con fines no comerciales. El software no compatible o no utilizado no es mantenido ni protegido por el
administradores, y podría utilizarse como un punto de entrada para que los atacantes obtengan acceso no autorizado o propaguen
virus informáticos. En consecuencia, es de suma importancia que se asegure de que solo sea necesario
El software está instalado en todos los equipos de su organización. También es vital que evite el software
que no está permitido o ya no se usa o no se admite para ejecutarse en ninguna computadora en su
organización.
• Explicar cómo utilizar las políticas de restricción de software (SRP) para restringir la ejecución de software no autorizado.
en servidores y clientes.
• Describir el propósito de AppLocker ® .
• Describir las reglas de AppLocker y cómo usarlas para restringir la ejecución de software no autorizado en
servidores y clientes.
• Describir cómo crear reglas de AppLocker.
¿Qué son las políticas de restricción de software?
Introducido en el sistema operativo Windows XP

y el sistema operativo Windows Server 2003,
Los SRP brindan a los administradores herramientas que pueden usar
para identificar y especificar qué aplicaciones se pueden ejecutar
en los equipos cliente. Tu configuras e implementas
Configuración de SRP a los clientes mediante la directiva de grupo.
Windows Server 2012 usa SRP para proporcionar

Windows Vista ® compatibilidad. Un conjunto de SRP es
compuesto por reglas y niveles de seguridad.
Reglas
Las reglas gobiernan cómo SRP responde a una aplicación
que se está ejecutando o instalando. Las reglas son las construcciones clave dentro de un SRP y un grupo de reglas juntas
determina cómo responde un SRP a las aplicaciones que se están ejecutando. Las reglas pueden basarse en uno de los
siguientes criterios que se aplican al archivo ejecutable principal de la aplicación en cuestión:
• Hash. Una huella digital criptográfica del archivo.
• Certificado. Un certificado de editor de software que se utiliza para firmar un archivo digitalmente.
• Camino. La ruta local o de la Convención de nomenclatura universal (UNC) donde se almacena el archivo.
• Zona. La zona de Internet.
Página 34
Niveles de seguridad
A cada SRP aplicado se le asigna un nivel de seguridad que rige la forma en que reacciona el sistema operativo cuando
se ejecuta la aplicación que se especifica en la regla. Los tres niveles de seguridad disponibles incluyen:
• No permitido. El software identificado en la regla no se ejecutará, independientemente de los derechos de acceso del usuario.
• Usuario Básico. Permite que el software identificado en la regla se ejecute como un usuario estándar no administrativo.
• Sin restricciones. Permite que el software identificado en la regla se ejecute sin restricciones de SRP.
Con estas tres configuraciones, hay dos formas principales de usar SRP:
• Si un administrador tiene una lista completa de todo el software que puede ejecutarse en los clientes, el
El nivel de seguridad predeterminado se puede establecer en No permitido. Todas las aplicaciones que pueden ejecutarse pueden
identificados en las reglas de SRP que aplican el nivel de seguridad de Usuario Básico o No Restringido a cada individuo
aplicación, dependiendo de los requisitos de seguridad.
• Si un administrador no tiene una lista completa del software que puede ejecutarse en
clientes, el nivel de seguridad predeterminado se puede establecer en usuario básico o sin restricciones, según la seguridad
requisitos. Todas las aplicaciones que no pueden ejecutarse se pueden identificar en las reglas de SRP, que
usaría una configuración de nivel de seguridad de No permitido.
Puede configurar los ajustes de SRP accediendo a la siguiente ubicación desde la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas de restricción de software
¿Qué es AppLocker?
AppLocker, que se introdujo en el

Sistema operativo Windows 7 y Windows
Server 2008 R2, es una función de configuración de seguridad
que controla qué aplicaciones son los usuarios
permitido correr.
AppLocker proporciona a los administradores varios

métodos con los que pueden rápida y
determinar de forma concisa la identidad de las aplicaciones
que pueden querer restringir, o al que
es posible que desee permitir el acceso. Aplicas AppLocker
a través de la directiva de grupo a los objetos de la computadora dentro
una OU. También puede aplicar AppLocker individual
reglas a usuarios o grupos individuales de AD DS.
AppLocker también contiene opciones para monitorear o auditar la aplicación de reglas. AppLocker puede ayudar
Las organizaciones evitan que se ejecute software malintencionado o sin licencia y pueden restringir selectivamente ActiveX ®
controles de ser instalados. También puede reducir el costo total de propiedad al garantizar que las estaciones de trabajo
están estandarizados en toda la empresa y que los usuarios solo ejecutan el software y las aplicaciones que
son aprobados por la empresa.
Al utilizar la tecnología AppLocker, las empresas pueden reducir la sobrecarga administrativa y ayudar a los administradores
controlar cómo los usuarios pueden acceder y utilizar archivos, como archivos .exe, scripts, archivos de Windows Installer (.msi y .msp
archivos), bibliotecas de vínculos dinámicos (DLL) y aplicaciones empaquetadas, como las aplicaciones de la Tienda Windows.
Puede usar AppLocker para restringir el software que:
• No se permite su uso en la empresa. Por ejemplo, software que puede interrumpir el negocio de los empleados.
productividad, como software de redes sociales o software que transmite archivos de video o imágenes que
puede utilizar grandes cantidades de ancho de banda de red y espacio en disco.
Página 35
• Ya no se usa o se ha reemplazado por una versión más reciente. Por ejemplo, software que no es
mantenidos por más tiempo o cuyas licencias han expirado.
• Ya no se admite en la empresa. El software que no se actualiza con actualizaciones de seguridad puede

plantean un riesgo de seguridad.
• Debe ser utilizado solo por departamentos específicos.
Puede configurar los ajustes de AppLocker accediendo a la siguiente ubicación desde la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas de control de aplicaciones
Nota: AppLocker usa el servicio Application Identity para verificar los atributos de un archivo. usted
debe configurar este servicio para que se inicie automáticamente en cada computadora donde AppLocker estará
aplicado. Si el servicio Application Identity no se está ejecutando, las políticas de AppLocker no
en vigor.
Lectura adicional: para obtener más información sobre AppLocker, consulte "AppLocker
visión general "en http://go.microsoft.com/fwlink/?LinkID=266745 .
Reglas de AppLocker
AppLocker define reglas basadas en atributos de archivo

que se deriven de la firma digital del
archivo. Los atributos de archivo en la firma digital incluyen:
• Nombre del editor
• Nombre del producto
• Nombre del archivo
• Versión del archivo
Configuración predeterminada
De forma predeterminada, no se definen políticas de AppLocker. Esta
significa que no hay aplicaciones bloqueadas. Sin embargo,
puede configurar reglas predeterminadas para cada colección de reglas para garantizar que las aplicaciones en los Archivos de programa
y los directorios de Windows pueden ejecutarse, y todas las aplicaciones pueden ejecutarse para los administradores
grupo. Debe habilitar las reglas predeterminadas si va a implementar políticas de AppLocker, porque
estas aplicaciones son necesarias para que los sistemas operativos Windows se ejecuten y funcionen normalmente.
Permitir y denegar acciones de reglas

Permitir y Denegar son acciones de reglas que permiten o deniegan la ejecución de aplicaciones según una lista de
aplicaciones que configure. La acción Permitir en las reglas limita la ejecución de aplicaciones a un
lista de aplicaciones y bloquea todo lo demás. La acción de Denegar las reglas adopta el enfoque opuesto y
permite la ejecución de cualquier aplicación, excepto las que se encuentran en una lista de aplicaciones denegadas. Estas acciones también
proporcionar un medio para identificar excepciones a esas acciones.
Página 36
Hacer cumplir o auditar solamente

Cuando la política de AppLocker se establece en Aplicar, las reglas se hacen cumplir y todos los eventos se auditan. Cuando AppLocker
La política se establece en Solo auditoría, las reglas se evalúan y los eventos se escriben en el registro de AppLocker, pero no
se lleva a cabo la ejecución. Al usar la configuración Solo auditoría, los administradores pueden recopilar información sobre
aplicaciones que se están ejecutando, comprender qué aplicaciones no se ejecutarán cuando se utilice la aplicación,
y ver las ramificaciones de la aplicación de AppLocker en los usuarios finales.
Demostración: Creación de reglas de AppLocker
En esta demostración, verá cómo:
• Cree un GPO para hacer cumplir las reglas ejecutables de AppLocker predeterminadas.
• Aplicar el GPO al dominio.
• Pruebe la regla de AppLocker.
Pasos de demostración
Cree un GPO para hacer cumplir las reglas ejecutables de AppLocker predeterminadas
2. Cree un nuevo GPO denominado Política de restricción de WordPad .
3. Edite la configuración de seguridad de la política de restricción de WordPad utilizando AppLocker para crear una nueva
Regla ejecutable .
4. Establezca el permiso de la nueva regla en Denegar , la condición en Publicador y luego seleccione

wordpad.exe . Si se le solicita, haga clic en Aceptar para crear reglas predeterminadas.
\ Configuración de Windows \ Configuración de seguridad \ Directivas de control de aplicaciones \ AppLocker .
6. En AppLocker, configure la aplicación con Enforce rules .
\ Configuración de Windows \ Configuración de seguridad \ Servicios del sistema .
8. Configure las propiedades de identidad de la aplicación con Definir esta configuración de directiva y seleccione el servicio.
modo de inicio con Automático .
Aplicar el GPO al dominio

1. En la Consola de administración de políticas de grupo, aplique el GPO de política de restricción de WordPad al
Dominio Adatum.com .
2. Abra la ventana del símbolo del sistema, escriba gpupdate / force y luego presione Entrar.
Prueba la regla de AppLocker

1. Inicie sesión en LON-CL1 como Adatum \ Alan con la contraseña Pa $$ w0rd .
2. En la ventana del símbolo del sistema, escriba gpupdate / force y luego presione Entrar.
Espere a que se actualice la política.
3. Intente iniciar WordPad y verifique que WordPad no se inicia.
Página 37
Lección 4
Configuración de Firewall de Windows con seguridad avanzada
El Firewall de Windows con seguridad avanzada es una herramienta importante para mejorar la seguridad de Windows
Server 2012. Este complemento ayuda a prevenir varios problemas de seguridad diferentes, como el escaneo de puertos o
malware. Firewall de Windows con seguridad avanzada tiene varios perfiles de firewall, cada uno de los cuales se aplica
configuraciones únicas para diferentes tipos de redes. Puede configurar las reglas del Firewall de Windows en cada servidor
manualmente o utilice la directiva de grupo para configurar las reglas de forma centralizada.
• Describir las características del Firewall de Windows con seguridad avanzada.
• Explique por qué es importante un firewall basado en host.
• Describir perfiles de firewall.
• Describir las reglas de seguridad de la conexión.
• Explicar cómo implementar las reglas de Firewall de Windows.
• Asegure el tráfico de red mediante el Firewall de Windows.
¿Qué es el Firewall de Windows con seguridad avanzada?
Firewall de Windows es un firewall basado en host que

incluido en Windows Server 2012. Este complemento
se ejecuta en la computadora local y restringe la red
acceso ay desde esa computadora.
A diferencia de un firewall perimetral, que proporciona

protección solo contra amenazas en Internet, un
firewall basado en host proporciona protección contra
amenazas dondequiera que se originen. Por ejemplo,
El Firewall de Windows protege a un host de una amenaza
dentro de la red de área local (LAN).
Reglas de entrada y salida

Las reglas de entrada controlan la comunicación que otro dispositivo o computadora de la red inicia con el
el ordenador anfitrión. De forma predeterminada, todas las comunicaciones entrantes están bloqueadas, excepto el tráfico que está permitido.
explícitamente mediante una regla de entrada.
Las reglas de salida controlan la comunicación que inicia la computadora host y está destinada a un dispositivo
o computadora en la red. De forma predeterminada, se permiten todas las comunicaciones salientes, excepto el tráfico que
bloqueado explícitamente por una regla de salida. Si opta por bloquear todas las comunicaciones salientes excepto la
tráfico que está explícitamente permitido, debe catalogar cuidadosamente el software que puede ejecutarse en ese
computadora y la comunicación de red requerida por ese software.
Puede crear reglas de entrada y salida basadas en el Protocolo de datagramas de usuario (UDP) y los puertos TCP, como
así como otros protocolos. También puede crear reglas de entrada y salida que permitan un ejecutable específico
acceso a la red, independientemente del número de puerto que se esté utilizando.
Página 38
Reglas de seguridad de conexión

Utilice Reglas de seguridad de conexión para configurar IPsec para Windows Server 2012. Cuando configure estas
reglas, puede autenticar la comunicación entre computadoras y luego usar esa información para crear
reglas de firewall basadas en cuentas específicas de usuario y computadora.
Opciones de configuración adicionales

Firewall de Windows con seguridad avanzada es un complemento de Microsoft Management Consoles (MMC) que permite
para realizar la configuración avanzada del Firewall de Windows.
El Firewall de Windows en Windows 8 y Windows Server 2012 proporciona las siguientes características:
• Soporta filtrado para tráfico entrante y saliente
• Integra el filtrado de firewall y la configuración de protección IPsec
• Le permite configurar reglas para controlar el tráfico de la red
• Proporciona perfiles de reconocimiento de ubicación de red
• Le permite importar o exportar políticas
Puede configurar los ajustes del Firewall de Windows en cada computadora individualmente o accediendo al
siguiente ubicación de la GPMC:
• Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad

\ Firewall de Windows con seguridad avanzada
Nota: Windows Server 2012 presenta la opción adicional para administrar Windows
Firewall mediante la interfaz de línea de comandos de Windows PowerShell.
Discusión: ¿Por qué es importante un firewall basado en host?
Revise la pregunta de discusión y participe en

una discusión para identificar los beneficios de usar un
firewall basado en host, como Windows Firewall con
Seguridad avanzada.
Pregunta: ¿Por qué es importante utilizar un host

firewall basado en Windows, como Windows Firewall con
¿Seguridad avanzada?
Página 39
Perfiles de cortafuegos
Firewall de Windows con seguridad avanzada

utiliza perfiles de firewall para proporcionar una
configuración para redes de un tipo específico, y
le permite definir una red como un dominio
red, una red pública o una red privada.
Puede definir un conjunto de configuración para cada tipo

de la red cuando usa Windows Firewall con
Seguridad avanzada. Cada conjunto de configuración es un
perfil de firewall . Las reglas de firewall solo se activan
para perfiles de firewall específicos.
La siguiente tabla enumera el Firewall de Windows con

Perfiles de seguridad avanzados.
Perfil Descripción
Público Úselo cuando esté conectado a una red pública que no sea de confianza.
Aparte de las redes de dominio, todas las redes se clasifican como públicas. Por defecto,
Windows Vista, Windows 7 y Windows 8 usan el perfil público, que es el más
restrictivo.
Privado Úselo cuando esté conectado detrás de un firewall.

Una red se clasifica como privada solo si un administrador o un programa identifica el
red como privada. Redes marcadas como Hogar o Trabajo en Windows Vista, Windows 7,
y Windows 8 se agregan al perfil privado.
Dominio Úselo cuando su computadora sea parte de un dominio del sistema operativo Windows.
Los sistemas operativos Windows identifican automáticamente las redes en las que se puede autenticar
acceso al controlador de dominio. El perfil de dominio se asigna a estas redes y
esta configuración no se puede cambiar. No se pueden colocar otras redes en esta categoría.
Windows Server 2012 permite que varios perfiles de firewall estén activos en un servidor simultáneamente. Esto significa
que un servidor multi-homed que está conectado tanto a la red interna como a la red perimetral puede
Aplicar el perfil de firewall de dominio a la red interna y el perfil de firewall público o privado a la
red perimetral.
Reglas de seguridad de conexión
Una regla de seguridad de conexión fuerza la autenticación

entre dos computadoras pares antes de que puedan
establecer una conexión y transmitir de forma segura
información. También aseguran ese tráfico al
cifrar los datos que se transmiten entre
ordenadores. Firewall de Windows con avanzado
La seguridad utiliza IPsec para hacer cumplir estas reglas.
Página 40
Las reglas de seguridad de conexión configurables son:
• Aislamiento. Una regla de aislamiento aísla las computadoras al restringir las conexiones que se basan en credenciales
como membresía de dominio o estado de salud. Las reglas de aislamiento le permiten implementar un aislamiento
estrategia para servidores o dominios.
• Exención de autenticación. Puede utilizar una exención de autenticación para designar conexiones que
no requieren autenticación. Puede designar computadoras por una dirección IP específica, una dirección IP
rango, una subred o un grupo predefinido como una puerta de enlace.
• Servidor a servidor. Una regla de servidor a servidor protege las conexiones entre computadoras específicas. Este tipo
de regla generalmente protege las conexiones entre servidores. Al crear la regla, especifique la red
puntos finales entre los que se protegen las comunicaciones. Luego, designe los requisitos y
autenticación que desea utilizar.
• Túnel. Con una regla de túnel, puede proteger las conexiones entre computadoras de puerta de enlace. Normalmente, tu
use una regla de túnel cuando se conecte a través de Internet entre dos puertas de enlace de seguridad.
• Personalizado. Utilice una regla personalizada para autenticar conexiones entre dos puntos finales cuando no puede establecer
las reglas de autenticación que necesita utilizando las otras reglas disponibles en la nueva conexión
Asistente para reglas de seguridad.
Cómo funcionan juntas las reglas de firewall y las reglas de seguridad de conexión
Las reglas de firewall permiten el tráfico a través del firewall, pero no protegen ese tráfico. Para proteger el tráfico con IPsec,
puede crear reglas de seguridad de conexión. Sin embargo, las reglas de seguridad de la conexión no permiten el tráfico a través de
cortafuegos. Debe crear una regla de firewall para hacer esto. Las reglas de seguridad de conexión no se aplican a los programas
y servicios. En cambio, se aplican entre las computadoras que componen los dos puntos finales.
Implementación de reglas de firewall
Cómo se implementan las reglas del Firewall de Windows es

una consideración importante. Elegir el
El método apropiado asegura que las reglas sean
desplegado con precisión y con el mínimo esfuerzo.
Puede implementar reglas de Firewall de Windows:
• Manualmente. Puede configurar reglas de firewall

individualmente en cada servidor. Sin embargo, en un
entorno con más de unos pocos servidores,
esto es laborioso y propenso a errores.
Normalmente, utiliza este método solo durante
pruebas y resolución de problemas.
• Utilizando la Política de grupo. Este es el preferido

forma de distribuir las reglas del cortafuegos. Al utilizar la directiva de grupo, puede crear y probar un GPO con el
requeridas reglas de firewall, y luego implementar las reglas de firewall de forma rápida y precisa a un gran número
de computadoras.
• Exportando e importando reglas de firewall. Tiene la opción de importar y exportar reglas de firewall
cuando utiliza Firewall de Windows con seguridad avanzada. Por ejemplo, cuando está solucionando problemas,
puede exportar las reglas del firewall para crear una copia de seguridad antes de configurarlas manualmente.
Nota: Cuando importa reglas de firewall, se tratan como un conjunto completo y reemplazan todas
reglas de firewall configuradas actualmente.
Página 41
Demostración: Implementación de tráfico de red seguro con Windows

Cortafuegos
En esta demostración, verá cómo:
• Verifique si el Protocolo de mensajes de control de Internet (ICMP) v4 está bloqueado.
• Habilite ICMP v4 de LON-CL2 a LON-SVR2.
• Cree una regla de seguridad de conexión que autentique el tráfico al host de destino.
• Valide ICMP v4 después de que se aplique la regla de seguridad de conexión.
Pasos de demostración
Verifique si ICMP v4 está bloqueado

2. En LON-CL2, haga ping a 10.10.0.11 y luego observe que el ping se agota.
Habilite ICMP v4 de LON-CL2 a LON-SVR2
1. Inicie sesión en LON-SVR2 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En LON-SVR2, cree una regla de firewall para permitir ICMPv4 desde LON-CL2.
3. En LON-CL2, haga ping a 10.10.0.11 .
Observe que el ping se realiza correctamente.
Crea una regla de seguridad de conexión

• En LON-SVR2, cree una regla de seguridad de conexión basada en aislamiento para autenticar el tráfico entrante
y solicitar autenticación para el tráfico saliente.
Validar ICMP v4
• En LON-CL2, haga ping a 10.10.0.11 .
Observe que el ping se realiza correctamente.
Página 42
Laboratorio B: Configuración de AppLocker y Firewall de Windows

Guión
Su gerente le ha pedido que implemente AppLocker para restringir la ejecución de aplicaciones no estándar.
También le ha pedido que cree nuevas reglas de Firewall de Windows para cualquier servidor miembro que se ejecute en la web.
aplicaciones.
Objetivos
• Configurar las políticas de AppLocker.
• Configure el Firewall de Windows.

20410D ‑ LON ‑ SVR1
20410D ‑ LON ‑ CL1
2. En Hyper-V Manager, haga clic en 20410D-LON-DC1 y luego en el panel Acciones, haga clic en Conectar .
Espere hasta que se inicie la máquina virtual.
3. Si es necesario, inicie sesión con las siguientes credenciales:
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 y 20410D-LON-CL1 .
Ejercicio 1: configuración de políticas de AppLocker

Guión
Su gerente le ha pedido que configure nuevas políticas de AppLocker para controlar el uso de aplicaciones en
escritorios de usuario. La nueva configuración debería permitir que las aplicaciones se ejecuten solo desde ubicaciones aprobadas.
Todos los usuarios deben poder ejecutar aplicaciones desde C: \ Windows y C: \ Archivos de programa.
También debe agregar una excepción para ejecutar una aplicación desarrollada a medida que resida en una
ubicación.
La primera etapa de la implementación registra desde qué ubicaciones se están ejecutando las aplicaciones. los
La segunda etapa de implementación evita la ejecución de aplicaciones no autorizadas.
Página 43
1. Cree una unidad organizativa para los equipos cliente.
2. Mueva LON-CL1 a la unidad organizativa de equipos cliente.
3. Cree un GPO de control de software y vincúlelo a la unidad organizativa de equipos cliente.
4. Ejecute gpupdate.
5. Ejecute app1.bat en la carpeta C: \ CustomApp.
6. Vea los eventos de AppLocker en un registro de eventos.
7. Cree una regla que permita que el software se ejecute desde una ubicación específica.
8. Modifique el GPO de Control de software para hacer cumplir las reglas.
9. Verifique que aún se pueda ejecutar una aplicación.
10. Verifique que no se pueda ejecutar una aplicación.
▶ Tarea 1: crear una unidad organizativa para equipos cliente

2. Abra Usuarios y equipos de Active Directory.
3. Cree una nueva unidad organizativa denominada Equipos cliente .
▶ Tarea 2: Mueva LON-CL1 a la unidad organizativa de equipos cliente

• En LON-DC1, en Usuarios y equipos de Active Directory, mueva LON-CL1 al Cliente
Ordenadores OU.
▶ Tarea 3: Cree un GPO de control de software y vincúlelo a la unidad organizativa de equipos cliente
denominado Control de software .
3. Para el GPO de Control de software, abra la ventana Editor de administración de políticas de grupo.
5. Cree reglas predeterminadas para lo siguiente:
o Reglas ejecutables
o Reglas del instalador de Windows
o Reglas de script
o Reglas de aplicaciones empaquetadas
6. Configure la aplicación de reglas con la opción Solo auditoría para lo siguiente:
o Reglas de script
\ Configuración de Windows \ Configuración de seguridad .
Página 44
8. Haga clic en Servicios del sistema y luego haga doble clic en Identidad de la aplicación .
9. En el cuadro de diálogo Propiedades de identidad de la aplicación , haga clic en Definir esta configuración de directiva .
10. En Seleccionar modo de inicio del servicio , haga clic en Automático y luego en Aceptar .
12. En la Consola de administración de políticas de grupo, vincule el GPO de control de software a los equipos cliente.
UNED.

gpupdate / force
3. Cierre la ventana del símbolo del sistema y luego reinicie LON-CL1.
▶ Tarea 5: Ejecute app1.bat en la carpeta C: \ CustomApp

2. En el símbolo del sistema, escriba el siguiente comando y luego presione Entrar:
gpresult / R
Revise el resultado del comando y asegúrese de que Control de software se muestre en Computadora
Configuración, objetos de política de grupo aplicados.
3. Si no se muestra Software Control, reinicie LON-CL1 y luego repita los pasos 1 y 2.
C: \ CustomApp \ app1.bat
▶ Tarea 6: Ver eventos de AppLocker en un registro de eventos

1. En LON-CL1, inicie el Visor de eventos .
2. En la ventana Visor de eventos, vaya a Registros de aplicaciones y servicios \ Microsoft \ Windows

\ AppLocker y luego revise los eventos.
3. Haga clic en MSI y scripts y luego revise el registro de eventos 8005 que contiene el siguiente texto:
Se permitió la ejecución de% OSDRIVE% \ CUSTOMAPP \ APP1.BAT .
Si no se muestran eventos, asegúrese de que el servicio de identidad de la aplicación se haya iniciado y vuelva a intentarlo.
▶ Tarea 7: Cree una regla que permita que el software se ejecute desde una ubicación específica
1. En LON-DC1, edite el GPO de control de software .
3. Cree una nueva regla de secuencia de comandos con la siguiente configuración:
o Permisos: Permitir
o Condiciones: Camino
o Ruta: % OSDRIVE% \ CustomApp \ app1.bat
o Nombre y descripción: regla de aplicación personalizada
Página 45
▶ Tarea 8: Modificar el GPO de control de software para hacer cumplir las reglas
1. Utilice la opción Aplicar reglas para configurar la aplicación de reglas para lo siguiente:
o Reglas de script
▶ Tarea 9: Verifique que una aplicación aún se pueda ejecutar

gpupdate / force
3. Cierre la ventana del símbolo del sistema y luego reinicie LON-CL1.
4. Inicie sesión en LON-CL1 como Adatum \ Tony con la contraseña Pa $$ w0rd .
5. Abra la ventana del símbolo del sistema y luego verifique que puede ejecutar la aplicación app1.bat ,
que se encuentra en la carpeta C: \ CustomApp.
▶ Tarea 10: Verifique que no se pueda ejecutar una aplicación

1. En LON-CL1, desde la carpeta CustomApp, copie app1.bat en la carpeta Documentos .
2. Verifique que la aplicación no se pueda ejecutar desde la carpeta Documentos y que el siguiente mensaje
Aparece: “Este programa está bloqueado por la política de grupo. Para obtener más información, comuníquese con su sistema
administrador."
Resultados : después de completar este ejercicio, habrá configurado las políticas de AppLocker para todos los usuarios
Las cuentas de equipo se encuentran en la unidad organizativa de equipos cliente. Las políticas que configuró deberían permitir
estos usuarios para ejecutar aplicaciones que se encuentran en las carpetas C: \ Windows y C: \ Archivos de programa, y ejecutar
la aplicación app1.bat desarrollada a medida en la carpeta C: \ CustomApp.
Ejercicio 2: configuración de Firewall de Windows

Guión
Su gerente le ha pedido que configure las reglas del Firewall de Windows para un conjunto de nuevos servidores de aplicaciones.
Estos servidores de aplicaciones tienen un programa basado en web que escucha en un puerto no estándar. Necesitas
configure el Firewall de Windows para permitir la comunicación de red a través de este puerto. Usarás seguridad
filtrado para garantizar que las nuevas reglas de Firewall de Windows se apliquen solo a los servidores de aplicaciones.
1. Cree un grupo denominado Servidores de aplicaciones.
2. Agregue LON-SVR1 como miembro del grupo.
3. Cree un nuevo GPO de servidores de aplicaciones.
4. Vincule el GPO de los servidores de aplicaciones a la unidad organizativa de los servidores miembros.
5. Utilice el filtrado de seguridad para limitar el GPO del servidor de aplicaciones a los miembros del grupo del servidor de aplicaciones.
Página 46
6. Ejecute gpupdate en LON-SVR1.
7. Vea las reglas de firewall en LON-SVR1.
▶ Tarea 1: Cree un grupo denominado Servidores de aplicaciones

• En LON-DC1, en Usuarios y equipos de Active Directory, en la unidad organizativa de servidores miembros, cree una nueva
grupo de seguridad global denominado Servidores de aplicaciones .
▶ Tarea 2: Agregar LON-SVR1 como miembro del grupo

• En Usuarios y equipos de Active Directory, en la unidad organizativa Servidores miembros, abra Servidores de aplicaciones
Propiedades y luego agregue LON-SVR1 como miembro del grupo.
▶ Tarea 3: Cree un nuevo GPO de servidores de aplicaciones

llamado Application Servers GPO .
\ Configuración de Windows \ Configuración de seguridad \ Firewall de Windows con seguridad avanzada
\ Firewall de Windows con seguridad avanzada - LDAP: // CN = {GUID} .
4. Configure una regla de entrada con la siguiente configuración:
o Tipo de regla: personalizado
o Tipo de protocolo: TCP
o Puerto local: puertos específicos - 8080
o Alcance: cualquier dirección IP
o Acción: Permitir la conexión
o Perfil: Dominio (desactive las casillas de verificación Privada y Pública )
o Nombre: Regla de firewall del departamento del servidor de aplicaciones
▶ Tarea 4: vincular el GPO de los servidores de aplicaciones a la unidad organizativa de los servidores miembros
• En la Consola de administración de políticas de grupo, vincule el GPO de los servidores de aplicaciones al miembro.
Servidores OU .
▶ Tarea 5: Utilice el filtrado de seguridad para limitar el GPO del servidor de aplicaciones a los miembros de
Grupo de servidores de aplicaciones
2. Expanda la unidad organizativa Servidores miembros y, a continuación, haga clic en GPO de servidores de aplicaciones .
3. En el panel de la derecha, en Filtrado de seguridad , elimine Usuarios autenticados y luego configure

GPO de Application Servers para aplicar solo al grupo de seguridad de Application Servers.
Página 47
▶ Tarea 6: Ejecute gpupdate en LON-SVR1

gpupdate / force
4. Reinicie LON-SVR1 y luego vuelva a iniciar sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
▶ Tarea 7: Ver las reglas de firewall en LON-SVR1

2. Inicie el Firewall de Windows con seguridad avanzada.
3. En la ventana Firewall de Windows con seguridad avanzada, en Reglas de entrada , verifique que
La regla de firewall del departamento del servidor de aplicaciones que creó anteriormente mediante la directiva de grupo es
configurado.
4. Verifique que no puede editar la regla de firewall del departamento del servidor de aplicaciones , porque es
configurado a través de la Política de grupo.
Resultados : después de completar este ejercicio, habrá utilizado la directiva de grupo para configurar el Firewall de Windows
con seguridad avanzada para crear reglas para servidores de aplicaciones.

Pregunta: configuró una regla de AppLocker que evita que los usuarios ejecuten software en
una ruta de archivo especificada. ¿Cómo puede evitar que los usuarios muevan la carpeta que contiene el
software para que puedan eludir la regla y seguir ejecutándolo?
Pregunta: Quiere presentar una nueva aplicación que necesita usar puertos específicos. Qué
información que necesita para configurar el Firewall de Windows con seguridad avanzada, y desde
¿Qué fuente puedes conseguirlo?

Cuando termine la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial realizando los siguientes pasos:
Página 48

Pregunta: ¿El modelo de defensa en profundidad prescribe tecnologías específicas que debería
utilizar para proteger los servidores del sistema operativo Windows Server?
Pregunta: ¿Qué configuración debe configurar para garantizar que los usuarios solo tengan permitido tres
intentos de inicio de sesión no válidos?
Pregunta: Está creando un GPO con reglas de firewall estandarizadas para los servidores de su
organización. Probó las reglas en un servidor independiente en su laboratorio de pruebas. Las reglas aparecen
en los servidores después de aplicar el GPO, pero no surten efecto. Cual es la mas probable
causa de este problema?
Pregunta: El año pasado, su organización desarrolló una estrategia de seguridad que incluía todos los aspectos
de un modelo de defensa en profundidad. Basándose en esa estrategia, su organización implementó
configuraciones y políticas de seguridad en todo el entorno de la infraestructura de TI. Ayer leíste
en un artículo que se detectaron nuevas amenazas de seguridad en Internet, pero ahora se da cuenta de que
La estrategia de su empresa no incluye un plan de análisis y mitigación de riesgos para los nuevos
amenazas. ¿Qué deberías hacer?
Mejores prácticas
Las siguientes son las mejores prácticas:
• Realice siempre una evaluación detallada de los riesgos de seguridad antes de planificar qué características de seguridad
la organización debería desplegarse.
• Cree un GPO separado para la configuración de seguridad que se aplique a diferentes tipos de usuarios en su organización,
porque cada departamento puede tener diferentes necesidades de seguridad.
• Asegúrese de que la configuración de seguridad que configure sea razonablemente fácil de usar para que los empleados
aceptarlas. Con frecuencia, las políticas de seguridad muy sólidas son demasiado complejas o difíciles para que los empleados
adoptar.
• Siempre pruebe las configuraciones de seguridad que planea implementar con un GPO en un lugar aislado,
entorno de no producción. Solo implemente políticas en su entorno de producción después de
completar esta prueba con éxito.
El usuario no puede iniciar sesión localmente en un

servidor.
Después de configurar la auditoría, hay

demasiados eventos registrados en el
Registro de eventos de seguridad en el Visor de eventos.
Algunos usuarios se quejan de que su

las aplicaciones comerciales ya no pueden
acceder a los recursos del servidor.
Página 49
Herramientas
Herramienta Usado para Donde encontrarlo
Política de grupo Una herramienta gráfica que usas Administrador del servidor \ Herramientas
administración para crear, editar y aplicar
Consola GPO
AppLocker Aplica configuraciones de seguridad que Complemento del Editor de administración de políticas de grupo
controlar que aplicaciones
los usuarios pueden ejecutar
Ventanas Un cortafuegos basado en host que Administrador del servidor \ Herramientas si se configura individualmente,
Cortafuegos con incluido como una característica en o el complemento Editor de administración de políticas de grupo para
Avanzado Windows Server 2008 y implementar con la política de grupo
Seguridad versiones mas nuevas
Seguridad Implementar políticas de seguridad Descárguelo del sitio web de Microsoft en

Conformidad basado en Microsoft Security http://go.microsoft.com/fwlink/?LinkID=266746
Gerente Recomendaciones de guía
y las mejores prácticas de la industria
Página 50
Página 51
13-1
Módulo 13
Implementación de la virtualización de servidores con Hyper-V
Contenido:
Descripción general del módulo 13-1
Lección 1: Descripción general de las tecnologías de virtualización 13-2
Lección 2: Implementación de Hyper-V 13-8
Lección 3: Administrar el almacenamiento de la máquina virtual 13-19
Lección 4: Gestión de redes virtuales 13-27
Laboratorio: Implementación de la virtualización de servidores con Hyper-V 13-33
Revisión del módulo y conclusiones 13-39
Descripción general del módulo

La virtualización de servidores ha sido parte del sistema operativo Windows Server® desde el lanzamiento de
Windows Server 2008 y la introducción de la función Hyper- V® . Al utilizar la virtualización de servidores, su
La organización puede ahorrar dinero mediante la consolidación de servidores. Sin embargo, para utilizar la virtualización de servidores más
eficientemente, los administradores del servidor deben poder decidir qué cargas de trabajo del servidor se ejecutarán eficazmente en
máquinas virtuales y qué cargas de trabajo del servidor deben permanecer implementadas en un servidor más tradicional
ambiente.
Este módulo le presenta el rol de Hyper-V en Windows Server 2012 y Windows Server 2012 R2,
los componentes del rol, la mejor manera de implementar el rol y las nuevas características del rol de Hyper-V que
Presentamos Windows Server 2012 y Windows Server 2012 R2.
Objetivos
Después de completar este módulo, debería poder:
• Describir tecnologías de virtualización.
• Implementar Hyper-V.
• Administrar el almacenamiento de la máquina virtual.
• Gestionar redes virtuales.
Página 52
13-2 Implementación de la virtualización de servidores con Hyper-V
Lección 1
Descripción general de las tecnologías de virtualización
Se pueden implementar diferentes tipos de tecnologías de virtualización en las redes donde Windows ®
Se implementan los sistemas operativos. Los tipos de tecnologías de virtualización que seleccione dependen de qué
su organización necesita lograr. Aunque este módulo se centra principalmente en la virtualización de servidores, en
En esta lección, aprenderá sobre otros tipos de tecnologías de virtualización y las situaciones en las que se
apropiado para desplegarlos.
• Describir la virtualización de servidores mediante Hyper-V.
• Describir Windows Azure ™ .
• Explique cuándo usaría la virtualización de escritorio.
• Determinar los componentes necesarios para implementar la virtualización de presentaciones.
• Explicar las ventajas de utilizar la virtualización de aplicaciones de Microsoft en lugar de los métodos tradicionales.
para implementar aplicaciones.
Virtualización de servidores
Con la virtualización de servidores, puede crear

máquinas virtuales y ejecutarlas simultáneamente en un
servidor único que ejecuta Hyper-V. Estos virtuales
las máquinas son huéspedes , mientras que la computadora que está
que ejecuta Hyper-V es el servidor de virtualización o el
sistema operativo de gestión.
Los invitados de la máquina virtual funcionan normalmente

ordenadores. Cuando los usuarios inician sesión en un invitado virtual
máquina de forma remota mediante el uso de Escritorio remoto
Conexión (RDC) o Windows PowerShell ®
sesión remota, tendrías que examinar
de cerca las propiedades de la computadora en la que
el usuario está trabajando para determinar si es una máquina virtual o una instalación física implementada tradicionalmente
máquina. Las máquinas virtuales que están alojadas en el mismo servidor de virtualización son independientes de una
otro. Puede ejecutar varias máquinas virtuales que utilizan diferentes sistemas operativos en una
servidor de virtualización simultáneamente, siempre que el servidor de virtualización tenga suficientes recursos.
Implementación de máquinas virtuales para maximizar el uso de hardware

Utiliza el hardware de manera más eficiente cuando implementa máquinas virtuales. En la mayoría de los casos, un servicio o
El programa no consume más que una fracción de los recursos del servidor de virtualización. Esto significa que
puede instalar varios servicios y programas en el mismo servidor de virtualización y luego implementarlos en
múltiples máquinas virtuales. Esto asegura un uso más eficaz de los recursos de ese servidor de virtualización. por
Por ejemplo, suponga que tiene cuatro servicios y programas separados, cada uno de los cuales consume de 10 a
15 por ciento de los recursos de hardware de un servidor de virtualización. Puede instalar estos servicios y programas en
máquinas virtuales y luego colóquelas en el mismo hardware donde, en promedio, consumen entre 40 y 60
porcentaje del hardware del servidor de virtualización.
Página 53
Este es un ejemplo simplificado. En entornos del mundo real, debe realizar los preparativos adecuados antes de
localizar máquinas virtuales. Debe asegurarse de que las necesidades de recursos de hardware de todas las máquinas virtuales
que el servidor de virtualización aloja no exceda los recursos de hardware del servidor.
Aislar servicios y programas

Mantener un servicio o programa en particular funcionando de manera confiable puede ser un desafío y se vuelve uniforme
más complicado cuando implementa varios servicios y programas en el mismo servidor. Por ejemplo tu
Puede que necesite implementar dos sistemas operativos separados en una sucursal, pero estos sistemas operativos
conflicto cuando se ejecuta en la misma computadora. Si solo puede pagar un servidor, puede resolver esto
problema al ejecutar estos programas dentro de máquinas virtuales en el mismo servidor.
Consolidar servidores
Con la virtualización de servidores, puede consolidar servidores que de otro modo necesitarían ejecutarse en
hardware en un solo servidor de virtualización. Porque cada máquina virtual en un servidor de virtualización es
aislado de las otras máquinas virtuales en el mismo servidor, es posible implementar servicios y programas
que son incompatibles entre sí en la misma computadora física, siempre que los aloje
dentro de las máquinas virtuales. Ejemplos de este tipo de servicios y programas incluyen Microsoft ® Exchange Server
2013, SQL Server ® 2012 y Active Directory ® servicios de dominio (AD DS). Esto significa que una organización
solo necesita implementar un servidor físico en lugar de los tres servidores que habrían necesitado en el
pasado.
Práctica recomendada : le recomendamos que no implemente un buzón de correo de Microsoft Exchange

servidor o una instancia del motor de base de datos de SQL Server 2012 en una computadora que aloja el dominio
papel del controlador. Microsoft admite la implementación de cada una de estas cargas de trabajo en
máquinas que se ejecutan en el mismo host de máquina virtual.
Simplificar la implementación del servidor

La virtualización también le permite simplificar la implementación del servidor porque:
• Las plantillas de máquina virtual para configuraciones de servidor comunes se incluyen con productos como
Microsoft System Center 2012: Administrador de máquinas virtuales (VMM). Estas plantillas incluyen
parámetros que están preconfigurados con configuraciones comunes, por lo que no tiene que configurar la configuración
de cada parámetro manualmente.
• Puede crear portales de autoservicio de máquinas virtuales que permitan a los usuarios finales aprovisionar
servidores y programas automáticamente. Esto reduce la carga de trabajo del equipo de administración de sistemas.
Puede crear estos portales de autoservicio de máquinas virtuales con VMM y Microsoft System Center 2012:
Supervisor.
Página 54
¿Qué es Windows Azure?
Windows Azure es una plataforma basada en la nube en

que puede adquirir capacidad para virtual
máquinas, para aplicaciones o para servicios como
Bases de datos de SQL Server en SQL Azure ™ . Uno de los
Las ventajas de utilizar Windows Azure es que
pague solo por la capacidad que utiliza, en lugar de
pagando una tarifa fija. Por ejemplo, puede pagar una
tarifa plana mensual para alquilar un servidor en un rack a un
proveedor de alojamiento. Sin embargo, es probable que pague menos
cuando el servidor está menos ocupado y paga más
cuando el servidor esté más ocupado.
La capacidad basada en la nube es elástica, lo que significa que puede

crecer o encogerse rápidamente según sea necesario. Por ejemplo, en una solución alojada tradicionalmente, puede elegir una
chasis de servidor específico, pero si su necesidad de capacidad o rendimiento aumenta, debe cambiar a un
clase más grande de hardware de servidor. Todo esto requiere tiempo y planificación. Del mismo modo, si su necesidad de capacidad o
el rendimiento disminuye, debe decidir si vale la pena migrar a una clase inferior de hardware
costo, o si su organización debe continuar pagando por una clase de hardware que no necesita correctamente
ahora, y puede que lo necesite o no en el futuro. Al utilizar un proveedor de alojamiento, la capacidad se escala automáticamente
y no tiene que gastar el tiempo ni el dinero necesarios para cambiar de un servidor a otro.
Las máquinas virtuales, los programas y los servicios basados en la nube pueden ser útiles cuando tiene que proporcionar una prueba de
Soluciones conceptuales para proyectos propuestos. En lugar de comprar hardware de prueba e implementar una prueba de
solución de concepto, puede implementar una máquina virtual basada en la nube rápidamente y luego implementar la prueba
solución de concepto a eso. Luego, una vez que valida la solución de prueba de concepto, puede descartar la
máquina virtual, o mantenerla, según los problemas operativos. Esta solución no solo es más rápida, es menos
caro que comprar el hardware para la solución de prueba de concepto, que puede optar por descartar si
el proyecto no está aprobado.
Alojamiento de sitios web o programas de producción

En plataformas basadas en la nube, como Windows Azure, puede implementar programas sin tener que implementar
la infraestructura del servidor subyacente. Por ejemplo, digamos que necesita una base de datos. En lugar de desplegar
Windows Server 2012 y SQL Server 2012, y luego implementar la base de datos específica, puede alquilar el
servidor de base de datos basado en la nube, y luego aloje la base de datos allí.
Para una estrategia exitosa basada en la nube, debe determinar qué servicios y programas son más
económico de implementar en una plataforma basada en la nube, y qué servicios y programas son más económicos
para alojar en un entorno de servidor más tradicional en sus propias instalaciones. Muchos factores que son exclusivos de
su organización está involucrada en la toma de esta determinación, y una estrategia que es mejor para uno
La organización puede no ser apropiada para otra.
Página 55
Virtualización de escritorio
Cliente Hyper-V
Puede instalar la función Hyper-V en las computadoras
que ejecutan Windows 8 Pro, Windows 8
Enterprise Windows 8.1 Pro y Windows 8.1
Sistemas operativos empresariales. Esto te permite
ejecutar invitados de máquina virtual en equipos cliente.
Client Hyper-V, la función Hyper-V en Windows 8
y los sistemas operativos Windows 8.1, ha
diferentes requisitos de procesador que Hyper-V en
Windows Server 2012 o Windows Server 2012 R2.
Específicamente, con Windows 8 y Windows 8.1
sistemas operativos cliente, la computadora debe tener una plataforma x64 que admita la dirección de segundo nivel
Traducción (SLAT) y tener un mínimo de 4 gigabytes (GB) de memoria de acceso aleatorio (RAM). Esto difiere
de Hyper-V en Windows Server 2012 y Windows Server 2012 R2, que no requiere SLAT.
Cliente Hyper-V en Windows 8 y Windows 8.1

El rol de Cliente Hyper-V en Windows 8 y Windows 8.1 es compatible con muchas de las funciones que están disponibles
con Hyper-V en Windows Server 2012. Sin embargo, no es compatible con características de Windows Server 2012 como
como migración de máquinas virtuales. Además, Client Hyper-V no admite la publicación de aplicaciones instaladas en
el invitado de la máquina virtual al menú Inicio del sistema operativo de gestión. Esta fue una característica de
Modo Windows XP en Windows 7, que utiliza Windows Virtual PC. Windows Virtual PC es el cliente
función de virtualización disponible para algunos equipos que ejecutan ediciones específicas de Windows 7.
Cliente Hyper-V en entornos empresariales

En entornos empresariales, Client Hyper-V se utiliza a menudo con fines de desarrollo o para permitir
Los usuarios pueden ejecutar versiones anteriores del sistema operativo Windows, lo que les permite acceder a las aplicaciones.
que son incompatibles con Windows 8 o Windows 8.1
Infraestructura de escritorio virtual

En la infraestructura de escritorio virtual (VDI), los sistemas operativos cliente se alojan de forma centralizada como máquinas virtuales,
y los clientes se conectan a estas máquinas virtuales mediante software de cliente, como RDC. Puede configurar un
servidor para admitir VDI seleccionando una instalación de Servicios de escritorio remoto en Agregar roles y características
Mago. Cuando configura un servidor de virtualización para que funcione como un servidor VDI, puede instalar Remote
Función de la función de host de virtualización de escritorio además de la función de Hyper-V.
VDI puede simplificar la gestión de los sistemas operativos del cliente al:
• Asegurar que se realicen copias de seguridad periódicas para todos los equipos cliente alojados en un solo servidor.
• Alojar las máquinas virtuales del cliente en un servidor de virtualización de alta disponibilidad.
• Garantizar que los usuarios aún puedan acceder a su máquina virtual mediante el uso de otros métodos RDC cuando un cliente
falla la computadora.
Puede usar VDI para implementar una política Traiga su propio dispositivo (BYOD). En este escenario, los trabajadores traen
su propia computadora a la oficina y utilizar el software RDC para conectarse a su máquina virtual asignada.
Página 56
RemoteFX
RemoteFX ® es una tecnología que beneficia las implementaciones de VDI al proporcionar un conjunto de mejoras a las
conexiones de escritorio. RemoteFX permite que las máquinas virtuales muestren capacidades de video y gráficos ricos,
incluida la transmisión de medios. También proporciona soporte para multitáctiles. Para usar RemoteFX, el host de Hyper-V
debe tener al menos una unidad de procesamiento de gráficos (GPU) que admita DirectX ® 9.0co más reciente, y una unidad central
unidad de procesamiento (CPU) que admite SLAT. Si instala varias GPU en el host de Hyper-V, deben
idéntico.
Virtualización de presentaciones
La virtualización de presentaciones difiere del escritorio

virtualización de las siguientes formas:
• En la virtualización de escritorio, a cada usuario se le asigna

su propia máquina virtual que ejecuta un
sistema operativo del cliente. En presentación
virtualización, los usuarios inician sesión y ejecutan por separado
sesiones en un servidor o servidores. Por ejemplo,
los usuarios Adam y Gavin podrían haber iniciado sesión
simultáneamente al mismo escritorio remoto
servidor, pero ejecutar diferentes sesiones usando
RDC.
• Con la virtualización de escritorio, las aplicaciones se ejecutan

dentro de las máquinas virtuales. Con la virtualización de presentaciones, el escritorio y las aplicaciones se ejecutan en el
servidor de virtualización.
En redes que usan Windows Server 2012, la función del servidor de Servicios de escritorio remoto proporciona
virtualización de presentaciones. Los clientes pueden acceder a la virtualización de presentaciones de las siguientes formas:
• Escritorio completo. Los clientes pueden utilizar un cliente de escritorio remoto, como RDC, para acceder a una sesión de escritorio completa
y ejecutar programas en el servidor de virtualización de Windows Server 2012.
• Programas de RemoteApp. En lugar de utilizar un cliente de escritorio completo, como RDC, la función de Windows Server
RemoteApp hace posible que los programas que se ejecutan en el servidor de Windows Server 2012 se muestren en
la computadora cliente.
• Acceso web a escritorio remoto. Mediante el acceso web de escritorio remoto (RD Web Access), los clientes pueden acceder
un sitio web en un servidor especialmente configurado, y luego inicie los programas RemoteApp y Remote
Sesiones de escritorio desde su navegador.
Puerta de enlace de escritorio remoto

La puerta de enlace de escritorio remoto (puerta de enlace RD) hace posible que los clientes externos accedan al escritorio remoto
y RemoteApp sin usar una red privada virtual (VPN) o DirectAccess, una característica de Windows 7
y sistemas operativos Windows 8. Puerta de enlace de Escritorio remoto es un servicio de función que puede instalar en una computadora
ejecutando Windows Server 2012. Implementa servidores de puerta de enlace de Escritorio remoto en redes perimetrales y luego
Configure el cliente RDC con la dirección de los servidores de puerta de enlace de RD. Esto asegura que el cliente verifique
si el servidor de escritorio remoto de destino está en la red de la organización. Si es así, el cliente realiza una
conexión con él. Si el servidor de escritorio remoto no está en la red, el cliente enruta la conexión
a través del servidor de puerta de enlace de Escritorio remoto.
Página 57
¿Qué es la virtualización de aplicaciones de Microsoft?
Con la virtualización de aplicaciones, no instala

aplicaciones de forma permanente en los equipos cliente. En lugar,
cuando los usuarios quieren usar aplicaciones, las aplicaciones se implementan
de un servidor a los clientes. Aplicación de Microsoft
La virtualización (App-V) utiliza Microsoft
Application Virtualization Desktop Client, que es
instalado en el cliente. App-V está disponible como parte
del Microsoft Desktop Optimization Pack, y
no es un rol nativo de Windows Server 2012 o
característica.
Características y beneficios de App-V

Hay tres beneficios principales de App-V:
• Aislamiento de aplicaciones. App-V aísla la aplicación del sistema operativo y la ejecuta en una
ambiente. Esto significa que puede ejecutar aplicaciones que pueden ser incompatibles cuando se ejecutan juntas en
la misma computadora. Por ejemplo, puede utilizar App-V para implementar y ejecutar diferentes versiones de
Microsoft Office Word simultáneamente.
• Transmisión de aplicaciones. Cuando se transmite una aplicación, solo se muestran las partes de la aplicación que se están utilizando.
transmitido a la computadora del cliente. Esto acelera la implementación de la aplicación, porque solo una parte de la aplicación
debe transmitirse a través de la red al equipo cliente.
• Portabilidad de la aplicación. Cuando implementa App-V con Microsoft System Center 2012 Configuration Manager,
los usuarios pueden utilizar las mismas aplicaciones en varios equipos cliente, sin necesidad de una instalación tradicional
en esos equipos cliente. Por ejemplo, un usuario puede iniciar sesión en la computadora de un colega y luego tener
App-V les transmite una aplicación para que puedan usarla en esa computadora. La aplicación no está instalada
localmente, y cuando el usuario cierra sesión, la aplicación ya no está disponible para otros usuarios en esa computadora.
Virtualización de la experiencia del usuario

Así como App-V permite a los usuarios acceder a sus aplicaciones desde diferentes equipos cliente, Microsoft User Experience
La virtualización (UE-V) permite a los usuarios tener el mismo sistema operativo y la misma configuración de la aplicación en varios dispositivos
que ejecutan Windows 7 y Windows 8. Por ejemplo, digamos que un usuario configura un ajuste para una aplicación
entregado a través de App-V en una computadora, como configurar una pestaña personalizada en una cinta en un Microsoft
Producto de oficina. Esa configuración está disponible automáticamente cuando esa aplicación se entrega a través de App-V a
otra computadora.
Página 58
Lección 2
Implementación de Hyper-V
Comprender cómo funciona Hyper-V y cómo funcionan las máquinas virtuales es fundamental para implementar el servidor
virtualización eficaz en un entorno de red de Windows Server 2012. Esta lección trata sobre Hyper-V,
y los requisitos de hardware para implementar Hyper-V en una computadora que ejecuta Windows
Server 2012. Esta lección también analiza los componentes de una máquina virtual, con énfasis en
Función de memoria dinámica y los beneficios de los servicios de integración de máquinas virtuales. Finalmente, analiza cómo
para medir el uso de recursos de la máquina virtual con cmdlets de Windows PowerShell.
• Instale la función Hyper-V en un servidor.
• Describir el hardware apropiado para la implementación de Hyper-V.
• Describir los componentes de hardware de la máquina virtual.
• Configurar la memoria dinámica.
• Configurar los servicios de integración de máquinas virtuales.
• Configurar las acciones de inicio y detención de la máquina virtual.
• Realizar tareas de medición de recursos de Hyper-V.
• Describir las nuevas características de Hyper-V en Windows Server 2012 R2.
¿Qué es Hyper-V?
Hyper-V es la función de virtualización de hardware que

disponible en Windows Server 2012. Hardware
La virtualización proporciona una capa de hipervisor que tiene
acceso directo al hardware del servidor host. los
sistema operativo host y todas las máquinas virtuales
que se ejecutan en el host acceden al hardware
a través de la capa del hipervisor. Esto contrasta con
productos de virtualización de software, como Microsoft
Virtual Server 2005 R2, que utilizan la virtualización
sistema operativo del servidor para proporcionar indirectos
acceso al hardware del servidor.
Puede implementar Hyper-V en una computadora que

ejecutar Windows Server 2012 mediante el Asistente para agregar roles y características, y puede configurar
Windows Server 2012 como servidor de virtualización mediante el rol de Hyper-V. Windows Server 2012 puede
alojar invitados de máquinas virtuales que ejecutan sistemas operativos compatibles. Puede administrar virtual
administración de la máquina localmente a través de Windows PowerShell, o puede administrarla de forma remota a través del
Consola de Hyper-V Manager.
Puede instalar la función Hyper-V en la instalación Server Core de Windows Server 2012 y en un
configuración central no servidor en Windows Server 2012. También hay un Microsoft Hyper-V Server 2012
edición, que incluye solo los componentes necesarios para alojar máquinas virtuales.
Página 59
Nota: En alguna documentación, un servidor de virtualización se denomina partición principal y

La máquina virtual que se ejecuta en el servidor se denomina partición secundaria . Un ejemplo de
El servidor de virtualización es el equipo con Windows Server 2012 que ejecuta Hyper-V.
Requisitos de hardware para Hyper-V
El servidor en el que planea instalar el
El rol de Hyper-V debe cumplir con el siguiente hardware
requisitos:
• El servidor debe tener una plataforma x64 que

admite la virtualización asistida por hardware y
Prevención de ejecución de datos (DEP).
• El servidor debe tener suficiente capacidad de CPU para

cumplir con los requisitos del invitado virtual
máquinas.
Una máquina virtual alojada en Hyper-V en Windows

Server 2012 puede admitir hasta 64
procesadores.
• El servidor debe tener suficiente memoria para admitir todas las máquinas virtuales que deben ejecutarse
al mismo tiempo, más memoria suficiente para ejecutar el sistema operativo host Windows Server 2012:
o El servidor debe tener al menos 4 GB de RAM.
o Una máquina virtual alojada en Hyper-V en Windows Server 2012 puede admitir un máximo de
1 terabyte (TB) de RAM.
• El rendimiento del subsistema de almacenamiento debe satisfacer las necesidades de entrada / salida (E / S) del invitado virtual.
máquinas. Ya sea implementado localmente o en redes de área de almacenamiento (SAN), es posible que deba colocar
diferentes máquinas virtuales en discos físicos separados, o puede que tenga que implementar un alto rendimiento
matriz redundante de discos independientes (RAID), unidades de estado sólido (SSD), SSD híbrido o una combinación de
los tres.
• Los adaptadores de red del servidor de virtualización deben poder soportar las necesidades de rendimiento de la red.
de las máquinas virtuales invitadas. Puede mejorar el rendimiento de la red instalando varias redes
adaptadores y utilizando varias tarjetas de interfaz de red.
Página 60
Hardware de máquina virtual
Las máquinas virtuales usan virtual o simulado

hardware. El sistema operativo de gestión,
Windows Server 2012 con Hyper-V, usa el
hardware virtual para mediar en el acceso a
hardware. Por ejemplo, puede mapear un virtual
adaptador de red a una red virtual que
mapear a una interfaz de red real.
Las máquinas virtuales tienen lo siguiente simulado

hardware, por defecto, incluyendo:
• BIOS. Simula el BIOS de la computadora. En un

computadora independiente que puede configurar
varios parámetros relacionados con la BIOS, y
de manera similar, en una máquina virtual, puede configurar algunos de los mismos parámetros, que incluyen:
o El orden de arranque del hardware virtual de la máquina virtual.
o Desde qué dispositivo se inicia la máquina virtual, como desde una unidad de DVD, Unidad integrada
Electrónica (IDE), un adaptador de red heredado o un disquete.
o Si Num Lock está habilitado en el arranque.
• Memoria. Puede asignar hasta 1 TB de recursos de memoria a una máquina virtual individual.
• Procesador. Puede asignar hasta 64 procesadores virtuales a una sola máquina virtual.
• Controlador IDE 0. Una máquina virtual solo puede admitir dos controladores IDE y, de forma predeterminada, dos son
asignado a cada máquina virtual. Cada controlador IDE puede admitir dos dispositivos.
Puede conectar discos duros virtuales o unidades de DVD virtuales a un controlador IDE. Puedes usar controladores IDE
para conectar discos duros virtuales y unidades de DVD a máquinas virtuales que usan cualquier sistema operativo que lo haga
no es compatible con los servicios de integración.
• Controlador IDE 1. Permite la implementación de discos duros virtuales y unidades de DVD adicionales en el
máquina.
• Controlador SCSI. Puede utilizar un controlador de interfaz de sistema informático pequeño (SCSI) solo en
máquinas que tienen sistemas operativos que admiten servicios de integración.
• Adaptador de red sintético. Los adaptadores de red sintéticos representan adaptadores de red de computadoras. usted
solo puede usar adaptadores de red sintéticos con sistemas operativos invitados de máquina virtual compatibles.
• COM 1. Le permite configurar una conexión a través de una tubería con nombre.
• COM 2. Le permite configurar una conexión adicional a través de una tubería con nombre.
• Disco duro. Le permite asignar una imagen de disquete virtual a una unidad de disco virtual.
Puede agregar el siguiente hardware a una máquina virtual editando las propiedades de la máquina virtual y
luego haciendo clic en Agregar hardware:
• Controlador SCSI. Puede agregar hasta cuatro dispositivos SCSI virtuales. Cada controlador admite hasta 64 discos.
• Adaptador de red. Una sola máquina virtual puede tener un máximo de ocho adaptadores de red sintéticos.
• Adaptador de red heredado. Puede utilizar adaptadores de red heredados con cualquier sistema operativo que
no es compatible con los servicios de integración. También puede utilizar adaptadores de red heredados para implementar
imágenes del sistema en toda la red. Una sola máquina virtual puede tener hasta cuatro redes heredadas
adaptadores.
Página 61
• Adaptador de canal de fibra. Si agrega un adaptador de canal de fibra a una máquina virtual, la máquina virtual
luego puede conectarse directamente a una SAN de canal de fibra. Solo puede agregar un adaptador de canal de fibra a un
máquina virtual si el servidor de virtualización tiene un adaptador de bus de host (HBA) de canal de fibra que también tiene un
Controlador de Windows Server 2012 que admite canal de fibra virtual.
• Adaptador de video RemoteFX 3D. Si agrega un adaptador de video RemoteFX 3D a una máquina virtual, el
máquina puede mostrar gráficos de alta rendimiento mediante el aprovechamiento de Microsoft DirectX ® y los gráficos
potencia de procesamiento en el servidor host de Windows Server 2012.
Lectura adicional: Para obtener más información sobre los adaptadores de canal de fibra virtual, consulte
“Descripción general del canal de fibra virtual de Hyper-V” en http://go.microsoft.com/fwlink/?LinkId=269712.
Máquinas virtuales de segunda generación
Las máquinas virtuales funcionan de la misma forma que las

las computadoras hacen. La mayoría de los sistemas operativos y
los programas que se ejecutan en máquinas virtuales no son
conscientes de que están virtualizados. Usando emulado
hardware habilita sistemas operativos que no son
compatible con la virtualización para ejecutarse en máquinas virtuales. En
máquinas que pueden funcionar con iluminación
sistemas, los servicios de integración permiten la virtual
máquinas para acceder a dispositivos sintéticos, que
Desempeñar mejor. Con la amplia adopción de
virtualización, muchos sistemas operativos modernos
ahora incluyen Integration Services.
Windows Server 2012 R2 cambia todo esto. Es totalmente compatible con el tipo existente de máquinas virtuales y
los nombra colectivamente máquinas virtuales de generación 1 . Proporciona soporte para el nuevo tipo de virtual
máquinas, llamadas máquinas virtuales de generación 2 . Las máquinas virtuales de segunda generación funcionan como si el
los sistemas instalados en ellos son compatibles con la virtualización. Debido a esto, las máquinas virtuales de generación 2 no
tener los dispositivos de hardware virtual heredados y emulados que se encuentran en las máquinas virtuales de generación 1, y utilizar
solo dispositivos sintéticos. El firmware basado en BIOS se reemplaza por firmware extensible unificado avanzado
Firmware de interfaz (UEFI), que admite arranque seguro. Las máquinas virtuales de generación 2 comienzan desde un SCSI
controlador o mediante el entorno de ejecución previo al arranque (PXE) en un adaptador de red. Todo restante
Los dispositivos virtuales utilizan el bus de máquina virtual (VMBus) para comunicarse con las particiones principales.
Las máquinas virtuales de generación 1 y generación 2 tienen un rendimiento similar, excepto durante el inicio y
cuando instala un sistema operativo. La principal ventaja de las máquinas virtuales de generación 2 es que
el inicio y la implementación son considerablemente más rápidos. Puede ejecutar la generación 1 y la generación 2 virtual
máquinas en paralelo en el mismo host de Hyper-V.
Selecciona la generación de la máquina virtual en el momento de crear la máquina virtual. No puedes cambiar
la generación posterior.
Las máquinas virtuales de generación 2 actualmente solo admiten Windows Server 2012, Windows 8 (64 bits) y
sistemas operativos Windows de 64 bits más nuevos. Por lo tanto, las máquinas virtuales de generación 1, que admiten casi
cualquier sistema operativo, seguirá utilizándose en el futuro previsible. Máquinas virtuales de segunda generación
actualmente no son compatibles con RemoteFX.
Lectura adicional: Para obtener más información sobre las máquinas virtuales de generación 2, consulte
“Descripción general de la máquina virtual de generación 2” en http://go.microsoft.com/fwlink/?LinkID=392187.
Página 62
¿Qué es la memoria dinámica?
En la primera versión de Hyper-V con Windows

Server 2008, solo puede asignar una cantidad estática
de memoria a máquinas virtuales. A menos que tomes
precauciones especiales para medir la precisión
cantidad de memoria que una máquina virtual
requerido, es probable que subasigne
o sobreasignar memoria.
Se introdujo la función de memoria dinámica

con Windows Server 2008 R2 SP1, y permite
usted a:
• Asignar una cantidad mínima de memoria a un

máquina virtual.
• Permita que la máquina virtual solicite memoria adicional según sea necesario.
• Configure una cantidad máxima de memoria para una máquina virtual.
Por lo tanto, al usar Dynamic Memory, ya no tiene que adivinar cuánta memoria tiene una máquina virtual
requiere. En su lugar, puede configurar Hyper-V para que a la máquina virtual se le asigne tanta memoria como
necesita.
Con Windows Server 2012, puede modificar algunos de los valores mínimos y máximos de memoria dinámica
valores de memoria mientras se ejecuta la máquina virtual. Esto no fue posible con Windows Server 2008 R2
SP1. Puede realizar esta tarea desde el cuadro de diálogo Configuración de una máquina virtual.
Nota: Las máquinas virtuales deben admitir los servicios de integración de Hyper-V para utilizar la memoria dinámica.
Paginación inteligente
Las máquinas virtuales pueden necesitar más memoria durante el inicio de la que necesitan durante el funcionamiento normal. Inteligente
La paginación, que es una característica nueva de Windows Server 2012, asigna memoria temporal adicional a una
máquina cuando la reinicie. Esto significa que puede asignar memoria en función de lo que la máquina virtual
necesita cuando está funcionando normalmente, en lugar de la cantidad que necesita durante el inicio. Paginación inteligente
utiliza la paginación de disco para asignar memoria temporal adicional a una máquina virtual mientras se reinicia.
Sin embargo, el uso de Smart Paging puede reducir el rendimiento, ya que utiliza recursos de disco que
servidor host y otras máquinas virtuales que de otro modo utilizarían.
Nota: Puede configurar la memoria de la máquina virtual utilizando Set-VMMemory Windows

Cmdlet de PowerShell.
Lectura adicional: para obtener más información sobre la memoria dinámica de Hyper-V, consulte
“Descripción general de la memoria dinámica de Hyper-V” en http://go.microsoft.com/fwlink/?LinkId=269713.
Página 63
Configuración de servicios de integración de máquinas virtuales
Debe instalar la integración de máquinas virtuales

Servicios si desea utilizar funciones como
apagado del sistema operativo, sincronización de tiempo,
y si quieres instalar hardware virtual
componentes, como adaptadores SCSI y sintéticos
adaptadores de red, en las máquinas virtuales.
Sistemas operativos invitados de máquinas virtuales que son

compatible con Hyper-V y que puede utilizar
Los servicios de integración incluyen:
• Windows Server 2012
• Windows Server 2008 R2 con SP1
• Windows Server 2008 con Service Pack 2 (SP2)
• Windows Server 2003 R2 con SP2
• Windows Home Server 2011
• MultiPoint ® Server 2012
• Windows Small Business Server 2011
• Windows Server 2003 con SP2
• CentOS 6.0-6.2
• CentOS 5.5-5.7
• Red Hat Enterprise Linux 6.0-6.2
• Red Hat Enterprise Linux 5.5-5.7
• SUSE Linux Enterprise Server 11 con SP1 o SP2
• SUSE Linux Enterprise Server 10 con Service Pack 4 (SP4)
• Windows 7 con SP1
• Windows Vista ® con SP2
• Windows XP con Service Pack 3 (SP3)
Nota: El soporte para el sistema operativo Windows XP expira en abril de 2014. Soporte para
Windows Server 2003 y Windows Server 2003 R2 caducan en julio de 2015.
Puede instalar los componentes de los servicios de integración de Hyper-V en un sistema operativo accediendo al
Ventana Conexión de máquina virtual y luego en el menú Acción, haga clic en Insertar servicios de integración
Elemento Setup Disk. A continuación, puede instalar los controladores del sistema operativo relevantes, ya sea manualmente o
automáticamente y puede habilitar los siguientes componentes de integración de máquinas virtuales:
• Apagado del sistema operativo. Permite que el servidor que ejecuta Hyper-V inicie un cierre ordenado del
máquina virtual invitada.
• Sincronización horaria. Permite que la máquina virtual utilice el procesador del servidor de virtualización para
propósito de la sincronización horaria.
• El intercambio de datos. Permite al servidor que ejecuta Hyper-V escribir datos en el registro de la máquina virtual.
Página 64
• Latido del corazón. Permite que Hyper-V determine si la máquina virtual no responde.
• Copia de seguridad (punto de control de volumen). Permite al proveedor del Servicio de instantáneas de volumen (VSS) crear
puntos de control de la máquina virtual para fines de operación de respaldo, sin interrumpir la
las operaciones normales de la máquina virtual.
Servicio de modo de sesión mejorado

Hyper-V utiliza el programa Conexión de máquina virtual para conectarse a máquinas virtuales mediante Remote
Protocolo de escritorio (RDP). Hasta Windows Server 2012 R2, Virtual Machine Connection solo proporcionaba
redirección de la pantalla, el teclado y el mouse de la máquina virtual, similar a cómo un mouse de video con teclado
cambiar IP hace. Se proporcionan versiones de conexión de máquina virtual anteriores a Windows Server 2012 R2
funcionalidad limitada de copiar y pegar, que admite copiar y pegar solo texto y ningún otro contenido,
como gráficos o archivos. Puede configurar y usar Escritorio remoto en una máquina virtual, lo que
le permite tener una experiencia más rica. Sin embargo, esto requería que la máquina virtual tuviera red
conectividad y utilice una conexión de escritorio remoto disponible en la máquina virtual. Además, el
El sistema operativo del cliente Windows solo admite una conexión de Escritorio remoto.
Windows Server 2012 R2 incluye una versión mejorada de Virtual Machine Connection y proporciona
soporte para el modo de sesión mejorado. Esta funcionalidad tiene requisitos específicos. Por ejemplo, el Hyper-
La política de host V debe permitir el modo de sesión mejorado, y puede usar una sesión mejorada solo con
máquinas que ejecutan sistemas operativos compatibles. Cuando usa el modo de sesión mejorado, obtiene un
una experiencia considerablemente mejor y las mismas características que los Servicios de escritorio remoto (RDS), pero sin
requiriendo que la máquina virtual tenga conectividad de red o que use la funcionalidad de Escritorio Remoto de
el sistema operativo invitado. Con el modo de sesión mejorado, puede redirigir unidades locales, impresoras, USB y
otros dispositivos a la máquina virtual, y puede usar un Portapapeles compartido, carpetas redirigidas, copia enriquecida
y pegar para copiar archivos o gráficos, y redirigir el sonido de las máquinas virtuales.
Debido a que el modo de sesión mejorado depende de la presencia de RDS en la máquina virtual, está disponible
solo cuando la máquina virtual está ejecutando un sistema operativo compatible. Actualmente, el único compatible
Los sistemas operativos son Windows 8.1 y Windows Server 2012 R2.
El modo de sesión mejorado establece una sesión de escritorio remoto especial sobre VMBus. Este mando a distancia especial
La sesión de escritorio está disponible para usted incluso cuando la máquina virtual no está conectada al conmutador virtual,
y cuando se conecta a máquinas virtuales que se ejecutan en un host Hyper-V local o remoto.
Cuando usa el modo de sesión mejorado para conectarse a máquinas virtuales, tiene acceso a todo el
Experiencia de escritorio remoto. Esto incluye configurar los parámetros de una sesión que puede guardar para
futuras conexiones a la misma máquina virtual. También puede iniciar sesión en la máquina virtual en modo mejorado.
modo de sesión, mientras que cuando usa el modo simple, puede conectarse a la máquina virtual sin tener que
para iniciar sesión. Si la máquina virtual se está ejecutando, puede utilizar el modo de sesión mejorado o el modo simple para
conéctese a él. Sin embargo, si la máquina virtual no está encendida, puede conectarse a ella solo mediante el modo simple.
Configura el modo de sesión mejorado en tres niveles diferentes:
• Nivel de host Hyper-V. En el nivel de host de Hyper-V, configura la Política de modo de sesión mejorada, que
controla si el host Hyper-V permite conexiones en modo de sesión mejoradas a máquinas virtuales que están
ejecutándose en este servidor. Está configurado en la configuración de Hyper-V.
• Nivel de configuración de usuario. En el nivel de configuración de usuario, configura el modo de sesión mejorado, que controla
si la conexión de máquina virtual intenta utilizar el modo de sesión mejorado al establecer
conexiones con máquinas virtuales. Está configurado en la configuración de Hyper-V.
• Nivel de la máquina. En el nivel de la máquina virtual, puede controlar si habilitar los Servicios para invitados
Servicio de integración. En otras palabras, usted controla si permite que la máquina virtual ofrezca
modo de sesión mejorado. Además, el sistema operativo de una máquina virtual debe admitir
modo de sesión mejorado, lo que significa que debe ser Windows 8.1 o Windows Server 2012 R2.
Página 65
Además, todos los usuarios que se conectan mediante el modo de sesión mejorado deben tener Escritorio remoto
permisos de conexión. Puede habilitar esto editando las propiedades de la máquina virtual.
Configuración de acciones de inicio y detención de máquina virtual
Puede utilizar acciones de inicio y detención de máquinas virtuales
para garantizar que las máquinas virtuales críticas siempre se inicien
automáticamente cada vez que un servidor que se está ejecutando
Hyper-V se reinicia y que se apagan
con gracia si el servidor recibe un apagado
mando. Cuando configura el virtual
iniciar y detener las acciones de la mquina, seleccione el
pasos que realizará el servidor que ejecuta Hyper-V
en máquinas virtuales específicas cuando el
el servidor se inicia o se apaga. Tu configuras el inicio
y la configuración de apagado para cada máquina virtual
editar las propiedades de la máquina virtual.
Opciones de inicio automático

Puede configurar las siguientes opciones en la ventana Acciones de inicio automático:
• Nada. La máquina virtual no se inicia automáticamente cuando el servidor que ejecuta Hyper-V
se inicia, incluso si la máquina virtual estaba en un estado de ejecución cuando se apagó el servidor.
• Iniciar automáticamente si se estaba ejecutando cuando se detuvo el servicio. La máquina virtual se reinicia si fue
ejecutándose cuando el servidor que está ejecutando Hyper-V recibió el comando para apagar, o si el
La máquina virtual estaba funcionando cuando el servidor sufrió una falla que hizo que se apagara.
• Siempre inicie esta máquina virtual automáticamente. La máquina virtual siempre se inicia cuando el servidor que
se ejecuta Hyper-V se inicia. Puede configurar un retraso de inicio para asegurarse de que varias máquinas virtuales
no intente iniciar inmediatamente.
Opciones de parada automática

Puede configurar las siguientes opciones en la ventana Acciones automáticas de detención:
• Guarde el estado de la máquina virtual. Esta opción guarda el estado activo de la máquina virtual en el disco,
incluida la memoria, cuando el servidor recibe un comando de apagado. Esto hace posible que
máquina virtual para reiniciar cuando se reinicia el servidor que está ejecutando Hyper-V.
• Apague la máquina virtual. La máquina virtual se apaga cuando el servidor recibe un apagado
mando. Los datos pueden perderse cuando esto sucede.
• Apague el sistema operativo invitado . La máquina virtual se apaga de manera elegante cuando
el servidor recibe un comando de apagado. Esta opción está disponible solo si los servicios de integración
Los componentes están instalados en la máquina virtual.
Nota: Puede configurar las acciones automáticas de inicio y detención de la máquina virtual mediante el
CMdlet Set-VM de Windows PowerShell con AutomaticStartAction y
Parámetros de AutomaticStopAction .
Página 66
Medición de recursos de Hyper-V
La medición de recursos le permite realizar un seguimiento

uso de recursos de máquinas virtuales alojadas
en servidores Windows Server 2012 que tienen la
Rol de Hyper-V instalado.
La medición de recursos le proporciona una forma de

medir los siguientes parámetros en individuos
Máquinas virtuales Hyper-V:
• Uso promedio de CPU.
• Uso promedio de memoria física, que incluye:
o Uso mínimo de memoria.
o Uso máximo de memoria.
• Asignación máxima de espacio en disco.
• Tráfico de red entrante para un adaptador de red.
• Tráfico de red saliente para un adaptador de red.
Al medir la cantidad de estos recursos que utiliza cada máquina virtual, una organización puede facturar
departamentos o clientes según la cantidad de recursos que usan sus máquinas virtuales, en lugar de cobrar
una tarifa fija por máquina virtual. Una organización con solo clientes internos también puede utilizar estos
mediciones para ver patrones de uso y planificar futuras expansiones. Realizas tareas de medición de recursos
desde una interfaz de línea de comandos de Windows PowerShell mediante los siguientes cmdlets:
• Enable-VMResourceMetering . Comienza a recopilar datos por máquina virtual.
• Disable-VMResourceMetering . Deshabilita la medición de recursos por máquina virtual.
• Reset-VMResourceMetering . Restablece los contadores de medición de recursos de la máquina virtual.
• Medir-VM . Muestra estadísticas de medición de recursos para una máquina virtual específica.
Nota: No existe una herramienta de interfaz gráfica de usuario (GUI) que pueda utilizar para realizar
medida.
Lectura adicional: para obtener más información sobre la medición de recursos para Hyper-V, consulte
“Descripción general de la medición de recursos de Hyper-V” en http://go.microsoft.com/fwlink/?LinkId=269714.
Página 67
Novedades de Hyper-V en Windows Server 2012 R2
El rol de Hyper-V en Windows Server 2012 R2

incluye una gran cantidad de mejoras y
nuevas funciones que no estaban disponibles en Windows
Servidor 2012.
Nuevas funciones en Windows

Servidor 2012 R2 Hyper-V
El rol de Hyper-V en Windows Server 2012 R2
incluye una gran cantidad de mejoras y
nuevas funciones que no estaban disponibles en Windows
Server 2012. La siguiente tabla enumera las nuevas funciones
en Windows Server 2012 R2 Hyper-V.
Característica Descripción
Disco duro virtual compartido Puede utilizar esta función para agrupar máquinas virtuales mediante el uso compartido
archivos de disco duro virtual (formato .vhdx).
Máquina virtual automática Puede configurar esta función para activar máquinas virtuales
activación automáticamente en computadoras que ejecutan la edición Datacenter
de Windows Server 2012 R2.
Modo de sesión mejorado Puede utilizar esta función para proporcionar soporte para la redirección de un
mayor número de recursos locales, incluidos audio, impresoras,
portapapeles, configuración de pantalla, tarjetas inteligentes, dispositivos USB y
dispositivos Plug and Play compatibles.
Calidad de servicio de almacenamiento Puede utilizar esta función para especificar cargas de E / S máximas y mínimas
en términos de operaciones de E / S por segundo por disco duro virtual.
Generación de máquinas virtuales Puede utilizar esta función para proporcionar soporte para la generación 1 y
Máquinas virtuales de generación 2.
Funciones mejoradas en Windows Server 2012 R2 Hyper-V
La siguiente tabla enumera las características mejoradas de Windows Server 2012 R2 Hyper-V.
Característica Mejora
Cambiar el tamaño del disco duro virtual Esta función le permite cambiar el tamaño de los discos duros virtuales mientras
la máquina está funcionando.
Migración en vivo Esta característica proporciona un rendimiento mejorado, incluida la compresión

de RAM de máquina virtual y migración en vivo entre versiones entre
Windows Server 2012 y Windows Server 2012 R2 Hyper-V.
Clústeres de conmutación por error Esta función proporciona protección de adaptador de red virtual y virtual
protección de almacenamiento de la máquina.
Servicios de integración Esta función brinda la capacidad de copiar archivos a una máquina virtual
sin utilizar una conexión de red o tener que apagar el
máquina virtual.
Exportar Esta función le permite exportar una máquina virtual con todos
puntos de control o un solo punto de control de la máquina virtual mientras el virtual
Página 68
Característica Mejora
Réplica Esta función admite replicación extendida y configurable

frecuencia de replicación.
Soporte Linux Esta función proporciona soporte para la copia de seguridad de la máquina virtual Linux y para
VM que ejecutan Linux para admitir memoria dinámica.
administración Esta función brinda soporte para administrar Hyper-V en Windows

Server 2012 R2 desde equipos que ejecutan Windows ® 8 o Windows
Servidor 2012.
Lectura adicional: para obtener más información, consulte "Novedades de Hyper-V en Windows
Server 2012 R2 ”en http://go.microsoft.com/fwlink/?LinkID=331078.
Página 69
Lección 3
Administrar el almacenamiento de la máquina virtual
Hyper-V proporciona muchas opciones diferentes de almacenamiento de máquinas virtuales. Sabiendo qué opción es la adecuada
para una situación determinada, puede ayudar a garantizar que una máquina virtual funcione bien. Sin embargo, si no
comprender las diferentes opciones de almacenamiento de la máquina virtual, puede terminar implementando discos duros virtuales
que consumen espacio innecesario o que suponen una carga de rendimiento innecesaria para la virtualización
servidor.
En esta lección, aprenderá sobre diferentes tipos de disco duro virtual, diferentes formatos de disco duro virtual y
los beneficios y limitaciones del uso de puntos de control de máquinas virtuales.
• Describir el propósito del disco duro virtual.
• Explique cómo crear un tipo de disco duro virtual.
• Explicar cómo administrar discos duros virtuales.
• Explicar cómo implementar discos duros virtuales diferenciados para reducir las necesidades de almacenamiento.
• Explicar cómo utilizar los puntos de control de la máquina virtual.
¿Qué es un disco duro virtual?
Un disco duro virtual es un archivo que representa un

unidad de disco duro tradicional que puede configurar
como un disco duro virtual con particiones y un
sistema operativo. Puedes usar discos duros virtuales
en máquinas virtuales, y puede montar virtual
discos duros como volúmenes locales usando Windows
Server 2008 R2, Windows Server 2012 y
Sistemas operativos Windows 8 y Windows 7.
Windows Server 2012 admite el arranque desde virtual
disco duro. Esto le permite configurar un
computadora para arrancar en un servidor de Windows 2012
sistema operativo que se implementa en un virtual
disco duro, o en ciertas ediciones del sistema operativo Windows 8 que se implementan en un disco duro virtual
disco. Puede crear un disco duro virtual mediante:
• La consola de Hyper-V Manager.
• La consola de administración de discos.
• La herramienta de línea de comandos DiskPart (diskpart.exe).
• El cmdlet New-VHD de Windows PowerShell .
Nota: algunas ediciones de Windows 7 y Windows Server 2008 R2 también admiten el arranque
desde el disco duro virtual.
Página 70
Discos duros virtuales en formato .vhd frente a discos duros virtuales en formato .vhdx
Los discos duros virtuales utilizan tradicionalmente la extensión .vhd. Windows Server 2012 presenta un nuevo tipo de
disco duro virtual que usa la extensión .vhdx. Los discos duros virtuales con formato .vhdx tienen la
los siguientes beneficios sobre los discos duros virtuales que se utilizaron en Hyper-V en Windows Server 2008 y
Windows Server 2008 R2:
• Los discos duros virtuales con formato .vhdx pueden tener un tamaño de hasta 64 TB, mientras que los discos duros virtuales con el
El formato .vhd está limitado a 2 TB.
• Es menos probable que los discos duros virtuales con formato .vhdx se corrompan si el servidor de virtualización
sufre un apagón inesperado.
• El formato .vhdx admite una mejor alineación cuando se implementa en un disco de sector grande.
• Los discos duros virtuales con formato .vhdx pueden contener discos duros virtuales dinámicos y diferenciadores más grandes.
Esto proporciona un mejor rendimiento de los discos duros virtuales dinámicos y diferenciadores.
Puede convertir un disco duro virtual con el formato .vhd al formato .vhdx utilizando Editar disco duro virtual.
Asistente de disco; es posible que desee hacer esto si ha actualizado Windows Server 2008 o Windows Server
Servidor de virtualización 2008 R2 a Windows Server 2012 o Windows Server 2012 R2. También puede convertir un
disco duro virtual con el formato .vhdx al formato .vhd.
Soporte compartido SMB

Windows Server 2012 admite el almacenamiento de todos los archivos de la máquina virtual, incluidos los discos duros virtuales en el servidor
Archivos compartidos de Message Block (SMB) 3.0. Esta es una alternativa para almacenar estos archivos en Internet SCSI (iSCSI) o
Dispositivos SAN de canal de fibra. Al crear una máquina virtual en Hyper-V en Windows Server 2012, puede
especificar un recurso compartido de red cuando elige la ubicación del disco duro virtual o cuando adjunta un
disco duro virtual. El recurso compartido de archivos debe admitir SMB 3.0. Esto significa que debe colocar discos duros virtuales
en recursos compartidos de archivos alojados en servidores de archivos con Windows Server 2012. Versiones anteriores de Windows Server
no es compatible con SMB 3.0.
Lectura adicional: para obtener más información sobre los formatos de disco duro virtual, consulte
“Descripción general del formato del disco duro virtual Hyper-V” en http://go.microsoft.com/fwlink/?LinkId=269715 .
Adaptadores IDE frente a SCSI
Puede conectar discos duros virtuales a máquinas virtuales utilizando dos controladores de almacenamiento virtual diferentes
tipos: IDE o SCSI. Cuando conecta una máquina virtual a un controlador IDE, se accede al disco virtual como
un dispositivo de conexión de tecnología avanzada (ATA). Cuando lo conecta a un controlador SCSI, el
se accede al disco como un dispositivo SCSI. La siguiente tabla describe la diferencia entre las dos opciones.
Controladores IDE Controladores SCSI
• Disponible solo en máquinas virtuales de generación 1. • Disponible en generación 1 y generación

2 máquinas virtuales.
• Una máquina virtual puede tener dos controladores IDE.
• Una máquina virtual puede tener hasta 4 SCSI
• Cada controlador IDE admite un máximo de dos
controladores.
dispositivos IDE conectados (discos o DVD virtual
unidades). • Cada controlador SCSI admite hasta 64
dispositivos.
• No puede agregar ni quitar dispositivos de un IDE
controlador cuando se está ejecutando una máquina virtual. • Puede agregar o eliminar dispositivos SCSI mientras está
• Las máquinas virtuales de generación 1 pueden arrancar localmente
solo en un dispositivo que está conectado a un IDE • Las máquinas virtuales de segunda generación solo pueden iniciarse
controlador. un dispositivo que está conectado a un controlador SCSI.
Página 71
Aunque existen diferencias en el rendimiento cuando utiliza un controlador IDE o SCSI en un host virtual
máquina, estas diferencias no son evidentes cuando utiliza controladores IDE o SCSI virtualizados.
Discos duros virtuales compartidos con Windows Server 2012 R2

Windows Server 2012 R2 le permite configurar discos duros virtuales compartidos. Un disco duro virtual compartido es un
disco duro virtual que se conecta a múltiples máquinas virtuales. Puede utilizar discos duros virtuales compartidos solo para
discos duros que están en formato .vhdx y que se conectan a controladores SCSI virtuales. Disco duro virtual compartido
Los archivos se almacenan en clústeres de conmutación por error, ya sea en un volumen compartido de clúster (CSV) en almacenamiento en bloque o en un
Servidor de archivos escalable SMB 3.0.
Gestión de QoS
Los discos duros virtuales en Windows Server 2012 R2 admiten la configuración de calidad de servicio (QoS)
parámetros. Cuando configura los parámetros de QoS, puede especificar el número máximo de
operaciones de entrada / salida (IOPS) para el disco virtual, lo que minimiza la posibilidad de que un solo disco virtual
el disco consumirá la mayor parte de la capacidad de IOPS del almacenamiento subyacente. También puede configurar un
disco duro virtual para activar una alerta si el número de IOPS cae por debajo de un valor umbral. Se miden las IOPS
en incrementos de 8 kilobytes (KB). No puede configurar la QoS de almacenamiento cuando está utilizando disco duro virtual compartido
discos.
Lectura adicional:
• Para obtener más información sobre el uso compartido del disco duro virtual, consulte
• Para obtener más información sobre la calidad del servicio de almacenamiento para Hyper-V, consulte
Creación de tipos de discos virtuales
Cuando configura un disco duro virtual, puede

elegir entre varios tipos de discos diferentes,
incluidos fijos, dinámicos y de conexión directa
almacenamiento.
Creación de discos duros virtuales fijos

Cuando crea discos duros virtuales fijos, todos los
se asigna el espacio en el disco duro que especifique
durante el proceso de creación. Esto minimiza
fragmentación, que mejora el disco duro virtual
rendimiento si el disco está en un almacenamiento tradicional
dispositivo, como un dispositivo de estado no sólido. Asignar
todo el espacio del disco duro especificado durante el
El proceso de creación tiene una desventaja. En muchas situaciones, no sabe con precisión cuánto disco
espacio que necesita una máquina virtual y es posible que asigne espacio que no sea necesario.
Nota: la fragmentación del disco es un problema menor cuando aloja discos duros virtuales en RAID
volúmenes o en SSD. Las mejoras de Hyper-V desde su introducción en Windows Server 2008 también
minimizar las diferencias de rendimiento entre los discos duros virtuales dinámicos y fijos.
Página 72
Para crear un disco duro virtual fijo, realice el siguiente procedimiento:
1. Abra la consola del Administrador de Hyper-V.
2. En el panel Acciones, haga clic en Nuevo y luego en Disco duro .
3. En la página Antes de comenzar del Asistente para nuevo disco duro virtual, haga clic en Siguiente .
4. En el Asistente para nuevo disco duro virtual, en la página Elegir formato de disco , haga clic en VHD o VHDX ,
y luego haga clic en Siguiente .
5. En la página Choose Disk Type , haga clic en Fixed size y luego en Next .
6. En la página Especificar nombre y ubicación , ingrese un nombre para el disco duro virtual y luego especifique un
carpeta en la que alojar el archivo del disco duro virtual.
7. En la página Configurar disco , elija una de las siguientes opciones:
o Cree un nuevo disco duro virtual en blanco del tamaño especificado .
o Copie el contenido de un disco físico específico . Utilice esta opción para replicar un físico existente
disco en el servidor como un disco duro virtual. El disco duro virtual fijo tendrá el mismo tamaño que el
disco físico. La replicación de un disco duro físico existente no cambia los datos de ese disco.
o Copiar el contenido de un disco duro virtual especificado . Con esta opción, puede crear un nuevo
disco duro fijo basado en el contenido de un disco duro virtual existente.
Nota: Puede crear un nuevo disco duro fijo utilizando New-VHD Windows PowerShell
cmdlet, con el parámetro -Fixed .
Discos duros virtuales de expansión dinámica

Cuando crea discos duros virtuales que se expanden dinámicamente, especifica un tamaño máximo, pero el disco
usa solo el espacio que necesita y crece según sea necesario. Puede crear un entorno virtual en expansión
disco duro con formato .vhd o .vhdx. Un nuevo disco duro virtual en expansión dinámica con
al formato .vhd se le asignan aproximadamente 260 KB. Un nuevo disco duro virtual en expansión dinámica con
al formato .vhdx se le asignan aproximadamente 4.096 KB.
A medida que guarda archivos en un disco duro virtual en expansión dinámica, crece. Sin embargo, si elimina archivos de un
Disco duro virtual de expansión dinámica, no se encoge. El único método que puede utilizar para encoger un
expandir dinámicamente el archivo del disco duro virtual es realizar una operación compacta.
Para crear un disco duro virtual de expansión dinámica, siga los pasos para crear un disco duro virtual fijo.
disco que se muestra arriba, con la excepción de que, en la página Elegir tipo de disco (en el paso 5), haga clic en
Expansión dinámica en lugar de tamaño fijo.
Nota: Puede crear un nuevo disco duro dinámico utilizando New-VHD Windows PowerShell
cmdlet con el parámetro -Dynamic .
Almacenamiento adjunto directo

Las máquinas virtuales pueden acceder a una unidad de disco física mediante el uso de almacenamiento de conexión directa, también denominado pass-
a través de discos . Puede utilizar el almacenamiento de conexión directa para conectar una máquina virtual directamente a una interfaz lógica iSCSI.
número de unidad (LUN). Cuando usa almacenamiento de conexión directa, la máquina virtual debe tener acceso exclusivo
al disco de destino. Para garantizar esto, debe desconectar el disco.
Página 73
Puede adjuntar almacenamiento de conexión directa mediante el siguiente procedimiento:
1. Asegúrese de que el disco duro de destino esté fuera de línea. Si no es así, utilice la consola de administración de discos en el
servidor de virtualización para desconectarlo.
2. Utilice la consola del Administrador de Hyper-V para editar las propiedades de la máquina virtual existente.
3. Haga clic en un controlador IDE o SCSI, haga clic en Agregar y luego en Disco duro .
4. En el disco duro cuadro de diálogo, haga clic en disco duro físico . En el menú desplegable, seleccione el disco
que desea utilizar como almacenamiento adjunto directo.
Nota: si conecta el almacenamiento de conexión directa al controlador SCSI de una máquina virtual,
no es necesario apagar la máquina virtual. Si desea conectarse a una máquina virtual
Controlador IDE, primero debe apagar la máquina virtual.
Pregunta: ¿Por qué debería considerar el uso de discos duros virtuales fijos en lugar de dinámicamente
expandiendo discos duros virtuales?
Pregunta: ¿En qué situaciones podría encontrar dificultades si usa dinámicamente

expandiendo discos?
Administrar discos duros virtuales
De vez en cuando, debe realizar
operaciones de mantenimiento en discos duros virtuales. por
ejemplo, es posible que desee convertir un disco duro virtual
disco a otro formato a medida que cambien sus necesidades, o
es posible que desee compactar un disco duro virtual para
libera espacio. Puede realizar lo siguiente
operaciones de mantenimiento en discos duros virtuales:
• Convertir el disco de fijo a dinámico
• Convierta el disco de dinámico a fijo
• Convierta un disco duro virtual en formato .vhd a

formato .vhdx
• Convertir un disco duro virtual en formato .vhdx a formato .vhd
• Compactar un disco duro virtual en expansión dinámica
• Expandir un disco duro virtual en expansión dinámica
• Expandir un disco duro virtual fijo
Conversión de un disco
Cuando convierte un disco duro virtual, el contenido del disco duro virtual existente se copia en un nuevo
creado disco duro virtual. Por ejemplo, cuando convierte un disco duro virtual fijo en uno dinámicamente
expandiendo el disco duro virtual, esto crea un nuevo disco dinámico, el contenido del disco fijo se copia a
el nuevo disco dinámico y, a continuación, se elimina el disco fijo.
Página 74
Para convertir un disco duro virtual de fijo a dinámico o de dinámico a fijo, realice lo siguiente
procedimiento:
1. En la consola del Administrador de Hyper-V, en el panel Acciones, haga clic en Editar disco .
2. En el Asistente para editar disco duro virtual, en la página Antes de comenzar , haga clic en Siguiente .
3. En la página Disco duro virtual local , haga clic en Examinar y luego seleccione el disco duro virtual que desee.
quiere convertir.
4. En la página Elegir acción , haga clic en Convertir y luego en Siguiente .
5. En la página Convertir disco duro virtual , elija entre los formatos VHD y VHDX .
6. En la página Convertir disco duro virtual , elija entre Tamaño fijo y Expansión dinámica .
Además, si desea convertir el tipo de disco duro, elija el tipo apropiado y luego haga clic en
Siguiente .
7. En la página Configurar disco , elija la ubicación de destino para el disco.
Cambiar el tamaño de un disco

Puede compactar un disco duro virtual de expansión dinámica que no esté utilizando todo su espacio asignado.
Sin embargo, no puede compactar un disco duro virtual fijo sin antes convertirlo en un
expandiendo el disco duro virtual. Puede expandir discos duros virtuales de expansión dinámica y fijos
discos duros virtuales.
Puede utilizar uno de dos métodos para cambiar el tamaño de un disco duro virtual. Son:
• Utilice los cmdlets resize-partition y resize-vhd de Windows PowerShell .
• En el Asistente para editar disco duro virtual, seleccione la opción Compactar o Expandir .
Windows Server 2012 R2 es la primera versión en la que puede cambiar el tamaño de un disco duro virtual mientras el virtual
la máquina todavía está activa.
Reducción de las necesidades de almacenamiento con discos duros virtuales diferenciados
Los discos duros virtuales diferenciados son virtuales separados

discos duros que registran los cambios realizados en un
disco padre. Puede utilizar la diferenciación virtual duro
discos para reducir la cantidad de espacio en el disco duro
que consumen los discos duros virtuales. Esto aumenta el disco
rendimiento reduciendo el espacio que el
uso de discos duros virtuales. Diferenciar virtual duro
los discos funcionan bien con SSD. Tambien funcionan bien
donde el espacio disponible en el volumen principal es
limitado y el rendimiento del disco compensa
los inconvenientes de rendimiento de utilizar un
diferenciar el disco duro virtual.
Puede vincular varios discos duros virtuales de diferenciación a un solo disco principal. Sin embargo, si modifica el
disco padre, los enlaces a todos los discos duros virtuales de diferenciación fallan.
Puede volver a conectar un disco duro virtual de diferenciación al padre mediante la herramienta Inspeccionar disco, que es
disponible en el panel Acciones de la consola de Hyper-V Manager. También puede utilizar la herramienta Inspeccionar disco para
localice el disco principal de un disco duro virtual de diferenciación.
Página 75
Puede crear un disco duro virtual de diferenciación utilizando la consola del Administrador de Hyper-V o utilizando el
Cmdlet de Windows PowerShell New-VHD .
Para crear un disco duro virtual de diferenciación usando la consola del Administrador de Hyper-V, realice lo siguiente
procedimiento:
2. En el panel Acciones, haga clic en Nuevo y luego en Disco duro .
3. En el Asistente para nuevo disco duro virtual, en la página Antes de comenzar , haga clic en Siguiente .
4. En la página Choose Disk Format , haga clic en VHD y luego en Next .
5. En la página Choose Disk Type , haga clic en Differencing y luego en Next .
6. En la página Especificar nombre y ubicación , proporcione la ubicación del disco duro principal.
Para crear un disco duro virtual de diferenciación mediante el cmdlet New-VHD de Windows PowerShell, siga las instrucciones
patrón del siguiente ejemplo. Para crear un nuevo disco duro virtual de diferenciación llamado c: \ diff-disk.vhd,
que usa el disco duro virtual c: \ parent.vhd, use el siguiente comando de Windows PowerShell:
Nuevo-VHD c: \ diff-disk.vhd -ParentPath C: \ parent.vhd
Usando puntos de control
Un punto de control es una imagen estática de los datos en un

máquina virtual en un momento dado. Puntos de control
se almacenan en formato .avhd o .avhdx,
dependiendo del formato del disco duro virtual. usted
puede crear un punto de control de una máquina virtual desde
el menú Acción de la Máquina Virtual
Ventana de conexión o desde Hyper-V
Consola de administrador. Cada máquina virtual puede tener un
máximo 50 puestos de control. Antes de Windows
Server 2012 R2, los puntos de control se conocían como
instantáneas .
Puede crear puntos de control en cualquier momento, incluso

cuando una máquina virtual está apagada. Cuando crea un punto de control de una máquina virtual en ejecución, el punto de control
incluye el contenido de la memoria de la máquina virtual.
Al crear puntos de control de varias máquinas virtuales que forman parte del mismo grupo, por ejemplo, un
controlador de dominio virtual y servidor miembro virtual, debe crear estos puntos de control simultáneamente.
Esto asegura que elementos como las contraseñas de las cuentas de computadora sean iguales en todos los puntos de control.
Recuerde que cuando vuelve a un punto de control, está volviendo al estado de una computadora en ese punto en
hora. Si revierte una máquina virtual a un punto antes de que hubiera realizado un cambio de contraseña de computadora
con un controlador de dominio, debe volver a unir esa computadora al dominio o ejecutar netdom resetpwd
mando.
Puntos de control frente a copias de seguridad

Los puntos de control no reemplazan las copias de seguridad. Los puntos de control se almacenan en el mismo volumen que el virtual
discos duros. Si ese volumen falla, se pierden tanto los puntos de control como el archivo del disco duro virtual.
Página 76
Exportación de puntos de control

Puede realizar una exportación de máquina virtual de un punto de control. Cuando hace esto, Hyper-V crea
discos duros que representan el estado de la máquina virtual en el momento en que el punto de control fue
instanciado. Si elige exportar una máquina virtual completa, todos los puntos de control asociados con la
se exportan la máquina.
Diferenciar archivos de disco duro virtual

Cuando crea un punto de control, Hyper-V escribe archivos de disco duro virtual de diferenciación (.avhd o .avhdx), que
almacenar los datos que diferencian el punto de control del punto de control anterior, o del virtual padre
disco duro. Cuando elimina los puntos de control, Hyper-V descarta estos datos o los fusiona con los anteriores.
punto de control o disco duro virtual principal. Por ejemplo:
• Si elimina el punto de control más reciente, Hyper-V descarta los datos. Hyper-V en Windows Server 2012
recupera este espacio inmediatamente en lugar de cuando la máquina virtual se apaga.
• Si elimina el segundo punto de control más reciente, Hyper-V fusiona los datos para que los primeros y
Los últimos estados de puntos de control de la máquina virtual conservan su integridad.
Gestión de puntos de control

Cuando aplica un punto de control, la máquina virtual vuelve a la configuración que tenía cuando el punto de control
fue creado. Revertir a un punto de control no elimina ningún punto de control existente. Cuando aplica un
punto de control después de realizar un cambio de configuración en un punto de control diferente, se le pedirá que cree
otro puesto de control. Sin embargo, solo es necesario crear un nuevo punto de control si desea volver a ese
configuración actual.
Es posible crear árboles de puntos de control que tengan diferentes ramas. Por ejemplo, considere este escenario:
Creas un punto de control de una máquina virtual el lunes, martes y miércoles. El jueves,
aplica el punto de control que creó el martes y luego realiza cambios en la máquina virtual
configuración.
En este escenario, la rama original es la serie de puntos de control creados el lunes, martes y
Miércoles. Cree una nueva rama aplicando el punto de control del martes y luego realice cambios en el
máquina virtual. Tenga en cuenta que puede tener varias sucursales, siempre que no exceda el límite de 50
puntos de control por máquina virtual.
Soporte de Checkpoint
Muchos programas, como Exchange Server y Microsoft SharePoint ® Server, no se admiten cuando se
ejecútelos en máquinas virtuales utilizadas con puntos de control. Estos programas tienen interdependencias con roles.
y servicios que están fuera de la máquina virtual, como AD DS. Si revierte la máquina virtual que
aloja el programa en un punto anterior en el tiempo, y los datos en AD DS se han actualizado desde ese
punto, la corrupción puede ocurrir. Debe consultar con el proveedor del programa para determinar si el proveedor
admite programas con puntos de control de máquinas virtuales.
Los puntos de control son compatibles con los controladores de dominio que ejecutan Windows Server 2012 o
Windows Server 2012 R2, siempre que el host de virtualización ejecute Windows Server 2012,
Windows Server 2012 R2 o un hipervisor que admita VM-Generation ID.
Página 77
Lección 4
Administrar redes virtuales
Hyper-V proporciona varias opciones diferentes para la comunicación de red entre máquinas virtuales. Usted puede
configurar máquinas virtuales que se comunican con una red externa de una manera similar a cómo
Los hosts físicos implementados tradicionalmente se comunican. Además, puede configurar máquinas virtuales para
comunicarse solo con un número limitado de otras máquinas virtuales alojadas en el mismo servidor.
Conocer las opciones disponibles para las redes virtuales Hyper-V garantiza que pueda usar esas opciones para
satisfacer las necesidades de su organización.
• Describir conmutadores virtuales.
• Describir las redes de área local virtuales (VLAN).
• Describir las extensiones del conmutador virtual.
• Explicar cómo administrar un grupo de direcciones de control de acceso a medios (MAC) de una máquina virtual.
• Explicar cómo configurar adaptadores de red virtuales.
• Describir las funciones avanzadas de los adaptadores de red virtual.
• Describir la formación de equipos de NIC.
¿Qué es un conmutador virtual?
Un conmutador virtual es una versión virtual de una red.

Switch y es nuevo en Windows Server 2012. El
término conmutador virtual reemplaza el término virtual
red, que se utilizó en Windows Server 2008.
Los conmutadores virtuales controlan cómo fluye el tráfico de la red
entre varias máquinas virtuales alojadas
en el servidor de virtualización y entre virtual
máquinas y el resto de la organización
red. Puede administrar conmutadores virtuales
a través de Virtual Switch Manager, que es
accesible a través del panel Acciones del
Consola de Hyper-V Manager.
Hyper-V en Windows Server 2012 admite los siguientes tres tipos diferentes de conmutadores virtuales:
• Externo. Este tipo de conmutador asigna una red a un adaptador de red específico o un equipo de adaptadores de red.
Windows Server 2012 admite la asignación de una red externa a un adaptador de red inalámbrica si
ha instalado el servicio de red de área local inalámbrica (LAN) en el servidor de virtualización, y si el
El servidor de virtualización tiene un adaptador compatible.
• Interna. Los conmutadores virtuales internos se comunican entre varias máquinas virtuales en el
servidor de virtualización, y entre las máquinas virtuales y el servidor de virtualización.
• Privado. Los conmutadores privados se comunican solo entre varias máquinas virtuales en la virtualización
servidor. No puede utilizar conmutadores privados para comunicarse entre las máquinas virtuales y el
servidor de virtualización.
Página 78
Lectura adicional: Para obtener más información sobre conmutadores virtuales, consulte “Hyper-V Virtual
Switch Overview ”en http://go.microsoft.com/fwlink/?LinkId=269716.
¿Qué son las redes de área local virtuales?
Las VLAN le permiten segmentar lógicamente la red

tráfico que se ejecuta en el mismo
red. Las VLAN funcionan como transmisión separada
dominios. Esto significa que los hosts en otra VLAN
no intercepte ni procese la transmisión de una VLAN
tráfico. Esto es cierto incluso cuando esos hosts son
conectado al mismo interruptor de hardware. Cada
VLAN tiene una identificación (ID) que es
encapsulado dentro de una trama de Ethernet.
Puede asignar ID de VLAN a Hyper-V virtual

conmutadores y adaptadores de red. Para usar VLAN
con conmutadores virtuales Hyper-V y red
adaptadores, los adaptadores de red físicos del host deben admitir el etiquetado VLAN. Esta función debe estar habilitada
en el adaptador de red. Cuando configura las ID de VLAN para Hyper-V, debe configurar la ID de VLAN
en el conmutador virtual o en el adaptador de red de cada máquina virtual individual. No tienes que
configure el ID de VLAN en el adaptador de red físico del host.
Hyper-V admite la especificación 802.1q para enlaces troncales de VLAN. ID de VLAN que usa con conmutadores virtuales
y los adaptadores de red virtual también se pueden utilizar con equipos de red que admitan estos estándares.
Esto significa que puede tener la misma VLAN que abarque varios hosts Hyper-V cuando esté conectado a
equipo de red compatible.
Puede implementar VLAN con conmutadores Hyper-V y adaptadores de red virtual para admitir
siguientes escenarios:
• Aislar el tráfico de almacenamiento de la red. Puede aislar el tráfico de almacenamiento de red, como el tráfico iSCSI, de otros
tráfico. El uso de VLAN significa que es posible que no se requiera una red de almacenamiento separada.
• Aislar el tráfico del clúster. Puede aislar el tráfico del clúster dentro del nodo de otro tráfico.
• Aislamiento de seguridad. Puede aislar los hosts entre sí por razones de seguridad. Por ejemplo, puedes
poner algunos hosts virtuales a disposición de los clientes de Protección de acceso a la red (NAP) que se han colocado
en una VLAN aislada. Esto asegura que puedan corregir su configuración a un estado saludable.
Configuración de ID de VLAN
Al configurar una red virtual, puede configurar una ID de VLAN que esté asociada con la red. Esta
le permite extender las VLAN existentes en la red externa a las VLAN dentro del servidor de virtualización
conmutador de red. Las VLAN le permiten particionar el tráfico de la red y funcionan como lógicas independientes.
redes. Tenga en cuenta que el tráfico solo puede pasar de una VLAN a otra si pasa por un enrutador.
Puede configurar las siguientes extensiones para cada tipo de conmutador virtual:
• Captura de NDIS de Microsoft. Esta extensión permite la captura de datos que atraviesan el virtual
cambiar.
• Plataforma de filtrado de Microsoft Windows. Esta extensión permite el filtrado de datos que atraviesan
a través del conmutador virtual.
Página 79
Extensiones de conmutador virtual
Las extensiones de conmutador virtual permiten a terceros

proveedores para crear conmutadores virtuales que pueda
agregar a Hyper-V que agregan monitoreo, filtrado y
funcionalidad de reenvío. Algunos proveedores tienen
creó ediciones virtuales de sus conmutadores de hardware.
Puede administrar estos conmutadores virtuales mediante
la misma suite de administración que usa para
gestionar los conmutadores físicos. Esto permite
equipo de redes de la organización para ampliar el
gestión tanto virtual como
infraestructura física.
La siguiente tabla enumera el conmutador virtual disponible

extensiones.
Extensión Propósito
Inspección de paquetes de red Examine los paquetes de red mientras atraviesan el conmutador virtual.
Filtro de paquetes de red Cree, filtre y modifique paquetes que atraviesan el conmutador virtual.
Reenvío de red Cree una extensión de reenvío para cada conmutador virtual.
Detección de intrusos o firewall Filtrar y modificar paquetes TCP / IP, monitorear o autorizar
conexiones, filtrar tráfico IPsec y filtrar llamadas a procedimientos remotos.
Consulte los catálogos de proveedores de terceros para determinar qué conmutadores virtuales están disponibles para ejecutarse en Hyper-
Plataforma V.
Lectura adicional: Para obtener más información sobre las extensiones de conmutador virtual, consulte
"Descripción general del conmutador virtual Hyper-V" en http://go.microsoft.com/fwlink/?LinkID=331084.
Administrar direcciones MAC de máquinas virtuales
A menos que especifique una dirección MAC estática, Hyper-V

asigna dinámicamente una dirección a cada virtual
adaptador de red de la máquina de un grupo de MAC
direcciones. Puede configurar el rango de direcciones de
este grupo de la configuración del rango de direcciones MAC de
la consola de Virtual Switch Manager. Por defecto, un
servidor que ejecuta Hyper-V tiene un grupo de 255
Direcciones MAC.
Cuando las máquinas virtuales usan privados o internos

redes, la dirección MAC a la que asigna
no es probable que los adaptadores de red sean motivo de preocupación,
porque el servidor que ejecuta Hyper-V
asegura que no se asignen direcciones MAC duplicadas a diferentes máquinas virtuales. Sin embargo, cuando
tienen varios servidores que ejecutan Hyper-V y alojan máquinas virtuales que usan adaptadores
conectado a redes externas, debe asegurarse de que cada servidor utilice un grupo diferente de MAC
Página 80
direcciones. Esto asegura que los servidores separados que se conectan a la misma red no asignen la misma
Direcciones MAC a las máquinas virtuales que alojan.
Cuando a las máquinas virtuales se les asignan direcciones IP a través de un Protocolo de configuración dinámica de host (DHCP)
reserva, debería considerar el uso de direcciones MAC estáticas. Una reserva DHCP asegura que un
La dirección IP siempre se asigna a una dirección MAC específica.
Puede configurar el rango de direcciones MAC realizando el siguiente procedimiento:
2. Seleccione el host Hyper-V que desea configurar.
3. En el panel Acciones, haga clic en Virtual Switch Manager .
4. En Configuración de red global , haga clic en Rango de direcciones MAC .
5. Especifique un rango mínimo y máximo para la dirección MAC.
Las direcciones MAC están en formato hexadecimal. Al configurar rangos para múltiples hosts Hyper-V,
debería considerar cambiar los valores del segundo del último par de dígitos. La siguiente tabla muestra
ejemplos de rangos para múltiples hosts Hyper-V.
Host de Hyper-V Rango de direcciones MAC
Anfitrión 1 Mínimo: 00-15-5D-0F-AB-00

Máximo: 00-15-5D-0F-AB-FF
Anfitrión 2 Mínimo: 00-15-5D-0F-AC-00

Máximo: 00-15-5D-0F-AC-FF
Anfitrión 3 Mínimo: 00-15-5D-0F-AD-00

Máximo: 00-15-5D-0F-AD-FF
Configuración de adaptadores de red virtual
Los adaptadores de red virtual permiten que la máquina virtual
para comunicarse utilizando los conmutadores virtuales que
que configura en el Virtual Switch Manager
consola. Puede editar las propiedades de un virtual
máquina para modificar las propiedades de una red
adaptador. Desde el panel Adaptador de red en el
cuadro de diálogo Configuración de la máquina virtual, puede
configurar lo siguiente:
• Interruptor virtual. Tú configuras a qué virtual

cambie el adaptador de red se conecta.
• ID de VLAN. Usted especifica un ID de VLAN que el

usos de la máquina virtual para la comunicación que
pasa a través de este adaptador.
• Gestión de ancho de banda. Usted asigna un ancho de banda mínimo y máximo para el adaptador.
Hyper-V reserva la asignación mínima de ancho de banda para el adaptador de red, incluso cuando es virtual
los adaptadores de red de otras máquinas virtuales funcionan a plena capacidad.
Página 81
Tanto los adaptadores de red sintéticos como los adaptadores de red heredados admiten las siguientes funciones avanzadas:
• Asignación de direcciones MAC. Puede configurar una dirección MAC para ser asignada desde la dirección MAC
pool, o puede configurar el adaptador de red para usar una dirección MAC fija. También puede configurar
Suplantación de direcciones MAC. Esto es útil cuando la máquina virtual necesita proporcionar una red específica
acceso, como cuando la máquina virtual está ejecutando un emulador de dispositivo móvil que requiere red
acceso.
• Guardia DHCP. Esta función elimina los mensajes DHCP de las máquinas virtuales que funcionan como
servidores DHCP no autorizados. Esto puede ser necesario en escenarios donde está administrando un servidor.
ejecutando Hyper-V que aloja máquinas virtuales para otros, pero no tiene control directo sobre el
configuración de esas máquinas virtuales.
• Guardia del enrutador. Esta función elimina los mensajes de redireccionamiento y publicidad del enrutador de
máquinas que están configuradas como enrutadores no autorizados. Esto puede ser necesario en escenarios donde
no tiene control directo sobre la configuración de las máquinas virtuales.
• Port Mirroring. Esta función le permite copiar paquetes entrantes y salientes de una red
adaptador a otra máquina virtual que haya configurado para la supervisión.
• Equipo de NIC. Esta función le permite agregar el adaptador de red virtual a un equipo existente en el
servidor que ejecuta Hyper-V.
Los adaptadores de red heredados emulan hardware de adaptador de red común. Utiliza adaptadores de red heredados
en las siguientes situaciones:
• Desea admitir escenarios de instalación de arranque en red para máquinas virtuales. Por ejemplo tu
desea implementar una imagen del sistema operativo desde un servicio de implementación de Windows (Windows DS)
servidor oa través de Configuration Manager.
• Debe admitir sistemas operativos que no admitan servicios de integración y no tengan

controlador para el adaptador de red sintético.
Los adaptadores de red heredados no admiten las funciones de aceleración de hardware que la red sintética
Soporte de adaptadores. No puede configurar una cola de máquina virtual, descarga de tareas IPsec o E / S de raíz única
virtualización (SR-IOV) para adaptadores de red heredados. El siguiente tema cubre estas funciones avanzadas.
Funciones avanzadas del adaptador de red
Además de las funciones descritas anteriormente,

Los adaptadores de red sintéticos admiten lo siguiente
características avanzadas:
• Cola de máquina virtual. Esta característica utiliza

filtrado de paquetes de hardware para entregar la red
tráfico directamente al huésped. Esto mejora
rendimiento porque el paquete no
necesita ser copiado de la gerencia
sistema operativo a la máquina virtual.
La cola de máquina virtual requiere que el host
la computadora tiene un adaptador de red que
admite esta función.
• Descarga de tareas IPsec. Esta función permite que el adaptador de red del host realice cálculos intensivos
tareas de asociación de seguridad. En caso de que no haya suficientes recursos de hardware disponibles, el invitado
El sistema operativo realiza estas tareas. Puede configurar un número máximo de seguridad descargada
Página 82
asociaciones entre 1 y 4096. La descarga de tareas de seguridad IP (IPsec) requiere un sistema operativo invitado
soporte y soporte de adaptador de red.
• SR-IOV. La virtualización de E / S de raíz única (SR-IOV) permite que varias máquinas virtuales compartan la misma
Interconexión de componentes periféricos (PCI) Express recursos de hardware físico. Si hay suficientes recursos
no están disponibles, la conectividad de la red retrocede y el conmutador virtual proporciona conectividad.
SR-IOV requiere que instale hardware específico y controladores especiales en el sistema operativo invitado,
y es posible que deba habilitarlo en el BIOS de la computadora.
• Escalado del lado de recepción virtual (vRSS). vRSS permite que los adaptadores de red equilibren el procesamiento de la red
cargar a través de los núcleos de procesador asignados a una máquina virtual. vRSS permite que una máquina virtual
Procesar mayores cantidades de tráfico de red de lo que podría procesar si solo se utilizara un núcleo de CPU.
responsable de procesar el tráfico. Puede implementar vRSS asignando una máquina virtual a varios
núcleos a través de la red avanzada. Para utilizar vRSS, el procesador del host debe admitir el lado de recepción
El escalado (RSS) y los adaptadores de red del host deben admitir la cola de máquina virtual (VMQ).
¿Qué es NIC Teaming?
NIC Teaming le permite combinar hasta 32

adaptadores de red y luego utilícelos como un
interfaz de red. NIC Teaming proporciona
redundancia, lo que permite que la comunicación de red
ocurrir a través de la interfaz de red combinada incluso
cuando falla uno o más de los adaptadores de red.
La combinación de adaptadores de red también
aumenta el ancho de banda disponible para el
interfaz de red combinada. NIC Teaming es un
característica disponible en Windows Server 2012
sistema operativo que tanto el host Hyper-V como
Las máquinas virtuales Hyper-V pueden usar.
Cuando se usa con máquinas virtuales, NIC Teaming permite que las máquinas virtuales se unan a adaptadores de red virtual
que se conectan a conmutadores virtuales independientes.
Para beneficiarse de la formación de equipos NIC, el host debe tener al menos dos conmutadores virtuales externos. Cuando usted
tener varios adaptadores de red virtual conectados al mismo conmutador, si el adaptador de red físico que
Si el conmutador virtual está conectado falla, esos adaptadores de red virtual perderán conectividad. Cuando
Al configurar NIC Teaming para máquinas virtuales, los adaptadores de red conectados a conmutadores virtuales pueden usar SR-
IOV.
Habilite la formación de equipos de NIC de máquinas virtuales para máquinas virtuales en la página Funciones avanzadas de la
adaptador de red en el administrador de Hyper-V. También puede habilitar la formación de equipos NIC para máquinas virtuales mediante el
Set-VMNetworkAdapter cmdlet de Windows PowerShell. Para habilitar NIC Teaming dentro de la virtual
sistema operativo de la máquina, debe habilitar NIC Teaming en el adaptador de red virtual o configurar el
Adaptador de red virtual para permitir la suplantación de direcciones MAC. Una vez que habilite la formación de equipos de NIC virtual en el
adaptador de red virtual o habilitar la suplantación de direcciones MAC, puede configurar NIC Teaming dentro del
máquina virtual.
Una nueva característica de Windows Server 2012 R2 es la formación de equipos de NIC dinámica. En Windows Server 2012, el nuevo tráfico es
asignado a una NIC en particular, y el flujo de tráfico permanece con esa NIC durante toda la sesión. Dinámica
NIC Teaming equilibra el flujo de tráfico en todas las NIC disponibles en un equipo.
Página 83
Laboratorio: Implementación de la virtualización de servidores con Hyper-V

Guión
Su tarea es configurar el servicio de infraestructura para una nueva sucursal.
Para usar el hardware del servidor que está disponible actualmente en las sucursales de manera más efectiva, su gerente
decidió que todos los servidores de las sucursales se ejecutarán como máquinas virtuales. Ahora debe configurar un virtual
red y una nueva máquina virtual para estas sucursales.
Objetivos
Después de realizar esta práctica de laboratorio, debería poder:
• Instale la función Hyper-V en un servidor.
• Configurar redes virtuales.
• Crear y configurar una máquina virtual.
• Utilice puntos de control de máquinas virtuales.
Máquina virtual 20410D-LON-HOST1
Nombre de usuario Administrador
Antes de comenzar la práctica de laboratorio, debe completar los siguientes pasos:
1. Reinicie la computadora del aula y desde el Administrador de arranque de Windows, seleccione 20410D-LON-HOST1 .
2. Inicie sesión en LON-HOST1 con la cuenta de administrador y la contraseña Pa $$ w0rd .
Ejercicio 1: instalación del rol de Hyper-V en un servidor

Guión
El primer paso para migrar a un entorno virtualizado para la sucursal es instalar el rol de Hyper-V
en un nuevo servidor de Windows Server 2012.
1. Instale la función Hyper-V en un servidor.
2. Complete la instalación del rol de Hyper-V y verifique la configuración.
▶ Tarea 1: Instale la función Hyper-V en un servidor

1. En el Administrador del servidor, haga clic en Servidor local y luego configure las siguientes configuraciones de red:
o Dirección IP: 172.16.0.31
o Máscara de subred: 255.255.0.0
o Puerta de enlace predeterminada: 172.16.0.1
o Servidor DNS preferido: 172.16.0.10
Página 84
2. Utilice el Asistente para agregar funciones y funciones para agregar la función Hyper-V a LON-HOST1 con lo siguiente
opciones:
o No cree un conmutador virtual.
o Utilice las ubicaciones de tiendas predeterminadas.
o Permita que el servidor se reinicie automáticamente si es necesario.
3. Después de unos minutos, el servidor se reinicia automáticamente. Asegúrese de reiniciar la máquina desde el
menú de inicio como 20410D-LON-HOST1 . La computadora se reiniciará varias veces.
▶ Tarea 2: Complete la instalación del rol de Hyper-V y verifique la configuración

1. Inicie sesión en LON-HOST1 utilizando el administrador de la cuenta con la contraseña Pa $$ word .
2. Cuando finalice la instalación de las herramientas de Hyper-V, haga clic en Cerrar .
3. Abra la consola del Administrador de Hyper-V y luego haga clic en LON-HOST1 .
4. Edite la configuración de Hyper-V de LON-HOST1 y luego configure las siguientes opciones:
o Teclado: Úselo en la máquina virtual
o Discos duros virtuales: C: \ Usuarios \ Públicos \ Documentos \ Hyper-V \ Discos duros virtuales
Resultados : después de completar este ejercicio, debería haber instalado la función Hyper-V en un servidor físico.
Ejercicio 2: configuración de redes virtuales

Guión
Después de instalar la función Hyper-V en el nuevo servidor, debe configurar la red virtual. Necesitas
para crear una red que se conecte a la red física y una red privada que pueda usar solo para
comunicación entre máquinas virtuales. Utilizará la red privada cuando configure el virtual
Máquinas de alta disponibilidad. También debe configurar un rango específico de control de acceso a medios (MAC)
direcciones para las máquinas virtuales.
1. Configure la red externa.
2. Cree una red privada.
3. Cree una red interna.
4. Configure el rango de direcciones MAC.
▶ Tarea 1: Configurar la red externa

1. Abra la consola del Administrador de Hyper-V y luego haga clic en LON-HOST1 .
2. Utilice Virtual Switch Manager para crear un nuevo conmutador de red virtual externo con lo siguiente
propiedades:
o Nombre: Interruptor para adaptador externo
o Red externa: asignada al adaptador de red físico de la computadora host. (Esto varía
dependiendo de la computadora host.)
Página 85
▶ Tarea 2: Cree una red privada

• En la consola de Hyper-V Manager, use Virtual Switch Manager para crear un nuevo conmutador virtual con
las siguientes propiedades:
o Nombre: Red privada
o Tipo de conexión: Red privada
▶ Tarea 3: Cree una red interna

• Utilice Virtual Switch Manager para crear un nuevo conmutador virtual con las siguientes propiedades:
o Nombre: Red interna
o Tipo de conexión: Red interna
▶ Tarea 4: Configurar el rango de direcciones MAC

• Utilice Virtual Switch Manager para configurar los siguientes ajustes de rango de direcciones MAC:
o Mínimo: 00-15-5D-0F-AB-A0
o Máximo: 00-15-5D-0F-AB-EF
Resultados : después de completar este ejercicio, debería haber configurado las opciones de conmutador virtual en un
implementó el servidor Windows Server 2012 que ejecuta el rol Hyper-V.
Ejercicio 3: creación y configuración de una máquina virtual

Guión
Se le ha pedido que implemente dos máquinas virtuales en LON-HOST1. Has copiado un sysprepped
archivo de disco duro virtual que aloja una instalación de Windows Server 2012.
Para minimizar el uso del espacio en disco a costa del rendimiento, creará dos
archivos de disco duro basados en el disco duro virtual preparado por el sistema. A continuación, utilizará estos dispositivos virtuales de diferenciación.
archivos de disco como archivos de disco duro virtual para las nuevas máquinas virtuales.
1. Cree discos duros virtuales diferenciadores.
2. Cree máquinas virtuales.
3. Habilite la medición de recursos.
▶ Tarea 1: Crear discos duros virtuales diferenciadores

1. Utilice el Explorador de archivos para crear las dos carpetas siguientes:
o E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST1
o E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST2
Nota: la letra de la unidad puede depender de la cantidad de unidades en el host físico

computadora.
2. En la consola del Administrador de Hyper-V, cree un disco duro virtual con las siguientes propiedades:
o Formato de disco: VHD
o Tipo de disco: Diferenciación
Página 86
o Nombre: LON-GUEST1.vhd
o Ubicación: E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST1 \
o Ubicación principal: E: \ Archivos de programa \ Microsoft Learning \ Base \ Base14A-WS12R2.vhd
3. Abra Windows PowerShell y luego ejecute el siguiente comando:
New-VHD "E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST2 \ LON-GUEST2.vhd"
-ParentPath "E: \ Archivos de programa \ Microsoft Learning \ Base \ Base14A-WS12R2.vhd"
4. Inspeccione el disco en E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST2 \ LON-GUEST2.vhd .
5. Verifique que LON-GUEST2.vhd esté configurado como un disco duro virtual de diferenciación con
E: \ Archivos de programa \ Microsoft Learning \ Base \ Base14A-WS12R2.vhd como padre.
▶ Tarea 2: Cree máquinas virtuales

1. En LON-HOST1, en la consola del Administrador de Hyper-V, en el panel Acciones, haga clic en Nuevo y luego en
Máquina virtual .
2. Cree una máquina virtual con las siguientes propiedades:
o Nombre: LON-GUEST1
o Generación: Generación 1
o Memoria: 1024 MB
o Usar memoria dinámica: Sí
o Redes: Red Privada
o Conecte el disco duro virtual: E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST1
\ lon-guest1.vhd
3. Abra Windows PowerShell y luego ejecute el siguiente comando:
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E: \ Program
Archivos \ Microsoft Learning \ Base \ LON-GUEST2 \ LON-GUEST2.vhd "-SwitchName" Privado
Red"
4. Utilice la consola del Administrador de Hyper-V para editar la configuración de LON-GUEST2 configurando lo siguiente:
o Acción de inicio automático: Nada
o Acción de parada automática: apaga el sistema operativo invitado
▶ Tarea 3: habilitar la medición de recursos

• En el indicador de Windows PowerShell, ingrese los siguientes comandos:
Enable-VMResourceMetering LON-GUEST1
Resultados : después de completar este ejercicio, debería haber implementado dos máquinas virtuales independientes utilizando
un archivo de disco duro virtual preparado por el sistema como disco principal para dos discos duros virtuales diferenciados.
Página 87
Ejercicio 4: uso de puntos de control de máquinas virtuales

Guión
Está en el proceso de desarrollar una estrategia para mitigar el impacto del cambio aplicado incorrectamente.
peticiones. Como parte del desarrollo de esta estrategia, está probando la velocidad y la funcionalidad de
puntos de control de la máquina para volver a una configuración estable previamente existente.
En este ejercicio, implementará Windows Server 2012 en una máquina virtual. Entonces crearás un establo
configuración para esa máquina virtual y cree un punto de control de la máquina virtual. Finalmente, modificarás
la configuración y retroceder al punto de control.
1. Implemente Windows Server 2012 en una máquina virtual.
2. Cree un punto de control de la máquina virtual.
3. Modifique la máquina virtual.
4. Vuelva al punto de control de la máquina virtual existente.
5. Ver datos de medición de recursos.
▶ Tarea 1: Implementar Windows Server 2012 en una máquina virtual

1. Utilice la consola de Hyper-V Manager para iniciar LON-GUEST1.
2. Abra la ventana Conexión de máquina virtual y realice los siguientes pasos para implementar Windows.
Server 2012 en la máquina virtual:
o En la página Configuración , haga clic en Siguiente para aceptar la configuración de Región e Idioma.
o En la página Configuración , haga clic en Acepto .
o En la página Configuración , ingrese la contraseña Pa $$ w0rd dos veces y luego haga clic en Finalizar .
3. Inicie sesión en la máquina virtual utilizando la cuenta Administrador y la contraseña Pa $$ w0rd .
4. Restablezca el nombre de la máquina virtual a LON-GUEST1 y luego reinicie la máquina virtual.
▶ Tarea 2: Cree un punto de control de la máquina virtual

1. Inicie sesión en la máquina virtual LON-GUEST1 y luego verifique que el nombre de la computadora esté configurado en
INVITADO SOLITARIO 1 .
2. Cree un punto de control de LON-GUEST1 y asigne un nombre al punto de control antes del cambio .
▶ Tarea 3: Modificar la máquina virtual

1. Inicie sesión en la máquina virtual LON-GUEST1 y use la consola del Administrador del servidor para cambiar la
nombre de la computadora a LON-Computer1 .
2. Reinicie la máquina virtual.
3. Inicie sesión en la máquina virtual LON-GUEST1 y luego verifique que el nombre del servidor esté configurado en
LON-Computer1 .
▶ Tarea 4: volver al punto de control de la máquina virtual existente

1. Utilice la ventana Conexión de máquina virtual para revertir la máquina virtual.
2. Verifique que el Nombre de la computadora de la máquina virtual ahora esté configurado como LON-GUEST1 .
Página 88
▶ Tarea 5: Ver datos de medición de recursos

1. En LON-HOST1, emita el siguiente comando:
Medir-VM LON-GUEST1
2. Tenga en cuenta la unidad de procesamiento central (CPU) promedio, la memoria de acceso aleatorio (RAM) promedio y el disco total
use cifras y luego cierre Windows PowerShell.
Resultados : después de completar este ejercicio, debería haber utilizado puntos de control de la máquina virtual para recuperarse
una mala configuración de la máquina virtual.
▶ Revertir las máquinas virtuales

Una vez que termine la práctica de laboratorio, reinicie la computadora en Windows Server 2012 realizando los siguientes pasos:
1. En la barra de tareas, haga clic en el icono de Windows PowerShell .
2. En la ventana de Windows PowerShell, ingrese el siguiente comando y luego presione Enter:
Apagado / r / t 5
3. Desde el Administrador de arranque de Windows, seleccione Windows Server 2012 .

Pregunta: ¿Qué tipo de conmutador de red virtual crearía si desea permitir la
máquina virtual para comunicarse con la LAN que está conectada a la virtualización de Hyper-V
¿servidor?
Pregunta: ¿Cómo puede asegurarse de que ninguna máquina virtual utilice todos los
ancho de banda que proporciona el servidor de virtualización Hyper-V?
Pregunta: ¿Qué tarea de configuración de memoria dinámica no era posible en versiones anteriores?
de Hyper-V, pero que ahora puede realizar en una máquina virtual alojada en el
¿Función de Hyper-V en un servidor de Windows Server 2012?
Página 89

Pregunta: ¿ En qué situaciones debería utilizar una asignación de memoria fija en lugar de dinámica?
¿Memoria?
Pregunta: ¿ En qué situaciones debe utilizar discos duros virtuales con el nuevo formato .vhdx?
en lugar de discos duros virtuales con el antiguo formato .vhd?
Pregunta: Quiere implementar el disco duro virtual de una máquina virtual Hyper-V de Windows Server 2012
disco en un archivo compartido. ¿Qué sistema operativo debe ejecutar el servidor de archivos para admitir esto?
¿configuración?
Mejores prácticas
Al implementar la virtualización de servidores con Hyper-V, utilice las siguientes mejores prácticas:
• Asegúrese de que el procesador de la computadora que ejecutará Hyper-V sea compatible con
virtualización.
• Asegúrese de aprovisionar un servidor de virtualización con RAM adecuada. Tener múltiples máquinas virtuales
paginar la unidad de disco duro porque tienen memoria inadecuada disminuye el rendimiento para todos
máquinas virtuales en el servidor.
• Supervise cuidadosamente el rendimiento de la máquina virtual. Una máquina virtual que utiliza una desproporcionada
La cantidad de recursos del servidor puede reducir el rendimiento de todas las demás máquinas virtuales que
el servidor de virtualización está alojando.
No se puede implementar Hyper-V

en una plataforma x64.
La máquina virtual no
utilizar la memoria dinámica.
Herramientas
Puede utilizar las siguientes herramientas con Hyper-V para implementar y administrar máquinas virtuales.
Nombre de la herramienta Usado para Donde encontrarlo
Sysinternals Úselo para convertir físico duro Microsoft TechNet

herramienta disk2vhd discos a formato de disco duro virtual. sitio web.
Página 90
Evaluación del curso

Su evaluación de este curso ayudará a Microsoft
comprender la calidad de su experiencia de aprendizaje.
Trabaje con su proveedor de formación para acceder
el formulario de evaluación del curso.
Microsoft conservará sus respuestas a esta encuesta

privado y confidencial y utilizará sus respuestas
para mejorar su futura experiencia de aprendizaje. Tu
La retroalimentación abierta y honesta es valiosa y
apreciado.
Página 91
L1-1
Módulo 1: Implementación y administración de Windows Server 2012
Laboratorio: Implementación y administración de Windows

Servidor 2012
Ejercicio 1: implementación de Windows Server 2012
▶ Tarea 1: Instale el servidor Windows Server 2012 R2

2. Haga clic en 20410D-LON-SVR3 .
3. En el panel Acciones, haga clic en Configuración .
4. En Hardware , haga clic en Unidad de DVD .
5. Haga clic en Archivo de imagen y luego en Examinar .
6. Vaya a D: \ Archivos de programa \ Microsoft Learning \ 20410 \ Drives y luego haga clic en
Windows2012R2RTM.iso .
7. Haga clic en Abrir y luego en Aceptar .
8. En la consola del Administrador de Hyper-V, haga doble clic en 20410D-LON-SVR3 .
9. En la ventana Conexión de máquina virtual, en el menú Acción , haga clic en Iniciar .
10. En el Asistente de configuración de Windows, en la página de Windows Server 2012 R2 , verifique la siguiente configuración,
y luego haga clic en Siguiente :
o Idioma para instalar: inglés (Estados Unidos)
o Formato de hora y moneda: inglés (Estados Unidos)
o Teclado o método de entrada: EE . UU.
11. En la página de Windows Server 2012 R2 , haga clic en Instalar ahora .
12. En la página Seleccione el sistema operativo que desea instalar , seleccione Windows Server 2012 R2
Evaluación del centro de datos (servidor con GUI) y luego haga clic en Siguiente .
13. En la página Términos de la licencia , revise los términos de la licencia del sistema operativo, seleccione Acepto el
casilla de verificación de términos de licencia y, a continuación, haga clic en Siguiente .
14. En el ¿Qué tipo de instalación desea? página, haga clic en Personalizado: instalar solo Windows
(avanzado) .
15. En el ¿Dónde desea instalar Windows? página, verifique que Drive 0 Unallocated Space tenga
suficiente espacio para el sistema operativo Windows Server 2012 R2 y luego haga clic en Siguiente .
Nota: Dependiendo de la velocidad del equipo, la instalación tarda aproximadamente 20

minutos. La máquina virtual se reiniciará varias veces durante este proceso.
16. En la página Configuración , en los cuadros Contraseña y Volver a ingresar contraseña, ingrese la contraseña
Pa $$ w0rd y luego haga clic en Finalizar .
Página 92
L1-2 Implementación y administración de Windows Server 2012
▶ Tarea 2: cambiar el nombre del servidor

1. Inicie sesión en LON-SVR3 como administrador con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, haga clic en Servidor local .
3. Haga clic en el nombre generado aleatoriamente junto a Nombre del equipo .
4. En el cuadro de diálogo Propiedades del sistema , en la pestaña Nombre del equipo , haga clic en Cambiar .
5. En el cuadro de diálogo Cambios en el dominio / nombre del equipo , en el cuadro de texto Nombre del equipo , ingrese el
nombre LON-SVR3 y, a continuación, haga clic en Aceptar .
6. En el cuadro de diálogo Cambios de dominio / nombre de equipo , haga clic en Aceptar .
7. Cierre el cuadro de diálogo Propiedades del sistema .
8. En el cuadro de diálogo de Microsoft Windows , haga clic en Reiniciar ahora .
▶ Tarea 3: cambiar la fecha y la hora

1. Inicie sesión en el servidor LON-SVR3 como administrador con la contraseña Pa $$ w0rd .
2. En la barra de tareas, haga clic en la visualización de la hora. Aparece una ventana emergente con un calendario y un reloj.
3. En la ventana emergente, haga clic en Cambiar la configuración de fecha y hora .
4. En el cuadro de diálogo Fecha y hora , haga clic en Cambiar zona horaria .
5. En el cuadro de diálogo Configuración de zona horaria , establezca la zona horaria en su zona horaria actual y luego
haga clic en Aceptar .
6. En el cuadro de diálogo Fecha y hora , haga clic en Cambiar fecha y hora .
7. Verifique que la fecha y la hora que se muestran en el cuadro de diálogo Configuración de fecha y hora coinciden con las de
su salón de clases y luego haga clic en Aceptar .
8. Para cerrar el cuadro de diálogo Fecha y hora , haga clic en Aceptar .
▶ Tarea 4: Configurar la red

1. En LON-SVR3, en la consola del Administrador del servidor, haga clic en Servidor local .
2. En la consola del Administrador del servidor, junto a Ethernet , haga clic en la dirección IPv4 asignada por DHCP, IPv6
Habilitado .
3. En el cuadro de diálogo Conexiones de red , haga clic con el botón derecho en Ethernet y luego haga clic en Propiedades .
4. En el cuadro de diálogo Propiedades de Ethernet , haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego haga clic en
Propiedades .
5. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP / IPv4) , haga clic en Usar la siguiente dirección IP.
dirección IP, ingrese la siguiente información de dirección IP y luego haga clic en Aceptar :
6. Haga clic en Cerrar para cerrar el cuadro de diálogo Propiedades de Ethernet .
7. Cierre el cuadro de diálogo Conexiones de red .
Página 93
Instalación y configuración de Windows Server ® 2012 L1-3
▶ Tarea 5: Agregar el servidor al dominio

1. En LON-SVR3, en la consola del Administrador del servidor, haga clic en Servidor local .
2. Junto a Grupo de trabajo, haga clic en GRUPO DE TRABAJO .
4. En el cuadro de diálogo Cambios de dominio / nombre de equipo , en el área Miembro de , haga clic en Dominio.
opción.
5. En el cuadro Dominio , escriba adatum.com y luego haga clic en Aceptar .
6. En el cuadro de diálogo Seguridad de Windows , ingrese los siguientes detalles y luego haga clic en Aceptar :
o Nombre de usuario: Administrador
7. En el cuadro de diálogo Cambios de dominio / nombre de equipo , haga clic en Aceptar .
8. Cuando se le informe que debe reiniciar la computadora para aplicar los cambios, haga clic en Aceptar .
9. En el cuadro de diálogo Propiedades del sistema , haga clic en Cerrar .
11. Después de reiniciar LON-SVR3, inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, debería haber implementado Windows Server 2012 en LON-SVR3.
También debe haber configurado LON-SVR3, incluido el cambio de nombre, la fecha y la hora, y la red.
Ejercicio 2: configuración de Windows Server 2012 Server Core
▶ Tarea 1: Establecer el nombre de la computadora

1. Inicie sesión en LON-CORE como administrador con la contraseña Pa $$ w0rd .
2. En el símbolo del sistema, escriba sconfig.cmd y presione Entrar.
3. Para seleccionar Computer Name , escriba 2 y luego presione Enter.
4. Ingrese el nombre de la computadora LON-CORE , y luego presione Enter.
5. En el cuadro de diálogo Reiniciar , haga clic en Sí .
6. Inicie sesión en el servidor LON-CORE utilizando la cuenta de administrador con la contraseña Pa $$ w0rd .
7. En el símbolo del sistema, escriba hostname y luego presione Enter para verificar el nombre de la computadora.
▶ Tarea 2: cambiar la fecha y la hora de la computadora

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE como administrador con la contraseña Pa $$ w0rd .
2. En el símbolo del sistema, escriba sconfig.cmd y luego presione Entrar.
3. Para seleccionar Fecha y hora , escriba 9 y luego presione Entrar.
4. En el cuadro de diálogo Fecha y hora , haga clic en Cambiar zona horaria . Establecer la zona horaria en la misma zona horaria
que usa su salón de clases y luego haga clic en Aceptar .
5. En el cuadro de diálogo Fecha y hora , haga clic en Cambiar fecha y hora y verifique que la fecha y la hora
coincidir con los de su ubicación. Para cerrar los cuadros de diálogo, haga clic en Aceptar dos veces.
6. En la ventana del símbolo del sistema, escriba 15 y luego presione Entrar para salir de Configuración del servidor .
Página 94
▶ Tarea 3: Configurar la red

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE con el Administrador de cuenta y el
contraseña Pa $$ w0rd .
3. Para configurar la configuración de red , escriba 8 y luego presione Entrar.
4. Escriba el número de índice del adaptador de red que desea configurar y luego presione Intro.
5. En la página Configuración del adaptador de red , escriba 1 y luego presione Entrar. Esto configura el adaptador de red
Habla a.
6. Para seleccionar la configuración de la dirección IP estática, escriba S y luego presione Intro.
7. En el mensaje Ingresar dirección IP estática : , escriba 172.16.0.111 y luego presione Intro.
8. En el mensaje Ingresar máscara de subred , escriba 255.255.0.0 y luego presione Intro.
9. En el mensaje Ingresar puerta de enlace predeterminada , escriba 172.16.0.1 y luego presione Intro.
10. En la página Configuración del adaptador de red , escriba 2 y luego presione Intro.
Esto configura la dirección del servidor DNS.
11. En el mensaje Ingresar nuevo servidor DNS preferido , escriba 172.16.0.10 y luego presione Intro.
12. En el cuadro de diálogo Configuración de red , haga clic en Aceptar .
13. Para elegir no configurar una dirección de servidor DNS alternativa, presione Entrar.
14. Escriba 4 y luego presione Intro para regresar al menú principal.
15. Escriba 15 y luego presione Entrar para salir de sconfig.cmd.
16. En el símbolo del sistema, escriba ping lon-dc1.adatum.com para verificar la conectividad al dominio.
controlador de LON-CORE.
▶ Tarea 4: Agregar el servidor al dominio

1. Asegúrese de haber iniciado sesión en el servidor LON-CORE utilizando el Administrador de cuenta con el
3. Para cambiar y configurar Dominio / Grupo de trabajo, escriba 1 y luego presione Entrar.
4. Para unirse a un dominio, escriba D y luego presione Entrar.
5. En el mensaje Nombre del dominio para unirse , escriba adatum.com y presione Entrar.
6. En el indicador Especificar un dominio \ usuario autorizado , escriba Adatum \ Administrador y luego presione
Entrar.
7. En el mensaje Escriba la contraseña asociada con el usuario del dominio , escriba Pa $$ w0rd y luego
presione Entrar.
8. En el cambio de nombre del ordenador del sistema, haga clic en No .
9. En el cuadro de diálogo Reiniciar , haga clic en Sí .
10. Inicie sesión en el servidor LON-CORE con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, debería haber configurado Windows Server 2012 Server Core
implementación y verificó el nombre del servidor.
Página 95
Ejercicio 3: administración de servidores
▶ Tarea 1: crear un grupo de servidores

1. Inicie sesión en LON-DC1 con la cuenta de administrador y la contraseña Pa $$ w0rd .
2. En la consola del Administrador del servidor, haga clic en Panel de control y luego en Crear un grupo de servidores .
3. En el cuadro de diálogo Crear grupo de servidores , haga clic en la pestaña Active Directory y luego en Buscar ahora .
4. En el cuadro Nombre del grupo de servidores , escriba LAB-1 .
5. Utilice la flecha para agregar LON-CORE y LON-SVR3 al grupo de servidores. Haga clic en Aceptar para cerrar Crear
Cuadro de diálogo Grupo de servidores .
6. En la consola del Administrador del servidor, haga clic en LAB-1 . Mantenga presionada la tecla Ctrl y luego seleccione ambas
LON-CORE y LON-SVR3 .
7. Desplácese hacia abajo y, en la sección Rendimiento , seleccione LON-CORE y LON-SVR3 .
8. Haga clic con el botón derecho en LON-CORE y luego haga clic en Iniciar contadores de rendimiento .
▶ Tarea 2: Implementar funciones y roles en ambos servidores

1. En el Administrador del servidor en LON-DC1, haga clic en LAB-1 .
2. Desplácese hasta la parte superior del panel, haga clic con el botón derecho en LON-CORE y luego haga clic en Agregar funciones y funciones .
3. En el Asistente para agregar roles y características, haga clic en Siguiente .
4. En la página Seleccionar tipo de instalación , haga clic en Instalación basada en funciones o en función y luego
haga clic en Siguiente .
5. En la página Seleccionar servidor de destino , verifique que LON-CORE.Adatum.com esté seleccionado y luego
6. En la página Seleccionar roles de servidor , seleccione Servidor web (IIS) y luego haga clic en Siguiente .
7. En la página Características , seleccione Copia de seguridad de Windows Server y luego haga clic en Siguiente .
8. En la página Función del servidor web (IIS) , haga clic en Siguiente .
9. En la página Seleccionar servicios de función , agregue el servicio de función de autenticación de Windows y luego haga clic en
Siguiente .
10. En la página Confirmar selecciones de instalación , seleccione Reiniciar el servidor de destino.

automáticamente si es necesario , y luego haga clic en Instalar .
11. Haga clic en Cerrar para cerrar el Asistente para agregar funciones y funciones.
12. En el Administrador del servidor, haga clic con el botón derecho en LON-SVR3 y luego haga clic en Agregar roles y características .
13. En el Asistente para agregar roles y características, en la página Antes de comenzar , haga clic en Siguiente .
14. En la página Seleccionar tipo de instalación , haga clic en Instalación basada en funciones o en función . Haga clic en Siguiente .
15. En la página Seleccionar servidor de destino , verifique que LON-SVR3.Adatum.com esté seleccionado y luego
16. En la página Funciones del servidor , haga clic en Siguiente .
17. En la página Seleccionar características , haga clic en Copia de seguridad de Windows Server y luego en Siguiente .

Página 96
19. Una vez que comience la instalación, haga clic en Cerrar .
20. En el Administrador del servidor, actualice la vista, haga clic en el nodo IIS y luego verifique que LON-CORE esté en la lista.
▶ Tarea 3: revisar los servicios y cambiar la configuración de un servicio

1. Inicie sesión en LON-CORE con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En la ventana del símbolo del sistema, escriba los dos comandos siguientes y presione Entrar después de cada uno:
netsh.exe advfirewall firewall set rule group = "escritorio remoto" nueva habilitación = sí
netsh.exe advfirewall firewall set rule group = "administración remota del registro de eventos" nuevo
habilitar = sí
3. Inicie sesión en LON-DC1 con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
4. En el Administrador del servidor, haga clic en LAB-1 .
5. Haga clic con el botón derecho en LON-CORE y luego haga clic en Administración de equipos .
6. En la consola Administración de equipos, expanda Servicios y aplicaciones y luego haga clic en Servicios .
7. Haga clic con el botón derecho en el servicio de publicación World Wide Web y luego haga clic en Propiedades . Verifique que el
El tipo de inicio se establece en Automático .
8. En el cuadro de diálogo Servicio de publicación World Wide Web , en la pestaña Iniciar sesión , verifique que el servicio esté
configurado para utilizar la cuenta del sistema local .
9. En la pestaña Recuperación , configure los siguientes ajustes y luego haga clic en Reiniciar Opciones del equipo.
botón:
o Primer fallo: reiniciar el servicio
o Segundo fallo: reiniciar el servicio
o Fallos posteriores: reinicie la computadora
o Restablecer el conteo de fallas después de: 1 día
o Reiniciar el servicio después de: 1 minuto
10. En el cuadro de diálogo Restart Computer Options , en el cuadro Restart Computer After , escriba 2 y luego
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Servicios de publicación World Wide Web .
Resultados : Después de completar este ejercicio, debería haber creado un grupo de servidores, implementado roles y
características y configuró las propiedades de un servicio.
Página 97
Ejercicio 4: uso de Windows PowerShell para administrar servidores
▶ Tarea 1: use Windows PowerShell para conectarse de forma remota a los servidores y ver
información
1. Inicie sesión en LON-DC1 con la cuenta Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En la consola del Administrador del servidor, haga clic en LAB-1 .
3. Haga clic con el botón derecho en LON-CORE y luego haga clic en Windows PowerShell .
4. En el símbolo del sistema, escriba lo siguiente y luego presione Entrar:
Administrador de servidores de módulo de importación
5. Para revisar las funciones y funciones instaladas en LON-CORE, en el símbolo del sistema, escriba lo siguiente,
y luego presione Enter:
Get-WindowsFeature
6. Para revisar los servicios en ejecución en LON-CORE, en el símbolo del sistema, escriba lo siguiente y luego
presione Enter:
Obtener servicio | where-object {$ _. status -eq "Running"}
7. Para ver una lista de procesos en LON-CORE, en el símbolo del sistema, escriba lo siguiente y luego presione
Entrar:
Obtener-proceso
8. Para revisar las direcciones IP asignadas al servidor, en el símbolo del sistema, escriba lo siguiente y
luego presione Enter:
Get-NetIPAddress | Tabla de formato
9. Para revisar los 10 elementos más recientes en el registro de seguridad, en el símbolo del sistema, escriba lo siguiente,
Get-EventLog Security -Newest 10
10. Cierre Windows PowerShell.
▶ Tarea 2: use Windows PowerShell para instalar de forma remota nuevas funciones
1. En LON-DC1, en la barra de tareas, haga clic en el icono de Windows PowerShell .
2. Para verificar que la función XPS Viewer no se haya instalado en LON-SVR3, escriba lo siguiente
comando, y luego presione Enter:
Get-WindowsFeature -ComputerName LON-SVR3
3. Para implementar la función XPS Viewer en LON-SVR3, escriba el siguiente comando y luego presione Entrar:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
4. Para verificar que la función XPS Viewer ahora se ha implementado en LON-SVR3, escriba lo siguiente
Get-WindowsFeature -ComputerName LON-SVR3
Página 98
5. En la consola del Administrador del servidor, en el menú desplegable Herramientas , haga clic en Windows PowerShell ISE .
6. En la ventana ISE de Windows PowerShell, en el panel de secuencia de comandos Untitled1.ps1, escriba lo siguiente y presione
Ingrese después de cada línea:
Administrador de servidores de módulo de importación
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
7. Haga clic en el icono Guardar .
8. Seleccione la raíz del Disco local (C :) .
9. Cree una nueva carpeta denominada Scripts y luego guarde el script en esa carpeta como InstallWins.ps1 .
10. Para ejecutar el script, presione la tecla F5.
Resultados : después de completar este ejercicio, debería haber usado Windows PowerShell para realizar una
instalación de funciones en varios servidores.

1. En la computadora host, cambie a la consola del Administrador de Hyper-V .
4. Repita los pasos 2 y 3 para 20410D-LON-CORE y 20410D-LON-SVR3 .
Página 99
L2-9
Módulo 2: Introducción a los servicios de dominio de Active Directory
Laboratorio: Instalación de controladores de dominio

Ejercicio 1: instalación de un controlador de dominio
▶ Tarea 1: Agregar una función de Servicios de dominio de Active Directory (AD DS) a un servidor miembro
1. En LON-DC1, en el Administrador de servidores, en la columna de la izquierda, haga clic en Todos los servidores .
2. Haga clic con el botón derecho en Todos los servidores y luego haga clic en Agregar servidores .
3. En el cuadro de diálogo Agregar servidores , en el cuadro Nombre (CN) , escriba LON-SVR1 y luego haga clic en Buscar ahora .
4. En Nombre , haga clic en LON-SVR1 y luego haga clic en la flecha para agregar el servidor a la columna Seleccionado .
5. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar servidores .
6. En el Administrador del servidor, en el panel Servidores, haga clic con el botón derecho en LON-SVR1 y luego seleccione Agregar roles y
Características .
8. En la página Seleccionar tipo de instalación , asegúrese de que la instalación basada en funciones o funciones esté
seleccionado y luego haga clic en Siguiente .
9. En la página Seleccionar servidor de destino , asegúrese de que Seleccionar un servidor del grupo de servidores esté
seleccionado.
10. En Grupo de servidores , verifique que LON-SVR1.Adatum.com esté resaltado y luego haga clic en Siguiente .
11. En la página Seleccionar roles de servidor , seleccione la casilla de verificación Servicios de dominio de Active Directory , haga clic en Agregar
Funciones y luego haga clic en Siguiente .
12. En la página Seleccionar características , haga clic en Siguiente .
13. En la página Servicios de dominio de Active Directory , haga clic en Siguiente .

La instalación tardará varios minutos.
15. Cuando se complete la instalación, haga clic en Cerrar para cerrar el Asistente para agregar roles y características.
▶ Tarea 2: configurar un servidor como controlador de dominio
1. En LON-DC1, en el Administrador del servidor, en la barra de comandos, haga clic en el icono Notificaciones (parece un
bandera).
2. En Configuración posterior a la implementación , haga clic en Promocionar este servidor a un controlador de dominio .
Se abre el Asistente para configuración de servicios de dominio de Active Directory.
3. En el Asistente de configuración de servicios de dominio de Active Directory, en Configuración de implementación

página, asegúrese de que la opción Agregar un controlador de dominio a un dominio existente esté seleccionada y, a continuación, junto al
Línea de dominio, haga clic en Seleccionar .
4. En el cuadro de diálogo Seguridad de Windows , en el cuadro Nombre de usuario , escriba Administrador , en la contraseña
, escriba Pa $$ w0rd y luego haga clic en Aceptar .
5. En el cuadro de diálogo Seleccionar un dominio del bosque , haga clic en adatum.com y luego en Aceptar .
6. Junto a la línea Proporcionar las credenciales para realizar esta operación , haga clic en Cambiar .
Página 100
L2-10 Introducción a los servicios de dominio de Active Directory
7. En el cuadro de diálogo Seguridad de Windows , en el cuadro Nombre de usuario , escriba Adatum \ Administrador y en el
En el cuadro Contraseña , escriba Pa $$ w0rd y luego haga clic en Aceptar .
8. En la página Configuración de implementación , haga clic en Siguiente .
9. En la página Opciones de controlador de dominio , asegúrese de que el servidor del Sistema de nombres de dominio (DNS) esté
seleccionado y, a continuación, anule la selección de Catálogo global (GC) .
Tenga en cuenta que, por lo general, también desea habilitar el catálogo global, pero para el propósito de esta práctica de laboratorio, esto es
realizado en la siguiente tarea de laboratorio.
10. En la sección Escriba la contraseña del Modo de restauración de servicios de directorio (DSRM) , escriba Pa $$ w0rd en
ambos cuadros de texto y luego haga clic en Siguiente .
11. En la página Opciones de DNS , haga clic en Siguiente .
12. En la página Opciones adicionales , haga clic en Siguiente .
13. En la página Rutas , acepte las carpetas predeterminadas y luego haga clic en Siguiente .
14. En la página Opciones de revisión , haga clic en Ver script y examine el script de Windows PowerShell que
genera el asistente.
15. Cierre la ventana del Bloc de notas.
16. En la página Opciones de revisión , haga clic en Siguiente .
17. En la página Comprobación de requisitos previos , lea los mensajes de advertencia y luego haga clic en Instalar .
18. Cuando la tarea se complete correctamente, haga clic en Cerrar .
19. Espere a que se reinicie LON-SVR1.
▶ Tarea 3: configurar un servidor como servidor de catálogo global

2. En el Administrador del servidor, haga clic en Herramientas y luego en Sitios y servicios de Active Directory .
3. Cuando se abra Sitios y servicios de Active Directory, expanda Sitios , expanda Default-First-Site-Name ,
expanda Servidores y luego expanda LON-SVR1 .
4. En la columna de la izquierda, haga clic con el botón derecho en Configuración NTDS y luego haga clic en Propiedades .
5. En el cuadro de diálogo Propiedades de configuración de NTDS , seleccione Catálogo global (GC) y luego haga clic en Aceptar .
6. Cierre Sitios y servicios de Active Directory.
Resultados : después de completar este ejercicio, habrá explorado el Administrador del servidor y ascendido a un miembro
servidor para ser un controlador de dominio.
Página 101
Ejercicio 2: instalación de un controlador de dominio mediante IFM
▶ Tarea 1: use la herramienta ntdsutil para generar IFM

1. En LON-DC1, en la esquina inferior izquierda de la pantalla, haga clic en el botón Inicio .
2. En la pantalla de Inicio, escriba CMD , haga clic con el botón derecho en Símbolo del sistema y luego haga clic en Ejecutar como administrador .
3. En un símbolo del sistema, escriba lo siguiente y presione Entrar después de cada línea:
Ntdsutil
Activar ntds de instancia
Ifm
Crear sysvol completo c: \ ifm
4. Espere a que se complete el comando IFM y luego cierre el símbolo del sistema.
▶ Tarea 2: agregar la función de AD DS al servidor miembro

1. Cambie a LON-SVR2 y luego, si es necesario, inicie sesión como Adatum \ Administrador con la contraseña
Pa $$ w0rd .
2. En la esquina inferior izquierda de la pantalla, haga clic en el botón Inicio .
3. En la pantalla de Inicio, escriba CMD y luego presione Entrar.
4. Escriba el siguiente comando y luego presione Entrar:
Uso neto k: \\ LON-DC1 \ c $ \ IFM
5. Cambie al Administrador del servidor .
6. En la lista de la izquierda, haga clic en Servidor local .
7. En la barra de herramientas, haga clic en Administrar y luego en Agregar funciones y funciones .
8. En la página Antes de comenzar , haga clic en Siguiente .
9. En la página Seleccionar tipo de instalación , asegúrese de que la instalación basada en funciones o funciones esté
seleccionado y luego haga clic en Siguiente .
10. En la página Seleccionar servidor de destino , verifique que LON-SVR2.Adatum.com esté resaltado y luego
11. En la página Seleccionar roles de servidor , haga clic en Servicios de dominio de Active Directory .
12. En el Asistente para agregar roles y características, haga clic en Agregar características y luego en Siguiente .
13. En la página Seleccionar funciones , haga clic en Siguiente .
15. En la página Confirmar selecciones de instalación , haga clic en Reiniciar el servidor de destino automáticamente si
requerido . Haga clic en Sí en el cuadro de mensaje.
16. Haga clic en Instalar .
17. Una vez completada la instalación, haga clic en Cerrar .
Si ve un mensaje que indica que no se puede crear una delegación para el servidor DNS, haga clic en Aceptar .
Página 102
L2-12 Introducción a los servicios de dominio de Active Directory
▶ Tarea 3: Use IFM para configurar un servidor miembro como un nuevo controlador de dominio
1. En LON-SVR2, en el símbolo del sistema, escriba el siguiente comando y luego presione Entrar:
Robocopy k: c: \ ifm / copyall / s
3. En el Administrador del servidor, en la barra de comandos, haga clic en el icono Notificaciones .
4. En Configuración posterior a la implementación , haga clic en Promocionar este servidor a un controlador de dominio .
Se abrirá el Asistente de configuración de servicios de dominio de Active Directory.
5. En la página Configuración de implementación , asegúrese de que Agregar un controlador de dominio a un

dominio está seleccionado y luego confirme que adatum.com es el dominio de destino. Haga clic en Siguiente .
6. En la página Opciones del controlador de dominio , asegúrese de que ambos servidores del Sistema de nombres de dominio (DNS)
y el Catálogo Global (GC) están seleccionados. Para la contraseña de DSRM , escriba Pa $$ w0rd en ambos cuadros y
luego haga clic en Siguiente .
7. En la página Opciones de DNS , haga clic en Siguiente .
8. En la página Opciones adicionales , seleccione Instalar desde medio , en el cuadro Instalar desde ruta de medio ,
escriba C: \ ifm y luego haga clic en verificar .
9. Cuando se haya verificado la ruta, haga clic en Siguiente .
10. En la página Rutas , haga clic en Siguiente .
11. En la página Opciones de revisión , haga clic en Siguiente y luego observe los Servicios de dominio de Active Directory.
Asistente de configuración, ya que realiza una verificación de los requisitos previos.
12. Haga clic en Instalar y luego espere mientras se configura AD DS.
Mientras se ejecuta esta tarea, lea los mensajes de información que se muestran en la pantalla.
13. Espere a que se reinicie el servidor.
Resultados : después de completar este ejercicio, habrá instalado un controlador de dominio adicional para el
sucursal mediante IFM.

Cuando haya completado el laboratorio, vuelva las máquinas virtuales a su estado inicial. Para hacer esto, complete
los siguientes pasos:
1. En la computadora host, inicie Hyper-V ® Manager .
4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 , 20410D-LON-RTR y 20410D-LON-SVR2 .
Página 103
L3-13
Módulo 3: Gestión de los servicios de dominio de Active Directory

Objetos
Laboratorio: Gestión de dominios de Active Directory

Objetos de servicios
Ejercicio 1: Delegación de la administración para una sucursal
▶ Tarea 1: administración delegada para administradores de sucursales
2. En el Administrador del servidor, haga clic en Herramientas y luego en Usuarios y equipos de Active Directory .
3. En Usuarios y equipos de Active Directory, haga clic en Adatum.com .
4. Haga clic con el botón derecho en Adatum.com , seleccione Nuevo y luego haga clic en Unidad organizativa .
5. En el cuadro de diálogo Nuevo objeto - Unidad organizativa , en Nombre , escriba Sucursal 1 y luego
6. Haga clic con el botón derecho en Sucursal 1 , seleccione Nuevo y, a continuación, haga clic en Grupo .
7. En el cuadro de diálogo Nuevo objeto - Grupo , en Nombre del grupo , escriba Servicio de asistencia de la sucursal 1 y luego
8. Repita los pasos 6 y 7 utilizando Administradores de la sucursal 1 como nuevo nombre de grupo.
9. Repita los pasos 6 y 7 utilizando Usuarios de la sucursal 1 como nuevo nombre de grupo.
10. En el panel de navegación, haga clic en TI .
11. En el panel de detalles, haga clic con el botón derecho en Holly Dickson y luego haga clic en Mover .
12. En el cuadro de diálogo Mover , haga clic en Sucursal 1 y luego en Aceptar .
13. Repita los pasos del 10 al 12 para las siguientes unidades organizativas y usuarios:
o Desarrollo y el usuario Bart Duncan
o Gerentes y el usuario Ed Meadows
o Marketing y la usuaria Connie Vrettos
o Investigación y la usuaria Barbara Zighetti
o Ventas y la usuaria Arlene Huff
14. En el panel de navegación, haga clic en Equipos .
15. En el panel de detalles, haga clic con el botón derecho en LON-CL1 y luego haga clic en Mover .
16. En el cuadro de diálogo Mover , haga clic en Sucursal 1 y luego en Aceptar .
18. Apunte con el mouse a la esquina inferior derecha de la pantalla y luego haga clic en Configuración .
19. Haga clic en Encendido y luego en Reiniciar .
20. Cuando la computadora se haya reiniciado, inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
22. Si es necesario, cambie a Usuarios y equipos de Active Directory .
Página 104
L3-14 Administración de objetos de servicios de dominio de Active Directory
23. En el panel de navegación, haga clic con el botón derecho en Sucursal 1 , haga clic en Delegar control y luego en Siguiente .
24. En la página Usuarios o Grupos , haga clic en Agregar .
25. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , en Ingrese los nombres de objeto para seleccionar
(ejemplos) , escriba Branch 1 Administrators y luego haga clic en OK .
26. En la página Usuarios o Grupos , haga clic en Siguiente .
27. En la página Tareas para delegar , en la lista Delegar las siguientes tareas comunes , seleccione el
siguientes casillas de verificación y luego haga clic en Siguiente :
o Crear, eliminar y administrar cuentas de usuario
o Restablecer las contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión
o Leer toda la información del usuario
o Crear, eliminar y administrar grupos
o Modificar la membresía de un grupo
o Administrar enlaces de políticas de grupo
28. En la página Finalización del Asistente para delegación de control , haga clic en Finalizar .
29. En el panel de navegación, haga clic con el botón derecho en Sucursal 1 , haga clic en Delegar control y luego en Siguiente .
(ejemplos) , escriba Branch 1 Administrators y luego haga clic en OK .
33. En la página Tareas para delegar , haga clic en Crear una tarea personalizada para delegar y luego haga clic en Siguiente .
34. En la página Tipo de objeto de Active Directory , seleccione Solo los siguientes objetos en la carpeta , seleccione
las siguientes casillas de verificación y luego haga clic en Siguiente :
o Objetos informáticos
o Crear objetos seleccionados en esta carpeta
o Eliminar objetos seleccionados en esta carpeta
35. En la página Permisos , seleccione General y Control total y luego haga clic en Siguiente .
▶ Tarea 2: Delegar un administrador de usuarios para la mesa de ayuda de la sucursal

1. En LON-DC1, en el panel de navegación, haga clic con el botón derecho en Sucursal 1 , haga clic en Delegar control y luego
(ejemplos) , escriba Servicio de asistencia de Branch1 y luego haga clic en Aceptar .
Página 105
5. En la página Tareas para delegar , en la lista Delegar las siguientes tareas comunes , seleccione el
siguientes casillas de verificación y luego haga clic en Siguiente :
o Restablecer las contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión
o Leer toda la información del usuario
o Modificar la membresía de un grupo
▶ Tarea 3: agregar un miembro a los administradores de sucursal

1. En LON-DC1, en el panel de navegación, haga clic en Sucursal 1 .
2. En el panel de detalles, haga clic con el botón derecho en Holly Dickson y luego haga clic en Agregar a un grupo .
3. En el cuadro de diálogo Seleccionar grupos , en Ingrese los nombres de los objetos para seleccionar (ejemplos) , escriba Sucursal 1
Administradores y luego haga clic en Aceptar .
4. En el cuadro de diálogo Servicios de dominio de Active Directory , haga clic en Aceptar .
5. En el panel de detalles, haga clic con el botón derecho en Administradores de la sucursal 1 y, a continuación, haga clic en Agregar a un grupo .
6. En el cuadro de diálogo Seleccionar grupos , en Ingrese los nombres de los objetos para seleccionar (ejemplos) , escriba Servidor
Operadores y luego haga clic en Aceptar .
8. En su computadora host, en la ventana 20410D-LON-DC1, en el menú Acción , haga clic en

Ctrl + Alt + Suprimir .
9. En LON-DC1, haga clic en Cerrar sesión .
10. Inicie sesión en LON-DC1 como Adatum \ Holly con la contraseña Pa $$ w0rd .
Puede iniciar sesión localmente en un controlador de dominio porque Holly pertenece indirectamente al servidor
Grupo local de dominio de operadores.
11. En la barra de tareas, haga clic en el icono Administrador del servidor .
12. En el cuadro de diálogo Control de cuentas de usuario , en Nombre de usuario , escriba Holly . En Contraseña , escriba Pa $$ w0rd ,
y luego haga clic en Sí .
14. En Usuarios y equipos de Active Directory, expanda Adatum.com .
15. En el panel de navegación, haga clic en Ventas .
16. En el panel de detalles, haga clic con el botón derecho en Aaren Ekelund y luego haga clic en Eliminar .
17. Haga clic en Sí para confirmar.
18. Haga clic en Aceptar para reconocer que no tiene permisos para realizar esta tarea.
19. En el panel de navegación, haga clic en Sucursal 1 .
20. En el panel de detalles, haga clic con el botón derecho en Ed Meadows y luego haga clic en Eliminar .
Tiene éxito porque tiene los permisos necesarios.
Página 106
▶ Tarea 4: Agregar un miembro al grupo de la mesa de ayuda de la sucursal

1. En LON-DC1, en el panel de detalles, haga clic con el botón derecho en Bart Duncan y luego haga clic en Agregar a un grupo .
Help Desk y luego haga clic en OK .
4. Cierre Usuarios y equipos de Active Directory.
5. Cierre el Administrador del servidor.
6. En el escritorio, haga clic en Administrador del servidor . En el cuadro de diálogo Control de cuentas de usuario , en Nombre de usuario , escriba
Adatum \ Administrador .
7. En Contraseña , escriba Pa $$ w0rd y luego haga clic en Sí .
Para modificar la lista de miembros de Operadores de servidor, debe tener permisos más allá de los disponibles
al grupo de administradores de la sucursal 1.
8. En el Administrador del servidor, haga clic en Herramientas .
9. En la lista Herramientas , haga clic en Usuarios y equipos de Active Directory .
12. En el panel de detalles, haga clic con el botón derecho en el Servicio de asistencia de Branch 1 y luego haga clic en Agregar a un grupo .
13. En el cuadro de diálogo Seleccionar grupos , en Ingrese los nombres de los objetos para seleccionar (ejemplos) , escriba Servidor
Operadores y luego haga clic en Aceptar .

17. Inicie sesión como Adatum \ Bart con la contraseña Pa $$ w0rd .
Puede iniciar sesión localmente en un controlador de dominio porque Bart pertenece indirectamente a los operadores de servidor
grupo local de dominio.
18. En el escritorio, haga clic en Administrador del servidor .
19. En el cuadro de diálogo Control de cuentas de usuario , en Nombre de usuario , escriba Bart . En Contraseña , escriba Pa $$ w0rd ,
y luego haga clic en Sí .
20. En el Administrador del servidor, haga clic en Herramientas .
21. Haga clic en Usuarios y equipos de Active Directory .
24. En el panel de detalles, haga clic con el botón derecho en Connie Vrettos y luego haga clic en Eliminar .
No tiene éxito porque Bart carece de los permisos necesarios.
26. Haga clic en Aceptar .
27. Haga clic con el botón derecho en Connie Vrettos y luego en Restablecer contraseña .
Página 107
28. En el cuadro de diálogo Restablecer contraseña , en Nueva contraseña y Confirmar contraseña , escriba Pa $$ w0rd y
luego haga clic en Aceptar .
29. Haga clic en Aceptar para confirmar el restablecimiento correcto de la contraseña.

Resultados : después de completar este ejercicio, habrá creado con éxito una OU y delegado
administración de la misma al grupo apropiado.
Ejercicio 2: creación y configuración de cuentas de usuario en AD DS
▶ Tarea 1: Cree una plantilla de usuario para la sucursal

1. En LON-DC1, en la barra de tareas, haga clic en el icono del Explorador de archivos .
2. Haga doble clic en Disco local (C :) .
3. En el menú, haga clic en Inicio y luego en Nueva carpeta .
4. Escriba branch1-userdata y luego presione Entrar.
5. Haga clic con el botón derecho en branch1-userdata y luego haga clic en Propiedades .
6. En el cuadro de diálogo Propiedades de branch1-userdata , en la pestaña Compartir , haga clic en Uso compartido avanzado .
7. Seleccione Compartir esta carpeta y luego haga clic en Permisos .
8. En el cuadro de diálogo Permisos para branch1-userdata , para el permiso Control total, seleccione el
Permitir casilla de verificación y luego haga clic en Aceptar .
9. En el cuadro de diálogo Uso compartido avanzado , haga clic en Aceptar y, a continuación, en el cuadro de diálogo Propiedades de branch1-userdata
cuadro, haga clic en Cerrar .
10. En el Administrador del servidor, haga clic en Herramientas y luego en Usuarios y equipos de Active Directory y luego
expanda Adatum.com .
11. Haga clic con el botón derecho en Sucursal1 , seleccione Nuevo y, a continuación, haga clic en Usuario .
12. En el cuadro de diálogo Nuevo objeto - Usuario , en Nombre completo , escriba _Branch_template .
13. En Nombre de inicio de sesión de usuario , escriba _Branch_template y, a continuación, haga clic en Siguiente .
14. En Contraseña y Confirmar contraseña , escriba Pa $$ w0rd .
15. Seleccione la casilla de verificación La cuenta está desactivada y luego haga clic en Siguiente .
16. Haga clic en Finalizar .
▶ Tarea 2: Configure los ajustes de la plantilla

1. En LON-DC1, desde dentro de la unidad organizativa de la sucursal 1 , haga clic con el botón derecho en _Branch_template y luego haga clic en
Propiedades .
2. En el cuadro de diálogo Propiedades _Branch_template s, en la pestaña Dirección , en Ciudad , escriba Slough .
3. Haga clic en la pestaña Miembro de y luego en Agregar .
Página 108
Usuarios y luego haga clic en Aceptar .
5. Haga clic en la pestaña Perfil .
6. En la carpeta Inicio, haga clic en Conectar y, a continuación, en el cuadro Para , escriba

\\ lon-dc1 \ branch1-userdata \% username% .
7. Haga clic en Aplicar y luego en Aceptar .
▶ Tarea 3: Cree un nuevo usuario para la sucursal, según la plantilla

1. En LON-DC1, haga clic con el botón derecho en _Branch_template y luego haga clic en Copiar .
2. En el cuadro de diálogo Copiar objeto - Usuario , en Nombre , escriba Ed .
3. En Apellido , escriba Meadows .
4. En Nombre de inicio de sesión de usuario , escriba Ed y luego haga clic en Siguiente .
5. En Contraseña y Confirmar contraseña , escriba Pa $$ w0rd .
6. Desmarque la casilla de verificación El usuario debe cambiar la contraseña en el próximo inicio de sesión .
7. Desmarque la casilla de verificación La cuenta está deshabilitada y luego haga clic en Siguiente .
8. Haga clic en Finalizar .
9. Haga clic con el botón derecho en Ed Meadows y luego haga clic en Propiedades .
10. En el cuadro de diálogo Propiedades de Ed Meadows , en la pestaña Dirección , observe que la Ciudad está configurada
ya.
11. Haga clic en la pestaña Perfil .
Observe que la ubicación de la carpeta de inicio ya está configurada.
12. Haga clic en la pestaña Miembro de .
Observe que Ed pertenece al grupo de usuarios de la sucursal 1. Haga clic en Aceptar .

▶ Tarea 4: Inicie sesión como usuario para probar la configuración de la cuenta

2. En su computadora host, en la ventana 20410D-LON-CL1, en el menú, haga clic en Ctrl + Alt + Eliminar .
3. En LON-CL1, haga clic en Cambiar de usuario .
4. Inicie sesión en LON-CL1 como Adatum \ Ed con la contraseña Pa $$ w0rd .
5. En la pantalla de Inicio, escriba Explorador de archivos y luego presione Entrar.
6. Verifique que la unidad Z esté presente.
7. Haga doble clic en Ed (\\ lon-dc1 \ branch1-userdata) (Z :) .
8. Si no recibe ningún error, ha tenido éxito.
9. En su computadora host, en la ventana 20410D-LON-CL1, en el menú Acción , haga clic en

Página 109
10. En LON-CL1, haga clic en Cerrar sesión .
Resultados : después de completar este ejercicio, habrá creado y probado con éxito una cuenta de usuario
creado a partir de una plantilla.
Ejercicio 3: administración de objetos de computadora en AD DS
▶ Tarea 1: Restablecer una cuenta de computadora
1. En LON-DC1, inicie sesión como Adatum \ Holly con la contraseña Pa $$ w0rd .
3. En el cuadro de diálogo Control de cuentas de usuario , en Nombre de usuario , escriba Holly .
4. En Contraseña , escriba Pa $$ w0rd y luego haga clic en Sí .
8. En el panel de detalles, haga clic con el botón derecho en LON-CL1 y luego haga clic en Restablecer cuenta .
9. En el cuadro de diálogo Servicios de dominio de Active Directory , haga clic en Sí y luego en Aceptar .
▶ Tarea 2: observe el comportamiento cuando un cliente inicia sesión

2. Inicie sesión como Adatum \ Ed con la contraseña Pa $$ w0rd .
Aparece un mensaje que indica que la relación de confianza entre esta estación de trabajo y la
dominio falló .
3. Haga clic en Aceptar .
▶ Tarea 3: Vuelva a unirse al dominio para volver a conectar la cuenta de la computadora

1. En LON-CL1, haga clic en la flecha hacia atrás y luego cambie a Adatum \ Administrator con la contraseña
Pa $$ w0rd .
2. En la pantalla de Inicio, haga clic con el botón derecho en la pantalla, haga clic en Todas las aplicaciones y, en la lista Aplicaciones , haga clic en Panel de control .
3. En el Panel de control, en la lista Ver por , haga clic en Iconos grandes y luego en Sistema .
4. En la lista de navegación, haga clic en Configuración avanzada del sistema .
5. En Propiedades del sistema, haga clic en la pestaña Nombre del equipo y luego en ID de red .
6. En la opción Seleccione la opción que describe su página de red , haga clic en Siguiente .
7. En la pantalla ¿Está la red de su empresa en un dominio? página, haga clic en Siguiente .
8. En la página Necesitará la siguiente información , haga clic en Siguiente .
9. En la página Escriba su nombre de usuario, contraseña y nombre de dominio para su cuenta de dominio , en
Contraseña , escriba Pa $$ w0rd . Deje los otros cuadros completados y luego haga clic en Siguiente .
10. En el cuadro de diálogo Información de dominio y cuenta de usuario , haga clic en Sí .
11. En el campo ¿Desea habilitar una cuenta de usuario de dominio en este equipo? página, haga clic en No agregar
una cuenta de usuario de dominio y luego haga clic en Siguiente .
Página 110
12. Haga clic en Finalizar y luego en Aceptar .
14. Inicie sesión como Adatum \ Ed con la contraseña Pa $$ w0rd .
Tiene éxito porque la computadora se ha reincorporado correctamente.
Resultados : Después de completar este ejercicio, habrá restablecido con éxito una relación de confianza.

Cuando haya completado el laboratorio, vuelva las máquinas virtuales a su estado inicial. Para hacer esto, complete
los siguientes pasos:
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-CL1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-DC1 .
Página 111
L4-21
Módulo 4: Automatización de los servicios de dominio de Active Directory

Administración
Laboratorio: Automatización de la administración de AD DS mediante

Usando Windows PowerShell
Ejercicio 1: creación de grupos y cuentas de usuario mediante Windows
Potencia Shell
▶ Tarea 1: Cree una cuenta de usuario con Windows PowerShell

2. En el indicador de Windows PowerShell, escriba el siguiente comando y luego presione Entrar:
New-ADOrganizationalUnit LondonBranch
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname

Carlson -Path "ou = LondonBranch, dc = adatum, dc = com"
Set-ADAccountPassword Ty
5. Cuando se le solicite la contraseña actual, presione Entrar.
6. Cuando se le solicite la contraseña deseada, escriba Pa $$ w0rd y luego presione Intro.
7. Cuando se le solicite que repita la contraseña, escriba Pa $$ w0rd y luego presione Intro.
8. En el indicador de Windows PowerShell, escriba Enable-ADAccount Ty y luego presione Entrar.
9. En LON-CL1, inicie sesión como Ty con la contraseña Pa $$ w0rd .
10. Verifique que el inicio de sesión sea exitoso y luego cierre la sesión de LON-CL1.
▶ Tarea 2: Cree un grupo con Windows PowerShell

1. Para crear un nuevo grupo de seguridad global para usuarios en la sucursal de Londres, en LON-DC1, en el
Símbolo del sistema de Windows PowerShell, escriba el siguiente comando y luego presione Entrar:
New-ADGroup LondonBranchUsers -Path

"ou = LondonBranch, dc = adatum, dc = com" -GroupScope Global -GroupCategory Security
2. Para agregar Ty como miembro de LondonBranchUsers, escriba el siguiente comando y luego presione Entrar:
Add-ADGroupMember LondonBranchUsers -Members Ty
Página 112
L4-22 Automatización de la administración de servicios de dominio de Active Directory
3. Para confirmar que Ty ahora es miembro de LondonBranchUsers, escriba el siguiente comando y luego
presione Enter:
Get-ADGroupMember LondonBranchUsers
Resultados : después de completar este ejercicio, habrá creado cuentas de usuario y grupos utilizando Windows
Potencia Shell.
Ejercicio 2: uso de Windows PowerShell para crear cuentas de usuario de forma masiva
▶ Tarea 1: preparar el archivo .csv

1. En LON-DC1, en la barra de tareas, haga clic en el icono del Explorador de archivos .
2. En el Explorador de archivos, expanda la unidad E : , expanda Labfiles y luego haga clic en Mod04 .
3. Haga clic con el botón derecho en LabUsers.ps1 y luego haga clic en Editar .
4. En Windows PowerShell Integrated Scripting Environment (ISE), lea los comentarios en la parte superior del
script y luego identifique los requisitos para el encabezado en el archivo .csv.
5. Cierre Windows PowerShell ISE.
6. En el Explorador de archivos, haga doble clic en LabUsers.csv .
7. En la sección ¿Cómo desea abrir este tipo de archivo (.csv)? mensaje, haga clic en Bloc de notas .
8. En el Bloc de notas, escriba la siguiente línea en la parte superior del archivo:

Nombre, Apellido, Departamento, Contraseña predeterminada
9. Haga clic en Archivo y luego en Guardar .
10. Cierre el Bloc de notas .
▶ Tarea 2: preparar el guión

1. En LON-DC1, en el Explorador de archivos, haga clic con el botón derecho en LabUsers.ps1 y luego haga clic en Editar .
2. En Windows PowerShell ISE, en Variables , reemplace C: \ ruta \ archivo.csv por

E: \ Labfiles \ Mod04 \ LabUsers.csv .
3. En Variables , reemplace "ou = orgunit, dc = domain, dc = com" por

"ou = LondonBranch, dc = adatum, dc = com" .
4. Haga clic en Archivo y luego en Guardar .
5. Desplácese hacia abajo y luego revise el contenido del guión.
6. Cierre Windows PowerShell ISE.
▶ Tarea 3: Ejecute el script
2. En el indicador de Windows PowerShell, escriba cd E: \ Labfiles \ Mod04 y luego presione Intro.
3. Escriba . \ LabUsers.ps1 y luego presione Entrar.
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com"
Página 113
6. En LON-CL1, inicie sesión como Luka con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, habrá usado Windows PowerShell para crear cuentas de usuario en
abultar.
Ejercicio 3: uso de Windows PowerShell para modificar cuentas de usuario de forma masiva
▶ Tarea 1: Obligar a todas las cuentas de usuario de LondonBranch a cambiar sus contraseñas en la próxima
registrarse
2. Para crear una consulta para cuentas de usuario en LondonBranch OU, en el indicador de Windows PowerShell,
escriba el siguiente comando y luego presione Entrar:
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com" | Todo el formato

Nombre distinguido
3. Verifique que solo aparezcan los usuarios de LondonBranch OU.
4. Para modificar el comando anterior para obligar a todos los usuarios a cambiar su contraseña la próxima vez que firmen
en, en el símbolo del sistema de Windows PowerShell, escriba el siguiente comando y luego presione Entrar:
Get-ADUser -Filter * -SearchBase "ou = LondonBranch, dc = adatum, dc = com" |

Set-ADUser -ChangePasswordAtLogon $ true
▶ Tarea 2: configurar la dirección para las cuentas de usuario en LondonBranch

1. En LON-DC1, en el Administrador del servidor, haga clic en Herramientas y luego en Active Directory
Centro .
2. En el Centro de administración de Active Directory, en el panel de navegación, expanda Adatum (local) y

luego haga doble clic en LondonBranch .
3. Haga clic en el encabezado de la columna Tipo para ordenar según el tipo de objeto.
4. Seleccione todas las cuentas de usuario, haga clic con el botón derecho en las cuentas de usuario y luego haga clic en Propiedades .
5. En el panel Usuarios múltiples, en Organización , seleccione la casilla de verificación Dirección .
6. En el cuadro Calle , escriba Sucursal .
7. En el cuadro Ciudad , escriba Londres .
8. En el cuadro País / Región , haga clic en Reino Unido y luego en Aceptar .
9. Cierre el Centro de administración de Active Directory.
Resultados : después de completar este ejercicio, habrá modificado las cuentas de usuario de forma masiva.
Página 114
L4-24 Automatización de la administración de servicios de dominio de Active Directory

Cuando termine la práctica de laboratorio, revierta todas las máquinas virtuales a su estado inicial realizando los siguientes pasos:
4. Repita los pasos 2 y 3 para 20410D-LON-DC1 .
Página 115
L5-25
Módulo 5: Implementación de IPv4
Laboratorio: Implementación de IPv4

Ejercicio 1: identificación de subredes adecuadas
▶ Tarea 1: Calcule los bits necesarios para admitir los hosts en cada subred.
1. ¿Cuántos bits se requieren para admitir 100 hosts en la subred del cliente?
Respuesta : Se requieren siete bits para admitir 100 hosts en la subred del cliente (2 7 -2 = 126, 2 6 -2 = 62).
2. ¿Cuántos bits se requieren para admitir 10 hosts en la subred del servidor?
Respuesta : Se requieren cuatro bits para admitir 10 hosts en la subred del servidor (2 4 -2 = 14, 2 3 -2 = 6).
3. ¿Cuántos bits se requieren para admitir 40 hosts en la subred de expansión futura?
Respuesta : Se requieren seis bits para admitir 40 hosts en la subred de expansión futura (2 6 -2 = 62, 2 5 -2 = 30).
4. Si todas las subredes son del mismo tamaño, ¿pueden adaptarse?
Respuesta : No. Si todas las subredes tienen el mismo tamaño, todas las subredes deben usar 7 bits para admitir 126 hosts.
Sólo se ha asignado una única dirección de clase C de tamaño con 254 hosts. Tres subredes de 126 hosts
no encajaría.
5. ¿Qué función permite dividir una sola red en subredes de distintos tamaños?
Respuesta : El enmascaramiento de subred de longitud variable le permite definir diferentes máscaras de subred cuando
subredes. Por lo tanto, el enmascaramiento de subred de longitud variable le permite tener subredes de diferentes tamaños.
6. ¿Cuántos bits de host utilizará para cada subred? Utilice la asignación más simple posible, que es una
subred grande y dos subredes más pequeñas del mismo tamaño.
Respuesta : La subred del cliente tiene 7 bits de host. Esta asignación puede acomodar hasta 126 hosts y usos
la mitad del grupo de direcciones asignadas.
El servidor y las subredes de expansión futuras son de 6 bits de host. Esto puede acomodar hasta 62 hosts en
cada subred y utiliza la otra mitad del grupo de direcciones.
▶ Tarea 2: Calcular las máscaras de subred y los ID de red

1. Dado el número de bits de host asignados, ¿cuál es la máscara de subred que usará para el cliente?
subred? Calcule la máscara de subred en binario y decimal.
o La subred del cliente utiliza 7 bits para la ID de host. Por lo tanto, puede utilizar 25 bits para la subred.
máscara.
Binario Decimal
11111111.11111111.11111111.10000000 255.255.255.128
Página 116
L5-26 Implementación de IPv4
2. Dado el número de bits de host asignados, ¿cuál es la máscara de subred que puede usar para el servidor?
subred? Calcule la máscara de subred en binario y decimal.
o La subred del servidor utiliza 6 bits para el ID de host. Por lo tanto, puede utilizar 26 bits para la subred.
máscara.
Binario Decimal
11111111.11111111.11111111.11000000 255.255.255.192
3. Dada la cantidad de bits de host asignados, ¿cuál es la máscara de subred que puede usar para el futuro?
subred de expansión? Calcule la máscara de subred en binario y decimal.
o La subred de expansión futura está utilizando 6 bits para el ID de host. Por tanto, puede utilizar 26 bits para
máscara de subred.
Binario Decimal
11111111.11111111.11111111.11000000 255.255.255.192
4. Para la subred del cliente, defina la ID de red, el primer host disponible, el último host disponible y la transmisión.
habla a. Suponga que la subred del cliente es la primera subred asignada del grupo de direcciones disponibles.
Calcule las versiones binaria y decimal de cada dirección.
En la siguiente tabla, los bits en negrita son parte del ID de red.
Descripción Binario Decimal
Identificación de red 11000000.10101000.01100010.0 0000000 192.168.98.0
Primer anfitrión 11000000.10101000.01100010.0 0000001 192.168.98.1
Último anfitrión 11000000.10101000.01100010.0 1111110 192.168.98.126
Transmitir 11000000.10101000.01100010.0 1111111 192.168.98.127
5. Para la subred del servidor, defina la ID de red, el primer host disponible, el último host disponible y la transmisión.
habla a. Suponga que la subred del servidor es la segunda subred asignada desde la dirección disponible
piscina. Calcule las versiones binaria y decimal de cada dirección.
Transmitir 11000000.10101000.1100010.10 111111 192.168.98.191
Página 117
6. Para la subred de asignación futura, defina la ID de red, el primer host disponible, el último host disponible y
dirección de Difusión. Suponga que la subred de asignación futura es la tercera subred asignada desde el
grupo de direcciones disponibles. Calcule las versiones binaria y decimal de cada dirección.
Transmitir 11000000.10101000.1100010.11 111111 192.168.98.255
Resultados : Después de completar este ejercicio, debería haber identificado una configuración de subred que
cumplir los requisitos del escenario de laboratorio.
Ejercicio 2: solución de problemas de IPv4
▶ Tarea 1: Prepárese para solucionar problemas

1. En LON-SVR2, en la barra de tareas, haga clic en el icono de Windows PowerShell .
2. En el indicador de Windows PowerShell ® , escriba el siguiente cmdlet y luego presione Entrar:
Test-NetConnection LON-DC1
3. Verifique que reciba una respuesta que contenga PingSucceded: True de LON-DC1 .
4. Abra una ventana del Explorador de archivos y luego busque \\ LON-DC1 \ E $ \ Labfiles \ Mod05 .
5. Haga clic con el botón derecho en Break2.ps1 y luego haga clic en Ejecutar con PowerShell .
Esta secuencia de comandos crea el problema que solucionará y reparará en la siguiente tarea.
6. Cierre el Explorador de archivos.
▶ Tarea 2: solucionar problemas de conectividad IPv4 entre LON-SVR2 y LON-DC1

1. En LON-SVR2, en el indicador de Windows PowerShell, escriba lo siguiente y luego presione Entrar:
2. Verifique que reciba una respuesta que contenga PingSucceded: False de LON-DC1 .
3. En el indicador de Windows PowerShell, escriba lo siguiente y luego presione Entrar:
Test-NetConnection –TraceRoute LON-DC1
Observe que el host no puede encontrar la puerta de enlace predeterminada y que el siguiente mensaje de advertencia
Aparece: " Error en la resolución del nombre de lon-dc1 - Estado: HostNotFound ".
Página 118
Get-NetRoute
Observe que la ruta predeterminada y la información de la puerta de enlace predeterminada faltan en la tabla de enrutamiento.
No debería poder ubicar DestinationPrefix 0.0.0.0/0 y NextHop 10.10.0.1 .
Test-NetConnection 10.10.0.1
6. Observe que la puerta de enlace predeterminada responde verificando que recibe una respuesta que contiene
PingSucceded: Verdadero desde 10.10.0.1 .
New-NetRoute –InterfaceAlias “Ethernet” –DestinationPrefix 0.0.0.0/0 –NextHop

10.10.0.1
El cmdlet New-NetRoute creará la ruta predeterminada y la información de la puerta de enlace predeterminada que
Estaba faltando.
Get-NetRoute
9. Observe que la ruta predeterminada y la información de la puerta de enlace predeterminada están presentes en la tabla de enrutamiento por
localizar DestinationPrefix 0.0.0.0/0 y NextHop 10.10.0.1 .
11. Verifique que reciba una respuesta que contenga PingSucceded: True de LON-DC1.
Resultados : Después de completar esta práctica de laboratorio, debería haber resuelto un problema de conectividad IPv4.

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial completando lo siguiente
pasos:
2. En Microsoft ® Hyper-V ® Manager, en el Virtual Machines lista, haga clic con el botón 20410D-LON-DC1 , y
luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Página 119
L6-29
Módulo 6: Implementación de la configuración dinámica de host

Protocolo
Laboratorio: Implementación de DHCP

Ejercicio 1: implementación de DHCP
▶ Tarea 1: Instale la función de servidor del Protocolo de configuración dinámica de host (DHCP)
2. En el Administrador del servidor, haga clic en Agregar roles y características .
4. En la página Seleccionar tipo de instalación , haga clic en Siguiente .
5. En la página Seleccionar servidor de destino , haga clic en Siguiente .
6. En la página Seleccionar roles de servidor , seleccione la casilla de verificación Servidor DHCP .
7. En el Asistente para agregar roles y características, haga clic en Agregar características y luego en Siguiente .
9. En la página del servidor DHCP , haga clic en Siguiente .
10. En la página Confirmar selecciones de instalación , haga clic en Instalar .
11. En la página de progreso de la instalación , espere hasta que el mensaje "La instalación se
LON-SVR1.Adatum.com ”aparece el mensaje y luego haga clic en Cerrar .
▶ Tarea 2: Configurar el alcance y las opciones de DHCP

1. En el Panel del Administrador del servidor, haga clic en Herramientas y luego en DHCP .
2. En la consola DHCP, expanda y luego haga clic con el botón derecho en lon-svr1.adatum.com y luego haga clic en Autorizar .
3. En la consola DHCP, haga clic con el botón derecho en lon-svr1.adatum.com y luego haga clic en Actualizar .
Observe que los iconos junto a IPv4 IPv6 cambian de color de rojo a verde, lo que significa que el DHCP
servidor ha sido autorizado en Active Directory ® Domain Services (AD DS).
4. En la consola DHCP, en el panel de navegación, haga clic en lon-svr1.adatum.com , expanda y haga clic con el botón derecho.
IPv4 y luego haga clic en Nuevo alcance .
5. En el Asistente para ámbito nuevo, haga clic en Siguiente .
6. En la página Nombre del ámbito , en el cuadro Nombre , escriba Sucursal y luego haga clic en Siguiente .
7. En la página Intervalo de direcciones IP , complete la página con la siguiente información y luego haga clic en
Siguiente :
o Dirección IP de inicio: 172.16.0.100
o Dirección IP final: 172.16.0.200
o Longitud: 16
8. En la página Agregar exclusiones y demoras , complete la página con la siguiente información:
o Dirección IP de inicio: 172.16.0.190
o Dirección IP final: 172.16.0.200
Página 120
L6-30 Implementación del protocolo de configuración dinámica de host
9. Haga clic en Agregar y luego en Siguiente .
10. En la página Duración de la concesión , haga clic en Siguiente .
11. En la página Configurar opciones de DHCP , haga clic en Siguiente .
12. En la página Enrutador (puerta de enlace predeterminada) , en el cuadro de dirección IP , escriba 172.16.0.1 , haga clic en Agregar y luego
13. En la página Nombre de dominio y servidores DNS , haga clic en Siguiente .
14. En la página Servidores WINS , haga clic en Siguiente .
15. En la página Activar alcance , haga clic en Siguiente .
16. En la página Finalización del asistente de ámbito nuevo , haga clic en Finalizar .
▶ Tarea 3: Configure el cliente para usar DHCP y luego pruebe la configuración

1. Inicie sesión en 20410D-LON-CL1 como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En la página Inicio , escriba Panel de control y luego presione Entrar.
3. En el Panel de control, en Redes e Internet , haga clic en Ver estado y tareas de la red .
4. En la ventana Centro de redes y recursos compartidos, haga clic en Cambiar la configuración del adaptador .
5. En la ventana Conexiones de red, haga clic con el botón derecho en Ethernet y luego haga clic en Propiedades .
6. En la ventana Propiedades de Ethernet, haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego haga clic en
Propiedades .
7. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP / IPv4) , seleccione Obtener una dirección IP.
abordar de forma automática botón de radio, seleccione la dirección del servidor DNS automáticamente Obtener la radio
, haga clic en Aceptar y luego en Cerrar .
8. Haga clic con el botón derecho en el botón Inicio y luego en Símbolo del sistema .
9. En la ventana del símbolo del sistema, en el símbolo del sistema, escriba lo siguiente y luego presione Entrar:
ipconfig / renovar
10. Para probar la configuración y verificar que LON-CL1 haya recibido una dirección IP del alcance DHCP, en
un símbolo del sistema, escriba lo siguiente y luego presione Entrar:
ipconfig / all
Este comando devuelve información como la dirección IP, la máscara de subred y el estado habilitado de DHCP, que
debería ser Sí .
▶ Tarea 4: Configurar un arrendamiento como reserva

1. En la ventana del símbolo del sistema, en un símbolo del sistema, escriba lo siguiente y luego presione Entrar:
ipconfig / all
2. Anote la dirección física del adaptador de red LON-CL1.
4. En el panel del Administrador del servidor, haga clic en Herramientas y luego en DHCP .
5. En la consola DHCP, expanda lon-svr1.adatum.com , expanda IPv4 , expanda Alcance [172.16.0.0]

Sucursal , seleccione y luego haga clic con el botón derecho en Reservas y, a continuación, haga clic en Nueva reserva .
Página 121
6. En la ventana Nueva reserva:
o En el campo Nombre de la reserva, escriba LON-CL1 .
o En el campo de la dirección IP, escriba 172.16.0.155 .
o En el campo de la dirección MAC, escriba la dirección física que anotó en el paso 2.
o Haga clic en Agregar y luego en Cerrar .
7. Cambie a LON-CL1 .
ipconfig / release
Esto hace que LON-CL1 libere cualquier dirección IP actualmente alquilada.
9. En un símbolo del sistema, escriba lo siguiente y luego presione Entrar:
ipconfig / renovar
Esto hace que LON-CL1 ceda cualquier dirección IP reservada.
10. Verifique que la dirección IP de LON-CL1 ahora sea 172.16.0.155 .
Resultados : Después de completar este ejercicio, debería haber implementado DHCP, configurado el alcance DHCP y
opciones y configuró una reserva DHCP.
▶ Prepárese para el ejercicio opcional

Si va a completar el laboratorio opcional, revertir el 20410D-LON-CL1 y 20410D-LON-SVR1 virtual
máquinas realizando los siguientes pasos:
4. Repita los pasos 1 a 3 para 20410D-LON-SVR1 .
5. Inicie 20410D-LON-SVR1 .
Ejercicio 2: implementación de un agente de retransmisión DHCP (ejercicio opcional)
▶ Tarea 1: Instale un agente de retransmisión DHCP

1. Inicie sesión en LON-RTR como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, haga clic en Herramientas y luego en Enrutamiento y acceso remoto .
3. Agregue el agente de retransmisión DHCP al enrutador en LON-RTR realizando los siguientes pasos:
a. En el panel de navegación, expanda LON-RTR (local) , expanda IPv4 , haga clic con el botón derecho en General y luego
haga clic en Nuevo protocolo de enrutamiento .
segundo. En la lista de protocolos de enrutamiento , haga clic en Agente de retransmisión DHCP y, a continuación, haga clic en Aceptar .
Página 122
L6-32 Implementación del protocolo de configuración dinámica de host
▶ Tarea 2: Configurar un agente de retransmisión DHCP

1. En el panel de navegación, haga clic con el botón derecho en Agente de retransmisión DHCP y luego haga clic en Nueva interfaz .
2. En el cuadro de diálogo Nueva interfaz para el agente de retransmisión DHCP , haga clic en Ethernet 2 y luego en Aceptar .
3. En el cuadro de diálogo Propiedades del agente de retransmisión DHCP - Propiedades de Ethernet 2 , haga clic en Aceptar .
4. Haga clic con el botón derecho en Agente de retransmisión DHCP y luego haga clic en Propiedades .
5. En el cuadro de diálogo Propiedades del agente de retransmisión DHCP , en el cuadro Dirección del servidor , escriba 172.16.0.11 , haga clic en
Agregue y luego haga clic en Aceptar .
6. Cierre Enrutamiento y acceso remoto.
▶ Tarea 3: Pruebe el agente de retransmisión DHCP con un cliente

Para probar cómo un cliente recibe una dirección IP del agente de retransmisión DHCP en otra subred, debe
cree otro ámbito DHCP.
2. Desde el escritorio, haga clic con el botón derecho en el icono de PowerShell y seleccione Ejecutar como administrador .
3. En el símbolo del sistema de Windows PowerShell, escriba lo siguiente y presione Entrar después de cada línea:
Add-WindowsFeature -IncludeManagementTools dhcp
netsh dhcp agregar grupos de seguridad
Restart-service dhcpserver
Agregar-DhcpServerInDC LON-SVR1 172.16.0.11
Add-DhcpServerv4Scope –Name "Branch Office 2" –StartRange 10.10.0.100 –EndRange

10.10.0.200 –SubnetMask 255.255.0.0
Add-Dhcpserverv4ExclusionRange –ScopeID 10.10.0.0 –StartRange 10.10.0.190 –EndRange

10.10.0.200
Set-DhcpServerv4OptionValue –Router 10.10.0.1
Set-DhcpServerv4Scope –ScopeID 10.10.0.0 –State Active
4. Para probar el cliente, cambie a LON-CL2 .
5. En la pantalla de Inicio, escriba Panel de control y luego presione Entrar.
6. En Red e Internet , haga clic en Ver el estado y las tareas de la red .
7. En la ventana Centro de redes y recursos compartidos, haga clic en Cambiar configuración del adaptador , haga clic con el botón derecho en Ethernet ,
y luego haga clic en Propiedades .
8. En la ventana Propiedades de Ethernet, haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego haga clic en
Propiedades .
9. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP / IPv4) , haga clic en Obtener una dirección IP.
automáticamente , haga clic en Obtener la dirección del servidor DNS automáticamente , haga clic en Aceptar y luego en Cerrar .
10. Haga clic con el botón derecho en el botón Inicio y luego haga clic en Símbolo del sistema .
ipconfig / renovar
Página 123
12. Verifique que la dirección IP y la configuración del servidor DNS en LON-CL2 se obtengan del alcance del servidor DHCP
Sucursal 2 , instalada en LON-SVR1 .
La dirección IP debe estar en el siguiente rango: 10.10.0.100/16 a 10.10.0.200/16 .
Resultados : después de completar este ejercicio, debería haber implementado un agente de retransmisión DHCP.

4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 , 20410D-LON-RTR y 20410D-LON-CL2 .
Página 124
Página 125
L7-35
Módulo 7: Implementación de DNS
Laboratorio: Implementación de DNS

Ejercicio 1: Instalación y configuración de DNS
▶ Tarea 1: configurar LON-SVR1 como controlador de dominio sin instalar el dominio

Función del servidor del sistema de nombres (DNS)
1. En LON-SVR1, en la consola del Administrador del servidor, haga clic en Agregar roles y características .
4. En la página Seleccionar servidor de destino , asegúrese de que LON-SVR1.Adatum.com esté seleccionado y luego
5. En la página Seleccionar roles de servidor , seleccione Servicios de dominio de Active Directory .
6. Cuando aparezca el Asistente para agregar funciones y funciones, haga clic en Agregar funciones y luego en Siguiente .
10. En la página de progreso de la instalación , cuando aparezca el mensaje La instalación se realizó correctamente , haga clic en Cerrar .
11. En la consola del Administrador del servidor, en la página de navegación , haga clic en AD DS .
12. En la barra de título donde se requiere Configuración para los Servicios de dominio de Active Directory en
LON-SVR1 está visible, haga clic en Más .
13. En la página Todos los detalles y notificaciones de la tarea del servidor , haga clic en Promocionar este servidor a un dominio.
controlador .
14. En el Asistente de configuración de servicios de dominio de Active Directory, en Configuración de implementación

, asegúrese de que la opción Agregar un controlador de dominio a un dominio existente esté seleccionada y luego haga clic en Siguiente .
15. En la página Opciones del controlador de dominio , desactive la casilla de verificación del servidor del Sistema de nombres de dominio (DNS) ,
y deje seleccionada la casilla de verificación Catálogo global (GC) .
16. Escriba Pa $$ w0rd en ambos campos de texto y luego haga clic en Siguiente .
17. En la página Opciones adicionales , haga clic en Siguiente .
18. En la página Rutas , haga clic en Siguiente .
19. En la página Opciones de revisión , haga clic en Siguiente .
20. En la página Comprobación de requisitos previos , haga clic en Instalar .
21. En la barra de la aplicación Está a punto de cerrar sesión, haga clic en Cerrar .
El servidor LON-SVR1 se reinicia automáticamente como parte del procedimiento.
22. Después de reiniciar LON-SVR1, inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
Página 126
L7-36 Implementación de DNS
▶ Tarea 2: Revise los ajustes de configuración en el servidor DNS existente para confirmar la raíz
pistas
1. En LON-DC1, en la consola del Administrador de DNS , haga clic en y luego haga clic con el botón derecho en LON-DC1 , y luego haga clic en
Propiedades .
2. En el cuadro de diálogo Propiedades de LON-DC1 , haga clic en la pestaña Sugerencias de raíz . Asegúrese de que la raíz sugiera servidores
monitor.
3. Haga clic en la pestaña Reenviadores . Asegúrese de que la lista no muestre entradas y de que Use root hints si no
Los reenviadores están disponibles se selecciona la opción.
4. Haga clic en Cancelar .
5. Cierre la consola del Administrador de DNS.
7. En Windows PowerShell, escriba los siguientes cmdlets, presione Entrar después de cada uno y observe el resultado
devuelto:
Get-DnsServerRootHint
Get-DnsServerForwarder
Tenga en cuenta que ambos cmdlets son los respectivos equivalentes de Windows PowerShell de la consola DNS
acciones realizadas en los pasos 2 y 3 anteriores.
▶ Tarea 3: Agregar la función del servidor DNS para la sucursal en el controlador de dominio
1. En LON-SVR1, en la consola del Administrador del servidor, haga clic en Agregar roles y características .
4. En la página Seleccionar servidor de destino , asegúrese de que LON-SVR1.Adatum.com esté seleccionado y luego
5. En la página Seleccionar roles de servidor , seleccione Servidor DNS .
6. Cuando aparezca el Asistente para agregar funciones y funciones, haga clic en Agregar funciones y luego en Siguiente .
8. En la página Servidor DNS , haga clic en Siguiente .
10. En la página de progreso de la instalación , cuando aparezca el mensaje "La instalación se realizó correctamente", haga clic en Cerrar .
▶ Tarea 4: Verificar la replicación de la zona integrada de Active Directory de Adatum.com

1. En LON-SVR1, en la consola del Administrador del servidor, haga clic en Herramientas .
2. En la lista de herramientas, haga clic en DNS .
3. En la consola del Administrador de DNS, expanda LON-SVR1 y luego expanda Zonas de búsqueda directa .
Probablemente este contenedor esté vacío.
4. Vuelva al Administrador del servidor, haga clic en Herramientas y luego en Sitios y servicios de Active Directory .
5. En la consola Sitios y servicios de Active Directory, expanda Sitios , expanda Default-First-Site-Name ,

expanda Servidores , expanda LON-DC1 y luego haga clic en Configuración NTDS .
Página 127
6. En el panel derecho, haga clic con el botón derecho en la conexión de replicación LON-SVR1 y seleccione Replicar ahora .
Nota: Si recibe un mensaje de error, continúe con el siguiente paso y luego vuelva a intentarlo.
después de tres o cuatro minutos. Si este reintento falla, espere unos minutos más y vuelva a intentarlo.
7. En el panel de navegación, expanda LON-SVR1 y luego haga clic en Configuración NTDS .
8. En el panel derecho, haga clic con el botón derecho en la conexión de replicación LON-DC1 , haga clic en Replicar ahora y luego
9. Vuelva a la consola del Administrador de DNS, haga clic con el botón derecho en Forward Lookup Zones y luego haga clic en
Actualizar .
10. Asegúrese de que se muestren los contenedores _ msdcs.Adatum.com y Adatum.com .
11. Cierre el Administrador de DNS.
▶ Tarea 5: Cree y configure la zona de Contoso.com en LON-DC1

1. En la máquina virtual LON-DC1, en la consola del Administrador del servidor, haga clic en Herramientas y luego en DNS .
2. Expanda LON-DC1 , haga clic con el botón derecho en Forward Lookup Zones y luego seleccione New Zone .
3. En el Asistente para nueva zona, en la página Bienvenido al Asistente para nueva zona , haga clic en Siguiente .
4. En la página Tipo de zona , desactive la casilla de verificación Almacenar la zona en Active Directory y luego haga clic en
Siguiente .
5. En la página Nombre de zona , escriba Contoso.com y luego haga clic en Siguiente .
6. En la página Archivo de zona , haga clic en Siguiente .
7. En la página Actualización dinámica , haga clic en Siguiente .
8. En la página Asistente para completar la nueva zona , haga clic en Finalizar .
9. Expanda Zonas de búsqueda directa , seleccione y haga clic con el botón derecho en la zona contoso.com y haga clic en Nuevo.
Anfitrión (A o AAAA) .
10. En la ventana Nuevo host, en el cuadro de texto Nombre, escriba www .
11. En el cuadro de dirección IP , escriba 172.16.0.100 .
12. Haga clic en Agregar host .
13. Haga clic en Aceptar y luego en Listo .
14. Deje abierta la consola del Administrador de DNS.
▶ Tarea 6: use los comandos de Windows PowerShell para probar la resolución no local
2. En Windows PowerShell, escriba el siguiente cmdlet y luego presione Entrar:
Get-DnsClient
3. Observe las entradas etiquetadas como Ethernet en la columna InterfaceAlias . En la columna Índice de interfaz , tenga en cuenta
el número de índice de interfaz que está en la misma fila que Ethernet e IPv4. Escriba este número aquí:
4. En Windows PowerShell, escriba el siguiente cmdlet, donde X es el número de índice de interfaz específico que
anotó en el último paso, y luego presione Enter:
Set-DnsClientServerAddress –InterfaceIndex X –ServerAddress 127.0.0.1
Página 128
5. En Windows PowerShell, escriba lo siguiente y luego presione Entrar:
Resolve-DNSName www.contoso.com
Debería recibir un mensaje de error en texto rojo. Se esperaba esto.
6. En Windows PowerShell, escriba lo siguiente y luego presione Entrar:
nslookup
7. En el indicador nslookup > , escriba lo siguiente y luego presione Entrar:
www.contoso.com
Debería ver la siguiente respuesta:
"Servidor: localhost
Dirección: 127.0.0.1
Se agotó el tiempo de espera de la solicitud de DNS.
el tiempo de espera fue de 2 segundos.
Se agotó el tiempo de espera de la solicitud de DNS.
el tiempo de espera fue de 2 segundos.
*** Se agotó el tiempo de espera de la solicitud al host local ".
8. Escriba lo siguiente y luego presione Entrar:
Salida
9. Deje abierta la ventana de Windows PowerShell.
▶ Tarea 7: configurar la resolución de nombres de Internet para reenviar a la oficina central

1. En el indicador de Windows PowerShell, escriba el siguiente cmdlet y luego presione Entrar:
Set-DnsServerForwarder –IPAddress '172.16.0.10' –PassThru
2. En el indicador de Windows PowerShell, escriba los dos cmdlets siguientes y presione Entrar después de cada uno:
DNS de parada
DNS de inicio de servicio
▶ Tarea 8: use Windows PowerShell para confirmar la resolución del nombre

2. En LON-SVR1, cambie a una ventana de Windows PowerShell.
3. Escriba el siguiente cmdlet y luego presione Entrar:
nslookup www.contoso.com
Asegúrese de recibir una dirección IP para este host como respuesta no autorizada.
Resultados : Después de completar este ejercicio, debería haber instalado y configurado DNS en 20410D-
LON-SVR1.
Página 129
Ejercicio 2: creación de registros de host en DNS
▶ Tarea 1: Configurar un cliente para usar LON-SVR1 como servidor DNS

1. En LON-CL1, inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
2. En la pantalla de Inicio , escriba Panel de control y luego presione Entrar.
3. En el Panel de control, haga clic en Ver el estado y las tareas de la red .
4. Haga clic en Cambiar la configuración del adaptador .
5. Haga clic con el botón derecho en Ethernet y luego en Propiedades .
6. En el cuadro de diálogo Propiedades de Ethernet , haga clic en Protocolo de Internet versión 4 (TCP / Ipv4) y luego haga clic en
Propiedades .
7. En el cuadro del servidor DNS preferido , sobrescriba la dirección IP del servidor DNS preferido con
172.16.0.11 , haga clic en Aceptar y luego en Cerrar .
▶ Tarea 2: Cree varios registros de host para aplicaciones web en el dominio Adatum.com
1. En LON-DC1, en la consola del Administrador del servidor, haga clic en Herramientas y luego en DNS .
2. En la consola del Administrador de DNS, expanda LON-DC1 , expanda Zonas de búsqueda directa y haga clic en
Adatum.com .
3. Haga clic con el botón derecho en Adatum.com y luego haga clic en Nuevo host (A o AAAA) .
4. En la ventana Nuevo host, configure los siguientes ajustes:
o Nombre: www
5. Haga clic en Agregar host y luego en Aceptar .
6. En la ventana Nuevo host, configure los siguientes ajustes:
o Nombre: ftp
7. Haga clic en Agregar host , haga clic en Aceptar y luego en Listo .
▶ Tarea 3: Verificar la replicación de nuevos registros en LON-SVR1

1. En LON-SVR1, en la consola del Administrador del servidor, haga clic en Herramientas y luego en DNS .
2. En la consola del Administrador de DNS, expanda LON-SVR1 , expanda Zonas de búsqueda directa y luego haga clic en
Adatum.com .
3. Asegúrese de que se muestren los registros de recursos www y ftp . Puede que los registros tarden varios minutos
para mostrar.
Nota: Si los registros de recursos de www y ftp no se muestran en varios minutos,

haga clic con el botón derecho en Adatum . com y luego haga clic en Actualizar .
Página 130
▶ Tarea 4: Utilice el comando ping para localizar nuevos registros de LON-CL1

1. En LON-CL1, en la barra de tareas, haga clic con el botón derecho en el icono de Windows y luego haga clic en Ejecutar .
2. En la ventana emergente Ejecutar, en el cuadro de texto Abrir , escriba cmd y luego presione Entrar.
ping www.adatum.com
4. Asegúrese de que el nombre se resuelva en 172.16.0.200 .
No recibirás respuestas.
5. En un símbolo del sistema, escriba lo siguiente y luego presione Entrar:
ping ftp.adatum.com
6. Asegúrese de que el nombre se resuelva en 172.16.0.201 .
No recibirás respuestas.
7. Deje abierta la ventana del símbolo del sistema.
Resultados : Después de completar este ejercicio, debería haber configurado los registros DNS.
Ejercicio 3: administración de la caché del servidor DNS
▶ Tarea 1: use el comando ping para localizar un registro de Internet de LON-CL1

1. En LON-CL1, en la ventana del símbolo del sistema, en un símbolo del sistema, escriba lo siguiente y luego
presione Enter:
ping www.contoso.com
2. Ping no funciona. Asegúrese de que el nombre se resuelva en la dirección IP 172.16.0.100.
3. Deje abierta la ventana del símbolo del sistema.
▶ Tarea 2: actualice un registro de Internet para que apunte a la dirección IP de LON-DC1
1. En LON-DC1, abra el Administrador de DNS .
2. En la consola del Administrador de DNS, expanda LON-DC1 , expanda Zonas de búsqueda directa y haga clic en
contoso.com .
3. En el panel derecho, haga clic con el botón derecho en www y luego en Propiedades .
4. Cambie la dirección IP a 172.16.0.10 y luego haga clic en Aceptar .
5. Vuelva a LON-CL1.
Tenga en cuenta que ping no funciona y que la dirección IP anterior (que es 172.16.0.100) todavía se muestra.
Página 131
▶ Tarea 3: Examinar el contenido de la caché de DNS

2. En la consola del Administrador del servidor, haga clic en Herramientas y luego en DNS .
3. Haga clic en LON-SVR1 , haga clic en el menú Ver y luego en Avanzado .
4. Expanda LON-SVR1 , expanda el nodo de búsquedas en caché , expanda . (Raíz) , expanda com y luego haga clic en
contoso .
5. En el panel derecho, examine el contenido en caché y observe que el registro www tiene la dirección IP:
172.16.0.100 .
ipconfig / displaydns
8. Busque entradas almacenadas en caché y observe que www.contoso.com se está resolviendo en 172.16.0.100 .
▶ Tarea 4: Borre el caché y vuelva a intentar el comando ping

2. En el indicador de Windows PowerShell, escriba Clear-DNSServerCache y luego presione Entrar.
3. Escriba y y luego presione Entrar.
5. En una ventana del símbolo del sistema, en un símbolo del sistema, escriba lo siguiente y luego presione Entrar:
El resultado aún devuelve la antigua dirección IP.
ipconfig / flushdns
7. En la ventana del símbolo del sistema, escriba lo siguiente y luego presione Entrar:
Ping ahora debería funcionar en la dirección 172.16.0.10 .
Resultados : Después de completar este ejercicio, debería haber examinado la caché del servidor DNS.

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial.
Página 132
Página 133
L8-43
Módulo 8: Implementación de IPv6
Laboratorio: Implementación de IPv6

Ejercicio 1: configuración de una red IPv6
▶ Tarea 1: Verificar el enrutamiento IPv4

2. En el indicador de Windows PowerShell, escriba ping lon-dc1 y luego presione Entrar.
Observe que hay cuatro respuestas de 172.16.0.10.
3. Escriba ipconfig y luego presione Entrar.
Verifique que la única dirección IPv6 enumerada sea una dirección local de enlace que no se pueda enrutar.
4. Escriba Get-NetIPAddress y luego presione Entrar.
Observe que el cmdlet Get-NetIPAddress devuelve una dirección IPv6 local de vínculo.
▶ Tarea 2: Desactive IPv6 en LON-DC1

1. En LON-DC1, en el Administrador del servidor, haga clic en Servidor local .
2. En el panel Propiedades del servidor local, junto a Ethernet , haga clic en 172.16.0.10, IPv6 habilitado .
4. En el cuadro de diálogo Propiedades de Ethernet , desactive la casilla de verificación Protocolo de Internet versión 6 (TCP / IPv6) ,
y luego haga clic en Aceptar .
6. En el Administrador del servidor, verifique que Ethernet solo muestre 172.16.0.10 . Es posible que deba actualizar la vista.
LON-DC1 ahora es un host solo IPv4.
▶ Tarea 3: Desactive IPv4 en LON-SVR2

1. En LON-SVR2, en el Administrador del servidor, haga clic en Servidor local .
2. En el panel Propiedades del servidor local, junto a Ethernet , haga clic en 10.10.0.11, IPv6 habilitado .
4. En el cuadro de diálogo Propiedades de Ethernet , desactive la casilla de verificación Protocolo de Internet versión 4 (TCP / IPv4) ,
y luego haga clic en Aceptar .
6. En el Administrador del servidor, verifique que Ethernet ahora muestre solo IPv6 habilitado . Es posible que deba actualizar el
ver.
LON-SVR2 ahora es un host solo IPv6.
Página 134
▶ Tarea 4: Configurar una red IPv6 en LON-RTR

1. En LON-RTR, en la barra de tareas, haga clic en el icono de Windows PowerShell .
2. Configure una dirección de red que se utilizará en la red IPv6. En Windows PowerShell
, escriba el siguiente cmdlet y luego presione Entrar:
New-NetRoute -InterfaceAlias "Ethernet 2" -DestinationPrefix

2001: db8: 0: 1 :: / 64 -Publicar Sí
3. Permita que los clientes obtengan la dirección de red IPv6 automáticamente de LON-RTR. En las ventanas
Indicador de PowerShell, escriba el siguiente cmdlet y luego presione Entrar:
Set-NetIPInterface -InterfaceAlias "Ethernet 2" -AddressFamily IPv6 -Publicidad
Habilitado
Observe que Ethernet 2 ahora tiene una dirección IPv6 en la red 2001: db8: 0: 1 :: / 64. Esta dirección se utiliza
para la comunicación en la red solo IPv6.
▶ Tarea 5: Verificar IPv6 en LON-SVR2

2. En el indicador de Windows PowerShell, escriba ipconfig y luego presione Entrar.
Observe que Ethernet ahora tiene una dirección IPv6 en la red 2001: db8: 0: 1 :: / 64. La red
La dirección se obtuvo del enrutador mediante una configuración sin estado.
Resultados : Después de completar el ejercicio, habrá configurado una red solo IPv6.
Ejercicio 2: configuración de un enrutador ISATAP
▶ Tarea 1: Agregar un registro de host ISATAP a DNS

1. En LON-DC1, en el Administrador del servidor, haga clic en Herramientas y luego en DNS .
2. En el Administrador de DNS, expanda LON-DC1 , expanda Zonas de búsqueda directa y luego haga clic en Adatum.com .
3. Haga clic con el botón derecho en Adatum.com y luego haga clic en Nuevo host (A o AAAA) .
4. En la ventana Nuevo host, en el cuadro Nombre , escriba ISATAP .
5. En el cuadro de dirección IP , escriba 172.16.0.1 y luego haga clic en Agregar host . Los clientes ISATAP resuelven este host
name para encontrar el enrutador ISATAP.
6. Haga clic en Aceptar para borrar el mensaje de éxito.
7. Haga clic en Listo para cerrar la ventana Nuevo host.
8. Cierre el Administrador de DNS.
Página 135
▶ Tarea 2: Habilite el enrutador ISATAP en LON-RTR

1. En LON-RTR, configure la dirección IP del adaptador Ethernet como enrutador ISATAP. En las ventanas
Indicador de PowerShell, escriba el siguiente cmdlet y luego presione Entrar:
Set-NetIsatapConfiguration -Router 172.16.0.1
Get-NetIPAddress | Formato de tabla InterfaceAlias, InterfaceIndex, IPv6Address
3. Registre el InterfaceIndex de la interfaz ISATAP que tiene una dirección IPv6 que incluye 172.16.0.1 .
Índice de interfaz:
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |

Lista de formato
5. Verifique que el reenvío esté habilitado para la interfaz y que la publicidad esté deshabilitada.
6. La interfaz ISATAP para un enrutador ISATAP debe tener habilitado el reenvío y la publicidad habilitada.
Escriba el siguiente comando y luego presione Entrar:
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Publicidad habilitada
7. Cree una nueva red IPv6 que se utilizará para la red ISATAP. Escriba el siguiente comando,
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix

2001: db8: 0: 2 :: / 64 -Publicar Sí
8. Vea la configuración de la dirección IP para la interfaz ISATAP. Escriba el siguiente comando y luego
presione Enter:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
9. Verifique que una dirección IPv6 esté listada en la red 2001: db8: 0: 2 :: / 64.
▶ Tarea 3: Eliminar ISATAP de la lista global de consultas bloqueadas

1. En LON-DC1, en el indicador de Windows PowerShell, escriba el siguiente comando y luego presione
Entrar:
dnscmd / config / globalqueryblocklist wpad
2. En el indicador de Windows PowerShell, escriba Restart-Service DNS -Verbose , y luego presione Enter.
3. Escriba ping isatap y luego presione Entrar.
El nombre debería resolverse y debería recibir cuatro respuestas de 172.16.0.1.
▶ Tarea 4: Habilite LON-DC1 como cliente ISATAP

1. En LON-DC1, en el indicador de Windows PowerShell, escriba el siguiente comando y luego presione
Entrar:
Set-NetIsatapConfiguration -State habilitado
Página 136
3. Verifique que el adaptador de túnel para ISATAP tenga una dirección IPv6 en la red 2001: db8: 0: 2/64.
Tenga en cuenta que esta dirección incluye la dirección IPv4 de LON-DC1.
▶ Tarea 5: Probar la conectividad

1. En LON-SVR2, en el indicador de Windows PowerShell, escriba el siguiente comando y luego presione
Entrar:
ping 2001: db8: 0: 2: 0: 5efe: 172.16.0.10
2. En el Administrador del servidor, si es necesario, haga clic en Servidor local .
3. En el panel Propiedades del servidor local, junto a Ethernet , haga clic en IPv6 habilitado .
5. En el cuadro de diálogo Propiedades de Ethernet , haga clic en Protocolo de Internet versión 6 (TCP / IPv6) y luego haga clic en
Propiedades .
6. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 6 (TCP / IPv6) , haga clic en Usar el siguiente DNS.
direcciones de servidor .
7. En el cuadro Servidor DNS preferido , escriba 2001: db8: 0: 2: 0: 5efe: 172.16.0.10 y, a continuación, haga clic en Aceptar .
8. En el cuadro de diálogo Propiedades de Ethernet , haga clic en Cerrar .
10. En el indicador de Windows PowerShell, escriba ping LON-DC1 y luego presione Entrar.
Observe que se reciben cuatro respuestas de LON-DC1.
Un ping de LON-DC1 a LON-SVR2 no responde, porque la configuración del firewall en

LON-SVR2 bloquea las solicitudes de ping.
Resultados : Después de completar este ejercicio, habrá configurado un enrutador ISATAP en LON-RTR para permitir
comunicación entre una red solo IPv6 y una red solo IPv4.

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial. Para hacer esto, complete lo siguiente
pasos.
4. Repita los pasos 2 y 3 para 20410D-LON-RTR y 20410D-LON-SVR2 .
Página 137
L9-47
Módulo 9: Implementación de almacenamiento local
Laboratorio: Implementación de almacenamiento local

Ejercicio 1: instalación y configuración de un disco nuevo
▶ Tarea 1: inicializar un nuevo disco

1. Inicie sesión en LON-SVR1 con el nombre de usuario Adatum \ Administrator y la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, haga clic en el menú Herramientas y luego en Administración de equipos .
3. En la consola Administración de equipos, en el nodo Almacenamiento , haga clic en Administración de discos .
4. En el panel Discos, haga clic con el botón derecho en Disk2 y luego haga clic en En línea .
5. Haga clic con el botón derecho en Disk2 y luego en Inicializar disco .
6. En el cuadro de diálogo Inicializar disco , seleccione la casilla de verificación Disco 2 , haga clic en GPT (Tabla de particiones GUID) y
▶ Tarea 2: Cree y formatee dos volúmenes simples en el disco

1. En la consola Administración de equipos, en Administración de discos, haga clic con el botón derecho en el cuadro marcado en negro a la derecha
del Disco 2 y luego haga clic en Nuevo volumen simple .
2. En el Asistente para nuevo volumen simple, en la página Bienvenido al Asistente para nuevo volumen simple , haga clic en
Siguiente .
3. En la página Especificar tamaño de volumen , en el campo Tamaño de volumen simple MB , escriba 4000 y luego haga clic en
Siguiente .
4. En el Asignar letra de unidad o ruta de la página, asegúrese de que el Asignar la siguiente letra de la unidad de verificación
está seleccionado el cuadro y F está seleccionado en el menú desplegable, y luego haga clic en Siguiente .
5. En la página Formatear partición , en el menú desplegable Sistema de archivos , haga clic en NTFS y en el
En el cuadro de texto Etiqueta de volumen , escriba Volumen1 y luego haga clic en Siguiente .
6. En la página Finalización del Asistente para nuevo volumen simple , haga clic en Finalizar .
7. En la ventana Administración de discos, haga clic con el botón derecho en el cuadro negro a la derecha del Disco 2 y luego haga clic en Nuevo simple.
Volumen .
8. En el Asistente para nuevo volumen simple, en la página Bienvenido al Asistente para nuevo volumen simple , haga clic en
Siguiente .
9. En la página Especificar tamaño de volumen , en el campo Tamaño de volumen simple en MB , escriba 5000 y luego haga clic en
Siguiente .
10. En el Asignar letra de unidad o ruta de la página, asegúrese de que el Asignar la siguiente letra de la unidad de verificación
está seleccionada la casilla, verifique que G aparezca como la letra de la unidad y luego haga clic en Siguiente .
11. En la página Formatear partición , en el menú desplegable Sistema de archivos , haga clic en ReFS y en el
En el cuadro de texto Etiqueta de volumen , escriba Volumen2 y luego haga clic en Siguiente .
12. En la página Finalización del Asistente para nuevo volumen simple , haga clic en Finalizar .
Página 138
L9-48 Implementación de almacenamiento local
▶ Tarea 3: Verifique la letra de la unidad en una ventana del Explorador de archivos

1. En la barra de tareas, abra una ventana del Explorador de archivos, expanda Esta PC y luego haga clic en Volumen1 (F :) .
2. En el Explorador de archivos, haga clic en Volumen2 (G :) , haga clic con el botón derecho en Volumen2 (G :) , seleccione Nuevo y luego haga clic en Carpeta .
3. En el campo Nueva carpeta , escriba Carpeta1 y luego presione Entrar.
Resultados : Después de completar este ejercicio, debería haber inicializado un nuevo disco, creado dos
volúmenes y luego formatearlos. Además, debería haber verificado que las letras de unidad que
asignados están disponibles en el Explorador de archivos.
Ejercicio 2: Cambiar el tamaño de los volúmenes
▶ Tarea 1: Reducir el volumen1

1. En LON-SVR1, cambie a la consola de administración de equipos.
2. En la consola Administración de equipos, en Administración de discos, en el panel central, haga clic con el botón derecho
Volume1 (F :) y luego haga clic en Reducir volumen .
3. En la ventana Reducir F :, en el campo Introduzca la cantidad de espacio para reducir en MB , escriba 1000 y
luego haga clic en Reducir .
▶ Tarea 2: Ampliar Volume2

1. En LON-SVR1, en Administración de discos, en el panel central, haga clic con el botón derecho en Volumen2 (G :) y luego haga clic en
Amplíe el volumen .
2. En Asistente para extender volumen, en la página Bienvenido al Asistente para volumen extendido , haga clic en Siguiente .
3. En la página Seleccionar discos , en el campo Seleccionar la cantidad de espacio en MB , escriba 1000 y luego haga clic en
Siguiente .
4. En la página Finalización del Asistente para volumen extendido , haga clic en Finalizar .
5. En una ventana del Explorador de archivos, haga clic en Volumen2 (G :) y luego verifique que Carpeta1 esté disponible en el
volumen.
Resultados : Después de completar este ejercicio, debería haber reducido un volumen y haber extendido otro.
Ejercicio 3: configuración de un espacio de almacenamiento redundante
▶ Tarea 1: crear un grupo de almacenamiento a partir de cinco discos que están conectados al servidor
1. En LON-SVR1, en la barra de tareas, haga clic en el icono Administrador del servidor .
2. En el Administrador del servidor, en el panel izquierdo, haga clic en Servicios de archivo y almacenamiento , y luego en el panel Servidores,
haga clic en Grupos de almacenamiento .
3. En el panel PISCINAS DE ALMACENAMIENTO, haga clic en TAREAS y luego en el menú desplegable TAREAS , haga clic en Nuevo
Piscina de almacenamiento .
4. En la ventana Asistente para nuevo grupo de almacenamiento, en la página Antes de comenzar , haga clic en Siguiente .
5. En la página Especificar un nombre de grupo de almacenamiento y subsistema , en el cuadro Nombre , escriba StoragePool1 ,
y luego haga clic en Siguiente .
Página 139
6. En la página Seleccionar discos físicos para el grupo de almacenamiento , haga clic en los siguientes discos físicos y luego
haga clic en Siguiente :
• DiscoFísico3
• DiscoFísico4
• DiscoFísico5
• DiscoFísico6
• DiscoFísico7
7. En la página Confirmar selecciones , haga clic en Crear .
8. En la página Ver resultados , espere hasta que se complete la tarea y luego haga clic en Cerrar .
▶ Tarea 2: Cree un disco virtual duplicado de tres vías

1. En LON-SVR1, en el Administrador del servidor, en el panel Espacios de almacenamiento, haga clic en StoragePool1 .
2. En el panel DISCOS VIRTUALES, haga clic en TAREAS y luego en el menú desplegable TAREAS , haga clic en Nuevo.
Disco virtual .
3. En la ventana Asistente para nuevo disco virtual, en la página Antes de comenzar , haga clic en Siguiente .
4. En la página Seleccionar el grupo de almacenamiento , haga clic en StoragePool1 y luego en Siguiente .
5. En la página Especificar el nombre del disco virtual , en el cuadro Nombre , escriba Disco duplicado y luego haga clic en
Siguiente .
6. En la página Seleccionar el diseño de almacenamiento , en la lista Diseño , haga clic en Reflejar y luego en Siguiente .
7. En la página Configure las opciones de resistencia , haga clic en Espejo de tres vías y, a continuación, haga clic en Siguiente .
8. En la página Especificar el tipo de aprovisionamiento , haga clic en Delgado y luego en Siguiente .
9. En la página Especificar el tamaño del disco virtual , en el cuadro Especificar tamaño , escriba 10 y luego haga clic en
Siguiente .
11. En la página Ver resultados , espere hasta que se complete la tarea.
12. Asegúrese de que la casilla de verificación Crear un volumen cuando este asistente se cierre esté seleccionada y luego haga clic en
Cerrar .
13. En la ventana Asistente para nuevo volumen, en la página Antes de comenzar , haga clic en Siguiente .
14. En la página Seleccionar el servidor y el disco , en el panel Disco, haga clic en el disco virtual Mirrored Disk y
15. En la página Especificar el tamaño del volumen , haga clic en Siguiente para confirmar la selección predeterminada.
16. En la página Asignar a una letra de unidad o carpeta , en el menú desplegable Letra de unidad , asegúrese de que H
está seleccionado y luego haga clic en Siguiente .
17. En la página Seleccionar configuración del sistema de archivos , en el menú desplegable Sistema de archivos , haga clic en ReFS , en el
Cuadro de etiqueta de volumen , escriba Volumen reflejado y luego haga clic en Siguiente .
19. En la página Finalización , espere hasta que se complete la creación y luego haga clic en Cerrar .
Página 140
L9-50 Implementación de almacenamiento local
▶ Tarea 3: Copie un archivo en el volumen y verifique que esté visible en el Explorador de archivos
1. En la pantalla de Inicio, escriba símbolo del sistema y luego presione Entrar.
Copie C: \ windows \ system32 \ write.exe H: \
4. En la barra de tareas, haga clic en el icono del Explorador de archivos .
5. En la ventana del Explorador de archivos, haga clic en Volumen reflejado (H :) .
6. Verifique que write.exe esté visible en la lista de archivos.
▶ Tarea 4: Extraiga una unidad física

2. En el panel Máquinas virtuales, haga clic con el botón derecho en 20410D-LON-SVR1 y luego haga clic en Configuración .
3. En Configuración de 20410D-LON-SVR1, en el panel Hardware, haga clic en el disco duro que comienza con
20410D-LON-SVR1-Disk5 .
4. En el panel Disco duro, haga clic en Eliminar , haga clic en Aceptar y luego en Continuar .
▶ Tarea 5: Verifique que el archivo write.exe aún sea accesible

3. En la ventana del Explorador de archivos, haga clic en Volumen reflejado (H :) .
4. En el panel de la lista de archivos, verifique que write.exe todavía esté disponible.
6. En el Administrador del servidor, en el panel PISCINAS DE ALMACENAMIENTO, en la barra de menú, haga clic en Actualizar
Botón de piscinas ” .
Observe la advertencia que está visible junto a Disco duplicado.
7. En el panel DISCO VIRTUAL, haga clic con el botón derecho en Disco duplicado y luego haga clic en Propiedades .
8. En el cuadro de diálogo Propiedades de disco duplicado , en el panel izquierdo, haga clic en Estado .
Observe que el estado de salud indica una advertencia. El estado operativo debe indicar
Incompleto , Desconocido o Degradado .
9. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de disco duplicado .
▶ Tarea 6: agregue un nuevo disco al grupo de almacenamiento y elimine un disco roto

1. En LON-SVR1, en el Administrador del servidor, en el panel PISCINAS DE ALMACENAMIENTO, en la barra de menú, haga clic en Actualizar
Botón "Grupos de almacenamiento" .
2. En el panel STORAGE POOLS, haga clic con el botón derecho en StoragePool1 y luego haga clic en Add Physical Disk .
3. En la ventana Agregar disco físico, haga clic en PhysicalDisk8 (LON-SVR1) y luego haga clic en Aceptar .
4. Haga clic en Windows Powershell en la barra de tareas.
5. Escriba Get-PhysicalDisk y luego presione Entrar.
Página 141
6. Anote el FriendlyName del disco que muestra un OperationalStatus of Lost Communication .
7. Tipo $ disco = Get-DiscoFísico -FriendlyName diskname , y luego pulse Intro.
Reemplace diskname con el nombre del disco que anotó en el Paso 6.
8. Escriba Remove-PhysicalDisk -PhysicalDisks $ disk -StoragePoolFriendlyName StoragePool1 y

luego presione Enter.
9. Escriba Y y luego presione Entrar.
10. Si recibe una advertencia de que el disco no se puede quitar, espere cinco minutos y luego ejecute el último
comando de nuevo. Es posible que el disco reflejado tarde un poco en volver a sincronizarse después de quitar un disco.
y se agrega otro. Si no puede quitar el disco después de cinco minutos, reinicie LON-SVR1, inicie sesión como
Adatum \ Administrator usando la contraseña Pa $$ w0rd , y luego repita los pasos 4 a 10.
11. En el Administrador del servidor, en el panel PISCINAS DE ALMACENAMIENTO, en la barra de menú, haga clic en Actualizar
Pools ” para ver desaparecer las advertencias.
Resultados : después de completar este ejercicio, debería haber creado un grupo de almacenamiento y agregarle cinco discos.
Además, debería haber creado
grupo de almacenamiento; unun
copió disco virtual
archivo en de aprovisionamiento
el nuevo fino yverificó
volumen; y luego duplicado
quedesea
tres vías desde
accesible. el
A continuación, después de eliminar un
unidad física, debería haber verificado que el disco virtual todavía estaba disponible y que podía acceder a él.
Finalmente, debería haber agregado otro disco físico al grupo de almacenamiento.

4. Repita los pasos 2 y 3 para 20410D-LON-SVR1 .
Página 142
Página 143
L10-53
Módulo 10: Implementación de servicios de impresión y archivo
Laboratorio: Implementación de servicios de impresión y archivo

Ejercicio 1: creación y configuración de un recurso compartido de archivos
▶ Tarea 1: Cree la estructura de carpetas para el nuevo recurso compartido

1. En LON-SVR1, en la barra de tareas, haga clic en el icono del Explorador de archivos .
2. En el Explorador de archivos, en el panel de navegación, expanda Esta PC y luego haga clic en Todos los archivos (E :) .
3. En la barra de herramientas del menú, haga clic en Inicio , haga clic en Nueva carpeta , escriba Datos y luego presione Entrar.
4. Haga doble clic en la carpeta Datos .
5. En la barra de herramientas del menú, haga clic en Inicio , haga clic en Nueva carpeta , escriba Desarrollo y luego presione Entrar.
6. Repita el paso 5 para crear una nueva carpeta denominada Marketing .
▶ Tarea 2: configurar permisos de archivo en la estructura de carpetas

Para restringir el acceso a las carpetas departamentales, debe evitar los permisos de archivos heredados de los
carpeta se aplique a cada carpeta de departamento. Para hacer esto, realice los siguientes pasos.
1. En el Explorador de archivos, haga doble clic en la carpeta E: \ Data .
2. Haga clic con el botón derecho en la carpeta Desarrollo y luego haga clic en Propiedades .
3. En el cuadro de diálogo Propiedades de desarrollo , haga clic en Seguridad y luego en Avanzado .
4. En el cuadro de diálogo Configuración de seguridad avanzada para desarrollo , haga clic en Desactivar herencia .
5. En el cuadro de diálogo Bloquear herencia , haga clic en Convertir permisos heredados en permisos explícitos.
en este objeto .
6. Elimine las dos entradas de permisos para Usuarios (LON-SVR1 \ Usuarios) y luego haga clic en Aceptar .
7. En la pestaña Seguridad , haga clic en Editar .
8. En el cuadro de diálogo Permisos para desarrollo , haga clic en Agregar .
9. Escriba Desarrollo , haga clic en Comprobar nombres y luego haga clic en Aceptar .
10. En el cuadro de diálogo Permisos para desarrollo , en Permitir , seleccione Modificar permiso.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Permisos para desarrollo .
12. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de desarrollo .
13. Repita los pasos 2 a 12 para la carpeta Marketing , asignando permisos Modificar a la carpeta Marketing.
grupo para su carpeta.
▶ Tarea 3: Cree la carpeta compartida
1. En el Explorador de archivos, navegue hasta la unidad E, haga clic con el botón derecho en la carpeta Datos y luego haga clic en Propiedades .
2. En el cuadro de diálogo Propiedades de datos , haga clic en la pestaña Compartir y luego haga clic en Uso compartido avanzado .
3. En el cuadro de diálogo Uso compartido avanzado , seleccione Compartir esta carpeta y luego haga clic en Permisos .
4. En el cuadro de diálogo Permisos para datos , haga clic en Agregar .
5. Escriba Usuarios autenticados , haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar .
6. En el cuadro de diálogo Permisos para datos , haga clic en Usuarios autenticados y luego en Permitir , seleccione
Cambiar el permiso.
Página 144
L10-54 Implementación de servicios de impresión y archivo
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Permisos para datos .
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Uso compartido avanzado .
9. Haga clic en Cerrar para cerrar el cuadro de diálogo Propiedades de datos .
▶ Tarea 4: probar el acceso a la carpeta compartida

1. Inicie sesión en LON-CL1 como Adatum \ Bernard con la contraseña Pa $$ w0rd .
Observe que Bernard es miembro del grupo Desarrollo.
2. En la pantalla de Inicio, haga clic en Escritorio .
4. En el Explorador de archivos, en la barra de direcciones, escriba \\ LON-SVR1 \ Data y luego presione Intro.
5. Haga doble clic en la carpeta Desarrollo .
Bernard debería tener acceso a la carpeta Desarrollo.
6. Intente acceder a la carpeta Marketing .
Los permisos de archivo en esta carpeta le impiden hacer esto.

Bernard todavía puede ver la carpeta Marketing, aunque no tiene acceso a su contenido.
▶ Tarea 5: habilitar la enumeración basada en el acceso

3. En el Administrador del servidor, en el panel de navegación, haga clic en Servicios de archivo y almacenamiento .
4. En la ventana Servicios de archivo y almacenamiento, en el panel de navegación, haga clic en Recursos compartidos .
5. En el panel Recursos compartidos, haga clic con el botón derecho en Datos y luego en Propiedades .
6. En el cuadro de diálogo Propiedades de datos , haga clic en Configuración y luego seleccione Habilitar
enumeración .
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de datos .
8. Cierre el Administrador del servidor.
▶ Tarea 6: probar el acceso al recurso compartido

1. Inicie sesión en LON-CL1 como Adatum \ Bernard con la contraseña Pa $$ w0rd .
2. Haga clic en el mosaico Escritorio .
4. En el Explorador de archivos, en la barra de direcciones, escriba \\ LON-SVR1 \ Data y luego presione Intro.
Bernard ahora puede ver solo la carpeta Desarrollo, la carpeta para la que tiene permisos.
5. Haga doble clic en la carpeta Desarrollo .
Bernard debería tener acceso a la carpeta Desarrollo.
Página 145
▶ Tarea 7: deshabilite los archivos sin conexión para compartir

3. En el Explorador de archivos, navegue hasta la unidad E, haga clic con el botón derecho en la carpeta Datos y luego haga clic en Propiedades .
4. En el cuadro de diálogo Propiedades de datos , haga clic en la pestaña Compartir , haga clic en Uso compartido avanzado y luego en
Almacenamiento en caché .
5. En el cuadro de diálogo Configuración sin conexión , haga clic en No hay archivos o programas de la carpeta compartida.
disponible sin conexión y luego haga clic en Aceptar .
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Uso compartido avanzado .
7. Haga clic en Cerrar para cerrar el cuadro de diálogo Propiedades de datos .
Resultados : después de completar este ejercicio, habrá creado una nueva carpeta compartida para que la utilicen varios
departamentos.
Ejercicio 2: configuración de instantáneas
▶ Tarea 1: configurar instantáneas para el recurso compartido de archivos

1. En LON-SVR1, abra el Explorador de archivos.
2. Navegue hasta la unidad E, haga clic con el botón derecho en Todos los archivos (E :) y luego haga clic en Configurar instantáneas .
3. En las instantáneas cuadro de diálogo, haga clic en la unidad E y, a continuación, haga clic en Activar .
4. En el cuadro de diálogo Activar instantáneas , haga clic en Sí .
5. En el cuadro de diálogo Drive Shadow Copies , haga clic en Configuración .
6. En el cuadro de diálogo Configuración , haga clic en Programar .
Esto abre el cuadro de diálogo de la unidad E: \ .
7. En el cuadro de diálogo Drive E: \ , cambie Programar tarea a Diariamente , cambie la Hora de inicio a 12:00 AM y
haga clic en Avanzado .
8. En el cuadro de diálogo Opciones de programación avanzadas , seleccione Repetir tarea y luego establezca la frecuencia en
cada 1 hora .
9. Seleccione Hora y luego cambie el valor de la hora a 11:59 PM .
10. Haga clic en Aceptar dos veces y luego en Aceptar para cerrar el cuadro de diálogo Configuración .
11. Deje abierto el cuadro de diálogo Drive Shadow Copies .
▶ Tarea 2: Cree múltiples instantáneas de un archivo

1. En LON-SVR1, abra el Explorador de archivos.
2. Navegue a E: \ Data \ Development .
3. En la barra de herramientas del menú, haga clic en Inicio , haga clic en Nuevo elemento y luego haga clic en Documento de texto .
4. Escriba Informe y luego presione Entrar.
Volver 5. Cambie a las instantáneas cuadro de diálogo. Debe abrirse en la pestaña Instantáneas .
6. Haga clic en Crear ahora .
Página 146
▶ Tarea 3: recuperar un archivo eliminado de una instantánea

1. En LON-SVR1, vuelva al Explorador de archivos.
2. Haga clic con el botón derecho en Report.txt y luego haga clic en Eliminar .
3. En el Explorador de archivos, haga clic con el botón derecho en la carpeta Desarrollo y luego haga clic en Propiedades .
4. En el cuadro de diálogo Propiedades de desarrollo , haga clic en la pestaña Versiones anteriores .
5. Haga clic en la versión de carpeta más reciente para Desarrollo y luego haga clic en Abrir .
6. Confirme que Report.txt está en la carpeta, haga clic con el botón derecho en Report.txt y luego haga clic en Copiar .
7. Cierre la ventana del Explorador de archivos que se acaba de abrir.
8. En la otra ventana del Explorador de archivos, haga clic con el botón derecho en la carpeta Desarrollo y luego haga clic en Pegar .
10. Haga clic en Aceptar y luego cierre todas las ventanas abiertas.
Resultados : Después de completar este ejercicio, habrá habilitado las instantáneas en el servidor de archivos.
Ejercicio 3: habilitación y configuración de carpetas de trabajo
▶ Tarea 1: Instale el servicio de función Carpetas de trabajo

Add-WindowsFeature FS-SyncShareService
Tenga en cuenta que el nombre de la función distingue entre mayúsculas y minúsculas.
▶ Tarea 2: Cree un recurso compartido de sincronización en el servidor de archivos

1. En LON-SVR1, en el símbolo del sistema de Windows PowerShell, escriba el siguiente comando y luego
presione Enter:
New-SyncShare Corp - ruta C: \ CorpData - Usuario "Adatum \ Usuarios de dominio"
2. Si es necesario, en la barra de tareas, haga clic en el icono Administrador del servidor para abrir el Administrador del servidor.
3. Haga clic en Servicios de archivo y almacenamiento .
4. Haga clic en Carpetas de trabajo y luego asegúrese de que exista el recurso compartido de sincronización corporativa.
▶ Tarea 3: Automatizar la configuración de los usuarios mediante la política de grupo

1. En LON-DC1, en el Administrador del servidor, haga clic en Herramientas y luego en Administración de políticas de grupo .
2. En la Consola de administración de políticas de grupo, vaya a Forest: Adatum.com \ Domains \ Adatum.com .
3. Haga clic con el botón derecho en Adatum.com , y luego haga clic en Crear un GPO en este dominio y vincularlo aquí .
4. En el cuadro de diálogo Nuevo GPO , en Nombre , escriba Carpetas de trabajo y luego haga clic en Aceptar .
5. Haga clic con el botón derecho en el GPO Carpetas de trabajo y luego haga clic en Editar .
6. En la ventana Editor de administración de políticas de grupo, vaya a Configuración de usuario \ Políticas

\ Plantillas administrativas \ Componentes de Windows \ Carpetas de trabajo .
Página 147
7. En el panel de detalles, haga doble clic en Especificar configuración de carpetas de trabajo .
8. Haga clic en Activado y, a continuación, en URL de carpetas de trabajo , escriba http://lon-svr1.Adatum.com .
9. Seleccione Forzar configuración automática y luego haga clic en Aceptar .
10. Cierre todas las ventanas abiertas.
▶ Tarea 4: Probar la sincronización

2. En la pantalla de Inicio, haga clic en Escritorio .
4. Vaya a C: \ Labfiles \ Mod10 y luego haga doble clic en WorkFolders.bat .
Esto agrega una entrada de registro para permitir conexiones no seguras a las carpetas de trabajo.
5. En la esquina inferior izquierda de la pantalla, haga clic en el botón Inicio .
8. Haga clic en el mosaico Escritorio y luego en Explorador de archivos .
9. Haga doble clic en la carpeta Carpetas de trabajo .
10. En la carpeta Carpetas de trabajo , haga clic con el botón derecho en un espacio vacío, seleccione Nuevo y luego haga clic en Texto.
Documento .
11. Asigne el nombre TestFile2 al nuevo documento de texto y, a continuación, presione Entrar.
12. Cambie a LON-SVR1 y luego haga clic en Explorador de archivos .
13. Navegue a C: \ CorpData \ Administrator . Asegúrese de que exista el nuevo archivo de texto llamado TestFile2.
14. Cierre todas las ventanas abiertas.
Resultados : Después de completar este ejercicio, habrá instalado el servicio de rol Carpetas de trabajo, creado un
sincronizar compartir y crear un GPO para entregar la configuración a los usuarios automáticamente. Además,
han probado los ajustes.
Ejercicio 4: creación y configuración de un grupo de impresoras
▶ Tarea 1: Instale la función del servidor Servicios de impresión y documentos

1. En LON-SVR1, en la barra de tareas, haga clic en el icono Administrador del servidor .
2. En Administrador del servidor, en la barra de herramientas del menú, haga clic en Administrar .
3. Haga clic en Agregar roles y características , haga clic en Siguiente .
4. Haga clic en Instalación basada en funciones o funciones , haga clic en Siguiente .
5. En la página Seleccionar servidor de destino , haga clic en el servidor en el que desea instalar Print and
Servicios de documentos y luego haga clic en Siguiente .
El servidor predeterminado es el servidor local.
6. En la página Seleccionar funciones del servidor , seleccione Servicios de impresión y documentos .
7. En el Asistente para agregar funciones y funciones, haga clic en Agregar funciones .
Página 148
8. En la página Seleccionar roles de servidor , haga clic en Siguiente .
10. En la página Servicios de impresión y documentos , revise las Notas para el administrador y luego haga clic en
Siguiente .
11. En la página Seleccionar servicios de función , haga clic en Siguiente hasta que aparezca la página Confirmar selecciones de instalación .
12. Haga clic en Instalar para instalar los servicios de función necesarios.
13. Haga clic en Cerrar .
▶ Tarea 2: Instale una impresora

1. En LON-SVR1, en el Administrador del servidor, haga clic en Herramientas y luego en Administración de impresión .
2. Expanda Servidores de impresora , expanda LON-SVR1 (local) , haga clic con el botón derecho en Impresoras y luego haga clic en Agregar impresora .
Se inicia el asistente de instalación de la impresora de red.
3. En la página del Asistente para la instalación de impresoras en red , haga clic en Agregar una impresora TCP / IP o de servicios web
Dirección IP o nombre de host y luego haga clic en Siguiente .
4. Cambie el Tipo de dispositivo a Dispositivo TCP / IP .
5. En Nombre de host o dirección IP , escriba 172.16.0.200 , desactive Detectar automáticamente el controlador de impresora a usar y
6. En Tipo de dispositivo , haga clic en Tarjeta de red genérica y luego en Siguiente .
7. Haga clic en Instalar un controlador nuevo y luego en Siguiente .
8. Haga clic en Microsoft como el fabricante, en Impresoras , haga clic en Microsoft XPS Class Driver , y luego
9. Cambie el nombre de la impresora a Impresora de sucursal y luego haga clic en Siguiente .
10. Haga clic en Siguiente dos veces para aceptar el nombre predeterminado de la impresora y el nombre compartido y para instalar la impresora.
11. Haga clic en Finalizar para cerrar el Asistente de instalación de impresoras de red.
12. En la consola de Administración de impresión, haga clic con el botón derecho en la Impresora de la sucursal y luego haga clic en Activar.
Impresión directa de sucursales .
13. En la consola de Administración de impresión, haga clic con el botón derecho en la Impresora de la sucursal y luego seleccione Propiedades .
14. Haga clic en la pestaña Compartir , seleccione Lista en el directorio y luego haga clic en Aceptar .
▶ Tarea 3: Configurar la agrupación de impresoras

1. En la consola de Administración de impresión, en LON-SVR1 , haga clic con el botón derecho en Puertos y luego haga clic en Agregar puerto .
2. En el cuadro de diálogo Puertos de impresora , haga clic en Puerto TCP / IP estándar y luego en Puerto nuevo .
3. En el Asistente para agregar puerto de impresora estándar TCP / IP, haga clic en Siguiente .
4. En Nombre de impresora o Dirección IP , escriba 172.16.0.201 y luego haga clic en Siguiente .
5. En el cuadro de diálogo Se requiere información adicional del puerto , haga clic en Siguiente .
6. Haga clic en Finalizar para cerrar el Asistente para agregar puerto de impresora estándar TCP / IP.
7. Haga clic en Cerrar para cerrar el cuadro de diálogo Puertos de impresora .
8. En la consola de Administración de impresión, haga clic en Impresoras , haga clic con el botón derecho en Impresora de sucursal y luego haga clic en
Propiedades .
Página 149
9. En el cuadro de diálogo Propiedades de la impresora de la sucursal , haga clic en la pestaña Puertos , seleccione Activar impresora.
agrupación y, a continuación, haga clic en el puerto 172.16.0.201 para seleccionarlo como segundo puerto.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de impresora de sucursal .
11. Cierre Print Management Console.
▶ Tarea 4: Instale una impresora en una computadora cliente

1. En LON-CL1, en la esquina inferior izquierda de la pantalla, haga clic con el botón derecho en el botón Inicio y luego haga clic en
Panel de control .
2. En el Panel de control, en Hardware y sonido , haga clic en Agregar un dispositivo .
3. En el cuadro de diálogo Agregar un dispositivo , haga clic en Impresora de sucursal en LON-SVR1 y luego haga clic en Siguiente .
El dispositivo se instala automáticamente.
Resultados : después de completar este ejercicio, habrá instalado la función del servidor Servicios de impresión y documentos
e instalé una impresora con agrupación de impresoras.

Una vez finalizada la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial. Para hacer esto, complete lo siguiente
pasos.
2. En la lista de Máquinas virtuales , haga clic con el botón derecho en 20410D-LON-SVR1 y luego haga clic en Revertir .
4. Repita los pasos 2 y 3 para 20410D-LON-CL1 y 20410D-LON-DC1 .
Página 150
Página 151
L11-61
Módulo 11: Implementación de políticas de grupo
Laboratorio: Implementación de políticas de grupo

Ejercicio 1: configurar una tienda central
▶ Tarea 1: ver la ubicación de las plantillas administrativas en un GPO

1. Inicie sesión en LON-DC1 como administrador con la contraseña Pa $$ w0rd .
2. En el Administrador del servidor, haga clic en Herramientas y luego en Administración de políticas de grupo .
3. En la Consola de administración de políticas de grupo, expanda Bosque: Adatum.com , expanda Dominios , expanda
Adatum.com y luego expanda la carpeta Objetos de directiva de grupo .
4. Haga clic con el botón derecho en la Política de dominio predeterminada y luego haga clic en Editar . Esto abre la Política de grupo
Ventana del Editor de administración.
5. En la ventana Editor de administración de políticas de grupo, expanda la Política de dominio predeterminada , en Usuario
Configuración , expanda Políticas y luego haga clic en Plantillas administrativas .
6. Señale la carpeta Plantillas administrativas y luego observe que la ubicación es Administrativa

Plantillas: definiciones de políticas (archivos .admx) recuperadas del equipo local .
▶ Tarea 2: Crear una tienda central

2. En la ventana del Explorador de archivos, expanda Disco local (C :) , expanda Windows , expanda SYSVOL , expanda
sysvol , expanda Adatum.com y luego haga doble clic en Políticas .
3. En el panel de detalles, haga clic con el botón derecho en un área en blanco, haga clic en Nuevo y luego en Carpeta .
4. Nombre la carpeta PolicyDefinitions .
▶ Tarea 3: Copie las plantillas administrativas en el almacén central

1. En el Explorador de archivos, vaya a C: \ Windows y abra la carpeta PolicyDefinitions .
2. Seleccione todo el contenido de la carpeta PolicyDefinitions .
Sugerencia: para seleccionar todo el contenido, haga clic en en el panel de detalles y luego presione Ctrl + A.
3. Haga clic con el botón derecho en la selección y luego haga clic en Copiar .
4. Expanda Disco local (C :) , expanda Windows , expanda SYSVOL , expanda sysvol , expanda Adatum.com ,
expanda Políticas y luego abra la carpeta PolicyDefinitions .
5. Haga clic con el botón derecho en el área de la carpeta vacía y luego haga clic en Pegar .
▶ Tarea 4: Verificar la ubicación de la plantilla administrativa en GPMC

1. En la GPMC, haga clic con el botón derecho en la Política de dominio predeterminada y luego haga clic en Editar .
2. En la ventana Editor de administración de directivas de grupo, expanda Políticas , seleccione la Administración

Carpeta Plantillas y lea el texto de información local, que dice: "Plantillas administrativas: Política
definiciones (archivos ADMX) recuperadas del almacén central ".
Resultados : Después de completar este ejercicio, debería haber configurado un almacén central.
Página 152
L11-62 Implementación de políticas de grupo
Ejercicio 2: creación de GPO
▶ Tarea 1: Cree un GPO de inicio predeterminado de restricción de Windows Internet Explorer
1. En GPMC, haga clic con el botón derecho en la carpeta Starter GPOs y luego haga clic en New .
2. En el cuadro de diálogo Nuevo GPO de inicio, en el campo Nombre , escriba Restricciones de Internet Explorer , en el
En el campo Comentario , escriba Este GPO deshabilita la página General en Opciones de Internet y luego haga clic en Aceptar .
▶ Tarea 2: Configurar el GPO de inicio de restricciones de Internet Explorer

1. En GPMC, en la carpeta Starter GPOs, haga clic con el botón derecho en el GPO Restricciones de Internet Explorer y
luego haga clic en Editar .
2. En la ventana Editor de administración de directivas de grupo, expanda Configuración de usuario , Administrativo

Plantillas y luego haga clic en Todas las configuraciones .
3. Haga clic con el botón derecho en Todas las configuraciones y luego haga clic en Opciones de filtro .
4. En el cuadro de diálogo Opciones de filtro , seleccione la casilla de verificación Habilitar filtros de palabras clave .
5. En el campo Filtrar por palabra (s) , escriba Página general .
6. Junto a Dentro , desactive las casillas Texto de ayuda y Comentario .
7. Junto al campo Filtrar por palabra (s) , haga clic en el cuadro de lista desplegable, haga clic en Exacto y luego en Aceptar .
8. Haga doble clic en la configuración de la página Deshabilitar la general , haga clic en Habilitado y luego en Aceptar .
9. Cierre la ventana Editor de GPO de inicio de directiva de grupo.
▶ Tarea 3: Cree un GPO de restricciones de Internet Explorer desde Internet Explorer

Restricciones starter GPO
1. En la GPMC, haga clic con el botón derecho en el dominio Adatum.com y luego haga clic en Crear un GPO en este dominio y
Enlazarlo aquí .
2. En el cuadro de diálogo Nuevo GPO , en el campo Nombre , escriba Restricciones de IE .
3. En Source Starter GPO , haga clic en el cuadro desplegable, seleccione Restricciones de Internet Explorer y
▶ Tarea 4: Pruebe el GPO para usuarios de dominio

1. Inicie sesión en LON-CL1 como Adatum \ Brad con la contraseña Pa $$ w0rd .
2. Apunte el mouse hacia el borde inferior derecho de la pantalla y luego haga clic en el acceso a Buscar cuando
aparece.
3. En el cuadro de búsqueda Everywhere , escriba Control Panel .
4. En los resultados de la búsqueda, haga clic en Panel de control .
5. En el Panel de control, haga clic en Redes e Internet .
6. En el cuadro de diálogo Redes e Internet , haga clic en Cambiar su página de inicio .
7. Lea el cuadro de mensaje que aparece para informarle que esta función ha sido desactivada y luego
8. En el Panel de control, haga clic en Opciones de Internet . Observe que en el cuadro de diálogo Propiedades de Internet
No se muestra la pestaña General .
9. Cierre todas las ventanas abiertas y luego cierre la sesión de LON-CL1.
Página 153
▶ Tarea 5: Utilice el filtrado de seguridad para eximir al Departamento de TI de Internet Explorer

Política de restricciones
2. En la GPMC, expanda la carpeta Objetos de directiva de grupo y, a continuación, en el panel izquierdo, haga clic en IE
Política de restricciones .
3. En el panel de detalles, haga clic en la pestaña Delegación .
4. En la pestaña Delegación , haga clic en el botón Avanzado .
5. En el cuadro de diálogo Configuración de seguridad de restricciones de IE , haga clic en Agregar .
6. En la ventana Seleccionar usuarios, equipos, cuentas de servicio o grupos, en la ventana Ingrese los nombres de los objetos
para seleccionar el cuadro (ejemplos) , escriba IT y luego haga clic en Aceptar .
7. En el cuadro de diálogo Configuración de seguridad de restricciones de IE , haga clic en el grupo IT (Adatum \ IT) , junto al
Aplique el permiso de política de grupo, seleccione la casilla de verificación Denegar y luego haga clic en Aceptar .
8. Haga clic en Sí para reconocer el cuadro de diálogo Seguridad de Windows .
▶ Tarea 6: Pruebe la aplicación GPO para los usuarios del departamento de TI

2. Inicie sesión en LON-CL1 como Brad con la contraseña Pa $$ w0rd .
aparece.
5. En la ventana de resultados de la búsqueda, haga clic en Panel de control .
7. En el cuadro de diálogo Redes e Internet , haga clic en Cambiar su página de inicio . Las propiedades de Internet
El cuadro de diálogo se abre en la pestaña General y todas las configuraciones están disponibles.
8. Cierre todas las ventanas abiertas y cierre la sesión de LON-CL1.
▶ Tarea 7: probar la aplicación del GPO para otros usuarios del dominio
1. Inicie sesión en LON-CL1 como Boris con la contraseña Pa $$ w0rd .
aparece.
4. En la ventana de resultados de la búsqueda, haga clic en Panel de control .
6. En el cuadro de diálogo Redes e Internet , haga clic en Cambiar su página de inicio . Aparece un cuadro de mensaje
informándole que esta función ha sido desactivada.
7. Haga clic en Aceptar para reconocer el mensaje.
8. Haga clic en Opciones de Internet . En el cuadro de diálogo Propiedades de Internet , observe que la pestaña General no
monitor.
9. Cierre todas las ventanas abiertas y cierre la sesión de LON-CL1.
Resultados : después de completar esta práctica de laboratorio, debería haber creado un GPO.
Página 154
L11-64 Implementación de políticas de grupo

4. Repita los pasos 2 y 3 para 20410D-LON-CL1 .
Página 155
L12-65
Módulo 12: Protección de servidores Windows mediante grupo

Objetos de política
Laboratorio A: Aumento de la seguridad para el servidor

Recursos
Ejercicio 1: uso de la directiva de grupo para proteger los servidores miembro
▶ Tarea 1: Cree una unidad organizativa (OU) de servidores miembro y mueva los servidores a ella
1. En LON-DC1, en el Administrador del servidor, haga clic en Herramientas y luego en Usuarios y equipos de Active Directory .
2. En Usuarios y equipos de Active Directory, en el panel de navegación, haga clic con el botón derecho en Adatum.com , haga clic en Nuevo ,
y luego haga clic en Unidad organizativa .
3. En la ventana New Object - Organizational Unit, en el cuadro Name , escriba Member Servers OU y
4. En Usuarios y equipos de Active Directory, en el panel de navegación, haga clic en el contenedor Equipos .
5. Mantenga presionada la tecla Ctrl. En el panel de detalles, haga clic en LON-SVR1 y LON-SVR2 , haga clic con el botón derecho en el
selección y luego haga clic en Mover .
6. En la ventana Mover, haga clic en UO Servidores miembro y, a continuación, haga clic en Aceptar .
▶ Tarea 2: Cree un grupo de administradores de servidor

1. En LON-DC1, en Usuarios y equipos de Active Directory, en el panel de navegación, haga clic con el botón derecho
Servidores miembros OU , haga clic en Nuevo y luego en Grupo .
2. En la ventana Nuevo objeto - Grupo, en Nombre del grupo , escriba Administradores del servidor y luego haga clic en Aceptar .
▶ Tarea 3: Crear un objeto de directiva de grupo (GPO) de configuración de seguridad del servidor miembro y un vínculo
a la unidad organizativa de servidores miembros
1. En LON-DC1, en la ventana Administrador del servidor, haga clic en Herramientas y luego en Política de grupo.
Gestión .
2. En la Consola de administración de políticas de grupo, expanda Bosques: Adatum.com , expanda Dominios , expanda
Adatum.com , haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo .
3. En la ventana Nuevo GPO, en Nombre , escriba Configuración de seguridad del servidor miembro y luego haga clic en Aceptar .
4. En la consola de administración de directivas de grupo, haga clic UO Servidores miembro y, a continuación, haga clic en Vincular un
GPO existente .
5. En la ventana Seleccionar GPO, en la ventana Objetos de directiva de grupo, haga clic en Seguridad del servidor miembro.
Configuración y luego haga clic en Aceptar .
▶ Tarea 4: configurar la pertenencia al grupo para que los administradores locales incluyan
Administradores y administradores de dominio
1. En la Consola de administración de políticas de grupo, si es necesario, expanda el contenedor Objetos de políticas de grupo.
Haga clic con el botón derecho en Política de dominio predeterminada y luego haga clic en Editar .
\ Configuración de Windows \ Configuración de seguridad \ Grupos restringidos .
3. Haga clic con el botón derecho en Grupos restringidos y luego haga clic en Agregar grupo .
Página 156
L12-66 Protección de servidores Windows mediante objetos de directiva de grupo
4. En el cuadro de diálogo Agregar grupo , en Nombre del grupo , escriba Administradores y luego haga clic en Aceptar .
5. En el cuadro de diálogo Propiedades de los administradores , junto a Miembros de este grupo , haga clic en Agregar .
6. En el cuadro de diálogo Agregar miembro , escriba Adatum \ Server Administrators y luego haga clic en Aceptar .
7. Junto a Miembros de este grupo , haga clic en Agregar .
8. En el cuadro de diálogo Agregar miembro , escriba Adatum \ Domain Admins y luego haga clic en Aceptar dos veces.
▶ Tarea 5: Verifique que los administradores de computadoras se hayan agregado a la

Grupo de administradores
2. En la barra de tareas, haga clic en el Windows PowerShell ® icono.
Gpupdate / force
4. En la ventana Administrador del servidor, haga clic en Herramientas y luego en Administración de equipos .
5. En la consola Administración de equipos, expanda Usuarios y grupos locales , haga clic en Grupos y luego en
el panel de la derecha, haga doble clic en Administradores .
6. Confirme que el grupo de administradores contiene ADATUM \ Domain Admins y

ADATUM \ Server Administrators como miembros. Haga clic en Cancelar .
▶ Tarea 6: Modifique el GPO de configuración de seguridad del servidor miembro para eliminar
Permitir iniciar sesión localmente
1. En LON-DC1, en la Consola de administración de políticas de grupo, haga clic en Objetos de políticas de grupo .
2. En el panel de la derecha, haga clic con el botón derecho en Configuración de seguridad del servidor miembro y luego haga clic en Editar .
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Asignación de derechos de usuario .
4. En el panel de la derecha, haga clic con el botón derecho en Permitir iniciar sesión localmente y luego haga clic en Propiedades .
5. En el cuadro de diálogo Propiedades Permitir inicio de sesión local , seleccione la casilla de verificación Definir esta configuración de política
y luego haga clic en Agregar usuario o grupo .
6. En la ventana Agregar usuario o grupo, escriba Administradores de dominio y luego haga clic en Aceptar .
7. Haga clic en Agregar usuario o grupo .
8. En la ventana Agregar usuario o grupo, escriba Administradores y luego haga clic en Aceptar dos veces.
Página 157
▶ Tarea 7: Modifique el GPO de configuración de seguridad del servidor miembro para habilitar la cuenta de usuario
Control: modo de aprobación de administrador para la cuenta de administrador integrada
1. En LON-DC1, en la ventana Editor de administración de políticas de grupo, vaya a Configuración del equipo
\ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad .
2. En el panel de la derecha, haga clic con el botón derecho en Control de cuentas de usuario: Modo de aprobación de administrador para el
Cuenta de administrador y luego haga clic en Propiedades .
3. En el Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada
Cuadro de diálogo Propiedades , seleccione la casilla de verificación Definir esta configuración de política , asegúrese de que Habilitado esté
seleccionado y luego haga clic en Aceptar .
▶ Tarea 8: Verificar que un usuario no administrativo no pueda iniciar sesión en un servidor miembro
Gpupdate / force
4. Cierre sesión en LON-SVR1.
5. Intente iniciar sesión en LON-SVR1 como Adatum \ Adam con la contraseña Pa $$ w0rd .
Verifique que no pueda iniciar sesión en LON-SVR1 y que se muestre un mensaje de error de inicio de sesión.
6. Para prepararse para el próximo ejercicio, cierre sesión en LON-SVR1 y luego vuelva a iniciar sesión en LON-SVR1 como
Adatum \ Administrador con la contraseña Pa $$ w0rd .
Resultados : después de completar este ejercicio, habrá utilizado la directiva de grupo para proteger los servidores miembro.
Ejercicio 2: auditoría del acceso al sistema de archivos
▶ Tarea 1: Modificar el GPO de configuración de seguridad del servidor miembro para habilitar el acceso a objetos
revisión de cuentas
2. En la Consola de administración de políticas de grupo, vaya a Forest: Adatum.com \ Domains \ Adatum.com .
3. Haga clic en Objetos de directiva de grupo .
4. En el panel de la derecha, haga clic con el botón derecho en Configuración de seguridad del servidor miembro y luego haga clic en Editar .
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales .
6. Haga clic en Política de auditoría .
7. En el panel derecho, haga clic con el botón derecho en Auditar acceso a objetos y luego haga clic en Propiedades .
8. En el cuadro de diálogo Propiedades de acceso a objetos de auditoría , seleccione la casilla de verificación Definir esta configuración de política
caja, seleccionar tanto el Éxito y Fracaso casillas de verificación y, a continuación, haga clic en OK .
9. Salga de LON-DC1.
Página 158
▶ Tarea 2: crear y compartir una carpeta

2. En LON-SVR1, en la barra de tareas, haga clic en el icono del Explorador de archivos .
3. En el Explorador de archivos, en el panel de navegación, haga doble clic en Disco local (C) y luego en Inicio .
4. Haga clic en Nueva carpeta , escriba Marketing y luego presione Entrar.
5. En la ventana Equipo, haga clic con el botón derecho en la carpeta Marketing , haga clic en Compartir con y luego en Específico.
personas .
6. En la ventana Compartir archivos, escriba Adam y luego haga clic en Agregar .
7. Cambie el Nivel de permiso a Lectura / Escritura , haga clic en Compartir y luego en Listo .
▶ Tarea 3: Habilite la auditoría en la carpeta Marketing para usuarios del dominio

1. En LON-SVR1, en la ventana Disco local (C :), haga clic con el botón derecho en la carpeta Marketing y luego haga clic en
Propiedades .
2. En la ventana Propiedades de marketing, haga clic en la pestaña Seguridad y luego en Avanzada .
3. En la ventana Configuración de seguridad avanzada para marketing, haga clic en la pestaña Auditoría , haga clic en Continuar y
luego haga clic en Agregar .
4. En la ventana Entrada de auditoría para marketing, haga clic en Seleccionar un principal .
5. En la ventana Seleccionar usuario, computadora, cuenta de servicio o grupo, en Ingrese el nombre del objeto para seleccionar ,
escriba Usuarios de dominio y luego haga clic en Aceptar .
6. En la ventana Entrada de auditoría para marketing, en el menú desplegable Tipo , seleccione Todo .
7. En la ventana Entrada de auditoría para marketing, en la lista Permiso , seleccione la casilla de verificación Escribir ,
y luego haga clic en Aceptar tres veces.
gpupdate / force
10. Cierre la ventana de Windows PowerShell.
▶ Tarea 4: Cree un nuevo archivo en el recurso compartido de archivos de LON-CL1

2. Señale la esquina inferior derecha de la pantalla y luego haga clic en el acceso a Buscar cuando aparezca.
3. En el cuadro de búsqueda , escriba cmd y luego presione Entrar.
4. Abra la ventana del símbolo del sistema y, en el símbolo del sistema, escriba el siguiente comando,
gpupdate / force
6. Cierre sesión en LON-CL1 y luego inicie sesión nuevamente como Adatum \ Adam con la contraseña Pa $$ w0rd .
8. En el cuadro de búsqueda , escriba \\ LON-SVR1 \ Marketing y luego presione Entrar.
Página 159
9. En la ventana Marketing, haga clic en Inicio , haga clic en Nuevo elemento , haga clic en Documento de texto , en Nombre de archivo , escriba
Empleados y luego presione Entrar.
▶ Tarea 5: ver los resultados en el registro de seguridad en el controlador de dominio

2. En la ventana Administrador del servidor, haga clic en Herramientas y luego en Visor de eventos .
4. Verifique que se muestre el siguiente evento e información:
o Fuente: Auditoría de seguridad de Microsoft Windows
o Id. de suceso: 4663
o Categoría de tarea: Sistema de archivos
o Se intentó acceder a un objeto
Resultados : Después de completar este ejercicio, habrá habilitado la auditoría de acceso al sistema de archivos.
Ejercicio 3: auditoría de inicios de sesión de dominio
▶ Tarea 1: Modificar el GPO de política de dominio predeterminado

2. En LON-DC1, en la barra de tareas, haga clic en el icono Administrador del servidor .
3. En la ventana Administrador del servidor, haga clic en Herramientas y luego en Administración de políticas de grupo .
4. En LON-DC1, en la Consola de administración de políticas de grupo, vaya a Forest: Adatum.com \ Domains

\ Adatum.com .
5. Haga clic en Objetos de directiva de grupo .
6. En el panel de la derecha, haga clic con el botón derecho en Política de dominio predeterminada y, a continuación, haga clic en Editar .
\ Configuración de Windows \ Configuración de seguridad \ Políticas locales .
8. Haga clic en Política de auditoría .
9. En el panel de la derecha, haga clic con el botón derecho en Auditar eventos de inicio de sesión de la cuenta y luego haga clic en Propiedades .
10. En el cuadro de diálogo Propiedades de eventos de inicio de sesión de cuenta de auditoría , seleccione Definir esta configuración de política
casilla de verificación, seleccionar tanto el Éxito y Fracaso casillas de verificación y, a continuación, haga clic en OK .
gpupdate / force
Página 160

gpupdate / force
5. Cierre la ventana del símbolo del sistema y luego cierre la sesión de LON-CL1.
▶ Tarea 3: Inicie sesión en LON-CL1 con una contraseña incorrecta

• Inicie sesión en LON-CL1 como Adatum \ Adam con la contraseña contraseña .
Esta contraseña es intencionalmente incorrecta para generar una entrada de registro de seguridad que muestra que
Se ha realizado un intento de inicio de sesión fallido.
▶ Tarea 4: Revise los registros de eventos en LON-DC1

1. En LON-DC1, en el Administrador del servidor , haga clic en Herramientas y luego en Visor de eventos .
3. Revise los registros de eventos para ver el siguiente mensaje: “Evento ID 4771 Error de autenticación previa de Kerberos.
Información de la cuenta: ID de seguridad: ADATUM \ Adam ”.
▶ Tarea 5: Inicie sesión en LON-CL1 con la contraseña correcta

1. Inicie sesión en LON-CL1 como Adatum \ Adam con la contraseña Pa $$ w0rd .
Esta contraseña es correcta y debería poder iniciar sesión correctamente como Adam .
▶ Tarea 6: Revisar los registros de eventos en LON-DC1

2. En la ventana Administrador del servidor, haga clic en Herramientas y luego en Visor de eventos .
4. Revise los registros de eventos para ver el siguiente mensaje: "ID de evento 4624 Se registró una cuenta correctamente
en. Nuevo inicio de sesión: ID de seguridad: ADATUM \ Adam ”.
▶ Tarea 7: Prepárese para el próximo laboratorio

• Para prepararse para el próximo laboratorio, deje las máquinas virtuales funcionando.
Resultados : después de completar este ejercicio, habrá habilitado la auditoría de inicio de sesión de dominio.
Página 161
Laboratorio B: Configuración de AppLocker y Windows

Cortafuegos
Ejercicio 1: configuración de políticas de AppLocker
▶ Tarea 1: crear una unidad organizativa para equipos cliente

3. En Usuarios y equipos de Active Directory, en el panel de navegación, haga clic con el botón derecho en Adatum.com , haga clic en Nuevo ,
y luego haga clic en Unidad organizativa .
4. En la ventana Nuevo objeto - Unidad organizativa, escriba Equipos cliente y haga clic en Aceptar .
▶ Tarea 2: Mueva LON-CL1 a la unidad organizativa de equipos cliente

1. En LON-DC1, en Usuarios y equipos de Active Directory, en el panel de navegación, haga clic en Equipos
envase.
2. En el panel de detalles, haga clic con el botón derecho en LON-CL1 y luego haga clic en Mover .
3. En la ventana Mover, haga clic en Equipos cliente y luego en Aceptar .
▶ Tarea 3: Cree un GPO de control de software y vincúlelo a la unidad organizativa de equipos cliente
2. En la Consola de administración de políticas de grupo, vaya a Bosques: Adatum.com \ Domains \ Adatum.com .
3. Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo .
4. En la ventana Nuevo GPO, en el cuadro de texto Nombre , escriba Control de software y luego haga clic en Aceptar .
5. En el panel de la derecha, haga clic con el botón derecho en Control de software y luego haga clic en Editar .
7. En AppLocker , haga clic con el botón derecho en Reglas ejecutables y luego haga clic en Crear reglas predeterminadas .
8. Repita el paso anterior para las reglas de Windows Installer , las reglas de secuencia de comandos y las reglas de aplicaciones empaquetadas .
9. En el panel de navegación, haga clic en AppLocker y luego en el panel de la derecha, haga clic en Configurar regla.
ejecución .
10. En el cuadro de diálogo Propiedades de AppLocker , en Reglas ejecutables , seleccione la casilla de verificación Configurado ,
y luego, en el menú desplegable, seleccione Solo auditoría .
11. Repita el paso anterior para las reglas de Windows Installer , las reglas de secuencia de comandos y las reglas de aplicaciones empaquetadas , y
\ Configuración de Windows \ Configuración de seguridad .
13. Haga clic en Servicios del sistema y luego haga doble clic en Identidad de la aplicación .
14. En el cuadro de diálogo Propiedades de identidad de la aplicación , haga clic en Definir esta configuración de directiva.
15. En Seleccionar modo de inicio del servicio , haga clic en Automático y luego en Aceptar .
Página 162
17. En la Consola de administración de políticas de grupo, haga clic con el botón derecho en Equipos cliente y luego haga clic en Vincular un
GPO existente .
18. En la ventana Seleccionar GPO, en la lista Objetos de directiva de grupo , haga clic en Control de software y luego

4. En la ventana del símbolo del sistema, escriba el siguiente comando y luego presione Entrar:
gpupdate / force
6. Señale la esquina inferior derecha de la pantalla y luego haga clic en el acceso a Configuración cuando aparezca.
▶ Tarea 5: Ejecute app1.bat en la carpeta C: \ CustomApp

gpresult / R
Revise el resultado del comando y asegúrese de que Control de software se muestre en Computadora
Configuración, objetos de política de grupo aplicados.
5. Si no se muestra Software Control, reinicie LON-CL1 y luego repita los pasos del 1 al 4.
C: \ CustomApp \ app1.bat
▶ Tarea 6: Ver eventos de AppLocker en un registro de eventos

1. En LON-CL1, apunte a la esquina inferior derecha de la pantalla y luego haga clic en el acceso a Buscar cuando
aparece.
2. En el cuadro de búsqueda , escriba eventvwr.msc y luego presione Entrar.
3. En la ventana Visor de eventos, expanda Registros de aplicaciones y servicios , expanda Microsoft , expanda
Windows y luego expanda AppLocker .
4. Haga clic en MSI y Scripts y luego revise el registro de eventos 8005 que contiene el siguiente texto:
Se permitió la ejecución de% OSDRIVE% \ CUSTOMAPP \ APP1.BAT .
Si no se muestran eventos, asegúrese de que el servicio de identidad de la aplicación se haya iniciado y vuelva a intentarlo.
Página 163
▶ Tarea 7: Cree una regla que permita que el software se ejecute desde una ubicación específica
2. En la Consola de administración de directivas de grupo, expanda el nodo Objetos de directiva de grupo , haga clic con el botón derecho
Control de software y luego haga clic en Editar .
4. Haga clic con el botón derecho en Reglas de secuencia de comandos y, a continuación, haga clic en Crear nueva regla .
6. En la página Permisos , haga clic en Permitir y luego en Siguiente .
7. En la página Condiciones , haga clic en Ruta y luego en Siguiente .
8. En la página Ruta , en Ruta , escriba la ruta % OSDRIVE% \ CustomApp \ app1.bat y luego haga clic en Siguiente .
9. En la página Excepción , haga clic en Siguiente .
10. En la página Nombre y descripción , en Nombre , escriba Regla de aplicación personalizada y luego
haga clic en Crear .
▶ Tarea 8: Modificar el GPO de control de software para hacer cumplir las reglas
1. En la ventana Editor de administración de políticas de grupo, en el panel de navegación, haga clic en AppLocker y luego
en el panel de la derecha, haga clic en Configurar aplicación de reglas .
2. En el cuadro de diálogo Propiedades de AppLocker , en Reglas ejecutables , seleccione la casilla de verificación Configurado y
luego, en el menú desplegable, haga clic en Aplicar reglas .
3. Repita el paso anterior para las reglas de Windows Installer , las reglas de secuencia de comandos y las reglas de aplicaciones empaquetadas , y
▶ Tarea 9: Verifique que una aplicación aún se pueda ejecutar

gpupdate / force
6. Señale la esquina inferior derecha de la pantalla y luego haga clic en el acceso a Configuración cuando aparezca.
8. Inicie sesión en LON-CL1 como Adatum \ Tony con la contraseña Pa $$ w0rd .
C: \ customapp \ app1.bat
Página 164
▶ Tarea 10: Verifique que no se pueda ejecutar una aplicación

1. En LON-CL1, en la barra de tareas, haga clic en el icono del Explorador de archivos .
2. En el Explorador de archivos, en el panel de navegación, haga clic en Equipo .
3. En la ventana Computadora, haga doble clic en Disco local (C :) , haga doble clic en la carpeta CustomApp , a la derecha
haga clic en app1.bat y luego en Copiar .
4. En la ventana CustomApp, en el panel de navegación, haga clic con el botón derecho en la carpeta Documentos y luego
haga clic en Pegar .
5. En la ventana del símbolo del sistema, escriba C: \ Users \ Tony \ Documents \ app1.bat y luego presione Entrar.
6. Verifique que las aplicaciones no se puedan ejecutar desde la carpeta Documentos y que el siguiente mensaje sea
aparece: “Este programa está bloqueado por la directiva de grupo. Para obtener más información, comuníquese con su sistema
administrador."
7. Cierre todas las ventanas abiertas y luego cierre la sesión de LON-CL1.
Resultados : después de completar este ejercicio, habrá configurado las políticas de AppLocker para todos los usuarios
Las cuentas de equipo se encuentran en la unidad organizativa de equipos cliente. Las políticas que configuró deberían permitir
estos usuarios para ejecutar aplicaciones que se encuentran en las carpetas C: \ Windows y C: \ Archivos de programa, y ejecutar
la aplicación app1.bat desarrollada a medida en la carpeta C: \ CustomApp.
Ejercicio 2: configuración de Firewall de Windows
▶ Tarea 1: Cree un grupo denominado Servidores de aplicaciones

2. En la ventana Administrador del servidor, haga clic en Herramientas y luego en Usuarios y equipos de Active Directory .
3. En Usuarios y equipos de Active Directory, en el panel de navegación, haga clic con el botón derecho en la unidad organizativa de servidores miembros ,
haga clic en Nuevo y luego en Grupo .
4. En la ventana Nuevo objeto - Grupo, en Nombre de grupo , escriba Servidores de aplicaciones y luego haga clic en Aceptar .
▶ Tarea 2: Agregar LON-SVR1 como miembro del grupo

1. En Usuarios y equipos de Active Directory, en el panel de navegación, haga clic en la unidad organizativa Servidores miembros y
en el panel de detalles, haga clic con el botón derecho en el grupo Servidores de aplicaciones y luego haga clic en Propiedades .
2. En el cuadro de diálogo Propiedades del servidor de aplicaciones , haga clic en la pestaña Miembros y luego en Agregar .
3. En Seleccionar usuarios, equipos, cuentas de servicio o grupos , haga clic en Tipos de objeto , haga clic en Equipos y
4. En el cuadro Introduzca los nombres de los objetos para seleccionar , escriba LON-SVR1 y, a continuación, haga clic en Aceptar .
5. En el cuadro de diálogo Propiedades del servidor de aplicaciones , haga clic en Aceptar .
▶ Tarea 3: Cree un nuevo GPO de servidores de aplicaciones

2. En la Consola de administración de políticas de grupo, expanda Bosques: Adatum.com , expanda Dominios , expanda
Adatum.com , haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo .
3. En la ventana Nuevo GPO, en Nombre , escriba Application Servers GPO y luego haga clic en Aceptar .
4. En la Consola de administración de directivas de grupo, haga clic con el botón derecho en Servidores de aplicaciones GPO y luego haga clic en Editar .
Página 165
\ Configuración de Windows \ Configuración de seguridad \ Firewall de Windows con seguridad avanzada .
6. Haga clic en Firewall de Windows con seguridad avanzada - LDAP: // CN = {GUID} .
7. En la ventana Editor de administración de políticas de grupo, haga clic en Reglas de entrada .
8. Haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic en Nueva regla .
9. En el Asistente para nueva regla de entrada, en la página Tipo de regla , haga clic en Personalizado y luego en Siguiente .
10. En la página Programa , haga clic en Siguiente .
11. En la página Protocolo y puertos , en la lista Tipo de protocolo , haga clic en TCP .
12. En la lista Puerto local , haga clic en Puertos específicos , en el cuadro de texto escriba 8080 y luego haga clic en Siguiente .
13. En la página Ámbito , haga clic en Siguiente .
14. En la página Acción , haga clic en Permitir la conexión y luego en Siguiente .
15. En la página Perfil , desactive las casillas de verificación Privada y Pública y luego haga clic en Siguiente .
16. En la página Nombre , en el cuadro Nombre , escriba Regla de firewall del departamento del servidor de aplicaciones y luego
haga clic en Finalizar .
▶ Tarea 4: vincular el GPO de los servidores de aplicaciones a la unidad organizativa de los servidores miembros
1. En LON-DC1, en la Consola de administración de políticas de grupo, haga clic con el botón derecho en la unidad organizativa Servidores miembros y luego
haga clic en Vincular un GPO existente .
2. En la ventana Seleccionar GPO, en la lista de objetos de directiva de grupo , haga clic en Servidores de aplicaciones GPO y luego
▶ Tarea 5: Utilice el filtrado de seguridad para limitar el GPO del servidor de aplicaciones a los miembros de
Grupo de servidores de aplicaciones
1. En LON-DC1, en la Consola de administración de políticas de grupo, haga clic en OU Servidores miembros .
2. Expanda la unidad organizativa Servidores miembros y, a continuación, haga clic en el vínculo GPO de servidores de aplicaciones .
3. En el cuadro de mensaje Consola de administración de directivas de grupo , haga clic en Aceptar .
4. En el panel de la derecha, en Filtrado de seguridad , haga clic en Usuarios autenticados y luego en Quitar .
5. En el cuadro de diálogo Confirmación , haga clic en Aceptar .
6. En el panel de detalles, en Filtrado de seguridad , haga clic en Agregar .
7. En el cuadro de diálogo Seleccionar usuario, equipo o grupo , escriba Servidores de aplicaciones y luego haga clic en Aceptar .
▶ Tarea 6: Ejecute gpupdate en LON-SVR1

1. Cambie a LON-SVR1 y luego inicie sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
gpupdate / force
6. Reinicie LON-SVR1 y luego vuelva a iniciar sesión como Adatum \ Administrator con la contraseña Pa $$ w0rd .
Página 166
▶ Tarea 7: Ver las reglas de firewall en LON-SVR1

2. En el Administrador del servidor, haga clic en Herramientas y luego en Firewall de Windows con seguridad avanzada .
3. En la ventana Firewall de Windows con seguridad avanzada, haga clic en Reglas de entrada .
4. En el panel de la derecha, verifique que la regla de firewall del departamento del servidor de aplicaciones que
creado anteriormente mediante la directiva de grupo está configurado.
5. Verifique que no pueda editar la regla de firewall del departamento de servidor de aplicaciones , porque es
configurado a través de la Política de grupo.
Resultados : después de completar este ejercicio, habrá utilizado la directiva de grupo para configurar el Firewall de Windows
con seguridad avanzada para crear reglas para servidores de aplicaciones.

Cuando termine la práctica de laboratorio, revierta las máquinas virtuales a su estado inicial realizando los siguientes pasos:
Página 167
L13-77
Módulo 13: Implementación de la virtualización de servidores con

Hyper-V
Laboratorio: Implementación de la virtualización de servidores

con Hyper-V
Ejercicio 1: instalación del rol de Hyper-V en un servidor
▶ Tarea 1: Instale la función Hyper-V en un servidor

1. En LON-HOST1, en el Administrador del servidor, haga clic en Servidor local .
2. En el panel Propiedades, haga clic en la dirección IPv4 asignada por DHCP, enlace habilitado para IPv6 .
3. En el cuadro de diálogo Conexiones de red , haga clic con el botón derecho en el objeto de red y luego haga clic en Propiedades .
4. En el cuadro de diálogo Propiedades , haga clic en Protocolo de Internet versión 4 (TCP / IPv4) y luego haga clic en
Propiedades .
5. En el cuadro de diálogo Propiedades , en la pestaña General , haga clic en Usar la siguiente dirección IP y luego
configurar lo siguiente:
6. En la pestaña General , haga clic en Usar las siguientes direcciones de servidor DNS y luego configure el
siguiendo:
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades .
8. En el cuadro de diálogo Propiedades del objeto de red, haga clic en Cerrar .
10. En la consola del Administrador del servidor, en el menú Administrar , haga clic en Agregar roles y características .
11. En el Asistente para agregar roles y características, en la página Antes de comenzar , haga clic en Siguiente .
12. En la página Seleccionar tipo de instalación , haga clic en Instalación basada en funciones o en función , y luego
13. En la página Seleccionar servidor de destino , asegúrese de que LON-HOST1 esté seleccionado y luego haga clic en Siguiente .
14. En la página Seleccionar roles de servidor , seleccione Hyper-V .
15. En el Asistente para agregar funciones y funciones, haga clic en Agregar funciones .
16. En la página Seleccionar roles de servidor , haga clic en Siguiente .
18. En la página de Hyper-V , haga clic en Siguiente .
19. En la página Conmutadores virtuales , verifique que no se hayan realizado selecciones y luego haga clic en Siguiente .
20. En la página Migración de máquinas virtuales , haga clic en Siguiente .
21. En la página Tiendas predeterminadas , revise la ubicación de las Tiendas predeterminadas y luego haga clic en Siguiente .
Página 168
L13-78 Implementación de la virtualización de servidores con Hyper-V
22. En la página Confirmar selecciones de instalación , haga clic en Reiniciar el servidor de destino automáticamente si
requerido .
23. En el Asistente para agregar funciones y funciones, revise el mensaje sobre los reinicios automáticos y luego
haga clic en Sí .
Después de unos minutos, el servidor se reinicia automáticamente. Asegúrese de reiniciar la máquina desde el
menú de inicio como 20410D-LON-HOST1 . La computadora se reiniciará varias veces.
▶ Tarea 2: Complete la instalación del rol de Hyper-V y verifique la configuración

1. Inicie sesión en LON-HOST1 utilizando el administrador de la cuenta con la contraseña Pa $$ word .
2. Cuando se complete la instalación de las herramientas de Hyper-V, haga clic en Cerrar para cerrar Agregar roles y
Asistente de funciones.
3. En la consola del Administrador del servidor, haga clic en el menú Herramientas y luego en Administrador de Hyper-V .
4. En la consola del Administrador de Hyper-V, haga clic en LON-HOST1 .
5. En la consola del Administrador de Hyper-V, en el panel Acciones, con LON-HOST1 seleccionado, haga clic en Hyper-V
Configuraciones .
6. En el cuadro de diálogo Configuración de Hyper-V para LON-HOST1 , haga clic en el elemento Teclado . Verifique que el
El teclado está configurado en la opción Usar en la máquina virtual .
7. En el cuadro de diálogo Configuración de Hyper-V para LON-HOST1 , haga clic en el elemento Discos duros virtuales .
8. Verifique que la ubicación de la carpeta predeterminada para almacenar archivos del disco duro virtual sea
C: \ Users \ Public \ Documents \ Hyper-V \ Virtual Hard Disks y, a continuación, haga clic en Aceptar .
Resultados : después de completar este ejercicio, debería haber instalado la función Hyper-V en un servidor físico.
Ejercicio 2: configuración de redes virtuales
▶ Tarea 1: Configurar la red externa

1. En la consola del Administrador de Hyper-V, haga clic en LON-HOST1 .
2. En el menú Acciones , haga clic en Virtual Switch Manager .
3. En el cuadro de diálogo Administrador de conmutador virtual para LON-HOST1 , haga clic en Nuevo conmutador de red virtual .
Asegúrese de que Externo esté seleccionado y luego haga clic en Crear conmutador virtual .
4. En el área Propiedades del conmutador virtual, ingrese la siguiente información y luego haga clic en Aceptar :
o Nombre: Interruptor para adaptador externo
o Red externa: asignada al adaptador de red físico de la computadora host. (Esto varía
dependiendo de la computadora host.)
5. En el cuadro de diálogo Aplicar cambios de red , revise la advertencia y luego haga clic en Sí .
▶ Tarea 2: Cree una red privada

1. En Hyper-V Manager, haga clic en LON-HOST1 y en el menú Acciones , haga clic en Virtual Switch Manager .
2. En Conmutadores virtuales , haga clic en Nuevo conmutador de red virtual .
3. En Crear conmutador virtual , haga clic en Privado y luego en Crear conmutador virtual .
Página 169
4. En el cuadro de diálogo Virtual Switch Manager , en la sección Virtual Switch Properties , configure el
siguiente configuración y luego haga clic en Aceptar :
o Nombre: Red privada
o Tipo de conexión: Red privada
▶ Tarea 3: Cree una red interna

1. En Hyper-V Manager, haga clic en LON-HOST1 y, en el menú Acciones , haga clic en Virtual Switch Manager .
2. En Conmutadores virtuales , haga clic en Nuevo conmutador de red virtual .
3. En Crear conmutador virtual , haga clic en Interno y luego en Crear conmutador virtual .
4. En el cuadro de diálogo Virtual Switch Manager , en la sección Virtual Switch Properties , configure el
siguiente configuración y luego haga clic en Aceptar :
o Nombre: Red interna
o Tipo de conexión: Red interna
▶ Tarea 4: Configurar el rango de direcciones MAC

1. En Hyper-V Manager, haga clic en LON-HOST1 y en el menú Acciones , haga clic en Virtual Switch Manager .
2. En Configuración de red global , haga clic en Rango de direcciones MAC .
3. En la configuración del rango de direcciones MAC, configure los siguientes valores y luego haga clic en Aceptar :
o Mínimo: 00-15-5D-0F-AB-A0
o Máximo: 00-15-5D-0F-AB-EF
4. Cierre la consola del Administrador de Hyper-V.
Resultados : después de completar este ejercicio, debería haber configurado las opciones de conmutador virtual en un
implementó el servidor Windows Server 2012 que ejecuta el rol Hyper-V.
Ejercicio 3: creación y configuración de una máquina virtual
▶ Tarea 1: Crear discos duros virtuales diferenciadores

2. Expanda Esta PC , expanda la unidad E , expanda Archivos de programa , expanda Microsoft Learning y luego
expandir Base .

computadora.
3. En la carpeta Base , verifique que el archivo de imagen del disco duro Base14A-WS12R2.vhd esté presente.
4. Haga clic en la pestaña Inicio y luego haga clic en el icono Nueva carpeta dos veces para crear dos carpetas nuevas. Botón derecho del ratón
cada carpeta, y luego cambie el nombre de las carpetas de la siguiente manera:
o LON-GUEST1
o LON-GUEST2
Página 170
6. En la consola del Administrador del servidor, haga clic en Herramientas y luego en Administrador de Hyper-V .
7. En la consola del Administrador de Hyper-V, en el panel Acciones, haga clic en Nuevo y luego en Disco duro .
8. En el Asistente para nuevo disco duro virtual, en la página Antes de comenzar , haga clic en Siguiente .
9. En la página Choose Disk Format , haga clic en VHD y luego en Next .
10. En la página Choose Disk Type , haga clic en Differencing y luego en Next .
11. En la página Especificar nombre y ubicación , especifique los siguientes detalles y luego haga clic en Siguiente :
o Nombre: LON-GUEST1.vhd

computadora.
12. En la página Configurar disco , escriba la ubicación: E: \ Archivos de programa \ Microsoft Learning \ Base \
Base14A-WS12R2.vhd y luego haga clic en Finalizar .
13. En el escritorio, la barra de tareas, haga clic en el Windows PowerShell ® icono.
14. En el indicador de Windows PowerShell, escriba el siguiente comando para crear una nueva diferenciación virtual.
disco duro que se utilizará con LON-GUEST2, y luego presione Enter:
New-VHD "E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST2 \ LON-GUEST2.vhd"
-ParentPath "E: \ Archivos de programa \ Microsoft Learning \ Base \ Base14A-WS12R2.vhd"
16. En la consola del Administrador de Hyper-V, en el panel Acciones, haga clic en Inspeccionar disco .
17. En el cuadro de diálogo Abrir , busque E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST2 \ , haga clic en
LON-GUEST2.vhd y luego haga clic en Abrir .
18. En el cuadro de diálogo Propiedades del disco duro virtual , verifique que LON-GUEST2.vhd esté configurado como
diferenciar el disco duro virtual con E: \ Archivos de programa \ Microsoft Learning \ Base \
Base14A-WS12R2.vhd como padre y luego haga clic en Cerrar .
▶ Tarea 2: Cree máquinas virtuales

1. En Hyper-V Manager, haga clic en LON-HOST1 y en el panel Acciones , haga clic en Nuevo y luego en Virtual.
Máquina .
2. En el Asistente para nueva máquina virtual, en la página Antes de comenzar , haga clic en Siguiente .
3. En la página Especificar nombre y ubicación , haga clic en Almacenar la máquina virtual en una ubicación diferente ,
ingrese los siguientes valores y luego haga clic en Siguiente :
o Nombre: LON-GUEST1

computadora.
4. En la página Especificar generación , seleccione Generación 1 y luego haga clic en Siguiente .
Página 171
5. En la página Asignar memoria , ingrese un valor de 1024 MB , seleccione Usar memoria dinámica para este
opción de máquina virtual y luego haga clic en Siguiente .
6. En la página Configurar redes , para la conexión, haga clic en Red privada y luego en
Siguiente .
7. En la página Conectar disco duro virtual , haga clic en Usar un disco duro virtual existente . Haga clic en Examinar ,
vaya a E: \ Archivos de programa \ Microsoft Learning \ Base \ LON-GUEST1 \ LON-GUEST1.vhd , haga clic en
Abra y luego haga clic en Finalizar .
8. En el escritorio, en la barra de tareas, haga clic en el icono de Windows PowerShell .
9. En el indicador de Windows PowerShell, escriba el siguiente comando para crear una nueva máquina virtual
llamado LON-GUEST2 , y luego presione Enter:
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E: \ Program

Archivos \ Microsoft Learning \ Base \ LON-GUEST2 \ LON-GUEST2.vhd "-SwitchName" Privado
Red"
11. En la consola del Administrador de Hyper-V, haga clic en LON-GUEST2 .
12. En el panel Acciones, en LON-GUEST2 , haga clic en Configuración .
13. En el cuadro de diálogo Configuración de LON-GUEST2 en LON-HOST1 , haga clic en Acción de inicio automático y configure
la Acción de inicio automático a Nada .
14. En el cuadro de diálogo Configuración de LON-GUEST2 en LON-HOST1 , haga clic en Acción de parada automática y configure
la Acción de parada automática para apagar el sistema operativo invitado .
15. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de LON-GUEST2 en LON-HOST1 .
▶ Tarea 3: habilitar la medición de recursos

2. En el indicador de Windows PowerShell, ingrese los siguientes comandos para habilitar la medición de recursos en
las máquinas virtuales, presionando Enter al final de cada línea:
Resultados : después de completar este ejercicio, debería haber implementado dos máquinas virtuales independientes utilizando
un archivo de disco duro virtual preparado por el sistema como disco principal para dos discos duros virtuales diferenciados.
Ejercicio 4: uso de puntos de control de máquinas virtuales
▶ Tarea 1: Implementar Windows Server 2012 en una máquina virtual

1. En la consola del Administrador de Hyper-V, haga clic en LON-GUEST1 .
2. En el panel Acciones, haga clic en Iniciar .
3. Haga doble clic en LON-GUEST1 para abrir la ventana Conexión de máquina virtual.
Página 172
4. En la ventana LON-GUEST1 en LON-HOST1 - Conexión de máquina virtual, realice lo siguiente

pasos:
o En la página Configuración , haga clic en Siguiente para aceptar la configuración de Región e Idioma.
o En la página Configuración , haga clic en Acepto .
o En la página Configuración , escriba la contraseña Pa $$ w0rd dos veces y luego haga clic en Finalizar .
5. En la ventana LON-GUEST1 en LON-HOST1 - Conexión de máquina virtual, en el menú Acción ,

haga clic en CTRL + Alt + Suprimir .
6. Inicie sesión en la máquina virtual utilizando la cuenta Administrador y la contraseña Pa $$ w0rd .
7. En la máquina virtual, en la consola del Administrador del servidor, haga clic en Servidor local y luego en el
nombre asignado aleatoriamente junto al nombre de la computadora.
9. En el campo Nombre de la computadora , escriba LON-GUEST1 y luego haga clic en Aceptar .
10. En el cuadro de diálogo Cambios en el dominio o el nombre del equipo , haga clic en Aceptar .
11. Haga clic en Cerrar para cerrar el cuadro de diálogo Propiedades del sistema .
▶ Tarea 2: Cree un punto de control de la máquina virtual

1. Inicie sesión en la máquina virtual LON-GUEST1 utilizando la cuenta de administrador y la contraseña
Pa $$ w0rd
2. En la consola del Administrador del servidor, haga clic en el nodo Servidor local y verifique que el nombre de la computadora
está configurado en LON-GUEST1 .
3. En la ventana Conexión de máquina virtual, en el menú Acción , haga clic en Punto de control .
4. En el cuadro de diálogo Nombre del punto de control , escriba el nombre Antes del cambio y luego haga clic en Sí .
▶ Tarea 3: Modificar la máquina virtual

1. En la consola del Administrador del servidor, haga clic en Servidor local y, a continuación, junto a Nombre del equipo , haga clic en
INVITADO SOLITARIO 1 .
3. En el campo Nombre de la computadora , escriba LON-Computer1 y luego haga clic en Aceptar .
4. En el cuadro de diálogo Cambios en el dominio / nombre del equipo , haga clic en Aceptar .
5. Cierre el cuadro de diálogo Propiedades del sistema .
7. Vuelva a iniciar sesión en la máquina virtual LON-GUEST1 mediante la cuenta de administrador y la

8. En la consola del Administrador del servidor, haga clic en Servidor local y luego verifique que el nombre del servidor esté establecido en
LON-Computer1 .
Página 173
▶ Tarea 4: volver al punto de control de la máquina virtual existente

1. En la ventana Conexión de máquina virtual, en el menú Acción , haga clic en Revertir .
3. En la consola del Administrador del servidor, en el nodo Servidor local , en la lista Máquinas virtuales , verifique que el
El nombre de la computadora ahora está configurado como LON-GUEST1 .
▶ Tarea 5: Ver datos de medición de recursos

1. En LON-HOST1, en la barra de tareas, haga clic en el icono de Windows PowerShell .
2. Para recuperar información de medición de recursos, en el indicador de Windows PowerShell, ingrese lo siguiente
Medir-VM LON-GUEST1
Tenga en cuenta la unidad central de procesamiento (CPU) promedio, la memoria de acceso aleatorio (RAM) promedio y el disco total
cifras de uso.
3. Cierre la ventana de Windows PowerShell.
Resultados : después de completar este ejercicio, debería haber utilizado puntos de control de la máquina virtual para recuperarse
una mala configuración de la máquina virtual.
▶ Revertir las máquinas virtuales

Una vez que termine la práctica de laboratorio, reinicie la computadora en Windows Server 2012 realizando los siguientes pasos:
2. En el símbolo del sistema de Windows PowerShell, escriba el siguiente comando y luego presione Entrar:
Apagado / r / t 5
3. Desde el Administrador de arranque de Windows, seleccione Windows Server 2012 .
Página 174

p3 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

p3 PDF

Cargado por

Copyright:

Formatos disponibles

17/11/2020 USO DE MCT ÚNICAMENTE.

PROHIBIDO EL USO DE ESTUDIANTES

Instalación y configuración de Windows Server ® 2012 11-19

Configuración de políticas administradas

o HKLM \ Software \ Policies (configuración de la computadora)

o HKCU \ Software \ Policies (configuración de usuario)

o HKLM \ Software \ Microsoft \ Windows \ Current Version \ Policies (configuración de la computadora)

o HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies (configuración de usuario)

Configuración de políticas no administradas

Laboratorio: Implementación de políticas de grupo

• Configurar una tienda central.

Maquinas virtuales 20410D-LON-DC1

Nombre de usuario Adatum \ Administrador

Instrucciones de configuración de laboratorio

1. En la computadora host, inicie Hyper-V Manager .

4. Inicie sesión con las siguientes credenciales:

o Nombre de usuario: Adatum \ Administrator

Ejercicio 1: configurar una tienda central

Las principales tareas de este ejercicio son las siguientes:

1. Vea la ubicación de las plantillas administrativas en un GPO.

2. Cree una tienda central.

3. Copie las plantillas administrativas en el almacén central.

4. Verifique la ubicación de la plantilla administrativa en GPMC.

▶ Tarea 1: ver la ubicación de las plantillas administrativas en un GPO

2. Inicie la Consola de administración de políticas de grupo.

▶ Tarea 2: Crear una tienda central

▶ Tarea 3: Copie las plantillas administrativas en el almacén central

▶ Tarea 4: Verificar la ubicación de la plantilla administrativa en GPMC

2. Cierre la ventana Editor de administración de políticas de grupo.

Ejercicio 2: creación de GPO

Las principales tareas de este ejercicio son las siguientes:

1. Cree un GPO de inicio predeterminado de restricción de Windows Internet Explorer.

2. Configure el GPO de inicio de restricción de Internet Explorer.

4. Pruebe el GPO para usuarios de dominio.

6. Pruebe la aplicación GPO para los usuarios del departamento de TI.

7. Pruebe la aplicación del GPO para otros usuarios del dominio.

▶ Tarea 1: Cree un GPO de inicio predeterminado de restricción de Windows Internet Explorer

▶ Tarea 2: Configurar el GPO de inicio de restricciones de Internet Explorer

2. Cierre la ventana Editor de administración de políticas de grupo.

▶ Tarea 3: Cree un GPO de restricciones de Internet Explorer desde Internet Explorer

▶ Tarea 4: Pruebe el GPO para usuarios de dominio

2. Abra el Panel de control.

3. Intente cambiar su página de inicio.

▶ Tarea 5: Utilice el filtrado de seguridad para eximir al Departamento de TI de Internet Explorer

▶ Tarea 6: Pruebe la aplicación GPO para los usuarios del departamento de TI

2. Inicie sesión en LON-CL1 como Brad con la contraseña Pa $$ w0rd .

3. Abra el Panel de control.

2. Abra el Panel de control.

3. Intente cambiar su página de inicio.

Preguntas de revisión de laboratorio

▶ Prepárese para el siguiente módulo

1. En la computadora host, inicie Hyper-V Manager .

3. En el cuadro de diálogo Revertir máquina virtual , haga clic en Revertir .

4. Repita los pasos 2 y 3 para 20410D-LON-CL1 .

Revisión del módulo y conclusiones

• Si no tienen ajustes configurados, desactive las secciones de políticas de Usuario o Equipo.

• Si tiene varias estaciones de trabajo de administración, cree un almacén central.

• Diseñe la estructura de su unidad organizativa para admitir la aplicación de políticas de grupo.

Problemas habituales y consejos para la resolución de problemas

Problema común Sugerencia de solución de problemas

Un usuario experimenta anomalías

Todos los usuarios de una unidad organizativa en particular son

Herramienta Utilizar Donde encontrarlo