Windows Server 2012 R2 Guia Estudio Exam

Windows Server 2012 R2
Instalación y Configuración - Preparación para la certificación MCSA - Examen

70-410
Capítulo 1 Introducción
A. Introducción 12
B. Organización de las certificaciones 12
C. ¿Cómo está organizado este libro? 12
D. Competencias evaluadas en el examen 70-410 14

1. El examen de certificación 14
2. Preparación del examen 14
E. Máquinas virtuales utilizadas 14
Capítulo 2 Instalación de Hyper-V
A. Información general de las tecnologías de virtualización 16

1. Virtualización del puesto de trabajo 16
2. Virtualización de aplicaciones 16
3. Hyper-V en Windows 8.1 17
B. Implementación de Hyper-V 17
1. Requisitos previos de Hardware 17

2. Las máquinas virtuales en Hyper-V 17
3. La memoria dinámica con Hyper-V 19
4. Presentación de las diferentes generaciones 20
5. Uso del modo de sesión mejorada 20
C. El disco duro de las máquinas virtuales 23
1. Los diferentes tipos de discos 23

2. Administración de un disco virtual 24
3. Los discos de diferenciación 25
www.ediciones-eni.com © Ediciones ENI 1/13

70-410
4. Los puntos de control en Hyper-V 25
D. Gestión de redes virtuales 26
E. El Sandbox 27
1. Configuración necesaria 27
2. La instalación de Windows Server 2012 R2 27
F. Talleres 28
1. Configuración de la red virtual 28
G. Creación de las máquinas virtuales 29

1. Esquema de la maqueta 32
2. Máquina virtual AD1 33
a. Creación y configuración de la VM 33
b. Instalación del sistema operativo 37
c. Configuración post-instalación 39
3. Máquina virtual SV1 43
4. Máquina virtual SV2 43
5. Máquina virtual SVCore 43
6. Máquina virtual CL8-01 43
7. Máquina virtual CL8-02 44
8. Creación de puntos de control 44
H. Configuración de la QoS a nivel de almacenamiento 45
I. Validación de conocimientos: preguntas/respuestas 47
Capítulo 3 Despliegue y administración de Windows Server 2012 R2
A. Información general de Windows Server 2012 R2 50
1. Las ediciones de Windows Server 2012 R2 50

2. Presentación de los principales roles 51

70-410
3. Presentación de las principales características 52
B. Información general de la administración de Windows Server 2012 R2 53
C. Instalación de Windows Server 2012 R2 56
1. Métodos de instalación 56
2. Requisitos previos de hardware para Windows Server 2012 R2 57
D. Configuración del sistema operativo después de su instalación 57
1. Configuración del adaptador de red 57

2. Unirse a un dominio sin conexión 65
3. Configuración de un servidor Core 65
E. Introducción a PowerShell 66
1. Presentación de PowerShell 66
2. Sintaxis de los cmdlets PowerShell 66
3. Presentación de la consola PowerShell ISE 67
4. Instalar y configurar la característica DSC (Desired State Configuration) 68
F. Talleres 68
1. Creación del bosque Formacion.local 68

2. Configuración de un servidor en modo de instalación Core 75
3. Administración de servidores 81
4. Utilización de PowerShell para administrar los servidores 85
5. Unirse a un dominio sin conexión 88
6. Agregar características a una imagen sin conexión 90
7. Agregar/eliminar una interfaz gráfica 92
G. Validación de conocimientos: preguntas/respuestas 94
Capítulo 4 Introducción a los servicios Active Directory
A. Introducción 98

70-410
B. Información general de Active Directory 98

1. El dominio Active Directory 99
2. Las unidades organizativas 99
3. El bosque Active Directory 101
4. El esquema de Active Directory 102
5. Las particiones de Active Directory 103
6. Los maestros de operación FSMO 103
7. Los sitios Active Directory y la replicación 104
C. Información general de un controlador de dominio 104

1. Los controladores de dominio 104
2. Presentación de los catálogos globales 105
3. Proceso de inicio de sesión con Active Directory 105
D. Promover un controlador de dominio 105
1. Promover un controlador de dominio de forma gráfica 105

2. Instalación de un controlador de dominio en un servidor Core 106
3. Actualización de un controlador de dominio a Windows Server 2012 R2 107
4. Promover un controlador de dominio utilizando IFM 107
E. La papelera de reciclaje AD 108
F. La directiva de contraseña muy específicas 108
G. Talleres 109
1. Promover un servidor utilizando IFM 109
2. Utilización de la interfaz de la papelera de reciclaje AD 116
3. Implantación de una directiva de contraseña muy específica 120
H. Validación de conocimientos: preguntas/respuestas 126
Capítulo 5 Administración de objetos AD

70-410
A. Introducción 132
B. Presentación de las consolas Active Directory 132
C. Administración de las cuentas de usuario 133
1. Creación de una cuenta de usuario 133

2. Configuración de los atributos de una cuenta de usuario 134
3. Creación de un perfil de usuario móvil 137
D. Administración de grupos 139
1. Diferencia entre grupos de seguridad y de distribución 139

2. El ámbito de un grupo 140
E. Administración de las cuentas de equipo 141

1. El contenedor equipo 141
2. Reinicio del canal seguro 143
F. Talleres 144
1. Implementar la delegación 144

2. Administración de cuentas de usuario 147
Capítulo 6 Automatizar la administración de Active Directory
B. Administración mediante líneas de comandos 160

1. Utilización del comando CSVDE 160
2. Utilización del comando LDIFDE 161

70-410
C. Administración del rol AD DS empleando PowerShell 162

1. Administración de cuentas de usuario con PowerShell 162
2. Administración de grupos con PowerShell 166
3. Administración de cuentas de equipo con PowerShell 168
4. Administración de unidades organizativas con PowerShell 170
D. Taller 172
1. Modificación de varios usuarios en PowerShell 172
E. Validación de conocimientos: preguntas/respuestas 173
Capítulo 7 Implementación del protocolo IP
B. Información general del protocolo TCP/IP 176
C. Entender el direccionamiento IPv4 178
1. El direccionamiento IPv4 178

2. Direccionamiento privado/público 179
3. Conversión de binario a decimal 180
4. Las diferentes clases de direcciones 181
5. El CIDR 181
D. Establecimiento de subredes 182
1. La ventaja de las subredes 182

2. Calcular una subred 182
E. Configurar y mantener IPv4 184
1. El comando ipconfig 184

2. El comando ping 185

70-410
3. El comando tracert 186
F. Implementación del protocolo IPv6 186

1. Información general del protocolo IPv6 186
a. Direcciones locales únicas 187
b. Direcciones globales unicast 188
c. Dirección de enlace local 188
G. Talleres 189
1. Conversión de decimal a binario 189

2. Cálculo de direcciones de subredes 190
3. Implementación del protocolo IPv6 192
Capítulo 8 Implementación de un servidor DHCP
B. Rol de servicio DHCP 200

1. Asignación de una dirección IP 200
2. Utilización de un relay DHCP 201
C. Funcionalidad del servidor DHCP 202
1. El ámbito del servidor DHCP 202

2. Reserva de concesiones DHCP 203
3. Las opciones de DHCP 204
4. Implementación de filtros 207
D. Base de datos DHCP 208
1. Presentación de la base de datos DHCP 208

2. Copia de seguridad y restauración de la base de datos 208
3. Reconciliación y desplazamiento de la base de datos 209

70-410
E. Securización y mantenimiento de DHCP 212

1. Securizar la distribución de concesiones DHCP 212
2. Utilización de las estadísticas y registros de auditoría 213
F. IPAM 216
G. Talleres 218
1. Agregar el rol DHCP 218

2. Configurar un nuevo ámbito y agregar opciones 219
3. Copia de seguridad y restauración de la base de datos 227
4. Implementación de IPAM 228
Capítulo 9 Implementación de un servidor DNS
B. Funcionamiento de DNS 250

1. Base de datos distribuida 251
2. Consultas iterativas y recursivas 252
C. Zonas y servidores DNS 253
1. Los diferentes tipos de zona 253

2. La zona GlobalNames 254
D. Instalación y administración del servidor 254
1. Instalación del rol 254

2. La actualización dinámica 255
3. Los diferentes registros 256

70-410
E. Soporte del servidor DNS 257

1. El comando nslookup 257
2. El comando dnslint 259
3. El comando ipconfig 260
4. El comando dnscmd 260
F. Talleres 261
1. Configuración de un redirector condicional 261
2. Creación de una zona GlobalNames 268
Capítulo 10 Gestión del espacio de almacenamiento local
B. El sistema de almacenamiento 276

1. Los diferentes discos y su rendimiento 276
2. Diferencia entre DAS y NAS 277
3. Información general de una SAN 278
4. Utilización de la tecnología RAID 279
C. Gestión de discos y volúmenes 280
1. Tablas de partición MBR y GPT 280

2. Los diferentes tipos de discos 281
3. Sistemas de archivo FAT, NTFS y ReFS 281
4. Extender o reducir una partición en Windows Server 2012 R2 282
D. Implementación de un espacio de almacenamiento 283
1. La característica Espacio de almacenamiento 283

2. Opciones de configuración de discos duros virtuales 283

70-410
E. Talleres 284
1. Implementar un sistema GPT 284
2. Reducción de una partición 292
3. Despliegue de diferentes volúmenes 294
4. Implementar un espacio de almacenamiento redundante 303
F. Validación de conocimientos: preguntas/respuestas 311
Capítulo 11 Administración de los servidores de archivos
B. Seguridad de carpetas y archivos 316
1. Los permisos NTFS 316

2. Definición de una carpeta compartida 318
3. Visualizar recursos compartidos en función de los permisos de acceso 320
4. Presentación de la característica Work Folders 322
C. Utilización de instantáneas 323

1. Presentación y planificación de las instantáneas 323
2. Restauración de datos empleando instantáneas 324
D. Configuración de la impresora de red 326
1. Las ventajas de la impresora de red 326

2. Los controladores v3 y v4 para las impresoras 326
3. Presentación de los grupos de impresoras 327
E. Administración de un servidor no unido al dominio 327
F. Talleres 331
1. Creación de un recurso compartido y uso de ABE 331

70-410
2. Implementar instantáneas 340

3. Creación de un grupo de impresión 345
4. Gestión del servidor de impresión 356
5. Implantación de la solución Work Folders 361
Capítulo 12 Implementación de directivas de grupo
B. Información general de las directivas de grupo 376
1. Los componentes de una directiva de grupo 376

2. Directiva de grupo local múltiple 377
3. Almacenamiento de los diferentes componentes de una GPO 378
4. Las preferencias en las directivas de grupo 378
5. Nociones de las GPO de inicio 379
6. Implementación de una delegación a nivel de GPO 381
C. Tratamiento de directivas de grupo 383
1. Los vínculos de una directiva de grupo 383

2. La aplicación de una directiva de grupo 384
3. Orden de aplicación de una directiva de grupo 387
4. Las directivas predeterminadas 388
5. Los filtros de seguridad 388
D. Despliegue de un almacén central 390
1. Presentación del almacén central 390

2. Las plantillas administrativas 391
3. Parámetros administrados y no administrados 393
4. Utilización de los filtros en las plantillas administrativas 393
E. Talleres 395

70-410
1. Implementar un almacén central 395

2. Creación de una directiva de grupo 397
3. Creación de una GPO de inicio 404
4. Implementación de preferencias 408
Capítulo 13 Securización del servidor con GPO
B. Configuración de los parámetros de seguridad 420
1. Creación de una plantilla de seguridad 420

2. Configuración de los derechos de usuario 421
3. Configuración de la UAC (User Account Control) 422
4. Implantación de una directiva de auditoría 426
5. Utilización de los grupos restringidos 428
C. Implantación de una restricción de software 429

1. La directiva de restricción de software 429
2. Utilización de AppLocker 430
D. El Firewall de Windows 432
E. Talleres 433
1. Creación de una plantilla de seguridad 433

2. Utilización de grupos restringidos 440
3. Auditoría de un sistema de archivos 444
4. Auditoría de modificaciones en el directorio 451
5. Creación de reglas con AppLocker 455
6. Configuración del Firewall de Windows 468

70-410
Capítulo 14 Supervisión de servidores
A. El Administrador de tareas 482
B. El Monitor de recursos 492
C. El Monitor de rendimiento 497
D. Los registros de eventos 502
1. Creación de una vista personalizada 505

2. Suscripción 506
E. Talleres 507
1. Utilización del Monitor de rendimiento 507

2. Creación de una vista personalizada 515
3. Asociar una tarea a un evento 517
4. Implantación y uso de una suscripción 521
Tabla de objetivos 531
índice 533

MCSA 70-410 - Instalación y Configuración
El examen 70-410 "Instalación y Configuración de Windows Server 2012" es el primero de tres

exámenes obligatorios para obtener la certificaciónMCSA Windows Server 2012. Este examen
valida sus competencias y conocimientos acerca de la puesta en marcha de una infraestructura
Windows Server 2012 básica en un entorno empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista teórico como práctico. Ha sido redactado por un formador
profesional reconocido, también consultor, certificado técnica y pedagógicamente por Microsoft. De
esta forma, su saber hacer pedagógico y técnico conducen a un enfoque claro y visual, de un alto
nivel técnico.
Capítulo tras capítulo, podrá validar sus conocimientos teóricos, empleando un gran número
de preguntas-respuestas (154 en total) haciendo hincapié tanto en los fundamentos como las
características específicas de los conceptos abordados..
Cada capítulo está terminado por los talleres (46 en total) tendrá los medios para medir su
autonomía. Estas operaciones concretas, llegando más allá de los objetivos fijados para el
examen, le permitirán forjar una primera experiencia significativa y adquirir verdaderas
competencias técnicas en situaciones reales. Los scritps incluidos en el libro pueden descargarse
en está página.
A este dominio del producto y sus conceptos, se añade la preparación específica para la
certificación: en el sitio www.edieni.com podrá acceder de forma gratuita a 1 examen en línea,
destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio, cada pregunta
está planteada dentro del espíritu de la certificación y, para cada una, se encuentran respuestas
suficientemente comentadas para cubrir o identificar sus lagunas.
Los capítulos del libro:

Descripción - Introducción - Instalación de Hyper-V - Despliegue y administración de Windows
Server 2012 R2 - Introducción a los servicios Active Directory - Administración de objetos AD -
Automatizar la administración de Active Directory - Implementación del protocolo IP -
Implementación de un servidor DHCP - Implementación de un servidor DNS - Gestión del espacio
de almacenamiento local - Administración de los servidores de archivos - Implementación de
directivas de grupo - Securización del servidor con GPO - Supervisión de servidores - Tabla de
objetivos
Nicolas BONNET
Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace años.
Está certificado MCT (Microsoft Certified Trainer) y transmite al lector, a través de este libro, toda
su experiencia en las tecnologías servidor y su evolución. Sus cualidades pedagógicas conducen a
un libro verdaderamente eficaz para la preparación a este examen acerca de Windows Server
2012.R2.
Introducción
El examen 70-410 "Instalación y configuración de Windows Server 2012 R2" es el primero de los tres
exámenes obligatorios para obtener la certificación MCSA Windows Server 2012 certification. Este
examen valida sus competencias y conocimientos acerca de la puesta en marcha de una
infraestructura Windows Server 2012 R2 básica en un entorno empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales (se
proporciona la lista en el anexo) tanto desde un punto de vista teórico como práctico.
Cada capítulo está organizado de la siguiente forma:
Una definición de los objetivos a alcanzar: permite definir de forma precisa las competencias
proporcionadas por el capítulo una vez validado.
Una parte teórica: permite definir los términos y conceptos abordados y esquematizar en
forma de hilo conductor los diferentes puntos a asimilar.
Una parte de validación de conocimientos que se presenta bajo la forma de

preguntas/respuestas (154 en total). Estas preguntas y sus respuestas comentadas destacan
tanto los elementos fundamentales como las características específicas de los conceptos
tratados.
Los talleres (46 en total): permiten ilustrar con precisión ciertas partes del curso y le aportan
los medios para evaluar su autonomía. Estas operaciones, en particular, le permitirán forjar
una primera experiencia significativa y adquirir verdaderas competencias técnicas sobre todo
un conjunto de situaciones reales, más allá de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos se añade la preparación específica para la certificación:
en el sitio www.edieni.com podrá acceder de forma gratuita a un examen en línea, destinado a
entrenarle en condiciones similares a las de la prueba. En este sitio, cada pregunta está planteada
dentro del espíritu de la certificación y, para cada una, se encuentran respuestas suficientemente
comentadas que le permitirán cubrir o identificar sus lagunas.
Introducción
El antiguo plan de certificación permitía obtener la certificación MCITP (Microsoft Certified IT
Professional). Éstas han sido rebautizadas MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Organización de las certificaciones
Plan de estudios MCSA
El plan de estudios MCSA está compuesto por tres exámenes. El examen 70-410, que trata sobre
lainstalación y la configuración de Windows Server 2012. Se requiere aprobar, a continuación, el
segundo examen cuyo número es el 70-411. Éste trata sobre la administración de Windows Server
2012. Finalmente, para aprobar el plan de estudios, es necesario aprobar el examen 70-412. Éste
tiene por objeto la administración avanzada de Windows Server 2012.
A partir de ahora, existen varios planes de estudio MCSE (Microsoft Certified Solutions Expert).
MCSE Server Infrastructure
Se deben aprobar dos exámenes para obtener esta certificación. Además del plan de estudios MCSA,
es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el examen 70-414,
Implementación de una infraestructura de servidor avanzada para validar el plan de estudios.
MCSE Desktop Infrastructure
Este plan de estudios se compone de tres exámenes. Se deben aprobar los exámenes 70-415,
Implementación de una infraestructura de puestos de trabajo y el 70-416, Implementación de entorno
de aplicación ofimática.
MCSE Private Cloud
Para obtener la certificación MCSE Private Cloud, se requiere aprobar los exámenes 70-246
Monitorización y uso de un cloud privado con System Center 2012 y 70-247 Configuración y
despliegue de un cloud privado con System Center 2012.
¿Cómo está organizado este libro?
Este libro le prepara para el examen 70-410 Instalación y configuración de Windows Server 2012.
Este libro está dividido en capítulos que le proporcionan el conocimiento teórico en el momento
preciso. Los talleres se presentan a los lectores permitiéndoles una puesta en práctica de los puntos
tratados en las partes teóricas.
Es preferible seguir los capítulos en su orden. En efecto, estos confieren las competencias necesarias
para aprobar el examen de forma progresiva al lector. Al final de cada capítulo, una serie de
preguntas validarán el nivel que debe ser alcanzado. Si se supera, el lector podrá pasar al siguiente
capítulo.
El primer capítulo introduce el libro y permite una mejor comprensión de la forma en la que el libro
está construido.
A continuación, se aborda el tema de Hyper-V. Permite familiarizarse con su funcionamiento. Los

puntos tratados son los diferentes discos duros virtuales y los conmutadores de red que es posible
utilizar. Seguidamente se construye una maqueta (Sandbox) para poder llevar a cabo los talleres de
los módulos siguientes. Se presentan, a continuación, las diferentes generaciones de máquinas
virtuales y se aborda también el modo de sesión extendido. La gestión de la calidad (QoS) a nivel de
almacenamiento finaliza este capítulo.
Después de Hyper-V se presenta el capítulo sobre el despliegue y la administración de Windows

Server 2012. Trata sobre los diferentes métodos de instalación, el servidor Core e incluye una
introducción a PowerShell. Los talleres presentados consisten en la creación del bosque Active
Directory, la configuración de un servidor en modo Core así como la administración de servidores
empleando las herramientas presentes en el sistema operativo o, simplemente, mediante
instrucciones PowerShell.
Los tres capítulos siguientes tratan sobre Active Directory. Los primeros puntos permiten obtener o
revisar los conceptos básicos necesarios para Active Directory. Después de haber visto las diferentes
maneras de promover un servidor a controlador de dominio (promover con IFM), se abordan las
diferentes características (papelera de reciclaje, directiva de contraseñas muy específica). Se abordan,
a su vez, los objetos Active Directory (usuario, equipo...) que es posible crear. Los talleres permiten
implementar delegaciones, la gestión de cuentas de usuario o el restablecimiento de un canal seguro.
La parte Active Directory termina con el capítulo de automatización de la administración. Los puntos
tratados son la administración por línea de comandos y mediante PowerShell.
La sección acerca de las redes se aborda posteriormente a estos capítulos. Se estudian los protocolos
IPv4 e IPv6. Se abordan la conversión binario/decimal, las direcciones privadas/públicas y el
direccionamiento IPv4. Esta sección se complementa con la implantación de subredes y los diferentes
comandos (ping, tracert e ipconfig). Finalmente, la sección sobre IPv6 (información general del
protocolo y las diferentes direcciones) completa y cierra el capítulo.
El servicio DHCP también se aborda en este libro, después de haber estudiado el funcionamiento de la
asignación de una dirección IP, así como el uso de DHCP. Las características y la gestión de la base de
datos se estudian a continuación. IPAM complementa y cierra el capítulo sobre DHCP.
Un elemento esencial en un dominio Active Directory es el DNS. Se le dedica un capítulo. Se estudiarán

la instalación y el soporte del servidor DNS antes que su funcionamiento y sus distintas zonas. El
soporte incluye los diferentes comandos necesarios para la gestión y el mantenimiento del servidor
(nslookup, dnslint, ipconfig y dnscmd).
Los dos capítulos siguientes tratan sobre la administración del espacio de almacenamiento y el
servidor de archivos. En el primer capítulo, se proporciona una definición de DAS (Direct Attached
Storage), NAS (Network Attached Storage) y SAN (Storage Area Network) para seguidamente estudiar la
gestión de discos y volúmenes (MBR, GPT, FAT, NTFS y ReFS) y el despliegue de un espacio de
almacenamiento. El capítulo siguiente permite comprender la gestión de los diferentes controladores,
las instantáneas y ABE (Access Based Enumeration).
Los siguientes dos capítulos tratan sobre el despliegue de directivas de grupo y la securización de
servidores empleando GPO. Los diferentes componentes y el almacenamiento de una directiva de
grupo, las preferencias, así como las GPO de inicio dan comienzo al capítulo de Implementación de
directivas de grupo. Éste se completa con el tema de su tratamiento (gestión de vínculos, orden de
aplicación y filtros de seguridad) así como la función del directorio central. El capítulo Securización del
servidor empleando GPO presenta las funcionalidades de seguridad mediante la configuración de los
parámetros, el despliegue de AppLocker y el firewall de Windows.
El capítulo decimocuarto y último del libro trata sobre las herramientas de análisis incluidas en
Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
Competencias evaluadas en el examen 70-410
Puede encontrar la tabla con las competencias evaluadas al final del libro.
1. El examen de certificación
El examen de certificación está compuesto de varias preguntas. Para cada una, se ofrecen varias
respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener una nota
de 700 para aprobar el examen.
El examen se presenta en un centro Prometric, sin embargo la inscripción se debe hacer en el

sitiowww.prometric.com. Existen varios sitios en la región. Es necesario seleccionar la fecha y hora
antes de elegir el examen deseado (70-410).
El día indicado, contará con varias horas para responder al examen. No dude en tomarse todo el
tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es posible marcar
las preguntas para una relectura antes de terminar el examen. El resultado se emite al finalizar el
examen.
2. Preparación del examen

Para preparar el examen de una forma óptima es necesario, en primer lugar, leer los diferentes
capítulos y luego realizar los talleres.
Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte ningún
capítulo y repítalo tantas veces como sea necesario. Se ofrece un examen de prueba con este libro
que le permite evaluar sus conocimientos antes de presentarse al examen.
Máquinas virtuales utilizadas
Para realizar los talleres y evitar multiplicar el número de máquinas, se instala un sistema de
virtualización. El capítulo permite la instalación del Sandbox o maqueta. Éste emplea el hipervisor de
Microsoft Hyper-V. Puede utilizar, si lo desea, su propio sistema de virtualización.
A continuación, se instalan varias máquinas virtuales que ejecutan Windows Server 2012 o Windows
8.
Se puede descargar las versiones de evaluación en los siguientes enlaces:
http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
Requisitos previos y objetivos
1. Requisitos previos
Contar con nociones sobre los sistemas de virtualización.
Poseer conocimientos de microinformática.
2. Objetivos
Presentación de la situación de virtualización Hyper-V.
Creación y configuración de una máquina virtual.
Gestión de conmutadores de red y de instantáneas (”snapshots”).
Creación del ”Sandbox”.

Información general de las tecnologías de virtualización
Las tecnologías de virtualización ofrecen desde ahora a los administradores la posibilidad de reducir el
número de servidores. La virtualización incluye la parte servidor pero, también, los equipos cliente y
las aplicaciones. Todos los modos de virtualización tienen como objetivo facilitar la administración y
reducir los costes de un sistema de información. De esta forma, es muy fácil hacer funcionar uno o
más servidores en una máquina física. Empleando varios servidores físicos, es muy frecuente no
utilizar toda la potencia de estos; virtualizando varios servidores sobre una máquina anfitriona, los
recursos de esta última se reparten entre todas las máquinas virtuales (VM), lo que permite una
utilización completa de los recursos. Es sencillo realizar de una solución, igual que la migración de una
máquina virtual entre distintos servidores.
Existen varios sistemas de virtualización, cada uno utiliza un disco virtual (un archivo en formato vhd,
vhdx…) así como una red virtual (interna al equipo o empleando la red física).
1. Virtualización del puesto de trabajo

El principio de la virtualización del puesto de trabajo consiste en utilizar una o varias imágenes
virtuales sobre uno o más equipos en la red. Se puede comparar este género de virtualización con
un streaming de sistema operativo.
Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo, esta
tecnología llamada VDI (Virtual Desktop Initiative) permite la virtualización del sistema operativo pero
también de las aplicaciones. El puesto puede, entonces, ser de tipo cliente ligero o de tipo PC.
2. Virtualización de aplicaciones
La virtualización de aplicaciones engloba varios tipos de virtualización. Es posible realizar la
virtualización de aplicaciones centralizadas. El usuario ejecuta una aplicación en un puesto de
trabajo, sin embargo ésta realmente ejecutándose en un servidor remoto (solo se ejecuta el
sistema operativo en el puesto de trabajo).
De igual manera se puede encontrar el aislamiento de aplicaciones en forma de burbuja. Esta

práctica consiste en resolver un problema de incompatibilidad entre aplicaciones ejecutando cada
una en una ”burbuja” que está aislada de las otras aplicaciones. Esta última solución es menos
frecuente.
3. Hyper-V en Windows 8.1

Es posible instalar el rol Hyper-V en un equipo cliente a partir de Windows 8 (solo en las ediciones
Pro y Enterprise). Los requisitos previos a nivel de procesador son idénticos a Windows Server 2012
R2. El procesador debe soportar SLAT (Second Level Address Translation). También es necesario un
mínimo de 4 GB de RAM. Las características llamadas "Enterprise" (Live migration, etc.) solo están
disponibles si Hyper-V se instala en un servidor.
Implementación de Hyper-V
Hyper-V es un sistema de virtualización disponible en los sistemas operativos servidor a partir de
Windows Server 2008. Está disponible actualmente en versión 3. La ventaja de este hipervisor es el
acceso directo al hardware de la máquina host (y por ende un mejor tiempo de respuesta). El rol
Hyper-V puede instalarse con Windows Server 2012 R2 en modo instalación completa (con el interfaz
gráfico instalado) o en una instalación mínima (sin interfaz gráfico).
1. Requisitos previos de Hardware

Como muchos de los roles en Windows Server 2012 R2, Hyper-V tiene sus requisitos previos. Esto
concierne al hardware del equipo.
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). La capacidad del procesador debe responder a las necesidades de las
máquinas virtuales. Estas últimas pueden soportar como máximo 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la asignada a las máquinas virtuales.
Durante la asignación de la memoria a las máquinas virtuales, es necesario reservar una parte para
el funcionamiento de la máquina física. Si el equipo consta de 32 GB de RAM, es aconsejable reservar
de 1 a 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de
los roles instalados en la máquina física).
2. Las máquinas virtuales en Hyper-V

Una máquina virtual emplea los siguientes componentes; sin embargo, en función de la generación
de las VM (ver más abajo en este capítulo), algunos componentes no estarán disponibles.
BIOS: se simula la BIOS de un ordenador físico, es posible configurar varios factores:
El orden de arranque para la máquina virtual (red, disco duro, DVD…).
El bloqueo digital automático.
Memoria RAM: se asigna una cantidad de memoria RAM a la máquina virtual. Se puede asignar
un máximo de 1 TB. A partir de Windows Server 2008 R2 SP1, es posible asignar la memoria
dinámicamente (tratado en profundidad en este capítulo).
Procesador: al igual que la memoria, es posible asignar uno o más procesadores (en función
del número de procesadores y núcleos de la máquina física). Se puede asignar un máximo de
32 procesadores a una máquina.
Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Máquina Virtual).
Cada una posee dos discos como máximo.
Controladora SCSI: añade una controladora SCSI a la máquina virtual. De esta forma es
posible añadir discos duros o lectores DVD.
Adaptador de red: por defecto no se hereda el adaptador de red de la máquina virtual, lo que
permite un mejor tráfico pero impide que la máquina realice un arranque PXE (arranque a
través de la red cargando una imagen). Para poder arrancar desde la red, es necesario
agregar un adaptador de red heredado.
Tarjeta de vídeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento gráfico
haciendo uso de DirectX.
Seleccionando una máquina virtual y después haciendo clic en Configuración, en el menú Acciones,
aparecerá la ventana de configuración.
Configuración de una máquina virtual de generación 2
Todos los componentes descritos arriba pueden configurarse durante la creación de la máquina
virtual (adaptador de red, disco duro, unidad DVD) o accediendo a la configuración del equipo virtual.
3. La memoria dinámica con Hyper-V

Al publicarse Windows Server 2008, el sistema de virtualización Hyper-V permitía solo asignar una
cantidad de memoria estática. De esta forma el número de máquinas virtuales estaba limitado. Si un
servidor quería asignar 4 GB de RAM, la cantidad reservada era la misma incluso si no existía
ninguna actividad en la máquina virtual.
La memoria dinámica permite asignar una cantidad mínima de memoria. Sin embargo, si la máquina
virtual tiene necesidad de más memoria, está autorizada a solicitar una cantidad suplementaria
(esta última no puede exceder la cantidad máxima asignada). Esta característica se introdujo en los
sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores
mínimos y máximo de la memoria durante el arranque.
La memoria búffer es una característica que permite a la máquina virtual contar con una cantidad
adicional de memoria RAM en caso de necesidad.
La ponderación de memoria permite establecer prioridades para la memoria disponible.
4. Presentación de las diferentes generaciones

Durante la creación de una máquina virtual, debemos seleccionar la generación deseada. Ésta
opción es irreversible y hay que volver a crear la máquina para pasar a otra generación.
VM de generación 1
Este tipo de máquina virtual proporciona las mismas ventajas que las versiones anteriores de
Hyper-V.
VM de generación 2
Con este tipo de VM, aparecen nuevas funcionalidades:
Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible
arrancar la máquina virtual desde una unidad conectada a un controlador SCSI.
Boot PXE con una tarjeta de red estándar: con las máquinas virtuales de 1ª generación es
necesario tener una tarjeta de red heredada para poder efectuar un arranque PXE. Microsoft
permite ahora realizar la misma operación con una tarjeta de red estándar (los rendimientos
se ven mejorados). Preste atención, sin embargo, solo las máquinas virtuales de 2ª
generación son compatibles con esta mejora.
Las máquinas virtuales de esta generación no permiten utilizar tarjetas de red heredadas o
unidades conectadas a un controlador IDE. Adicionalmente, solo están soportados los siguientes
sistemas operativos:
Windows Server 2012
Windows 8 64 bits solamente
Windows 8.1 64 bits solamente
5. Uso del modo de sesión mejorada

En adelante es posible, en Hyper-V, redirigir los recursos locales a una máquina virtual. De esta
forma, esta funcionalidad proporciona funciones similares a la conexión de escritorio remoto.
En las versiones anteriores de Hyper-V solo la pantalla, el ratón y el teclado estaban redirigidos. Era
entonces necesario establecer una conexión con el escritorio remoto para redirigir la impresora u
otros dispositivos. Windows Server 2012 R2 contiene ahora una herramienta de sesión mejorada, a
través del menú Ver, que permite llevar a cabo esta redirección mediante el bus (VMBus) de la
máquina virtual. Ya no es necesario establecer la conexión a través de la red para efectuar esta
operación.
Es posible redirigir los siguientes recursos:
Configuración de vista
Dispositivos de audio
Impresoras
Portapapeles
Tarjetas inteligentes
Dispositivos USB
Dispositivos plug and play soportados
Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.
Habilitar la Directiva de modo de sesión mejorada en la configuración de Hyper-V. Esta última

está deshabilitada de forma predeterminada.
El servicio de escritorio remoto debe estar activado en la máquina virtual. No es necesario, sin
embargo, proceder a una posible autorización.
El usuario que va a efectuar la redirección debe ser miembro del grupo de usuarios del
escritorio remoto o del grupo de administradores locales en el sistema invitado.
Durante la conexión a una máquina virtual que soporte esta funcionalidad, se abre un cuadro de
diálogo que permite configurar la visualización.
También es posible configurar la redirección de recursos locales.
Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
El disco duro de las máquinas virtuales
Un disco duro virtual es un archivo utilizado por Hyper-V para representar los discos duros físicos. De
esta forma, es posible almacenar en archivos el sistema operativo o los datos. Se puede crear un
disco duro empleando:
La consola de administración de Hyper-V.
La consola de administración de discos.
El comando DOS DISKPART.
El comando PowerShell New-VHD.
Con la llegada de la nueva versión de Hyper-V, incluida en Windows Server 2012, se emplea un nuevo
formato VHDX.
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD (Virtual
Hard Disk). Con este formato, el tamaño de los archivos ya no está limitado a 2 TB, cada disco duro
virtual puede tener un tamaño máximo de 64 TB. El formato VHDX es menos sensible a la corrupción
de archivos por un cierre inesperado (por un corte de luz por ejemplo) del servidor. Es posible
convertir los archivos VHD existentes en VHDX (este punto se aborda en profundidad en este
capítulo).
A partir de Windows Server 2012, el almacenamiento de discos duros virtuales puede realizarse en
particiones de archivos SMB 3. Del mismo modo, es posible especificar un recurso compartido local
durante la creación de una máquina virtual Hyper-V.
1. Los diferentes tipos de discos

Al igual que un servidor físico, una máquina virtual posee un disco duro. Los datos se almacenan en
un archivo que hace las veces de contenedor.
Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de discos,
incluyendo discos de tamaño fijo, dinámico y de acceso directo ”pass-through”. Al crear un disco
virtual de tamaño fijo se reserva el tamaño total del archivo en el disco. De esta forma, se puede
limitar la fragmentación del disco duro de la máquina host y mejorar su rendimiento. Sin embargo,
este tipo de disco presenta el inconveniente de consumir espacio en disco incluso si el archivo VHD
no contiene datos.
Un disco de tamaño dinámico, posee un tamaño máximo de archivo, sin embargo el tamaño de
archivo aumenta en función del contenido hasta alcanzar su tamaño máximo. Al crear un archivo VHD
dinámico, éste tendrá un tamaño de 260 KB, en comparación con los 4096 KB para un formato VHDX.
Es posible crear un archivo VHD empleando el cmdlet PowerShell New-VHD con el parámetro -
Dynamic.
El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder
directamente a un disco físico. El sistema operativo de la máquina virtual considera el disco como
interno. Esto puede ser útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI.
Sin embargo, esta solución requiere un acceso exclusivo de la máquina virtual al disco físico
empleado. El disco deberá quedar operativo mediante la consola de Administración de discos en el
equipo host.
2. Administración de un disco virtual

Se pueden realizar ciertas operaciones con los archivos VHD. Es posible, por ejemplo, comprimirlos
para reducir el espacio utilizado o para convertir su formato de vhd a vhdx. Durante la conversión
del disco duro virtual, el contenido se copiará al nuevo archivo (conversión de un archivo de tamaño
fijo en un archivo de tamaño dinámico, por ejemplo). Una vez se copian los datos al nuevo disco, el
archivo antiguo se elimina.
Se pueden llevar a cabo otras operaciones como la reducción de un archivo dinámico. Esta opción
permite reducir el tamaño de un disco si este último no emplea todo el espacio que le ha sido
asignado. Para los discos de tamaño fijo, eventualmente será necesario convertir los archivos VHD
en archivos de tipo dinámico.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales,
opción Editar disco… en el panel Acciones. La ventana proporciona acceso a varias opciones.
También es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar la
compresión de un disco duro virtual dinámico.
3. Los discos de diferenciación

Un disco de diferenciación permite reducir el tamaño de almacenamiento necesario. De hecho, este
tipo de disco consiste en crear un disco común a varias máquinas y un disco que contiene las
modificaciones aportadas al disco raíz, siendo este último específico de cada máquina.
El tamaño necesario para el almacenamiento de las máquinas virtuales se ve así reducido. Tenga en
cuenta que la modificación de un disco principal causará la pérdida de los enlaces al disco duro de
diferenciación. Será entonces necesario volver a conectar los discos de diferenciación utilizando la
opción Inspeccionar disco… en el panel Acciones.
Es posible crear un disco de diferenciación utilizando el cmdlet PowerShell New-VHD. El comando

siguiente permite crear un disco de diferenciación llamado Diferencial.vhd, este último utiliza un disco
raíz llamado Raiz.vhd.
New-VHD c:\Diferencial.vhd -ParentPath c:\Raiz.vhd
4. Los puntos de control en Hyper-V

Un punto de control (o instantánea, en las anteriores versiones de Hyper-V) corresponde a una
"foto" de la máquina virtual en el momento en que se realiza. Ésta está contenida en un archivo con
la extensión avhd o avhdx, en función del tipo de archivo del disco seleccionado. Esta operación
puede llevarse a cabo seleccionando la máquina y haciendo clic en la opción Punto de control del
panel Acciones.
Cada máquina puede tener varios puntos de control. Si el punto de control se crea cuando la
máquina está arran-cada, contendrá el contenido de la memoria RAM. Si se usa un punto de control
para revertir a un estado anterior es posible que la máquina virtual no pueda conectarse al dominio.
En efecto, se realiza un intercambio entre un controlador de dominio y una máquina unida al
dominio. Al restaurar una máquina, este intercambio (contraseña) también se restaura. Sin
embargo, la contraseña restaurada no sigue siendo válida, rompiendo el canal seguro. Es posible
reinicializarlo efectuando nuevamente la operación de unirse al dominio o utilizando el comando
netdom resetpwd.
Tenga cuidado, esta funcionalidad no reemplaza en ningún caso a las copias de seguridad, ya que
los archivos avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En caso de
fallo del disco, todos los archivos se perderán y será imposible restaurarlos.
Al utilizar discos de diferenciación, cada uno contiene los datos agregados desde el último punto de
control efectuado.
Gestión de redes virtuales
Se puede crear y utilizar varios tipos de redes en una máquina virtual. Esto con el fin de permitir a las
diferentes máquinas comunicarse entre ellas o con equipos externos a la máquina host (router,
servidores…).
Las máquinas están conectadas a sus redes mediante conmutadores virtuales (vswitch). Un
conmutador virtual se corresponde con un conmutador físico como el que podemos encontrar en
cualquier red informática. Conocido como red virtual en Windows Server 2008, ahora en Windows
Server 2012 R2 hablamos de conmutador virtual. Es posible gestionar estos últimos empleando la
opción Administrador de conmutadores virtuales en el panel Acciones.
Es posible crear tres tipos de conmutadores:
Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la
máquina host desde la máquina virtual. De esta forma, la última tiene una conexión a la red
física, permitiéndole acceder a los equipos o servidores de la red física.
Interno: permite la creación de una red entre la máquina física y las máquinas virtuales. Es
imposible para las máquinas de la red física comunicar con las máquinas virtuales.
Privada: la comunicación puede hacerse exclusivamente entre las máquinas virtuales, la

máquina host no puede contactar con ninguna de las máquinas virtuales.
Una vez creado, es conveniente vincular el adaptador de red de la máquina virtual con el conmutador
deseado.
El Sandbox
El ”Sandbox” consiste en la creación de un entorno virtual o físico de pruebas que permita realizar las
pruebas sin perturbar las máquinas o servidores de producción.
La virtualización permite disminuir el número de máquinas físicas necesarias. Todas las máquinas
virtuales funcionan en una misma máquina física. Sin embargo, será necesario contar con una
cantidad de memoria y espacio en disco suficientes.
1. Configuración necesaria
Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales, como
por ejemplo una máquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El sistema
operativo será Windows Server 2012 R2.
Si su configuración es inferior a ésta, bastará con arrancar solamente las máquinas necesarias. Es
aconsejable reservar un mínimo de 1 GB para la máquina host, dejando 5 GB para el conjunto de las
máquinas virtuales.
2. La instalación de Windows Server 2012 R2

Antes de proceder a la instalación de Windows Server 2012 R2 en el equipo físico hay que
asegurarse de que se respetan los requisitos mínimos del sistema operativo.
Procesador: 1,4 GHz como mínimo y arquitectura de 64 bits.
Memoria RAM: 512 MB como mínimo, sin embargo un servidor equipado con 1024 MB parece
el mínimo indispensable.
Espacio en disco: una instalación base sin ningún rol necesita un espacio en disco de 15 GB.
Será necesario prever un espacio mayor o menor en función de los roles del servidor.
A partir de Windows Server 2008, se presentan dos tipos de instalación:
Una instalación completa: se instala una interfaz gráfica que permite administrar el servidor
de forma gráfica o por línea de comandos.
Una instalación mínima: se instala el sistema operativo, sin embargo no está presente
ninguna interfaz gráfica. Solo se cuenta con un símbolo de sistema, la instalación de roles,
características o la administración diaria se realizan por línea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server
Administration Tools) en un puesto remoto.
Una vez terminada la instalación del servidor, se requiere configurar el nombre del servidor y su
configuración IP.
Talleres
Esta sección sigue con la implementación de la maqueta con el objetivo de familiarizarle con Hyper-V.
De esta forma podrá crear las máquinas virtuales para proceder a su instalación y configuración.
1. Configuración de la red virtual

Objetivo: el objetivo de este ejercicio es crear conmutadores virtuales que puedan utilizarse, a
continuación, en la maqueta.
Arranque la consola Administrador de Hyper-V mediente la interfaz Modern UI.
En el panel Acciones, haga clic en Administrador de conmutadores virtuales.
Haga clic en Nuevo conmutador de red virtual y luego en Interno.
Valide la opción haciendo clic en el botón Crear conmutador virtual.
En el campo Nombre, introduzca Interno y luego haga clic en Aplicar.
Ahora podemos utilizar el conmutador virtual para las máquinas alojadas en este servidor.
Creación de las máquinas virtuales
Una vez instalado el sistema operativo en la máquina física, la etapa siguiente consiste en la
instalación del rol Hyper-V y luego la creación, instalación y configuración de las diferentes máquinas
virtuales.
Haga clic en el primer icono para ejecutar el Administrador del servidor.
En la consola Administrador del servidor, haga clic en Agregar roles y características.
Se arranca el asistente, haga clic en Siguiente.
Al ser Hyper-V un rol, marque la opción por defecto Instalación basada en características o en
roles y luego haga clic en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en Siguiente.
Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
características.
Haga clic en Siguiente en la ventana de instalación de características.
Es necesario crear un conmutador virtual. Haga clic en el adaptador de red para establecer un
puente entre la red física y la máquina virtual.
Si no desea utilizar el adaptador de red físico, será necesario crear un conmutador virtual antes
de volver a arrancar el servidor.
Haga clic tres veces en Siguiente y, a continuación, en Instalar.
Una vez terminada la instalación, vuelva a arrancar el servidor.
Haga clic en el botón Inicio para mostrar la interfaz de Windows.
Acceda a las Herramientas administrativas para poder iniciar Hyper-V.

1. Esquema de la maqueta
Se crearán seis máquinas virtuales, los sistemas operativos serán Windows Server 2012 R2 y
Windows 8.1.
La maqueta contiene cuatro servidores y dos puestos cliente:
AD1, controlador de dominio del dominio formacion.local.
SV1, servidor miembro del dominio formacion.local.
SV2, servidor miembro del dominio formacion.local.
SVCore, servidor en versión Core (instalación mínima), no miembro del dominio.
CL8-01, puesto cliente con Windows 8 miembro del dominio formacion.local.
CL8-02, puesto cliente con Windows 8 miembro del dominio formacion.local.
Es posible descargar el archivo ISO de la versión de evaluación de Windows Server 2012 R2 del sitio
web siguiente: http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
2. Máquina virtual AD1

El procedimiento descrito a continuación deberá repetirse para la creación de todas las máquinas
virtuales.
a. Creación y configuración de la VM
En la consola Hyper-V, haga clic en Nuevo en el menú Acciones y luego en Máquina virtual.
En la ventana Antes de comenzar, haga clic en Siguiente.
Introduzca AD1 en el campo Nombre.
En nuestro ejemplo, los archivos de las máquinas virtuales se almacenarán en un segundo

disco. Puede, si lo desea, seleccionar la ruta por defecto.
Seleccione el botón Generación 2 y, a continuación, haga clic en Siguiente.
Introduzca 2048 en el campo Memoria de inicio y luego haga clic en Siguiente.
En la ventana Configurar funciones de red, seleccione el adaptador de red deseado (interno

o tarjeta de red física) y, a continuación, haga clic en siguiente.
Introduzca 60 en el campo Tamaño y luego haga clic en Siguiente.
Conecte la máquina virtual al archivo ISO o al DVD de Windows Server 2012 R2.
En la ventana resumen, haga clic en Finalizar.
La nueva máquina aparecerá en la ventana central de la consola.
El disco duro de la máquina se crea, pero en blanco, es necesario particionarlo e instalar el sistema
operativo.
b. Instalación del sistema operativo
Haga doble clic en la máquina virtual en la consola Hyper-V y luego haga clic en el
botónIniciar (botón verde).
La máquina arranca y se inicia la instalación de Windows Server 2012 R2.
Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por
defecto).
Haga clic en Instalar ahora para arrancar la instalación.
Haga clic en la versión Standard (servidor con una GUI).
Acepte la licencia y luego haga clic en Siguiente.
Seleccione Personalizada: instalar solo Windows (avanzado).

Empleando las Opciones de unidad (avanz.), cree dos particiones de 30 GB.
Haga clic en la primera partición disponible y luego en Siguiente.
La instalación está en marcha…
Introduzca la contraseña Pa$$w0rd y luego confirme.
La instalación ha finalizado, la etapa siguiente es la modificación del nombre del equipo y la

configuración IP de la máquina. Se instalarán los roles en los siguientes capítulos.
c. Configuración post-instalación
Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Abra una sesión como administrador, introduciendo la contraseña configurada en la sección

anterior.
En el Administrador del servidor, haga clic en Configurar este servidor local.

Haga clic en el nombre de equipo para abrir las propiedades del sistema.
Haga clic en Cambiar y, a continuación, introduzca el nombre del servidor (AD1).
Haga clic dos veces en Aceptar y luego en Cerrar.
Vuelva a iniciar la máquina virtual para confirmar las modificaciones.
Falta configurar la dirección de la tarjeta de red.
Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidos y
luego haga clic en Abrir.
Haga clic en Cambiar configuración del adaptador.
Haga doble clic en la tarjeta de red, y luego en Propiedades.
En la ventana Propiedades, haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4).

Configure el adaptador de red según se muestra abajo.
El procedimiento a seguir será el mismo, siguiendo los parámetros detallados para las máquinas
virtuales siguientes.
Las modificaciones a realizar serán el nombre del equipo y la configuración IP.
3. Máquina virtual SV1

Este servidor es un miembro del dominio, se llama SV1. La cantidad de memoria asignada es de
2048 MB, el disco virtual de 60 GB particionado en dos particiones.
Dirección IP: 192.168.1.11
Máscara de sub-red: 255.255.255.0
Servidor DNS Preferido: 192.168.1.10
Contraseña del administrador local: Pa$$w0rd
La instalación de los roles y la adhesión al dominio se realizarán en los capítulos siguientes.
4. Máquina virtual SV2

Este servidor es un segundo servidor miembro del dominio, se llama SV2. La cantidad de memoria
asignada es de 2048 MB, el disco virtual de 60 GB particionado en dos particiones.
Máscara de sub-red: 255.255.255.0

Servidor DNS Preferido: 192.168.1.10
La instalación de los roles y la adhesión al dominio se realizarán en los capítulos siguientes.
5. Máquina virtual SVCore

Este servidor se instala en modo sin interfaz de usuario (modo Core), todas las opciones se
proporcionan en los capítulos siguientes.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única
partición.
6. Máquina virtual CL8-01

Puesto cliente con Windows 8.1, esta máquina es miembro del dominio (operación que realizaremos
en los capítulos siguientes). La configuración IP se realizará mediante DHCP. Conecte el archivo ISO
de Windows 8.1 a la máquina virtual para llevar a cabo la instalación.
partición.
Nombre del puesto: CL8-01
7. Máquina virtual CL8-02

Segundo puesto cliente con Windows 8.1, esta máquina es miembro del dominio. La configuración IP
se realizará por medio de DHCP. Conecte el archivo ISO de Windows 8.1 a la máquina virtual para
proceder a la instalación.
partición.
Nombre del puesto: CL8-02
8. Creación de puntos de control

Esta funcionalidad nos permitirá en los capítulos siguientes poner en práctica los talleres (promoción
de servidores a controladores de dominio, puesta en marcha de un RODC...).
Abra la consola Administrador de Hyper-V.
Haga un clic con el botón derecho en la máquina virtual y luego seleccione Punto de control.
Aparece una nueva línea en la consola.

Ahora es posible restaurar el estado de las máquinas virtuales.
Configuración de la QoS a nivel de almacenamiento
Esta nueva característica permite utilizar la QoS (calidad de servicio) para el almacenamiento en la
configuración en las máquinas virtuales. De esta forma, en lo sucesivo es posible definir el umbral
míni-mo para un funcionamiento eficaz. Cuando se alcanzan los distintos umbrales (produciendo
rendimientos poco satisfactorios), se advierte al administrador.
Muy útil para las cloud públicas, la característica permite garantizar que la máquina virtual de un
cliente no impacta en el rendimiento de lectura/escritura de otro cliente.
Se proveen las siguientes funcionalidades:
Cada disco duro virtual puede tener un valor máximo IOPS (Input/output Operations Per Second -
operaciones de escritura por segundo).
Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS máximo
definido para los discos duros virtuales.
La QoS a nivel de almacenamiento requiere el rol Hyper-V. Durante la instalación del rol, la caracte-
rística se habilita automáticamente. Sin embargo no es posible emplearla con discos duros virtuales
compartidos.
Para configurar la QoS a nivel de discos duros, realice el procedimiento siguiente:
En el Administrador de Hyper-V, haga clic con el botón derecho en la máquina virtual deseada y
luego seleccione Configuración.
En la categoría Controladora SCSI, seleccione el disco deseado.

En el panel de la izquierda, haga clic en el signo + y, a continuación, haga clic en Características
avanzadas.
Marque la opción Habilitar administración de calidad de servicio y, a continuación, configure los

campos como desee.
Validación de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1 ¿En qué consiste la virtualización de aplicaciones?
2 ¿Cuáles son los requisitos previos para la instalación de un servidor Hyper-V?
3 ¿Qué es la memoria dinámica?
4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus
ventajas?
5 ¿Qué tipos de discos duros virtuales pueden crearse con Hyper-V?
6 ¿Qué permite hacer un punto de control?
7 ¿Cuáles son los conmutadores virtuales que es posible crear?
8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
10 ¿Qué permite hacer el modo de sesión mejorada?
11 ¿Cuál es la utilidad de la QoS a nivel de almacenamiento en Hyper-V?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 8 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿En qué consiste la virtualización de aplicaciones?
La virtualización de aplicaciones consiste en ejecutar, por parte del usuario, aplicaciones que no se
encuentran en el puesto de trabajo sino en un servidor. Esto permite facilitar la administración de
las aplicaciones, las cuales estarán agrupadas en un único equipo.
2 ¿Cuáles son los requisitos previos para la instalación de un servidor Hyper-V?
La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). También es necesario que la cantidad de memoria sea superior a la asignada a las
máquinas virtuales.
3 ¿Qué es la memoria dinámica?
La memoria dinámica es una característica aparecida con el SP1 de Windows Server 2008 R2. Ésta
permite asignar una cantidad mínima de memoria a una máquina virtual. Ésta puede, en caso
necesario, solicitar más memoria adicional, sin embargo no puede exceder la cantidad máxima.
4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus
ventajas?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco duro. El
formato VHDX proporciona ciertas ventajas. El tamaño del archivo puede, ahora, tener un tamaño
máximo de 64 TB y resuelve el problema de la corrupción de archivos tras un error no esperado.
5 ¿Qué tipos de discos duros virtuales pueden crearse con Hyper-V?
Es posible crear tres tipos de discos duros virtuales:
Los discos de tamaño fijo: el tamaño total del archivo se reserva en el disco, este tipo de
disco permite limitar la fragmentación del archivo. Tiene sin embargo el inconveniente de
consumir el espacio en disco incluso si el archivo está vacío.
Los discos dinámicos: se define un tamaño máximo durante su creación. El tamaño

aumenta en función del contenido.
Los discos de acceso directo "pass-through": permiten conectar un disco físico

directamente a la máquina virtual. El acceso al disco por la VM es exclusivo.
6 ¿Qué permite hacer un punto de control?
Un punto de control permite capturar el estado de una máquina virtual en un momento dado, con
el fin de poder restaurar el estado de la instantánea.
7 ¿Cuáles son los conmutadores virtuales que es posible crear?
Se puede crear tres conmutadores en Hyper-V:
Externo: se crea un puente entre la interfaz de red de la máquina física y la interfaz de red
virtual. De esta forma la VM tiene la posibilidad de acceder a la red física.
Interno: este tipo de conmutador permite a las máquinas virtuales comunicarse con la
máquina host. Por el contrario, les es imposible acceder a la red física.
Privado: permite realizar la comunicación solamente entre las máquinas virtuales, la

máquina host no puede contactar con ninguna de las VM.
8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
Las máquinas virtuales de generación 2 aportan la posibilidad de arrancar desde una unidad SCSI y
también de realizar un arranque PXE desde una tarjeta de red estándar.
9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
Solo los sistemas operativos Windows Server 2012, Windows Server 2012 R2, Windows 8 y
Windows 8.1 son compatibles con las máquinas virtuales de generación 2. Los sistemas operativos
anteriores deberán instalarse en una máquina virtual de generación 1.
10 ¿Qué permite hacer el modo de sesión mejorada?
Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una
conexión de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la máquina
virtual. Este modo de sesión mejorada permite, en lo sucesivo, redirigir los periféricos sin tener que
pasar por la red y el cliente de escritorio remoto.
11 ¿Cuál es la utilidad de la QoS a nivel de almacenamiento en Hyper-V?
La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos
duros virtuales de las VM. Se configura un umbral mínimo y máximo de operaciones por segundo
para garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento.
Tener conocimientos de direccionamiento IP.
Poseer competencias para la instalación y configuración de un sistema operativo cliente o

servidor.
2. Objetivos
Presentación de Windows Server 2012 R2.
Utilización de la consola Administrador del servidor.
Instalación y configuración del servidor.
Introducción al lenguaje PowerShell.

Información general de Windows Server 2012 R2
Windows Server 2012 R2, como su antecesor, aporta todo un conjunto de características que permite
ofrecer nuevos servicios.
1. Las ediciones de Windows Server 2012 R2

Podemos encontrar diferentes ediciones de Windows Server 2012 R2. Así cada empresa tiene la
posibilidad de elegir la edición en función de sus necesidades.
Edición Standard: esta edición incluye todos los roles y características. Soporta hasta 4 TB de
memoria RAM e incluye dos licencias para dos máquinas virtuales.
Edición Datacenter: esta edición incluye todos los roles y características. Permite instalar un
número ilimitado de máquinas virtuales y soporta un procesador con hasta 640 núcleos y 4 TB
de memoria RAM.
Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios, incluye
un número limitado de roles y no puede unirse a un dominio. Soporta un procesador con un
solo núcleo y hasta 32 GB de memoria RAM.
Edición Essentials: esta edición reemplaza a las versiones Small Business Server. Puede
actuar como servidor raíz en un dominio pero no puede poseer los roles Hyper-V, clúster de
conmutación o servidor Core. Esta edición limita el número de usuarios a 25, la cantidad de
memoria RAM no puede exceder 64 GB.
El servidor Core es uno de los métodos de instalación disponibles a partir de Windows Server 2008.
Solo se puede administrar un servidor instalado en modo Core empleando comandos PowerShell o
comandos DOS. De hecho este tipo de instalación está desprovisto de interfaz gráfica, reduciendo
de esta forma el número de actualizaciones requeridas y los recursos hardware necesarios. La
cantidad de memoria RAM o el espacio en disco son menores comparados con una instalación
completa. A partir de Windows Server 2012 es posible pasar de un modo de instalación al otro
eliminando o agregando la característica que proporciona la interfaz gráfica (esta operación era
imposible de realizar en los sistemas operativos precedentes).
Es posible agregar la característica empleando la consola Administrador del servidor o mediante un

cmdlet PowerShell.
Las siguientes herramientas pueden utilizarse en un servidor en modo Core:
Cmd.exe: permite la ejecución de comandos DOS (ping, ipconfig...).
PowerShell: ejecuta una sesión PowerShell con el fin de poder ejecutar los comandos.
Sconfig.cmd: menú por línea de comandos que permite efectuar las tareas de administración
en el servidor.
Notepad.exe: permite el inicio y ejecución del bloc de notas.
Regedt32.exe: proporciona acceso a la base de datos del registro.
TaskMgr.exe: inicio y administración de tareas.
Se puede administrar un servidor Core de forma remota instalando en un servidor o puesto de

trabajo los archivos RSAT. Sin embargo, es necesario autorizar la administración remota en el
cortafuegos de Windows. Para esto, emplee el comando netsh:
Netsh.exe advfirewall set service remoteadmin enable ALL
El servidor puede ahora administrarse desde otro servidor.

2. Presentación de los principales roles
Los roles hicieron su aparición con Windows Server 2008, permiten proporcionar a un servidor
funciones suplementarias (controlador de dominio...).
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una empresa.
El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory, que
tiene por objetivo la autenticación de las cuentas de usuario y de equipo en un dominio Active
Directory.
AD CS (Active Directory Certificate Services) permite instalar una entidad de certificación, que
tiene por objetivo entregar y administrar certificados digitales.
AD FS (Active Directory Federation Service) proporciona un servicio federado de gestión de

identi-dades. Identifica y autentica a un usuario que desea acceder a una extranet. De esta
forma dos empresas pueden compartir de forma segura información de identidad de Active
Directory para un usuario. Varias funciones de rol integran este rol:
Servicio de federación: instala la infraestructura para proporcionar acceso a los recursos.
Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un
acceso autenticado a un recurso web.
Proxy FSP: permite recopilar información de autenticación del usuario desde un navegador
o una aplicación web.
Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Se despliega un
mecanismo de protección contra usos no autorizados. Los usuarios se identifican y se les
asigna una licencia para la información protegida. De este modo resulta más sencillo prohibir
a un usuario realizar una copia de un documento en una llave USB o imprimir un archivo
confidencial. Durante la instalación del rol es posible instalar dos servicios de rol:
Active Directory Rights Management Services: permite proteger un recurso frente a un

uso no autorizado.
Compatibilidad con la federación de identidades: se beneficia de las relaciones federadas

entre dos organizaciones para establecer la identidad del usuario y proporcionarle un
acceso a un recurso protegido.
El rol Servidor de aplicaciones permite efectuar la administración y hospedaje de

aplicaciones creadas empleando .NET Framework 4.5 u otros. Existen más servicios de rol
incluidos en este rol:
.NET Framework 4.5: procede a la instalación del Framework .NET.
Acceso a red COM+: utilización del protocolo COM+ para comunicación remota.
Uso compartido de puertos TCP: permite a varias aplicaciones gestionar el mismo puerto.
Puesta en marcha del servidor Web (IIS): instala el servicio Web (IIS).
Servicio de activación de procesos Windows: permite la invocación de aplicaciones

utilizando protocolos como HTTP, Message Queue Server y TCP.
Transacciones distribuidas: agrega los servicios que permiten utilizar transacciones en

varias bases de datos.
Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System)
que permiten, respectivamente, la distribución de configuraciones de red a los equipos cliente
y la resolución de nombres en direcciones IP (o viceversa).
Existen otros roles disponibles en Windows Server 2012 R2, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
3. Presentación de las principales características
Una característica aporta herramientas adicionales al sistema operativo. Al igual que para un rol,
una característica puede instalarse de forma manual o automática.
El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en
caso de pérdida o robo del equipo. Se requiere la presencia de una tarjeta TPM en la máquina
para una verificación del sistema de propagación.
El clúster de conmutación por error permite a los servidores funcionar conjuntamente, para
proporcionar alta disponibilidad. En caso de fallo de uno de los servidores, los otros
garantizan la continuidad del servicio.
El equilibrio de carga de red realiza una distribución del tráfico para evitar la saturación de
uno de los servidores.
El servicio de administración de direcciones IP instala una infraestructura que permite

gestionar un espacio de direcciones IP y los servidores correspondientes (DHCP…). IPAM se
encarga de descubrir los servidores en el bosque Active Directory de forma automática.
Al igual que los roles, las características pueden instalarse con la consola Administrador del servidor
o mediante PowerShell.
Información general de la administración de Windows
Server 2012 R2
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de
administración. Es posible arrancarlas desde la consola Administrador del servidor.
La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde
Windows Server 2008 y Windows Server 2008 R2, ha sufrido un enorme cambio en Windows Server
2012.
Permite añadir o eliminar roles e igualmente la gestión de PC remotos. Se pueden instalar roles y
características empleando el protocolo WinRM. Se puede configurar igualmente un grupo de
servidores por medio de esta consola, para poder administrar varios servidores desde una misma
consola.
La gestión del servidor local se hace también mediante esta consola. Se puede modificar cierta
información muy rápidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece la máquina. También se puede gestionar la configuración del escritorio
remoto o la administración remota.
La característica Configuración de seguridad mejorada de Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Esta opción se encuentra habilitada por
defecto.
De igual forma, el panel permite verificar rápidamente que no existe ningún problema en el servidor.
Así, podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de
almacenamientofuncionan correctamente. Servidor local y Todos los servidores (que por el
momento solo incluye al Servidor local) están igualmente presentes.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las
categorías está precedida por una cifra el administrador sabe que existen eventos pendientes de
visualizar.
Haciendo clic en la categoría se muestra una ventana que contiene los detalles del evento.
Así, es posible intervenir en un problema (reiniciar un servicio...) muy rápidamente. Adicionalmente, el
aspecto visual proporciona una vista inmediata del estado de salud del servidor o servidores.
Instalación de Windows Server 2012 R2
Antes de realizar la instalación de Windows Server 2012 R2 conviene verificar que el hardware
respeta los requisitos previos exigidos por el fabricante. Adicionalmente, se debe hacer una elección:
la instalación completa que incluye la interfaz gráfica o una instalación mínima sin interfaz gráfica.
1. Métodos de instalación
Para instalar Windows Server 2012 R2, pueden usarse varios métodos:
El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de
instalación es mucho más larga que el uso de un medio USB y presenta el inconveniente de
no poder modificar la imagen (sin cambiar el medio).
El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo
software o un controlador) sin tener que volver a crear el medio. Se puede usar un archivo de
respuestas para automatizar las etapas de la instalación. Esto requiere sin embargo
permisos de administración para algunas etapas.
El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft Deployment

Toolkit…). De esta forma no es necesario tener un soporte USB o un lector DVD. Esta solución
consume muchos recursos de red.
Una vez seleccionado el método, debemos seleccionar la instalación deseada.
Una nueva instalación consiste en instalar el sistema operativo en un disco o volumen nuevo.
Una actualización permite conservar los archivos y aplicaciones. Esta operación se puede
realizar desde Windows Server 2008 R2 SP1 o Windows Server 2012. Sin embargo se debe
tener cuidado, la edición debe ser equivalente o superior.
La migración, que es útil al pasar de Windows Server 2003 o Windows Server 2003 R2 a
Windows Server 2012 R2.
2. Requisitos previos de hardware para Windows Server 2012 R2

Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware. Conviene
respetarlos para garantizar que el sistema operativo ejecuta en buenas condiciones. Evidentemente
conviene adaptarlos en función de los roles instalados, Hyper-V tiene, como es natural, requisitos
más exigentes para poder hacer funcionar las máquinas virtuales.
Es necesario garantizar antes de la instalación que se tiene, como mínimo, un procesador con una
arquitectura de 64 bits, el cual debe tener una velocidad mínima de 1,4 GHz. El servidor debe tener
512 MB de memoria RAM y 32 GB de espacio en disco.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Configuración del sistema operativo después de su
instalación
A partir de Windows Server 2008, se ha reducido el número de parámetros a configurar durante la
instalación. Ya no es posible configurar la red, el nombre del equipo o la adhesión a un dominio
durante la instalación. Es posible automatizar la configuración de estos parámetros utilizando un
archivo de respuestas). El único parámetro a introducir es la contraseña de la cuenta del
administrador local del servidor.
Estas operaciones deben realizarse después de la instalación. Para ello hay que usar el
nodoServidor local de la consola Administrador del servidor.
1. Configuración del adaptador de red

Toda máquina conectada a una red debe tener una configuración IP. Ésta tiene como mínimo una
dirección IP, una máscara de subred, la dirección IP de la puerta de enlace predeterminada y la del
servidor DNS. La dirección IP asignada a la máquina le permite ser identificada y comunicarse con
sus pares.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática. Estas
concesiones DHCP tienen una duración limitada en el tiempo y contienen toda la configuración IP
(dirección IP, máscara de subred, etc.) necesaria para que la máquina se comunique en la red.
También es posible asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la
consola Administrador del servidor (nodo Servidor local).
También es posible realizar la configuración por línea de comando DOS. El comando netsh permite
realizar esta operación.
Netsh interface ipv4 set address "Conexión a red local"

static 192.168.1.1 255.255.255.0
Para configurar la dirección IP del servidor DNS, utilice el comando siguiente:
Netsh interface ipv4 set dnsservers "Conexión a red local"

static 192.168.1.2 primary
Debe remplazar "Conexión a red local" con el nombre de su adaptador de red.

Formación de equipos de NIC
La formación de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta
característica permite utilizar una dirección IP en varios adaptadores de red, la conexión se
mantiene de esta forma incluso si una de las tarjetas de red sufre algún problema. No es necesario,
en ningún caso, contar con adaptadores de red idénticos para instalar la formación de equipos de
NIC.
Conecte el servidor SV1 para poder añadir un adaptador de red.
Una vez abierta la conexión a la máquina virtual, haga clic en Archivo y luego
enConfiguración...
Haga clic en Agregar hardware, luego en Adaptador de red y finalmente en Agregar.

Conecte el nuevo adaptador de red al mismo conmutador virtual (este último debe ser de
tipoExterno) que el adaptador de red ya instalado.
Haga clic en Aceptar y luego en el botón verde en la barra de la máquina virtual para iniciarla.
Abra una sesión en la máquina SV1.
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic en el enlace Deshabilitado al lado de Formación de equipos de NIC.
En ADAPTADORES E INTERFACES, seleccione los dos adaptadores de red manteniendo

pulsada la tecla [Ctrl] del teclado.
Haga clic con el botón derecho y luego, en el menú contextual, seleccione Agregar a nuevo
equipo.
En el campo Nombre del equipo, introduzca Equipo 1.
Despliegue el menú Propiedades adicionales y seleccione Ethernet en Adaptador de modo de

espera.
La formación de equipos de NIC está ahora en servicio.

Se ha añadido un elemento en la consola Conexiones de red.
Verifique la configuración IP para comprobar que el adaptador de red tiene la dirección IP

192.168.1.11.
Inicie un símbolo de sistema DOS e introduzca el comando ping -t 192.168.1.11.

Deshabilite los dos adaptadores de red.
Al deshabilitarlos, desaparece Equipo 1.
En adelante es imposible efectuar un ping o utilizar la red.
Reactive los adaptadores de red, Equipo 1 vuelve a aparecer.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz continúa con la
comunicación. Adicionalmente, el conjunto de adaptadores comparten la misma configuración de red.
2. Unirse a un dominio sin conexión
La unión a un dominio sin conexión permite a un equipo unirse a un dominio. Incluso sin que se
encuentre conectado. Para realizar esta operación es preciso utilizar el comando djoin.exe. En
primer lugar será necesario ejecutar, en el controlador de dominio, el comando djoin con la
opción/provision.
djoin /provision /domain formacion.local /machine NombreDeLaMáquina

/savefile c:\Union.txt
El archivo Union.txt contiene toda la información necesaria para unirse al dominio. Puede copiarlo al
equipo. Utilice, una vez más, el comando djoin y el parámetro /requestODJ.
djoin /requestODJ /loadfile union.txt /windowspath

%systemroot% /localos
Por último, reinicie el equipo para terminar la operación de unión al dominio (en un entorno de
producción, la última operación se validará durante la próxima conexión del equipo a la red
empresarial).
3. Configuración de un servidor Core

Un servidor Core no posee interfaz gráfica, la configuración debe hacerse por línea de comandos. El
comando sconfig, presente en las instalaciones mínimas, evita a los administradores tener que
escribir los diferentes comandos empleados para configurar el nombre del servidor o la configuración
IP.
Se pueden realizar varias operaciones:
Configuración del grupo de trabajo o unión a un dominio Active Directory.
Editar el nombre del equipo.
Añadir una cuenta de administrador local.
Descargar e instalar actualizaciones de Windows Update.
Configurar la fecha y hora.
Desconexión, apagado y reinicio del servidor.
Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor Core.
Introducción a PowerShell
PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas de
administración.
1. Presentación de PowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administración de
servidores y redes informáticas. Estos scripts permiten automatizar las tareas (creación de usuarios,
etc.). El lenguaje está compuesto por cmdlets que se ejecutan desde un símbolo del sistema
PowerShell. Muchos productos de Microsoft utilizan scripts de PowerShell mediante interfaces
gráficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los asistentes en MDT 2010 y MDT 2012
muestran el script PowerShell empleado. Ciertos roles como Hyper-V pueden gestionarse empleando
comandos PowerShell.
Las funciones básicas pueden extenderse agregando módulos (módulo Active-Directory, etc.), lo que
permite la administración del rol en línea de comandos.
La importación del módulo se realizará usando el comando:
Import-Module NombreModulo
2. Sintaxis de los cmdlets PowerShell

Un cmdlet utiliza un nombre y un verbo, los nombres tienen cada uno una colección de verbos
asociados.
Pueden usarse varios tipos de verbos en función del nombre seleccionado.
Get
New
Set
Restart
Resume
Remove
Add
Show
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Get-Help -Noun NounName
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
Get-Help -Verb VerbName
Ejemplo de cmdlet utilizable
El cmdlet Service permite administrar servicios mediante PowerShell.
Get-Service: permite mostrar las propiedades de un servicio.

Restart-Service: efectúa el reinicio de un servicio existente.
Set-Service: configura las propiedades de un servicio.
Start-Service: inicia un servicio detenido.
Stop-Service: detiene un servicio arrancado.
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2.
Get-EventLog: muestra los eventos de un registro de eventos especificado.
Clear-EventLog: elimina todos los eventos de un registro.
Limit-EventLog: define un tamaño y un tiempo límite para los diferentes eventos.
El cmdlet Process permite gestionar los diferentes procesos del servidor.
Get-Process: permite obtener información sobre un proceso.
Start-Process: efectúa el inicio de un nuevo proceso.
Stop-Process: detiene un proceso.
3. Presentación de la consola PowerShell ISE

La interfaz PowerShell ISE es un entorno que proporciona asistencia para la elaboración de scripts
PowerShell. Permite visualizar los comandos y los parámetros utilizados por estos comandos y
acceder a diferentes cmdlets.
Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Para facilitar su mantenimiento,
se emplea un código de colores al igual que en una herramienta de depuración.
Finalmente, se pueden visualizar los diferentes cmdlets por módulo, esto permite saber que módulo
cargar.
4. Instalar y configurar la característica DSC (Desired State Configuration)

La característica DSC es una extensión de PowerShell que permite efectuar algunas operaciones
como:
Instalar o eliminar roles y características.
Administrar archivos y carpetas.
Iniciar, detener y gestionar un proceso o un servicio.
Administrar los grupos y usuarios locales.
DSC proporciona a PowerShell nuevos cmdlets así como recursos que permiten realizar la definición
de un entorno deseado. Adicionalmente, es posible efectuar la gestión y el mantenimiento de las
configuraciones existentes.
Se ha incluido una nueva palabra clave Configuration en PowerShell. Se utiliza para definir un
bloque dentro de un script. Estará seguida por un identificador y corchetes, que permiten delimitar el
bloque. Éste contendrá la configuración deseada.
Es necesario definir en el script el equipo, así como los recursos pertinentes.
Para obtener más información acerca de esta funcionalidad visite la

página:http://technet.microsoft.com/en-us/library/dn249918.aspx
Talleres
Estos talleres permiten poner en práctica los puntos tratados en el capítulo.
1. Creación del bosque Formacion.local

Objetivo: el objetivo de este ejercicio es promover el primer controlador de dominio del bosque
Formacion.local. Una vez realizada la configuración, habrá que promover el servidor.
Máquina virtual utilizada: AD1.
Haga doble clic en la máquina AD1 para conectarse a ella.
Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].
En la consola Administrador del servidor, haga clic en Agregar roles y características.
Se inicia el asistente, haga clic en Siguiente.
Haga clic en Instalación basada en características o en roles.
En la ventana de selección del servidor de destino, seleccione la opción por defecto.

Marque la opción Servicios de dominio de Active Directory (Active Directory Domain Services -
directorio Active Directory) y luego haga clic en Agregar características.
Haga clic dos veces en Siguiente y luego en Instalar.

La instalación está en marcha…
Una vez terminada la instalación, haga clic en Cerrar.
En el Administrador del servidor, haga clic en la bandera con el signo de exclamación.

Haga clic en Promover este servidor a controlador de dominio.
Haga clic en Agregar un nuevo bosque e introduzca Formacion.local en el campo Nombre de

dominio raíz.
Haga clic en Siguiente para validar su elección.

Seleccione el nivel funcional Windows Server 2012 R2, deje la casilla Servidor DNS marcada para
instalar y configurar el rol.
Introduzca la contraseña de modo de restauración de servicios de directorio (DSRM): Pa$$w0rd.
En la ventana Opciones de DNS, haga clic en Siguiente.
Después de algunas búsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre
es FORMACION.
Haga clic en Siguiente para validar la información.

Deje las rutas de acceso por defecto.
Haga clic en Siguiente después de haber verificado los parámetros en la ventana Revisar
opciones.
Haga clic en Instalar para iniciar la instalación de Active Directory y promover el servidor. Al
terminar la instalación, el servidor reinicia.
2. Configuración de un servidor en modo de instalación Core

Objetivo: configurar SVCore que ejecuta Windows Server 2012 R2 en modo instalación mínima. El
taller permite efectuar la configuración del nombre del servidor, la fecha y hora al igual que el
adaptador de red. Seguidamente, el servidor se agregará al dominio Formacion.local.
Máquinas virtuales utilizadas: AD1 y SVCore.
Abra una sesión en SVCore como administrador local.
En el símbolo del sistema, introduzca: netdom renamecomputer %computername%

/newname:SVCore
Introduzca S y, a continuación, pulse la tecla [Intro] para realizar el cambio de nombre.
Utilice el comando shutdown -R -t 0 para reiniciar el servidor.
Después del reinicio, abra una sesión como administrador y verifique el nombre usando el
comando hostname.
Introduzca sconfig y valide con la tecla [Intro].

Introduzca 9 y valide con la tecla [Intro].
Verifique que la zona horaria está bien configurada UTC+01 (Madrid).
Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora.
En la ventana sconfig, seleccione la opción 8) Configuración de red.
Introduzca el índice del adaptador de red deseado y luego pulse la tecla [Intro].
Seleccione la opción 1 para definir la dirección del adaptador de red.

Introduzca e (para efectuar una configuración estática) y valide su elección empleando la tecla
[Intro].
Responda a las diferentes preguntas para configurar la dirección IP como 192.168.1.13, la

máscara de subred como 255.255.255.0 y finalmente la puerta de enlace predeterminada
como192.168.1.254.
Seleccione la opción 2) Establecer servidores DNS.
En la línea Escriba un nuevo servidor DNS, introduzca 192.168.1.10 y valide su opción.
Haga clic en Aceptar en la ventana Configuración de red y luego pulse [Intro] sin introducir
ningún valor para volver al menú.
Seleccione la opción 4) Regresar al menú principal.
Salga del menú sconfig seleccionando la opción 15) Salir a la línea de comandos.
Introduzca el comando netdom join %computername% /domain:Formacion.local

/Userd:Formacion\administrador /PasswordD:*
El símbolo * introducido en el parámetro PasswordD permite introducir la contraseña de forma

segura. De hecho, ésta no se mostrará.
Si la operación ha funcionado bien, reinicie el servidor introduciendo el comando shutdown -R -t

0.
3. Administración de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalará un rol en uno de los
servidores del grupo.
Abra una sesión en AD1 y luego ejecute la consola Administrador del servidor.
En el panel, haga clic en Crear un grupo de servidores.
Haga clic en la pestaña Active Directory y luego en el botón Buscar ahora.

Introduzca Grupo-Formacion en el campo Nombre de grupo de servidores.
Agregue los servidores AD1 y SVCore al grupo.

Haga clic en Aceptar para validar la creación del grupo.
En el panel de la consola Administrador del servidor, haga clic en Agregar roles y

características.
Haga clic en Siguiente en la ventana Antes de comenzar.
Deje el valor predeterminado en la ventana Seleccionar tipo de instalación.
Seleccione SVCore como servidor de destino de la instalación del rol y luego haga clic
enSiguiente.
Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente.
En la ventana Seleccionar características, haga clic en Siguiente.

Se realiza la instalación del servidor remoto.
4. Utilización de PowerShell para administrar los servidores

Objetivo: obtener información acerca de los servidores remotos mediante la interfaz PowerShell.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion.
Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows PowerShell.
Introduzca Import-Module ServerManager y, a continuación, valide con la tecla [Entrar].
Utilice el comando Get-WindowsFeature para visualizar los roles y características.
Podemos ver igualmente aquellos ya instalados.
Introduzca el comando Get-service | where-object {$_.status -eq "Running"} para visualizar

los servicios arrancados.
Utilice los comandos get-process para enumerar los procesos en ejecución.
Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones IPv4 e
IPv6 del servidor consultado.
Introduzca Install-WindowsFeature WINS -ComputerName SVCore para instalar la

característica WINS en SVCore.
De esta forma es muy sencillo instalar un rol o una característica, y también realizar la administración
de un servidor local o remoto.
5. Unirse a un dominio sin conexión

Objetivo: unir un servidor utilizando el método sin conexión. El taller consiste en crear el archivo
necesario para unir un servidor a un dominio y utilizar el comando DJoin.
Máquinas virtuales utilizadas: AD1 y SV1.
En AD1, inicie un símbolo del sistema DOS.
Introduzca el comando Djoin /provision /domain formacion.local /machine SV1 /savefile

c:\union.txt.
Abra una sesión en SV1 como administrador local.
Sitúe el ratón en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz
Windows. Haga clic con el botón derecho en la miniatura y seleccione Ejecutar.
Introduzca \\192.168.1.10\c$ y luego haga clic en Aceptar.
Autentíquese como formacion\administrador.
Copie el archivo union.txt en el disco duro local del servidor SV1.
Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.
Introduzca el comando Djoin /requestODJ /loadfile c:\union.txt /windowspath

%systemroot% /localos en SV1.
Efectúe un reinicio en SV1.
Abra una sesión, el servidor estará ahora conectado al dominio.
Active los adaptadores de red y luego abra una sesión como administrador del dominio.
SV1 será miembro del dominio, la unión al dominio sin conexión ha funcionado.
6. Agregar características a una imagen sin conexión

Objetivo: agregar características a una imagen de instalación para que esté disponible durante la
instalación del servidor.
Máquinas virtuales utilizadas: AD1.
En AD1, conecte la ISO de Windows Server 2012 R2 y luego copie el

archivo install.wimubicado en el directorio Sources en c:\ImageWim (cree la carpeta en el
árbol).
Abra un símbolo del sistema DOS y, a continuación, introduzca el comando dism /get-imageinfo
/imagefile:c:\imagewim\install.wim
El comando permite obtener información del archivo de imagen.
Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim.
Para ello, se recupera la imagen de la edición Datacenter con interfaz gráfica. El siguiente comando
indica que la imagen deseada tiene asignado el número 4. El archivo install.wim contiene cuatro
archivos install.wim (uno por edición).
Cree una carpeta Montar en c:\ImageWim.
Introduzca el comando dism /Mount-Image /ImageFile:c:\ImageWim\install.wim /Index:4

/MountDir:c:\ImageWim\Montar.
No acceda a la carpeta Montar porque esto causará que la imagen no pueda ser desmontada
(recomprimida en el archivo wim).
Active la característica TFTP introduciendo el comando Dism /online /Enable-Feature

/FeatureName:TFTP.
Es posible recuperar la lista de características mediante el comando Dism /online /Get-

Features.
Valide las modificaciones introduciendo el comando Dism /Unmount-Image

/MountDir:C:\ImageWim\Montage /Commit.
De esta forma, durante la instalación del servidor, se instalará la característica.
7. Agregar/eliminar una interfaz gráfica

Objetivo: el taller consiste en agregar una interfaz gráfica al servidor SVCore.
Máquinas virtuales utilizadas: SVCore.
El servidor Core no tiene los recursos necesarios para la instalación de la interfaz gráfica, nos basa-
remos en primera instancia en el archivo install.wim presente en el DVD.
Abra una sesión en SVCore como administrador y luego conecte la imagen ISO de Windows
Server 2012 R2.
Introduzca los comandos mkdir c:\Sources y, a continuación, copy D:\sources\install.wim

C:\Sources\install.wim para crear una carpeta que va a contener el archivo wim e iniciar una
copia del archivo install.wim en el directorio local.
Substituya la letra de la unidad D: por la de su unidad de DVD.
Elimine la propiedad Solo lectura introduciendo el comando attrib.exe -r

C:\Sources\install.wim.
La instalación de la interfaz gráfica ya puede empezar. Introduzca en primer lugar el

comandopowershell en la interfaz gráfica.
Inicie la instalación mediante el comando PowerShell Install-WindowsFeature Server-Gui-

Mgmt-Infra,Server-Gui-Shell -source:wim:C:\Sources\install.wim:2 -restart.
El servidor reinicia al terminar la instalación. Ahora cuenta con una interfaz gráfica. Es posible
eliminarla desinstalando la característica Infraestructura e interfaces de usuario.
1. Preguntas
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
2 ¿Cuál es la ventaja del panel de la consola Administrador del servidor?
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
4 ¿Cuál es la ventaja de instalar un servidor en modo Core?
5 Nombre algunos roles y características presentes en Windows Server 2012 R2.
6 ¿Cuál es el rol que debe instalar si desea distribuir certificados digitales?
7 ¿Cuál es el rol de un servidor Active Directory Domain Services?
8 ¿Cuál es la ventaja de una formación de equipos de NIC?
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexión.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
11 ¿Qué comando se utiliza en un servidor Core para mostrar la interfaz de configuración?
12 ¿Cuál es la ventaja de la consola PowerShell ISE?
13 ¿Cuál es el nombre de la característica que permite agregar/eliminar la interfaz gráfica?
2. Resultados
3. Respuestas
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y característica
de forma remota.
2 ¿Cuál es la ventaja del panel de la consola Administrador del servidor?
Empleando un código de color (rojo, blanco) es, en adelante, muy fácil distinguir si existe un
problema en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar resolver el
problema (por ejemplo: iniciar o detener el servicio que está detenido).
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar Windows
Server 2012 R2 en modo completo (interfaz gráfica presente en el servidor) o en modo instalación
mínima (sin interfaz gráfica).
4 ¿Cuál es la ventaja de instalar un servidor en modo Core?
Con este tipo de instalación, es posible utilizar un hardware más antiguo. Adicionalmente, menos
servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un
hacker, e igualmente el número de actualizaciones a instalar. A partir de Windows Server 2012, es
posible pasar de un tipo de instalación al otro.
5 Nombre algunos roles y características presentes en Windows Server 2012 R2.
Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al
servidor. Podemos encontrar los siguientes roles Servidor de aplicaciones, DNS (Domain Name
System), DHCP (Dynamic Host Configuration Protocol), AD DS (Active Directory Domain Services),
AD CS (Active Directory Certificate Services), AD FS (Active Directory Federation Service), AD RMS
(Active Directory Rights Management Services)…
Adicionalmente, es posible instalar características que aportan herramientas suplementarias.

Encontraremos el cifrado de unidad BitLocker, el clúster de conmutación por error, el equilibrador de
carga, IPAM (administración de direccionamiento IP)...
6 ¿Cuál es el rol que debe instalar si desea distribuir certificados digitales?
El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que
tiene como función la gestión de certificados digitales.
7 ¿Cuál es el rol de un servidor Active Directory Domain Services?
AD DS permite la instalación de un directorio Active Directory. Este directorio permite autenticar e

identificar objetos usuario y equipo.
8 ¿Cuál es la ventaja de la formación de equipos de NIC?
Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como
mínimo) con la misma configuración IP. Esto permite, de forma muy simple, contar con una mayor
redundancia en caso de fallo de uno de los adaptadores.
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexión.
El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. Debe ejecutarse con
permisos de administrador en el controlador de dominio, con el objetivo de poder crear el archivo
necesario para la operación. A continuación, se utilizará el ejecutable en el equipo que se unirá al
dominio.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
El archivo utilizado por el comando djoin es de tipo txt, contiene la información necesaria para
unirse al dominio AD.
11 ¿Qué comando se utiliza en un servidor Core para mostrar la interfaz de configuración?
Un servidor en modo instalación Core puede administrarse por línea de comandos. Ciertos
elementos (IP, etc.) pueden configurarse mediante una interfaz de configuración. Es posible
mostrarla utilizando el comando sconfig.
12 ¿Cuál es la ventaja de la consola PowerShell ISE?
Esta consola facilita la creación de scripts o el uso de PowerShell. Permite igualmente visualizar los
diferentes módulos y sus cmdlets.
13 ¿Cuál es el nombre de la característica que permite agregar/eliminar la interfaz gráfica?
La característica Infraestructura e interfaces de usuario permite instalar o eliminar la interfaz

gráfica. Sin embargo este paso puede realizarse desde PowerShell empleando el cmdlet Install-
WindowsFeature (útil básicamente en un servidor en modo Core).
Poseer conocimientos de Active Directory.
2. Objetivos
Definición del directorio Active Directory.
Presentación de los roles FSMO.
Promover un servidor miembro a controlador de dominio.
Gestión de la papelera AD y de una directiva de contraseña muy específica.

Introducción
Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de
Windows 2000 Server. Como los otros directorios, se basa en la normativa LDAP. Se han aportado
muchas mejoras desde entonces. Abarca generalmente el conjunto de cuentas necesarias para la
autenticación de los equipos y usuarios de una empresa.
Información general de Active Directory
El rol Servicios de dominio de Active Directory contiene los componentes físicos y lógicos.
Los componentes físicos van a englobar varios elementos clave en un dominio Active Directory. Estos
últimos pueden ser hardware o software:
El controlador de dominio, que contiene una copia de la base de datos Active Directory.
La base de datos y la carpeta sysvol, que contendrán el conjunto de la información de Active

Directory (propiedades de las cuentas de usuarios, equipos…). Cada controlador de dominio del
dominio Active Directory contiene una copia.
El servidor de directorio global, que contiene una copia parcial de los atributos (nombre,
nombre de pila, dirección del usuario…) y objetos del bosque. Permite realizar búsquedas
rápidas sobre los atributos de algún objeto de un dominio diferente al del bosque.
Todos los componentes funcionan con componentes lógicos, los cuales permiten la puesta en marcha
de la estructura de Active Directory deseada.
De esta forma podemos encontrar los siguientes componentes:
Las particiones, que son selecciones de la base de datos de Active Directory. Así, podremos
encontrar la partición de configuración, la partición de dominio, la partición DNS…
El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden
ser creados en Active Directory.
El dominio, que permite poner en marcha un límite administrativo para los objetos usuarios y
equipos.
Un árbol de dominio, contiene un conjunto de dominios que comparten un espacio de nombres

DNS contiguo.
El bosque Active Directory, que contiene el conjunto de dominios Active Directory.
El sitio de Active Directory, que permite dividir un dominio en varias partes, para así limitar y
controlar la replicación entre dos sitios remotos.
La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar
una delegación.
1. El dominio Active Directory

Un dominio Active Directory es una agrupación lógica de cuentas de usuario, equipos o grupos. Los
objetos creados se almacenan en una base de datos presente en todos los controladores de
dominio Active Directory. Esta base de datos puede almacenar varios tipos de objeto:
La cuenta de usuario, que permite efectuar una autenticación y autorizar los accesos a los
diferentes recursos compartidos. Corresponde a una persona física o una aplicación.
La cuenta de equipo, que permite autenticar la máquina en la que el usuario inicia una
sesión.
Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo
de autorizar el acceso a un recurso, implementar una delegación…
2. Las unidades organizativas

Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que permiten la
agrupación de cuentas de usuario o de equipo. La creación de este tipo de objeto se utiliza con el
fin de asignar una directiva de grupo al conjunto de objetos presentes en el contenedor. La
segunda función es la puesta en marcha de una delegación para permitir a una persona diferente al
administrador gestionar objetos presentes en el contenedor.
De esta forma las OU representan una jerarquía lógica en el dominio Active Directory (se las puede
anidar, entonces hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad
organizativa por ciudad (Alicante, Madrid...) o por tipo de objeto (usuario, equipo...). Durante la
creación del dominio se encuentran presentes las carpetas de sistema y unidades organizativas
predeterminadas:
Carpeta Builtin: almacena los grupos predeterminados: Administradores, Operadores de

impresión…
Carpeta Users: carpeta predeterminada al crear un nuevo usuario. Contiene de forma

predeterminada la cuenta de administrador y los diferentes grupos administradores
(Administradores de dominio, Administradores de empresas...).
Carpeta Computers: carpeta predeterminada donde se ubican las cuentas de equipo al
agregar nuevos equipos.
Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas

de los controladores de dominio. Esta OU es la única presente al crear el dominio. La directiva
de grupo Default Domain Controller Policy está ubicada en esta unidad organizativa.
3. El bosque Active Directory

Un bosque está formado por uno o más dominios Active Directory. Hablamos de dominio raíz para el
primer dominio del bosque, adicionalmente este último proporciona el nombre al bosque. En nuestra
maqueta el dominio raíz es Formacion.local, el bosque tiene pues el nombre de este último, es decir
Formacion.local. En un bosque Active Directory encontramos una sola configuración y un solo
esquema que son compartidos por el conjunto de los controladores de dominio presentes en el
bosque. Tiene asimismo como objetivo la puesta en práctica de una frontera de seguridad, los otros
bosques no tienen ningún permiso sobre éste y no se replica ningún dato fuera del bosque.
Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos últimos comparten un espacio de nombres contiguo. La relación
entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un
espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite la
autenticación de una entidad (persona física de la empresa...) se define por cada dominio. Este
último contiene al menos un controlador de dominio, siendo dos lo recomendable en términos de
alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios
y equipos en un dominio AD.
4. El esquema de Active Directory

El esquema de Active Directory es un componente que permite definir los objetos así como sus
atributos, que es posible crear en Active Directory. Al crear un nuevo objeto, se utiliza el esquema
para recuperar sus atributos y su sintaxis (booleano, entero...).
De esta forma, al crear el objeto, el directorio Active Directory conoce cada atributo y el tipo de datos
a almacenar. Al migrar Active Directory o cuando se instalan ciertas aplicaciones (por ejemplo,
Exchange, etc.) el esquema debe estar actualizado. Esta operación permite agregar los objetos y
sus atributos que podrán crearse a continuación (por ejemplo, un buzón de correos). Esta operación
no puede realizarse en un controlador de dominio con el rol miembro de esquema. El usuario que
efectúe esta operación debe ser miembro del grupo Administradores de esquema. Después de
efectuar la modificación, esta última se replicará al conjunto de los controladores de dominio del
bosque.
El complemento software Esquema de Active Directory se encuentra oculto de forma

predeterminada. Para poder activarlo, es necesario escribir el comando regsvr32 schmmgmt.dll en
la consola Ejecutar.
El complemento software puede agregarse, ahora, a una consola MMC.
5. Las particiones de Active Directory

Active Directory está compuesto de varias particiones. Son cuatro, y se comparten entre los
controladores de dominio.
Partición de dominio: contiene la información de los diferentes objetos que se han creado en
el dominio (atributos de cuentas usuario y equipo…).
Partición de configuración: en esta partición está descrita la topología del directorio (lista
completa de dominios, arborescencias).
Partición de esquema: contiene todos los atributos y clases de todos los objetos que es
posible crear.
Partición DNS: en esta partición se almacena el conjunto de zonas y sus registros.
Estas particiones se almacenan en la base de datos. Esta última se encuentra en la carpeta

%systemroot%\NTDS.
6. Los maestros de operación FSMO

En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single Master Operation).
Dos de estos se encuentran solamente en uno de los controladores de dominio del bosque, los
otros tres se encuentran en cada dominio.
Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Este último es el
único que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar esta
operación, es necesario que la cuenta empleada sea miembro del grupo Administradores de
esquema. Los otros servidores solo tienen un acceso de lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se
encuentra únicamente en un único controlador de dominio del bosque. El Maestro de nomenclatura
de dominios es necesario al añadir o eliminar un dominio del bosque. Se contacta este servidor para
garantizar la coherencia de los nombres de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC están
presentes en cada dominio del bosque.
Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del dominio
para crear el SID (identificador de seguridad) del objeto. Es mediante este identificador como se
reconoce un objeto.
Maestro de infraestructura: su rol es la vigilancia de objetos ajenos a su dominio, que están

presentes en los grupos de seguridad o en las ACL. Ejemplo: el objeto Javier OLIVARES forma parte
del dominio ES.Formacion.local pero es miembro del grupo G_Conta-US-R, que se encuentra en el
dominio US.Formacion.local.
Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un servidor PDC

NT4. Permite también la migración entre Windows 2000 (uso del controlador de dominio Active
Directory) y Windows NT4 (uso del servidor PDC y BDC). Su segundo rol es la sincronización del reloj
para el conjunto del dominio.
7. Los sitios Active Directory y la replicación

Los dominios Active Directory están divididos en sitios AD que representan la topología física de la
empresa. Si consideramos la conectividad de red de un sitio como buena, hablaremos de una
replicación intra-sitio. La replicación inter-sitio se refiere a la realizada entre dos sitios Active
Directory.
Los sitios Active Directory permiten definir fronteras de replicación, lo cual permite ahorrar ancho de
banda en la línea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesión, se utilizan los controladores de dominio Active
Directory a los que está conectado. Sin embargo, si la autenticación no puede realizarse en éstos, la
operación se ejecuta en otro sitio.
La replicación inter-sitio permite garantizar la transmisión de una modificación a uno o varios sitios.
Para ello, conviene utilizar un objeto de conexión de tipo unidireccional (solo de entrada). Mediante
estas rutas de replicación, la topología se creará automáticamente. Esta última garantiza la
verificación de la coherencia de los datos (KCC - Knowledge Consistency Checker). De esta forma
garantizamos la continuidad de servicio a nivel de replicación en caso de una avería en uno de los
controladores de dominio. Sin embargo, es imposible realizar más de tres saltos entre dos
controladores de dominio.
Información general de un controlador de dominio
El controlador de dominio es uno de los servidores más sensibles en un dominio Active Directory.
Conviene tomar precauciones adecuadas al instalar el servidor.
1. Los controladores de dominio

Un controlador de dominio contiene una copia de la base de datos Active Directory (archivo NTDS.dit)
al igual que la carpeta Sysvol. A partir de Windows 2000, el conjunto de controladores de dominio
cuenta con un acceso de lectura/escritura a la base de datos y la carpeta Sysvol. Es, sin embargo,
posible instalar un controlador de dominio en solo lectura (a partir de Windows Server 2008).
La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de grupo. A
diferencia de la base de datos, la replicación de la carpeta sysvol se efectúa utilizando el servicio de
replicación de archivos (FRS) o más recientemente mediante el sistema DFS (Distributed File System).
En un dominio es necesario contar con al menos un servidor que tenga el rol de catálogo global así
como dos controladores de dominio por dominio. Los sitios remotos que cuenten con un número muy
restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller - Controlador
de dominio de solo lectura).
2. Presentación de los catálogos globales

En un bosque con un único dominio, la base de datos contiene el conjunto de la información de
todos los objetos del bosque. Sin embargo si el bosque está compuesto por varios dominios, la
situación es más compleja. La información de los objetos de los dominios sólo la conoce el propio
dominio. Si se efectúa un búsqueda de un objeto de otro dominio, el resultado será nulo. Debemos
entonces configurar un controlador de dominio por dominio que contenga una copia del catálogo
global. Este último consiste en una base de datos que contiene la información acerca de todos los
objetos de todos los dominios del bosque.
El catálogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos
que son susceptibles de ser utilizados por las búsquedas inter-dominio (nombre, apellidos...). En un
bosque compuesto de varios dominios, los servidores con el rol de Maestro de infraestructura no
deben ser también catálogo global.
3. Proceso de inicio de sesión con Active Directory

Al iniciar una sesión en un dominio Active Directory, el sistema busca los registros de tipo SRV en el
DNS para poder encontrar el controlador de dominio más cercano. Si la autenticación tiene éxito, la
autoridad de seguridad local (LSA - Local Security Authority) genera un token de acceso y se lo
atribuye al usuario. Este token contiene el identificador de seguridad (SID) del usuario al igual que el
conjunto de los grupos de los que es miembro. Del mismo modo, el controlador de dominio atribuirá
al usuario un ticket llamado TGT (Ticket-Granting Ticket). Al intentar acceder a un recurso de la red, el
usuario envía su ticket TGT al controlador de dominio. Este último le responde con otro ticket que le
autoriza el acceso al recurso.
Promover un controlador de dominio
Promocionar un controlador de dominio consiste en darle el rol de controlador de dominio a un
servidor miembro. La operación puede realizarse por línea de comandos (en un servidor Core) o
empleando una interfaz gráfica.
1. Promover un controlador de dominio de forma gráfica

La promoción de un servidor a controlador de dominio se realizaba mediante el comando dcpromo
en los sistemas anteriores a Windows Server 2012. Desde este último, el comando ya no se puede
utilizar. Al utilizar el comando, aparece un mensaje invitando al administrador a utilizar el
Administrador del servidor.
Como hemos visto en el taller del capítulo precedente, es necesario instalar el rol Servicios de
dominio de Active Directory.
El comando dcpromo solo puede utilizarse por línea de comandos. Después de haber instalado el rol
en un servidor con interfaz gráfica, es necesario iniciar el asistente para promover el servidor. Este
último ofrece la posibilidad de crear un nuevo bosque, de agregar un nuevo dominio o de agregar un
controlador de dominio suplementario.
La instalación necesita cierta información, que solicita el asistente al promover el servidor. Es

necesario introducir el nombre de dominio DNS. Se debe seleccionar el nivel funcional (para el
bosque y el dominio). Por último, también es preciso indicar la contraseña para acceder al modo de
restauración Active Directory (DSRM - Directory Services Restore Mode).
2. Instalación de un controlador de dominio en un servidor Core

La instalación de un controlador de dominio en un servidor Core puede realizarse de varias
maneras:
Utilizando la consola Administrador del servidor para promover el servidor de forma remota.
Ejecutando el comando dcpromo /unattend seguido de las opciones adecuadas.
Dcpromo /unattend /InstallDns:Yes /ConfirmGc:Yes

/ReplicaOrNewDomain:Replica /ReplicaDomainDNSName:
"Formacion.local" /databasePath:"c:\windows\ntds"
/logpath:"c:\Windows\ntds" /sysvolpath:"c:\windows\SYSVOL"
/safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes
Para obtener más información sobre las diferentes opciones, puede consultar la página
Technet que se encuentra en: http://technet.microsoft.com/es-
es/library/cc732887(v=ws.10).aspx
3. Actualización de un controlador de dominio a Windows Server 2012 R2

Existen dos formas de realizar la actualización de un controlador de dominio. Actualizando el sistema
operativo o agregando un nuevo servidor. Tenga precaución con la primera solución, ciertos
sistemas operativos como Windows Server 2003 o Windows 2000 no permiten ser actualizados. Es
necesario realizar primero la actualización de los controladores de dominio a Windows Server 2008.
Es aconsejable contemplar, en la medida de lo posible, la opción de agregar un nuevo controlador

de dominio, esto permitirá una nueva instalación en un sistema operativo limpio. La primera
operación antes de promover un controlador de dominio que ejecute Windows Server 2012 es
extender el esquema de Active Directory. Esta operación, que consiste en agregar los objetos
necesarios al igual que sus atributos al esquema AD, se realizaba antes mediante el
comandoadprep (adprep /forestprep, adprep /domainprep /gpprep).
Estas etapas están automatizadas al promover un nuevo controlador de dominio.
4. Promover un controlador de dominio utilizando IFM

Un punto muy importante, en el caso de promover un controlador de dominio en un equipo remoto,
es el ancho de banda de la línea que conecta ambos servidores. En el caso de que la línea
proporcione poca capacidad, la primera sincronización del controlador de dominio puede ser difícil de
gestionar porque la línea corre el riesgo de verse rápidamente saturada. En este caso, es
conveniente utilizar la opción de promover el servidor empleando el método IFM (Install From Media).
Éste consiste en copiar el contenido completo de la base de datos Active Directory al igual que la
carpeta SYSVOL. Al promover la réplica del controlador de dominio, el asistente debe emplear el
archivo de medios creado previamente (y copiado en su soporte USB, por ejemplo). De esta forma la
línea WAN (Wide Area Network) que comunica los dos sitios no se satura. Faltará que el nuevo
controlador de dominio recupere los cambios realizados a los objetos después de la creación del
archivo de medios realizando una réplica inter-sitio.
Para crea el archivo de medios, deben usarse los siguientes comandos:
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
Se dedica un taller a la puesta en marcha de un controlador de dominio utilizando IFM.

La papelera de reciclaje AD
No hay nada más molesto que una eliminación accidental de un objeto de Active Directory. Esto puede
tener un impacto más o menos importante en la producción. En los sistemas operativos anteriores a
Windows Server 2008 R2, se podía utilizar el tombstoned. Esta funcionalidad permite la recuperación
de una cuenta donde el atributo isDeleted se ha configurado como True. La herramienta LDP permite
efectuar esta operación. Elimina el atributo isDeleted, sin embargo se pierden los atributos
(pertenencia a grupo, etc.) del objeto. Se han desarrollado herramientas de terceros, no oficiales, que
permiten efectuar esta operación de forma gráfica y más rápida.
A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada papelera de
reciclaje de Active Directory. Esta última permite efectuar la restauración de un objeto eliminado del
directorio al igual que sus atributos.
Para proceder a la activación de la papelera de reciclaje Active Directory es necesario disponer de un

nivel funcional Windows Server 2008 R2 como mínimo. Observe que, una vez activada, es imposible de
desactivar.
Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y
activar la funcionalidad desde el Centro de administración de Active Directory. Todas las operaciones
se realizarán, en adelante, empleando una interfaz gráfica en lugar de PowerShell.
La directiva de contraseña muy específicas
Un dominio incluye una directiva de seguridad (contraseñas y bloqueos). Puede ser necesario
implantar una directiva de contraseña diferente, más o menos estricta en función de las cuentas
afectadas (cuenta de servicio, cuenta de administrador...). Para esto, antes de Windows Server 2008,
era necesario implantar varias directivas de grupo.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creación de
directivas de contraseña muy específicas. Esto permite a una empresa definir varias directivas de
contraseña o de bloqueo. Éstas se atribuyen, a continuación, a un usuario o a un grupo de seguridad
global. El sistema operativo utilizado en el controlador de dominio deberá ser por lo menos Windows
Server 2008. El nivel funcional deberá estar, a su vez, configurado a nivel Windows Server 2008. La
operación debe realizarla un administrador de dominio, sin embargo es posible implementar una
delegación para un usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema:
El contenedor de contraseñas (PSC - Password Settings Container): este contenedor se

crea en el contenedor del sistema del dominio. Se puede visualizar empleando la consola de
Usuarios y equipos de Active Directory (Características avanzadas, menú Ver).
El objeto PSO (Password Settings Object): ubicado en el contenedor PSC, posee los
atributos de todos los parámetros de una directiva de dominio predeterminada (sin parámetros
Kerberos).
Los parámetros incluidos son los siguientes:
Histórico de contraseñas.
Duración máxima de la contraseña.
Duración mínima de la contraseña.
Longitud mínima de la contraseña.
Cumplir los requisitos de complejidad.
Grabación utilizando cifrado reversible.
Duración de bloqueo de cuenta.
Umbral de bloqueo de cuenta.
Reinicio del contador de bloqueo de cuenta después de un tiempo definido por el

administrador.
Además de estos parámetros, podemos encontrar igualmente:
Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra
vinculada esta directiva.
Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación de
varias PSO a un objeto.
Un objeto PSO posee el atributo msDS-PSOAppliesTo. Éste permite implementar un vínculo entre los
objetos de usuario o grupo y el objeto PSO. De esta forma el objeto que la recibe ve configurado su
atributo msDS-PSOAppliced, que permite el vínculo de retorno a la directiva.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una novedad
con la gestión y la creación de las directivas de contraseña muy específicas.
En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas directivas pero,
sobre todo, para visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de
administración de Active Directory. Esta consola permite en adelante la visualización de la directiva
resultante de un usuario.
Talleres
Los talleres siguientes le permitirán promover un controlador de dominio utilizando el método IFM. Se
tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contraseña
muy específicas.
1. Promover un servidor utilizando IFM

Objetivo: este taller permite promover un controlador de dominio utilizando el método IFM.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil.
Al aparecer el símbolo de entrada, seleccione la instancia ntds utilizando el comando activate

instance ntds.
Introduzca ifm para poder crear un archivo de medios IFM.
Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creación del
archivo de medios.
Los archivos necesarios se copian en c:\MediosIFM.

Abra una sesión en SV1.
Haga clic con el botón derecho en el botón Inicio y, a continuación, en el menú contextual,
seleccione la opción Ejecutar.
Introduzca en el menú Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor AD1.
Si fuera necesario autentíquese como Formacion\administrador.
El explorador de Windows se despliega, copie la carpeta MediosIFM en el disco C del

servidorSV1.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en Agregar
roles y características.
Se inicia el asistente; haga clic en Siguiente.
En la ventana Seleccionar tipo de instalación, deje la opción predeterminada y luego haga clic
en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en SV1.Formacion.local y luego

enSiguiente.
Marque Servicios de dominio de Active Directory para efectuar la instalación.

En la ventana que aparece haga clic en Agregar características.
Haga clic en Siguiente en la ventana Seleccionar características.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el

enlacePromover este servidor a controlador de dominio.
En la ventana Configuración de implementación, seleccione la opción Agregar un controlador

de dominio a un dominio existente.
Haga clic en el botón Cambiar para proporcionar la información necesaria para promover el
servidor.
Introduzca administrador en el primer campo y luego la contraseña Pa$$w0rd en el segundo

campo.
Haga clic en Aceptar y luego en Siguiente en la ventana Configuración de implementación.
Introduzca Pa$$w0rd en el campo Escribir contraseña de modo de restauración de servicios

de directorio (DSRM) y luego haga clic en Siguiente.
Haga clic en Siguiente en la ventana Opciones de DNS.
Marque Instalar desde medios y haga clic en el botón ....
Seleccione la carpeta C:\MediosIFM y haga clic en Aceptar.

Deje las rutas por defecto y haga clic en Siguiente.
El servidor reinicia, se ha promovido a controlador de dominio.
2. Utilización de la interfaz de la papelera de reciclaje AD

Objetivo: este taller permite poner en marcha la papelera de reciclaje Active Directory, y
principalmente el uso de la interfaz gráfica, aparecida con Windows Server 2012.
Máquina virtual utilizada: AD1
Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del
bosque.
Inicie la consola Centro de administración de Active Directory desde las Herramientas
administrativas ubicadas en la pantalla Inicio.
En el menú de la izquierda, haga doble clic en Formacion (local).
Haga clic en Habilitar papelera de reciclaje en el panel Tareas.
Haga clic Aceptar para iniciar la activación.
Cree la unidad organizativa Form, los grupos Formadores y Alumnos y los usuarios de
prueba (Nicolas BONNET, Alumno 1, Alumno 2 y Alumno 3).
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno
son miembros del grupo Alumnos.
Elimine los grupos y cuentas de usuario para enviarlas a la papelera de reciclaje.
En la consola Centro de administración de Active Directory, haga doble clic en Deleted Objects.
Actualice la consola si no se muestra Deleted Objects.
Aparecen los objetos eliminados previamente.
Seleccione todos los objetos presentes y luego haga clic en Restaurar.
La opción Restaurar en... en el panel Tareas permite realizar la restauración en un entorno

diferente del original.
Los atributos de las cuentas han sido restaurados correctamente.

3. Implantación de una directiva de contraseña muy específica
Objetivo: el taller permitirá implementar una directiva de contraseña muy específica llamada "Fine
Grained Password".
Máquina virtual utilizada: AD1
Desde el servidor AD1, inicie la consola Centro de administración de Active Directory.
En el panel de la derecha, haga doble clic en la raíz del dominio Formacion (local).
En el componente de navegación, haga doble clic en el contenedor System y luego en Password

Settings Container.
Haga clic en Nuevo en el panel Tareas y luego en Configuración de contraseña.
Introduzca PSO Formadores en el campo Nombre y 1 en Precedencia.
Deje marcada Exigir longitud mínima de contraseñas e introduzca en el campo el valor 5.
En el campo Exigir historial de contraseñas, introduzca 8.
Marque la casilla Exigir directiva de bloqueo de cuenta y luego introduzca 3 en el campoNúmero

de intentos de inicio de sesión incorrectos.
Haga clic en el botón Agregar y luego introduzca Formadores en el campo.

Haga clic en Aceptar para validar la creación de la PSO.
Haga clic en Nuevo en el panel Tareas y luego en Configuración de contraseña.
Introduzca PSO Alumnos en el campo Nombre y 1 en Precedencia.
Deje marcada Exigir longitud mínima de contraseñas e introduzca en el campo el valor 7.
En el campo Exigir historial de contraseñas, introduzca 24.
Desmarque la casilla Las contraseñas deben cumplir los requisitos de complejidad.
Modifique el valor de la vigencia máxima de contraseñas para que sea igual a 90 días.
Haga clic en el botón Agregar y luego introduzca Alumnos en el campo.
Haga clic en Aceptar para validar la creación de la PSO.
Las dos directivas de contraseña muy específica aparecen en la consola.

La consola permite de igual forma conocer la configuración de contraseña resultante para un usuario.
Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad organizativa Form.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuración de contraseña
resultante.
Se muestra la directiva de contraseña muy específica que se le ha atribuido.

Repita la misma operación seleccionando esta vez a Nicolas BONNET.
La directiva aplicada es PSO Formadores.

1. Preguntas
1 Enumere los componentes físicos y lógicos de un dominio Active Directory.
2 ¿Qué es un dominio Active Directory?
3 ¿Cuál es el comando que permite la actualización del esquema AD?
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012 R2?
5 ¿Qué es un bosque Active Directory?
6 Enumere las particiones en Active Directory.
7 ¿Cuál es la utilidad de un servidor de catálogo global?
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
10 Enumere los cinco roles FSMO y luego proporcione sus funciones.
11 ¿Cuál es la utilidad de un sitio de Active Directory?
12 ¿Es posible ejecutar el comando dcpromo utilizando la interfaz gráfica?
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta
solución.
14 ¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de

contraseña muy específicas?
15 ¿Cuál es la diferencia entre el tombstoned y la papelera de reciclaje AD?
16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
2. Resultados
3. Respuestas
1 Enumere los componentes físicos y lógicos de un dominio Active Directory.
Varios componentes físicos constituyen Active Directory, es posible encontrar controladores de

dominio, bases de datos y la carpeta SYSVOL al igual que servidores de catálogo global. Estos
últimos se apoyan en componentes lógicos tales como particiones, el esquema AD, el bosque o el
sitio AD.
2 ¿Qué es un dominio Active Directory?
Un dominio Active Directory es una agrupación de objetos (usuarios, equipos o grupos...). Al ser
creados, todos estos objetos se almacenan en una base de datos. Permiten la autenticación
(objetos usuario y equipo) o simplemente la agrupación de un conjunto de objetos (grupo). Los
grupos se utilizan para proporcionar autorización a un recurso.
3 ¿Cuál es el comando que permite la actualización del esquema AD?
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender el
esquema), es necesario ejecutar el comando Adprep. Éste se ejecuta al migrar un servidor o al
instalar el primer servidor Exchange…
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012 R2?
No, a partir de Windows Server 2012 ya no es necesario efectuar esta operación. La etapa de
actualización se realiza automáticamente (si es necesaria) al promover el nuevo controlador de
dominio.
5 ¿Qué es un bosque Active Directory?
Un bosque Active Directory se compone de uno o varios dominios. Éstos se agrupan en

arborescencias de dominios. De esta forma, cuando hablamos de un bosque, se trata simplemente
del conjunto de los dominios.
6 Enumere las particiones en Active Directory.
La base de datos Active Directory se compone de varias particiones. Podemos encontrar la partición
de dominio, que contiene el conjunto de objetos creados en el dominio, la partición de
configuración, que contiene la topología del directorio (lista completa de los dominios,
arborescencias y bosque). Encontramos de igual manera la partición del esquema, que contiene
todos los atributos y clases de un objeto. Finalmente la partición DNS, que contiene el conjunto de
zonas DNS integradas en Active Directory.
7 ¿Cuál es la utilidad de un servidor de catálogo global?
Un servidor con el rol catálogo global posee una base de datos de todos los objetos presentes en el
bosque así como algunos de sus atributos. Este tipo de servidor facilita la búsqueda de objetos.
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el dominio
solo cuenta con un controlador de dominio, es posible (solo en este caso) albergar el Maestro de
infraestructura en el servidor con el catálogo global.
9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
Existen dos posibilidades: la instalación y configuración del rol de forma remota empleando la
consola Administrador del servidor o el empleo del comando dcpromo en local en el servidor. El
comando necesita que se informen las distintas opciones. Se puede utilizar un archivo de
respuestas para automatizar la operación.
10 Enumere los cinco roles FSMO y luego proporcione sus funciones.
Podemos encontrar cinco roles FSMO en Active Directory:
Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el único poseedor de estos permisos.
Maestro de nomenclatura de dominio: utilizado solamente al agregar, modificar o eliminar

el nombre de dominio.
Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.
Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio, que

están presentes en los grupos de seguridad o en las ACL.
Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un

servidor PDC NT4. Permite, de este modo, la migración entre Windows 2000 (uso del
controlador de dominio Active Directory) y Windows NT4 (uso del servidor PDC y BDC). Su
segundo rol es la sincronización del reloj para el conjunto del dominio.
11 ¿Cuál es la utilidad de un sitio de Active Directory?
Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de ahorrar ancho
de banda de la línea que conecta dos sitios remotos.
12 ¿Es posible ejecutar el comando dcpromo utilizando la interfaz gráfica?
No, a partir de Windows Server 2012 este comando solo puede utilizarse por línea de comandos.
Para promover un controlador de dominio, es necesario instalar el rol Servicios de directorio Active
Directory.
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta
solución.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. El
archivo de medios contiene todos los datos (objetos, carpeta SYSVOL...) necesarios para promover
un nuevo servidor, de esta forma este último no tiene más que replicar los cambios de los objetos
creados después de la creación del archivo de medios. Esto permite evitar sobrecargar la línea de
comunicación durante la primera replicación.
14 ¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de

contraseña muy específicas?
A diferencia de Windows Server 2008 R2, que utilizaba PowerShell y la consola de modificación
ADSI para gestionar la papelera de reciclaje y la directiva de contraseña muy específica, a partir de
Windows Server 2012 es posible utilizar la consola Centro de administración de Active Directory. La
administración de estas dos características se realiza en adelante de forma gráfica.
15 ¿Cuál es la diferencia entre el tombstoned y la papelera de reciclaje AD?
El tombstoned permite la restauración de una cuenta AD pero se pierden el conjunto de atributos,

a diferencia de la papelera de reciclaje AD que restaura los atributos.
16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
Para esto es necesario utilizar la directiva de contraseña muy específica que permite crear y asignar
varias directivas de seguridad.
Tener conocimientos de la creación y administración de cuentas de equipo.
Tener conocimientos de la creación y administración de cuentas de usuario.
Tener conocimientos de la creación y administración de grupos.
2. Objetivos
Información general de las consolas Active Directory.
Creación y administración de objetos de Active Directory.

Introducción
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno permite
autenticar las personas físicas y los equipos unidos al dominio.
Presentación de las consolas Active Directory
Al promover un servidor a controlador de dominio, se agregan varias consolas a las herramientas de
administración. La consola Usuarios y equipos de Active Directory permite la gestión de las cuentas
de usuario, equipos y grupos. Desde esta consola es posible efectuar todas las operaciones
(creación, eliminación, desactivación...) en los diferentes objetos.
Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así como la
topología de red. La gestión de las relaciones de confianza y del nivel funcional del bosque se realiza
mediante la consola Dominios y confianzas de Active Directory. Por último, la consola Esquema de
Active Directory permite administrar el esquema de Active Directory. Esta consola solo está
disponible si se ha ejecutado el comando regsvr32 schmmgmt.dll al menos una vez, y permite definir
la librería en el registro de Windows.
Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1)
después de descargar e instalar el archivo RSAT (Remote Server Administration Tools).
La consola Centro de administración de Active Directory proporciona otras opciones para la gestión
de los objetos. Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar
la creación de objetos (usuarios...), crear y administrar una unidad organizativa. Un administrador
puede conectarse a otro dominio y administrarlo desde la consola.
Es, también, posible realizar la administración de este servicio mediante comandos PowerShell.
Importando el módulo Active Directory es también posible realizar las mismas operaciones que las
realizadas con las diferentes consolas. Para llevar a cabo estas acciones, también se pueden usar los
comandos DOS:
Dsadd: crea un nuevo objeto.
Dsget: muestra las propiedades de un objeto.
Dsmove: efectúa el desplazamiento de un objeto
Dsrm: elimina un objeto.

Administración de las cuentas de usuario
Como todo objeto, una cuenta de usuario contiene sus propiedades, nombre del usuario, contraseña
y una lista de grupos de los cuales es miembro. De esta forma es posible, según el tipo de cuenta:
Autorizar o denegar el inicio de sesión en un equipo.
Autorizar el acceso a un recurso compartido.
1. Creación de una cuenta de usuario

Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la contraseña deben
ser introducidos obligatoriamente. El nombre de usuario debe ser único en el dominio y el bosque.
Después de seleccionar la unidad organizativa que va a contener la cuenta de usuario, es posible
crearla.
Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesión y los
apellidos o el nombre de pila. Después de introducir la información obligatoria, se activa el
botónSiguiente.
El campo Nombre completo se construye empleando la información introducida en los

camposNombre de pila y Apellidos. Por supuesto es posible cambiar el valor creado
automáticamente por el deseado. Éste debe ser único en el contenedor o la unidad organizativa.
A diferencia del SAMAccountName (nombre de inicio de sesión anterior a Windows 2000) que estaba
construido según la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN
(User Principal Name - campo nombre de inicio de sesión de usuario) se construye según la forma
NombreInicioDeSesión@dominio (nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanuméricos para generar nombres de usuario únicos (ejemplo:
n.bonnet, n-bonnet...). Observe que esto puede causar problemas con ciertas aplicaciones.
En adelante, es necesario proporcionar una contraseña temporal. Es interesante marcar la opción El

usuario debe cambiar la contraseña en el siguiente inicio de sesión, esto obliga al usuario a
cambiar su contraseña en su primer inicio de sesión (este cambio es obligatorio).
Existen otras opciones disponibles, que permiten prohibir el cambio de contraseña o configurar una
contraseña que no expira nunca (muy útil para las cuentas de sistema).
2. Configuración de los atributos de una cuenta de usuario

Después de crear el objeto, es posible configurar otros atributos opcionales (dirección, número de
teléfono...). Los atributos pueden estar clasificados en diferentes categorías.
Los atributos de cuenta: incluidos en la pestaña Cuenta, podemos encontrar información

incluyendo el nombre de usuario, la contraseña…
La información personal: información personal del usuario (dirección, número de teléfono…).

Los atributos pueden modificarse mediante la pestaña General que contiene la información
introducida durante la creación de la cuenta (Nombre de pila, Apellidos, Nombre completo…), y
también en las pestañas Dirección, Teléfonos y Organización.
La gestión de cuentas de usuario: agrupa los atributos encontrados en la pestaña Perfil, es

posible configurar la ruta del perfil o los scripts de inicio de sesión.
Miembro de los grupos: este atributo encontrado en la pestaña Miembro de permite añadir
o eliminar al usuario de un grupo de seguridad o de distribución.
Adicionalmente es posible ver el conjunto de atributos empleando la pestaña Editor de atributos.

Esta pestaña requiere mostrar las características avanzadas (menú Ver). De esta forma se
muestran todos los atributos, adicionalmente el botón Filtro permite visualizar un mayor número de
atributos.
Se puede cambiar el atributo desde la pestaña específica o desde la pestaña Editor de atributos.
El atributo givenName tiene como valor inicial Alumno 4. Si modificamos el nombre de pila en la
pestaña General...
... podemos ver que el atributo se actualiza correctamente:
3. Creación de un perfil de usuario móvil
Un perfil de usuario puede ser local o móvil. En el caso de un perfil local, se crea un directorio en la
carpeta Usuarios de cada máquina en la que el usuario abre una sesión.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es necesario
emplear un perfil móvil. Éste se encuentra en una carpeta compartida en el servidor.
Al iniciar sesión, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente,
durante el cierre de sesión, se realiza la copia en sentido inverso. Para instalar esta solución es
necesario configurar el atributo Ruta de acceso al perfil en la pestaña Perfil.
La variable %username% se reemplaza por el nombre de inicio de sesión del usuario después de
hacer clic en Aplicar.
Es, también, posible configurar un script (en formato vbs o bat), este último se ejecuta cuando el
usuario abre una sesión. Si este se almacena en la carpeta SYSVOL, solo será necesario introducir el
nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello será
necesario especificar la letra de la unidad.
Administración de grupos
Los grupos en Active Directory permiten facilitar la administración. Es más fácil agregar el grupo a la
ACL (Access Control List - lista que permite proporcionar permisos) de un recurso compartido en lugar
de añadir a todos los usuarios. Una vez ubicado el grupo, el administrador solo tendrá que agregar o
eliminar los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administración no se efectúa más a nivel de la ACL, sino al nivel de Active Directory (consola Usuarios
y equipos de Active Directory, Centro de administración de Active Directory o directamente en
PowerShell). Adicionalmente, un grupo se puede colocar en una lista de control de acceso de varios
recursos. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del
departamento de contabilidad, RRHH...) o por recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible. Sugerimos nombrar
los grupos de esta forma:
El ámbito (G para global, U para universal o DL para dominio local).
El nombre del recurso (Conta, Fax, BALNicolas, RH…).
El permiso NTFS que se atribuye al grupo (w para escritura, m para modificación, r para
lectura...).
De esta forma, si un grupo se llama G_Conta_w, podrá deducir con seguridad que es un grupo global
ubicado en la carpeta compartida Conta y que proporciona derechos de escritura a sus miembros.
1. Diferencia entre grupos de seguridad y de distribución

Se puede crear dos grupos en Windows Server. La elección se realiza durante la creación del grupo.
El administrador podrá elegir entre un grupo de distribución y un grupo de seguridad.
También es posible convertir el ámbito del grupo después de su creación.
El grupo de distribución lo utilizan los servidores de mensajería (Exchange por ejemplo). No se

atribuye un SID al grupo, por lo que es imposible incluirlo en la lista de control de acceso de un
recurso. El enviar un correo electrónico al grupo, el conjunto de miembros reciben el correo.
El grupo de seguridad posee un SID (Security IDentifier), esto proporciona la posibilidad de incluirlo
en una ACL. Así, se otorga a los miembros de este grupo permisos de acceso al recurso. Su segunda
función es la de servir de grupo de distribución para un software de mensajería.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo para
asignar permisos a sus usuarios o para crear listas de distribución de correo.
2. El ámbito de un grupo
El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así como
los objetos que pueden ser miembros.
Local: presente solamente en un servidor miembro o puesto de trabajo, un grupo con este
ámbito no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las
cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los usuarios
locales o del bosque Active Directory.
Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y
usuarios del dominio son respectivamente miembros de los grupos locales Administradores y
usuarios del equipo.
Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos del
dominio, un grupo de este ámbito puede tener como miembros a los usuarios, equipos o
grupos globales y universales del bosque. Los grupos locales de miembros del dominio de
este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse únicamente
a los recursos de su dominio.
Global: a diferencia del ámbito del Dominio local, un grupo global puede contener solamente
a los usuarios, equipos y otros grupos globales del mismo dominio. Se puede asignar a
cualquier recurso del bosque.
Universal: un grupo de este ámbito puede contener usuarios, equipos y grupos globales y
universales de un dominio del bosque, puede ser miembro de un grupo de tipo universal o
dominio local. El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga
cuidado de no abusar de este tipo de grupo porque se replica en el catálogo global. Un gran
número de grupos universales sobrecargan la replicación del catálogo global.
Microsoft ha definido una estrategia de administración de grupos (IGDLA). Ésta consiste en agregar
las Identidades (usuarios y equipos) en un grupo Global. Éste es miembro de un
grupo DominioLocal (permite proporcionar el acceso al recurso). El grupo Dominio local se incluye en
una ACL.
Así, si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado
informática, no será necesario acceder a la ACL. Agregándolo al grupo DL_TEC_W (el cual está, por
supuesto asignado al recurso) se proporciona el acceso deseado.
Administración de las cuentas de equipo
Al unir el equipo al dominio se crea una cuenta de equipo. Ésta permite autenticar la máquina al iniciar
sesión, y también asignar directivas de grupo.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las cuentas
de equipo de las máquinas unidas al dominio. No es una unidad organizativa, no es posible añadir
una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar los objetos equipo a la
OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU
Puestos, OU Portátiles); para poder vincular las diferentes directivas de grupo o simplemente para
delegar en otras personas diferentes la gestión de los diversos objetos.
La gestión de los contenedores es propia de cada empresa y debe responder a sus necesidades y
limitaciones.
Para efectuar una unión al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El usuario que
efectúe la unión debe ser necesariamente miembro del grupo de administradores locales del equipo.
Si el servidor DNS configurado en la configuración IP del equipo no es correcta, entonces el

equipo no se integrará nunca en el dominio.
La creación previa permite al administrador ubicar la cuenta de equipo directamente en su unidad

organizativa definitiva. Así, al reiniciar el equipo se aplica la directiva de grupo adecuada. Además,
esta solución permite delegar el proceso de unión al dominio en otro usuario.
También es posible modificar el contenedor predeterminado. Esta operación permite crear la cuenta
de equipo en la unidad organizativa deseada. Para ello, se deberá utilizar el comando DOS redircmp.
La sintaxis del comando es la siguiente:
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administración) tiene, por defecto, la posibilidad de unir 10
equipos al dominio. Al solicitar autenticación, deberá introducir su nombre de usuario y su
contraseña. A partir de Windows 2000 Server es posible modificar el número de equipos sobre los
cuales un usuario tiene permisos modificando el atributo LDAP.
Para ello, es necesario modificar el atributo ms-DS-MachineAccountQuota ubicado en la raíz del

dominio (la pestaña Editor de atributos aparece si se activan las características avanzadas).
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya
existe en el dominio.
2. Reinicio del canal seguro

Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo
(sAMAccountName) y una contraseña. Se efectúa un cambio de contraseña cada 30 días. Estos
identificadores los utiliza el servicio NetLogon para iniciar una sesión y establecer un canal seguro
con su controlador de dominio. Ciertos casos impactan el canal seguro e impiden el inicio de sesión
(no se autoriza al equipo):
Restauración de la imagen del puesto unido a un dominio: la contraseña de la cuenta de

equipo al crear la imagen es diferente de la que existe en el controlador de dominio. La
restauración de una imagen restaura el estado previo del puesto al igual que los
identificadores de la cuenta del equipo. Es, por tanto, necesario restaurar el canal seguro. Es
aconsejable realizar un sysprep antes de la creación de la imagen, para poder eliminar todos
los parámetros específicos de un equipo (nombre, etc.).
Restauración del controlador de dominio. Si el dominio solo contiene un controlador de

dominio y es preciso restaurarlo, la contraseña del controlador de dominio es diferente de la
del puesto de trabajo.
Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesión. Se incluye un evento a
su vez en el registro. Tendrá como fuente a NETLOGON y un ID 3210.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podrá unir el
equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a
unirse al dominio, se genera un nuevo SID, la lista de grupos de los que era miembro el equipo
antes del problema del canal seguro se crean nuevamente de forma idéntica. Para reiniciar el canal
seguro es, también, posible efectuar otras operaciones:
Consola Usuarios y equipos de Active Directory: la operación consiste en usar la

opciónRestablecer la cuenta que permite restablecer toda la información vinculada al puesto.
Comando DOS: también es posible utilizar comandos DOS para restablecer la contraseña en
el controlador de dominio y el puesto cliente. Es posible utilizar los comandos dsmod, netdom
o nltest.
Sintaxis de los comandos
dsmod computer ”ComputerDN” -reset
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password

| *}
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER

Talleres
Los talleres le permitirán poner en práctica la administración de cuentas Active Directory.
1. Implementar la delegación
Objetivo: implementar una delegación para que un usuario pueda administrar la unidad organizativa
sobre la que se ha establecido la delegación.
En el servidor AD1, inicie la consola Usuarios y equipos de Active Directory.
En el árbol, seleccione la unidad organizativa Form.
Haga clic con el botón derecho en la OU Form y luego en el menú contextual seleccione Delegar
control....
Haga clic en Siguiente en la primera ventana del asistente.
En la ventana Usuarios o grupos, haga clic en Agregar.
Introduzca Formadores y luego haga clic en el botón Comprobar nombres en la nueva ventana
que se muestra.
Haga clic en Aceptar para validar el campo y luego en Siguiente.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de
usuario y Crear, eliminar y administrar grupos.
Haga clic en Siguiente y luego en Finalizar.
En la barra de menús de la consola Usuarios y equipos de Active Directory, haga clic en Ver y
luego en Características avanzadas.
Haga clic con el botón derecho en la unidad organizativa Form y luego en Propiedades.
Haga clic en la pestaña Seguridad y luego en el botón Opciones avanzadas.

El grupo Formadores tiene los permisos en la unidad organizativa.
Haga clic en Aceptar para cerrar la ventana.
Para permitir al usuario administrar la unidad organizativa, es posible instalar en su equipo los
archivos RSAT (Remote Server Administration Tool). De esta forma contará con acceso a la consola con
los permisos adecuados. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de
seguridad para poder abrir una sesión en el controlador de dominio. El usuario utilizado debe ser
miembro del grupo Formadores.
2. Administración de cuentas de usuario

Objetivo: el objetivo del taller es efectuar la creación de una cuenta plantilla a partir de un perfil
temporal.
Máquinas virtuales utilizadas: AD1 y CL8-01.
En CL8-01, abra una sesión y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuración del adaptador y, a continuación, haga doble clic en el
adaptador de red y luego en el botón Propiedades.
En las propiedades del Protocolo de Internet versión 4 (TCP/IPv4) configure el adaptador de

red como se indica a continuación:
Máscara de subred: 255.255.255.0
Puerta de enlace predeterminada: 192.168.1.254
Servidor DNS preferido: 192.168.1.10
Servidor DNS alternativo: 192.168.1.11
Al no existir ningún servidor DHCP en la red, es necesario configurar el adaptador de red de

forma estática.
Haga clic en Aceptar y luego efectúe la unión al dominio Formacion.local.
En AD1, abra una sesión como administrador y luego inicie la consola Usuarios y equipos de
Active Directory.
Haga clic en la unidad organizativa Form y luego muestre las propiedades de la

cuentaNicolas BONNET.
En el campo Descripción de la pestaña General introduzca Formador y consultor IT luego

www.nibonnet.fr en el campo Página web.
Haga clic en la pestaña Dirección e introduzca la información que se indica a continuación:
Calle: 3200 rue de la tours
Ciudad: Velaux
Estado o provincia: 13
Código postal: 13880

Seleccione la pestaña Perfil y luego en el campo Ruta de acceso al perfil,
introduzca\\AD1\Perfiles\%username%.
El recurso compartido Perfiles se creará posteriormente.

Haga clic con el botón derecho del ratón en Nicolas BONNET y luego seleccione Copiar.
En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y luego Mendez en
el campo Apellidos. Por último, introduzca pmendez en el campo Nombre de inicio de sesión de
usuario.
Haga clic en Siguiente e introduzca una contraseña.
Valide la creación haciendo clic Siguiente y Finalizar.
Las propiedades de la pestaña General se han copiado.

En la pestaña Dirección, únicamente no se ha copiado el campo Dirección.
Finalmente, las pestañas Perfil y Miembro de se han copiado.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creación de un nuevo objeto
se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la pestaña Miembro
de…) se replican.
Haga clic en Aceptar en las propiedades de la cuenta.
En el servidor AD1, cree una carpeta llamada Perfiles.
Si no ha creado la segunda partición, es posible realizar la operación en la partición del sistema.
En las propiedades de la carpeta creada, seleccione la pestaña Compartir y luego haga clic
enUso compartido avanzado....
Marque la opción Compartir esta carpeta y luego haga clic en Permisos.
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuación:
Admins. del dominio: Control total
Formadores: Cambiar
Valide los cambios haciendo clic dos veces en Aceptar.
Seleccione la pestaña Seguridad y luego haga clic en Opciones avanzadas.
En la ventana Configuración de seguridad avanzada para Perfiles, haga clic en el

botónDeshabilitar herencia.
Haga clic en Quitar todos los permisos heredados de este objeto.
Haga clic en el botón Agregar y luego en el enlace Seleccionar una entidad de seguridad en la
ventana Entrada de permiso para Perfiles.
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la información haciendo clic
en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
Cierre todas las ventanas activas.
En CL8-01, abra una sesión como pmendez.
El perfil móvil se ha creado correctamente en el recurso compartido Perfiles en el servidor AD1.

1. Preguntas
1 ¿En qué lenguaje se basa la consola Centro de administración de Active Directory?
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
3 Escriba la UPN para el usuario nbonnet del dominio Formacion.local.
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que
contiene?
5 ¿Cómo funciona un perfil móvil?
6 Enumere los tipos de ámbito de grupo que podemos encontrar.
7 ¿Cuál es la diferencia entre un grupo de seguridad y un grupo de distribución?
8 ¿Cuál es la utilidad del comando redircmp?
9 ¿Qué es un canal seguro?
2. Resultados
3. Respuestas
1 ¿En qué lenguaje se basa la consola Centro de administración de Active Directory?
Cuando el administrador ejecuta una acción, la consola llama a comandos PowerShell. Esta consola
permite realizar operaciones tales como la activación o la administración de la papelera de reciclaje
Active Directory, y puede también realizar operaciones más elementales como la creación de un
objeto.
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios un
apellido o nombre de pila, un nombre de usuario y una contraseña.
3 Escriba la UPN para el usuario nbonnet del dominio Formacion.local.
La forma de la UPN es nbonnet@formation.local.
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que
contiene?
La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario
seleccionado. Estos valores están, también, presentes en las diferentes pestañas (apellido, nombre
de pila, nombre de inicio de sesión). Es perfectamente posible modificar el valor de un atributo.
5 ¿Cómo funciona un perfil móvil?
Con un perfil móvil el usuario recupera la personalización de su equipo (Métodos abreviados,

favoritos...) desde cualquier puesto de trabajo al que se conecte. En efecto, el perfil no se almacena
de forma local sino en un recurso compartido de red en un servidor. Al iniciar sesión, el perfil del
usuario se copia al equipo, para copiarse en sentido inverso hacia el servidor durante la
desconexión.
6 Enumere los tipos de ámbito de grupo que podemos encontrar.
Podemos encontrar cuatro tipos de ámbito de grupo:

Local
Global
Dominio local
Universal
7 ¿Cuál es la diferencia entre un grupo de seguridad y un grupo de distribución?
La diferencia estriba a nivel del SID, el grupo de seguridad posee este identificador único. Puede
entonces utilizarse en una ACL o tener la función de lista de distribución de correo. Al contrario que
este último, un grupo de distribución no cuenta con este identificador y solo puede utilizarse como
lista de distribución.
8 ¿Cuál es la utilidad del comando redircmp?
Al realizar la unión al dominio de un equipo que no posee una cuenta, ésta se crea
automáticamente en la carpeta de sistema Computers. El comando redircmp permite alojar la
cuenta creada automáticamente en otro contenedor (por ejemplo, en una unidad organizativa).
9 ¿Qué es un canal seguro?
Un canal seguro es una relación de aprobación entre un controlador de dominio y un cliente

(puesto de trabajo...). Si el canal seguro se rompe es imposible autenticar el equipo.
Conocer la línea de comandos DOS.
2. Objetivos
Utilización de los comandos csvde y ldifde.
Administración de Active Directory empleando cmdlets PowerShell.

Introducción
Es posible utilizar comandos PowerShell para automatizar la administración de Active Directory. Esto
permite ganar tiempo y una mayor fiabilidad en comparación con una administración manual.
Administración mediante líneas de comandos
Windows Server 2012 R2 incluye varias herramientas que permiten efectuar la administración por
línea de comandos. Así, es posible crear scripts para automatizar toda la gestión o la creación de
objetos Active Directory.
Al gestionar el directorio por línea de comandos, un administrador puede rápidamente implementar

varias operaciones (se ejecuta la 1ª operación de forma automática, luego la 2ª, la 3ª ...). Además, es
posible actualizar aplicaciones desarrolladas por el equipo técnico que se basen en estos scripts.
Tomemos un ejemplo concreto: puede desarrollar una aplicación para el departamento de Recursos
Humanos, esta aplicación se utiliza al llegar un nuevo empleado. El director de recursos humanos
introduce la información (su apellido, nombre de pila...) en la aplicación y, al validarlo, el script
recupera la información y crea la cuenta de Active Directory.
1. Utilización del comando CSVDE

CSVDE es una herramienta por línea de comandos que permite importar o exportar los objetos del
directorio Active Directory (cuentas de usuario...). Estas operaciones se efectúan desde o sobre un
archivo en formato CSV (Comma Separated Values). Este tipo de archivo puede utilizarlo de igual
forma una base de datos o visualizarse en una hoja de cálculo Excel. Sin embargo, esta herramienta
no puede modificar o importar un objeto existente.
El comando csvde incluye varias opciones como:
-d RootDN: indica el nombre del contenedor desde el que comenzará la búsqueda.
-p scope: permite especificar el ámbito de la búsqueda. Cada opción cuenta con diferentes
posibilidades: Base permite indicar únicamente una búsqueda del objeto, onelevel para la
búsqueda de un objeto solamente en el contenedor indicado y subtree para lanzar una
búsqueda en el contenedor y subcontenedores.
-r filter: permite incluir un filtro. Esta última utiliza una solicitud en formato LDAP.
-l ListOfAttributes: especifica los atributos que deben exportarse. Cada atributo debe
seleccionarse mediante su nombre LDAP y separarse por una coma.
Sintaxis para efectuar una exportación
Csvde -f ArchivoCsv
La opción -f permite indicar el archivo a utilizar.
Es posible utilizar otras opciones para una operación de importación.
-i: permite realizar una importación.
-f ArchivoCsv: indica el archivo a utilizar para realizar la operación.
-k: se ignoran los errores, lo que permite que el comando se ejecute sin interrupción.
El archivo LDAP utilizado posee una línea de cabecera, compuesta por el nombre de los atributos
LDAP (nombre...). Este comando no se puede utilizar para importar las contraseñas porque éstas
aparecen sin cifrar. Por lo tanto, la cuenta no posee contraseña y se deshabilita.
2. Utilización del comando LDIFDE

Al igual que CSVDE, LDIFDE es una herramienta por línea de comandos que permite efectuar
operaciones de exportación o creación de objetos. Permite, a diferencia del comando anterior,
modificar o eliminar objetos ya existentes. El archivo debe estar en formato LDAP Data Interchange
Format (LDIF).
Este tipo de archivo de texto contiene bloques de líneas, cada una permite efectuar una operación.
Cada línea del bloque contiene información sobre la operación a realizar, así como el atributo
afectado.
Cada operación a realizar se separa por una línea vacía. El atributo changetype permite definir la
acción a realizar. Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Sintaxis del comando
Es necesario utilizar al menos la opción -f para la exportación, que indica el archivo a utilizar.
Ldifde -f ArchivoLDIF
La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando va a
realizar una importación y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Si se encuentra un error, la ejecución no se detiene, al emplear la opción -k.

Administración del rol AD DS empleando PowerShell
La plataforma PowerShell es un lenguaje de scripting muy simple de usar. Incluye cmdlets necesarios
para la gestión del directorio Active Directory.
1. Administración de cuentas de usuario con PowerShell

Los cmdlets PowerShell permiten crear, modificar y eliminar una cuenta de usuario. Es posible
ejecutar las diferentes instrucciones directamente en la consola PowerShell o ejecutando un script.
Las operaciones realizadas de manera gráfica pueden llevarse a cabo empleando instrucciones
PowerShell.
Se pueden usar diferentes cmdlets, cada uno con una función bien definida:
Creación de una cuenta de usuario: New-ADUser
Modificar una propiedad de la cuenta: Set-ADUser
Eliminar un usuario: Remove-ADUser
Modificar una contraseña: Set-ADAccountPassword
Modificar la fecha de expiración: Set-ADAccountExpiration
Desbloquear una cuenta de usuario: Unlock-ADAccount
Activar una cuenta de usuario: Enable-ADAccount
Desactivar una cuenta de usuario: Disable-ADAccount
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede también incluirse la contraseña en este comando.
En caso de creación de un objeto usuario sin contraseña (parámetro -AccountPassword), ésta

estará deshabilitada. Para activarla será necesario utilizar el parámetro -Enabled a true.
Con el cmdlet NewADUser es posible utilizar diferentes parámetros:
AccountExpirationDate: permite definir la fecha de expiración de una cuenta de usuario.
AccountPassword: proporciona la contraseña para el usuario.
ChangePasswordAtLogon: activa la opción que obliga el cambio de contraseña tras el primer

inicio de sesión.
Enabled: permite definir si la cuenta está activa o eliminada.
HomeDrive: define la letra que debe utilizar, así como la ruta a la carpeta particular del
usuario.
GivenName: utilizada por el atributo Nombre de pila de la cuenta.
Surname: parámetro que permite configurar el apellido del usuario.
Path: ruta donde se crea el usuario.

Tomemos un ejemplo concreto. El usuario Jean BAK es un nuevo formador. Es necesario crear su
cuenta.
Aquí tenemos las propiedades de la cuenta:
Nombre: BAK
Nombre de pila: Jean
Nombre de inicio de sesión: jbak
Contraseña: Pa$$w0rd
Contenedor del objeto: OU Form
La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa.
Si no ha importado el módulo Active Directory, introduzca Import-Module ActiveDirectory. Esto

permite utilizar los diferentes cmdlets de Active Directory.
El comando PowerShell que debe utilizar para realizar esta operación es el siguiente:
New-ADUser -Name "Jean BAK" -ChangePasswordAtLogon $True

-DisplayName "Jean BAK" -Enabled $True -Path
"OU=Formacion,DC=Form,DC=local" -SamAccountName jbak
-Surname Bak -UserPrincipalName jbak -AccountPassword (Read-Host
-AsSecureString "Password") -GivenName Jean
Puede descargar los scripts en la página Información.
El parámetro -AccountPassword (Read-Host -AsSecureString "Password") permite introducir la

contraseña de forma segura. Ésta debe introducirse manualmente.
Es hora de verificar el resultado del comando. La cuenta está presente en la unidad
organizativaForm y el nombre para mostrar Jean BAK.
El nombre de inicio de sesión del usuario es, efectivamente, jbak, para el UPN (User Principal Name)
o el SamAccountName (nombre de inicio de sesión anterior a Windows 2000).
La opción que indica el cambio durante el inicio de sesión también está habilitada.
Los campos Apellidos y Nombre de pila también están correctamente configurados.
Se han tenido en cuenta todos los parámetros del script.
2. Administración de grupos con PowerShell

Al igual que para los usuarios, la creación y la gestión de los grupos puede hacerse empleando
comandos PowerShell.
Podemos encontrar varios cmdlets para gestionar los grupos:
Creación de una nuevo grupo: New-ADGroup
Modificar las propiedades: Set-ADGroup
Ver las propiedades: Get-ADGroup
Eliminar un grupo: Remove-ADGroup
Agregar un miembro: Add-ADGroupMember
Mostrar los miembros de un grupo: Get-ADGroupMember
Eliminar un miembro: Remove-ADGroupMember
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Podemos efectuar la administración de los miembros de un grupo empleando el cmdlet Add-
ADGroupMember. Si queremos agregar Jean BAK al grupo Formadores, debemos seguir la siguiente
sintaxis:
Add-ADGroupMember Formadores -Members "CN=Jean

BAK,OU=Form,DC=Formacion,DC=Local"
Comprobemos, a continuación, que se ha añadido correctamente. Para ello, es necesario utilizar

Get-ADGroupMember.
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creación del grupo. Para ello, debemos utilizar el cmdlet New-
ADGroup. Lo componen varios parámetros que permiten configurar los diferentes atributos de un
grupo.
Name: indica el nombre del grupo que vamos a usar.
GroupScope: define el ámbito del grupo (Dominio Local, Global o Universal). Este parámetro
es obligatorio.
GroupCategory: especifica si el grupo es de tipo seguridad o distribución. Si no se especifica

este parámetro, se crea un grupo de seguridad.
ManagedBy: indica el usuario o el grupo que lo puede administrar.
Path: proporciona el contenedor que va a almacenar al objeto.
SamAccountName: especifica el nombre de grupo anterior a Windows 2000.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un ámbito global), debemos
utilizar el comando siguiente:
New-ADGroup -Name Alumnos -GroupScope Global -GroupCategory

Security -ManagedBy Formadores -Path "OU=Form, DC=Formacion,
DC=local" -SamAccountName Alumnos
Comprobemos, a continuación, el resultado. Es posible visualizarlo de forma gráfica o por línea de

comandos.
Get-ADGroup Alumnos
El comando devuelve a su vez el SID del grupo.
Se puede descargar los scripts en la página Información.
3. Administración de cuentas de equipo con PowerShell

Existen cmdlets para realizar la administración de las cuentas de equipo.
Creación de una cuenta de equipo: New-ADComputer
Modificación de propiedades: Set-ADComputer
Mostrar las propiedades de la cuenta: Get-ADComputer
Eliminación de cuentas: Remove-ADComputer
Verificación de la relación de confianza entre el controlador de dominio y el puesto: Test-

ComputerSecureChannel
Reinicio de la contraseña de la cuenta de equipo para reparar el canal seguro: Reset-

ComputerMachinePassword
Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes
cmdlets.
La primera operación a realizar es reiniciar la cuenta de equipo CL8-01. El canal seguro se encuentra
roto.
Es necesario conectarse como administrador local para poder resolver el problema.
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto.
Es momento de reparar la relación de confianza entre el puesto de trabajo y su controlador de

dominio.
Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando nos
devolverá un error por permisos insuficientes.
Reset-ComputerMachinePassword -Server AD1 -Credential

administrador@formacion.local
El parámetro Server permite indicar qué controlador de dominio hemos de contactar. Credential
indica el nombre del usuario que tiene los permisos de administración en la cuenta de equipo.
Es preciso indicar la contraseña de la cuenta utilizada para validar la autenticación.

El puesto cliente puede ahora ser autenticado por su controlador de dominio.
Para realizar la creación de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. Éste
tiene tres argumentos:
Name: nombre de cuenta.
Path: ruta del contenedor que alberga la cuenta.
Enabled: configura el estado del equipo (Activo o Inactivo).
La cuenta se activa y se genera una contraseña aleatoria de forma predeterminada.
Si se ejecuta el siguiente comando en el controlador de dominio, se crea la cuenta llamada CL8-03.
New-ADComputer -Name CL8-03 -Path

"CN=Computers,DC=Formacion,DC=local" -Enabled $True
La cuenta de equipo se ha creado correctamente en la carpeta de sistema Computers.
Se puede descargar los scripts en la página Información.
4. Administración de unidades organizativas con PowerShell

Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que
aplicaremos una directiva de grupo. También es posible implementar la delegación sobre este tipo
de objeto.
Podemos utilizar cuatro cmdlets:
New-ADOrganizationalUnit: realiza la creación de una unidad organizativa.

Set-ADOrganizationalUnit: modifica las diferentes propiedades que tiene el objeto.
Get-ADOrganizationalUnit: muestra las propiedades de la unidad organizativa.
Remove-ADOrganizationalUnit: permite eliminar una OU.
Para poner en práctica la administración de las unidades organizativas, vamos a eliminar la

protección contra la eliminación accidental empleando PowerShell y crearemos un nuevo contenedor
llamado Equipos.
A partir de Windows Server 2008 es posible activar la protección contra la eliminación accidental.
Ésta se encuentra activa de forma predeterminada durante la creación de cualquier objeto.
Podemos desactivar esta opción empleando el siguiente comando PowerShell:
Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
La opción está ahora desactivada.
Ahora podemos pasar a la etapa de creación de una unidad organizativa. Como hemos visto
anteriormente, el cmdlet a utilizar para esta operación es New-ADOrganizationalUnit. Éste tiene
varios parámetros:
Name: define el nombre a utilizar.
Path: ruta donde se almacena el nuevo objeto.
ProtectedFromAccidentalDeletion: define el estado del atributo de protección contra la

eliminación.
La unidad organizativa Equipos es un contenedor hijo de la unidad organizativa Form. El siguiente

comando permite realizar esta operación:
New-ADOrganizationalUnit -Name Equipos -Path

"OU=Form,DC=Formacion,DC=local"
-ProtectedFromAccidentalDeletion $True
La unidad organizativa se encuentra en la OU Form.
Se puede descargar los scritps en la página Información.

Taller
El capítulo se compone de operaciones (creación de usuario, unidad organizativa...) que puede
reproducir. La parte práctica se reduce a un solo taller.
1. Modificación de varios usuarios en PowerShell

Objetivo: modificar varios usuarios empleando un comando PowerShell.
En el servidor AD1, inicie la consola Windows PowerShell.
Introduzca el comando Get-ADUser -Filter * -SearchBase ”ou=Form,dc=Formacion,dc=local”

| Format-Wide DistinguishedName
Se puede descargar el script en la página Información.
El comando devuelve solamente los usuarios de la unidad organizativa Form.
Introduzca el comando Get-ADUser -Filter * -SearchBase ”ou=Form,dc=Formacion,dc=local”

| Set-ADUser -ChangePasswordAtLogon $true -PasswordNeverExpires $False
Todos los usuarios de la OU Formacion deberán cambiar la contraseña tras el próximo inicio de sesión.
La opción PasswordNeverExpires permite desactivar la opción La contraseña nunca expira.
De esta forma es muy sencillo implementar un filtro y modificar una propiedad.

1. Preguntas
1 ¿Qué tipo de archivo explota el comando csvde?
2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
3 ¿Cuál es el comando a emplear para utilizar un archivo LDIF?
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
5 ¿Qué cmdlet debe usarse para crear una cuenta de usuario?
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
7 Se ha roto la relación de confianza entre un equipo y su controlador de dominio. ¿Qué

comando es necesario ejecutar para volver a crearla?
2. Resultados
3. Respuestas
1 ¿Qué tipo de archivo explota el comando csvde?
El comando csv de utiliza archivos con extensión CSV (Comma-Separated Values).
2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
Para realizar una exportación debemos utilizar el comando csv de - f Nom breDeArchiv o. La
opción - f permite indicar el archivo a utilizar. La importación necesitará más parámetros, la
instrucción a ejecutar es de la forma csv de - i - f Archiv oCSV - k. La opción - i indica que vamos a
realizar una importación, - k permite continuar la ejecución aunque se produzca algún error.
3 ¿Cuál es el comando a emplear para utilizar un archivo LDIF?
El archivo LDIF puede utilizarse mediante el comando ldifde.
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
No es posible efectuar modificaciones o eliminaciones con el comando csv de. En este caso
tendremos que utilizar el comando ldifde.
5 ¿Qué cmdlet debe usarse para crear una cuenta de usuario?
Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New- ADUser.
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
El comando im port- m odule Activ eDirectory importa el módulo que permite la administración de
los objetos Active Directory.
7 Se ha roto la relación de confianza entre un equipo y su controlador de dominio. ¿Qué

comando es necesario ejecutar para volver a crearla?
Si el canal seguro se rompe es imposible autenticar el equipo. Será entonces necesario emplear el
comando Reset- Com puterMachinePassword.
Poseer nociones sobre la pila TCP/IP y sus protocolos.
2. Objetivos
Análisis del protocolo TCP/IP.
Presentación del direccionamiento IPv4 y sus diferentes tipos de direcciones.
Establecimiento de subredes.
Gestión y mantenimiento del protocolo IPv4.
Implementación del protocolo IPv6.

Introducción
El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet o en redes
locales.
Información general del protocolo TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) es un conjunto de protocolos que permiten la
comunicación de redes heterogéneas. Cada protocolo contenido en TCP/IP se reparte las diferentes
tareas a efectuar. El conjunto de protocolos se compone de varias capas (conteniendo cada una
varios protocolos); cada una posee una función bien definida.
Existen cuatro capas:
Aplicación
Transporte
Internet
Interfaz de red
La capa de Aplicación
Esta capa permite a una aplicación acceder a los recursos de red. Contiene diferentes protocolos de
aplicación. Corresponde a las capas de aplicación, sesión y presentación del modelo OSI (Open System
Interconnection).
La capa de Transporte
Garantiza el control y la fiabilidad de las transferencias de datos en la red. Corresponde a la capa de

transporte del modelo OSI. Encontramos aquí los protocolos TCP (Transmission Control Protocol) y UDP
(User Datagram Protocol).
El protocolo TCP permite establecer una conexión fiable entre dos entidades (equipos, etc.). Garanti-
za, antes de iniciar los intercambios de datos, que el receptor está listo para recibir las diferentes
tramas. Cada intercambio está seguido de un acuse de recibo, que garantiza la correcta recepción de
cada paquete. El protocolo UDP proporciona una transmisión de datos sin conexión, el emisor y el
receptor intercambian tramas de sincronización y, a continuación, comienzan la transferencia. La
entrega de paquetes se considera poco fiable, sin embargo se estima más rápida (al no enviar acuse
de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:
IP (Internet Protocol): responsable de la parte de enrutamiento y direccionamiento. Al igual que

sus predecesores, Windows 8 y Windows Server 2012 son compatibles con los protocolos IPv4
y IPv6.
ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access
Control) del destinatario. Las tramas utilizadas son de tipo broadcast. Éstas no pueden
franquear los routers.
ICMP (Internet Control Message Protocol): permiten transportar mensajes de control de errores
(máquina no accesible, por ejemplo).
La capa de interfaz de red
Corresponden a las capas 1 (nivel físico) y 2 (nivel de datos) del modelo OSI. Permite el envío en la
red física de las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efectúa
también la transformación de la señal de digital a analógica.
Para establecer una conexión con una aplicación o un equipo remoto, es necesario establecer un
socket TCP o UDP. Este último cuenta con tres parámetros:
El protocolo de transporte (TCP o UDP).
El número de puerto utilizado.
La dirección IPv4 o IPv6 de los equipos origen y destino.
La combinación de los tres permite la creación de un socket.
El número de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se
encuentran reservados para aplicaciones específicas. La reserva de estos puertos permite a las
aplicaciones cliente una comunicación más fácil con el servidor.
Aquí puede encontrar una lista de los principales puertos utilizados:
TCP 80: HTTP
TCP 443: HTTPS
TCP 110: POP3
TCP 25: SMTP
UDP 53: DNS (peticiones DNS)
TCP 53: DNS (transferencia de zonas)
TCP 20 y 21: FTP

Entender el direccionamiento IPv4
Durante años, el protocolo IPv4 ha sido utilizado en las redes para direccionar los equipos
conectados. Este protocolo permite a su vez a los diferentes equipos comunicarse entre ellos.
1. El direccionamiento IPv4
Una dirección IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte está separado
por puntos y escrito en forma decimal (de 0 a 255).
Una dirección IP es un identificador único que permite reconocer el equipo en la red (igual que un
número de seguridad social identifica a un hombre o una mujer). Esta dirección puede configurarse
de forma manual o automática. Se le atribuye a cualquier interfaz de red que la solicite.
Una dirección posee un ID de red que identifica la red a la que está conectado el equipo. Luego un
ID de host que permite una identificación univoca del equipo en la red. En función de la dirección
utilizada (consulte la sección Las diferentes clases de direcciones más adelante en este capítulo), se
atribuyen uno o varios bytes a los diferentes ID. Antes del envío de una trama, es necesario que el
equipo emisor sepa si el destinatario está en una red diferente de la suya.
Para efectuar esta verificación, el equipo utiliza la máscara de subred y efectúa un Y lógico (para
tener un resultado 1 los dos valores deberán ser iguales a 1).
Tomemos el ejemplo de un equipo con dirección IP 10.0.0.2 y una máscara de subred 255.0.0.0.
Conversión de decimal a binario
En primer lugar, es necesario convertir de decimal a binario (este punto será tratado en profundidad
posteriormente en este capítulo).
10.0.0.2 = 0000 1010. 0000 0000 . 0000 0000 . 0000 0010
255.0.0.0 = 1111 1111. 0000 0000 . 0000 0000 . 0000 0000
Operación Y lógico entre dos valores binarios
Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos valores son
iguales a 1).
0000 1010 . 0000 0000 . 0000 0000 . 0000 0010
1111 1111 . 0000 0000 . 0000 0000 . 0000 0000
0000 1010 . 0000 0000 . 0000 0000 . 0000 0000
Conversión de binario a decimal
Ahora convertimos el resultado de binario a decimal.
0000 1010. 0000 0000. 0000 0000. 0000 0000 = 10.0.0.0
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo destino
tiene un ID de red diferente, estará necesariamente en una red diferente. En ese caso, el equipo
emisor de la trama debe enviarla a la puerta de enlace especificada en su configuración IP.
El objetivo de la puerta de enlace, generalmente un router, es la transmisión de los paquetes a otra

red (Internet...). La trama se redirige a otros routers empleando las tablas de enrutamiento, hasta
el destinatario. Es por esto muy importante en una red de producción el configurar una puerta de
enlace válida.
2. Direccionamiento privado/público
La gran demanda de direcciones IP debida a la popularización de la micro-informática ha obligado a
la creación de una nueva normativa. La RFC 1918 (o direccionamiento privado) ha visto la luz para
paliar el riesgo de carencia de direcciones IPv4. Esta carencia se ha convertido en realidad y se ha
desarrollado un nuevo protocolo IP (IPv6).
Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de
información.
Las direcciones IP públicas se encuentran en la red Internet. Dicha dirección IP es única en el mundo
y la distribuyen organismos especiales. Los equipos que poseen este tipo de dirección IP son
accesibles en Internet. Toda empresa o particular utiliza un router o modem-router (livebox...) para
acceder a Internet. Este equipo posee una dirección IP que le ha sido asignada por el proveedor de
acceso.
Los equipos en una red local utilizan por su parte una dirección privada. Esta última no es accesible
desde Internet (ningún equipo en una red pública posee este tipo de dirección). Solo es única en
una red de área local. Dos empresas diferentes que no están conectadas entre sí pueden tener las
mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP públicas para las direcciones de
equipos en una red local. De esta forma cada clase posee su propio conjunto de direcciones
reservadas.
Clase A: 10.0.0.0 a 10.255.255.255
Clase B: 172.16.0.0 a 172.31.255.255
Clase C: 192.168.0.0 a 192.168.255.255.
3. Conversión de binario a decimal

Como hemos podido ver, una dirección IP está compuesta por bytes cuyo valor se encuentra en
formato decimal. Sin embargo este número se calcula empleando cifras binarias (dos estados
posibles, 0 o 1).
Conversión de binario a decimal
Si descomponemos un byte, nos daremos cuenta de que éste posee 8 bits y cada uno tiene un
rango. El de menor valor, el de la derecha, tiene un rango 0 (ver más abajo). El de mayor valor,
situado más a la izquierda, tiene un rango 8. Para obtener el valor decimal de cada rango, hace falta
elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 2 0 =1, el del rango 1 tiene el valor
de 2 por 2 1 =2…
Para efectuar la conversión de binario a decimal debemos añadir los valores decimales de los bits
con valor 1.
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 73:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 73.
Conversión de decimal a binario

Esta conversión es más compleja. Para explicarla tomemos un ejemplo: debemos convertir a binario
el valor 102.
Para efectuar la conversión, debemos comenzar por el bit de mayor valor, es decir, con rango 7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del rango 7
es entonces igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el número 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango 5 es
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango 4 es
entonces igual a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3 es
entonces igual a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2 es
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es
entonces igual a 1.
De esta forma hemos terminado de convertir el número 102. El valor binario del rango 0 es 0.
Hemos convertido el valor decimal 102 al número binario 0110 0110.
4. Las diferentes clases de direcciones

Todas las direcciones IP se organizan en clases de direcciones. Cada una permite direccionar un
número de hosts y de redes diferentes. Solo pueden utilizarse las tres primeras clases. Para
diferenciar las distintas clases, es necesario fijarse en el primer byte.
La clase A
Las direcciones contenidas en esta clase permiten direccionar 22 4 equipos. En efecto, se reservan
tres bytes para la dirección del ID del equipo y uno solo para el ID de la red.
El conjunto de direcciones contenidas en la clase A va desde 1.0.0.0 a 126.0.0.0. La máscara de

subred es igual a 255.0.0.0.
El primer bit de todas las direcciones comienza por 0. El resto varía desde todos los bits en 0 para la
dirección inicial hasta todos los bits en 1 para la dirección final. O sea:
0.000 0000 .0 . 0 0 para la dirección de inicio.
0 111 1111 .0 .0 .0 para la dirección final.
Los siguientes valores son números binarios.
Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0. Los valores 0 y 127 están
reservados, y el ámbito va desde 1.0.0.0 hasta 126.0.0.0.
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La máscara utilizada es 255.255.0.0. El
rango de direcciones va desde 128.0.0.0 a 192.255.0.0.
El primer bit de todas las direcciones comienza por 10, o sea:

10 00 0000 .0 . 0 0 para la dirección de inicio (128.0.0.0 en decimal).
10 11 1111 .255 .0 .0 para la dirección final (191.0.0.0 en decimal).
Los siguientes valores son números binarios.
La clase C
Esta es la clase que proporciona menor número de direcciones para los equipos. Tiene un único byte
disponible para los equipos. Su máscara es igual a 255.255.255.0. Posee un rango de direcciones
entre 192.0.0.0 y 223.255.255.0.
El primer bit de todas las direcciones comienza por 110, o sea:
110 0 0000 .0 . 0 0 para la dirección de inicio (128.0.0.0 en decimal).
110 1 1111 .255 .255 .0 para la dirección final (223.255.255.0 en decimal).
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase A. Si el
valor se encuentra entre 128 y 191 la dirección es de clase B. Por último, si el valor se encuentra
entre 192 y 223 la dirección es de clase C.
5. El CIDR
La notación CIDR (Classless Inter-Domain Routing) permite escribir de forma sintética la máscara de
subred. Si tomamos la máscara de clase A (255.0.0.0), ésta puede escribirse /8. La cifra proviene del
número de bits en 1.
La máscara de la clase B puede escribirse en la forma /16, mientras que la de la clase C se escribe
/24.
Establecimiento de subredes
Una subred consiste en dividir una red informática en varias subredes. La máscara de subred se
utiliza para identificar la red en la que está conectado el equipo. Al igual que una dirección IP, está
compuesto de 4 bytes donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del
host (valor decimal 0).
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El primer
byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce el numero de
hosts direccionables.
1. La ventaja de las subredes

La ventaja de una subred es la posibilidad de realizar una división lógica de la red física. Esto
permite impedir que las máquinas físicas se vean entre sí, con el objetivo de crear redes diferentes.
Es posible utilizar subredes en los sitios remotos, cada sitio puede también tener su propia dirección
manteniendo el mismo ID de red. La división lógica permite reducir el tráfico de red y las tramas de
tipo broadcast que un router debe transferir entre las distintas redes.
También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de producción no
puede acceder a la red de administración). De esta forma garantizamos la seguridad de los datos.
Sin embargo esta operación necesita un cortafuegos.
2. Calcular una subred

Para simplificar la comprensión, vamos a tomar un ejemplo. La empresa ABC posee una dirección
192.168.1.0 y una máscara de subred igual a 255.255.255.0. Esta empresa necesita crear tres
subredes.
Cálculo de direcciones de subredes
La primera operación es calcular el número de bits que necesitamos reservar para identificar la
subred. Si se quieren crear tres subredes entonces el número de bits a reservar es de 2, pues 2 2 =4
> 3.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.
Dirección de la subred 1: 192.168.1.00 00 0000 o 192.168.1.0
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.
Para comprobar que el cálculo es correcto, debemos verificar el paso de una subred a la otra. De
esta forma podemos confirmar que es igual a 64. De hecho, si sumamos 64 a la dirección de la
subred 1, entonces el resultado es la dirección de la subred 2 (192.168.1.64 + 64 = 192.168.1.128).
Esta comprobación debe ser cierta para el conjunto de subredes.
Cálculo de la máscara de subred
A continuación debemos calcular la máscara de subred a utilizar. Esta debe configurarse en todas
las máquinas para que pertenezcan a la subred correcta.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo número para
la máscara de subred. A diferencia de las direcciones, estos bits no variarán y tendrán el valor 1. La
dirección empleada es una dirección de clase C. La máscara será 255.255.255.0.
Una vez más, el primer paso a realizar es la descomposición del primer byte del ID del host, los bits
de subred deberán valer 1:
255.255.255.11 00 0000 o 192.168.1.192
La máscara a utilizar es 255.255.255.192.
Cálculo del rango de direcciones IP distribuibles
Para conocer el rango de direcciones que es posible distribuir a los equipos, debemos hacer variar el
ID de host, (de todos los bits a 0 a todos los bits a 1, es decir:
Subred 1:
192.168.1.00 00 0000 a 192.168.1.00 11 1111
192.168.1.0 a 192.168.1.63
La dirección 192.168.1.0 es la dirección de red y 192.168.1.63 es la de broadcast. El rango de

direcciones va desde 192.168.1.1 hasta 192.168.1.62.
Subred 2:
192.168.1.01 00 0000 a 192.168.1.01 11 1111
192.168.1.64 a 192.168.1.127

Subred 3:
192.168.1.10 00 0000 a 192.168.1.10 11 1111
192.168.1.128 a 192.168.1.191

El rango entre la primera dirección y la última es de 63 (de 192.168.1.1 a 192.168.1.163), es el

mismo para las otras subredes.
Configurar y mantener IPv4
Una mala configuración IP puede tener un impacto más o menos importante. En un servidor, varios
servicios pueden sufrir fallos parciales o dejar de funcionar. Es muy importante verificar la
configuración que ha sido introducida o asignada automáticamente a un equipo.
Los comandos DOS pueden ser utilizados para la administración y mantenimiento diario de una red.
Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente
diagnosticar un problema de red.
1. El comando ipconfig
El comando ipconfig permite mostrar la configuración IP de los adaptadores de red.
Utilizando las distintas opciones, es posible realizar operaciones u obtener diferentes datos.
ipconfig /all: muestra la configuración completa de los adaptadores de red presentes en el

equipo.
ipconfig /release: libera la configuración IP distribuida por el servidor DHCP.
ipconfig /renew: solicita una nueva configuración al servidor DHCP.
ipconfig /displaydns: muestra las entradas en la caché DNS.
ipconfig /flushdns: permite limpiar la caché DNS.
ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.
2. El comando ping
Este comando permite comprobar la comunicación entre dos equipos. De esta forma se pueden
reparar rápidamente problemas de comunicación en un equipo o servidor. El comando cuenta con
opciones y luego el nombre o dirección IP del equipo a verificar.
Ejecutado sin opciones, solo se envían cuatro tramas de tipo echo. Si el puesto está encendido y
conectado a la red se recibe una respuesta. En caso contrario, se emite una respuesta negativa.
Se pueden aplicar varias opciones a este comando:
-n número: la opción -n permite enviar x solicitudes antes de detenerse, siendo x el número

proporcionado después de n.
-t: a diferencia de -n, se efectúa el envío de tramas hasta que se solicita la interrupción.
-a: permite la resolución de la dirección IP a un nombre.
-4: fuerza el uso de IPv4.
-6: fuerza el uso de IPv6.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host
remoto. Sin embargo, este tipo de solicitudes pueden estar bloqueadas por un cortafuegos.
3. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un
destino. La trama es de tipo ICMP. Es inútil utilizar este comando si el destino se encuentra en la
misma red de área local. De hecho, el comando reenvía el nombre o la dirección IP del router que
devuelve la trama echo.
Este comando es muy útil para conocer qué router tiene un problema.
Es posible usar otros comandos, como nslookup. Este último permite verificar la resolución DNS.
Implementación del protocolo IPv6
Desde hace muchos años, se continúa con la implementación de IPv6. Los sistemas operativos cliente
o servidor tienen la posibilidad de ser accedidos vía IPv6.
1. Información general del protocolo IPv6

Una dirección IPv6 es cuatro veces mayor que una dirección IPv4, es decir 128 bits para la versión 6
y 32 bits para la versión 4. Este protocolo ofrece un rango de direcciones casi ilimitado.
Adicionalmente, al contrario que una dirección IPv4, es posible realizar un configuración automática
sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la
red proporciona al cliente la información sobre la subred y el prefijo. Esto permite a los clientes
configurarse automáticamente. Hablamos entonces de configuración automática de direcciones sin
estado (RFC 2462). La configuración de direcciones sin estado necesita la presencia de un servidor
DHCPv6 (Windows Server 2008 como mínimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensión del protocolo anterior. Los periféricos de red cuentan con la posibilidad de determinar el
ancho de banda deseado para la gestión del paquete. Es posible igualmente administrar la prioridad
del tráfico. Ciertos paquetes (difusión de vídeo continuo...) son prioritarios. Los periféricos de la red
se percatan de esto mediante el empleo del campo QoS.
Diferencias entre IPv4 y IPv6
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
IPv4 IPv6
Fragmentación Fragmentación realizada en los Fragmentación efectuada

routers y el emisor. solamente por el emisor.
Protocolo ARP Utilización de tramas broadcast. Utilización de tramas multicast.
Registro en el Registro de host (A) en la zona Registro de host (AA AA) en la

DNS de búsqueda directa y PTR en la zona de búsqueda directa y PTR
zona de búsqueda inversa (IN- en la zona de búsqueda inversa
ADDR.ARPA). (IP6.ARPA).
Los formatos de las direcciones son, a su vez, diferentes. La versión anterior utiliza un formato
decimal (192.168.1.2) mientras que las direcciones se escriben en formato hexadecimal con la
versión 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se recomienda el uso de nombres de host en lugar
de direcciones IPv6.
El direccionamiento IPv6
Cada dirección está compuesta por 128 bits. Se utiliza un prefijo para indicar el número de bits
utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un
prefijo de 64 bits se asigna a la dirección, que es la mitad de los bits para identificar la red, los
restantes 64 permiten una identificación única del host (identificador de interfaz). Éste puede ser
generado de manera aleatoria y asignado por DHCP o basado en el control de acceso o soporte
(MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
Dirección no especificada 0.0.0.0 ::
Dirección de bucle invertido 127.0.0.1 ::1

Dirección APIPA 169.254.0.0/16 FE80::/64
Dirección de broadcast 255.255.255.255 Utilización de tramas

multicast
Dirección de multicast 224.0.0.0/4 FF00::/8
a. Direcciones locales únicas
Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC 1918). Este
tipo de dirección puede encaminarse solamente hacia el interior de una empresa. Para evitar los
problemas de duplicación que podían ocurrir en IPv4 al interconectar varias redes, la dirección está
compuesta por un prefijo de 40 bits.
Ésta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequeña de tener
dos prefijos idénticos.
1111110 Identificador de Identificador de Identificador de

organización subred interfaz
Los siete primeros bits poseen un valor fijo igual a 1111110. El prefijo de la dirección es
igual a fc00::/7.
El identificador de organización de 40 bits permite evitar problemas durante la conexión

entre redes. El identificador se genera automáticamente.
La identificación de subred permite la creación de subredes.
Los últimos 64 bits se utilizan para representar el identificador de la interfaz.
b. Direcciones globales unicast
Este tipo corresponde a las direcciones IPv4 públicas. Permiten designar un equipo en la red
Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques están
reservados para implementar túneles 6to4 (por ejemplo el bloque 2002::/16).
Esta dirección está compuesta de varios bloques:
001 Prefijo de encaminamiento Identificador de Identificador de

global subred interfaz
Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits) permiten
formar un primer bloque de 48 bits. Éste lo asigna el proveedor de acceso.
El identificador de subred, codificado en 16 bits, permite crear subredes en una

organización.
El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo

específico en una subred. Este bloque se genera aleatoriamente o lo asigna un servidor
DHCPv6.
c. Dirección de enlace local
Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar con la red
local. Este tipo de dirección se genera automáticamente y no se puede encaminar. Son homólogos
a las direcciones IPv4 correspondientes a las direcciones APIPA (169.254.x.x).
El prefijo utilizado por este tipo de dirección es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
1111 1110 Continuación de ceros (54 bits) Identificador de interfaz
10
Los 10 primeros bits (111 1110 10) al igual que los siguientes ceros forman el prefijo de 64
bits (FE80::).
El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo

específico en una subred. Este bloque se genera aleatoriamente o lo asigna un servidor
DHCPv6.
Talleres
Los dos primeros talleres son teóricos. No es necesario realizar ninguna operación.
1. Conversión de decimal a binario

Objetivo: convertir un número binario o dirección binaria a decimal y viceversa.
192
224
1110 0111
192.168.1.102
0011 1100
1001 1100
Solución:
192
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
El valor binario de los otros rangos está en 0.
La conversión de 192 a binario es 1100 0000.
224
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
El valor binario de los otros rangos está en 0.
La conversión de 224 a binario es 1110 0000.
1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 7 +2 6 +2 5 +2 2 +2 1 +2 0 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
192.168.1.102
Primero convertimos cada byte:
192: 1100 0000
168: 1010 1000
1: 0000 0001
102: 0110 0110

La dirección IP 192.168.1.102 en binario nos da:
1100 0000.1010 1000. 0000 0001.0110 0110
0011 1100
2 5 +2 4 +2 3 +2 2 = 32+16+8+4
1001 1100
2 7 +2 4 +2 3 +2 2 = 128+16+8+4
2. Cálculo de direcciones de subredes

Objetivo: calcular las direcciones de diferentes subredes.
Debemos dividir la red con la dirección 172.16.0.0 en 8 subredes. Proporcione, para cada una, la
dirección de subred, la dirección de la máscara de subred y los rangos de dirección que pueden ser
distribuidos.
Solución:
Para direccionar 8 subredes, debemos reservar 3 bits (2 3 =8).
Máscara de subred:
255.255.111 0 000.0 o sea una máscara de subred igual a 255.255.224.0
Subred 1:
172.16.000 0 0000.0 o sea la dirección de red 172.16.0.0
Rango de direcciones para todos los hosts:
172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0
hasta 172.16.31.255. En este rango, debemos incluir la dirección de red 172.16.0.0 y la dirección de
broadcast 172.16.31.255. Tenemos pues un rango efectivo desde 172.16.0.1 hasta 172.16.31.254.
Dirección de subred 2:
hasta 172.16.63.255. Tenemos pues un rango efectivo desde 172.16.32.1 hasta 172.16.63.254.

hasta 172.16.127.255. Tendremos un rango efectivo desde 172.16.96.1 hasta 172.16.127.254.
3. Implementación del protocolo IPv6

Objetivo: configurar los servidores AD1 y SV1 para que puedan usar el protocolo IPv6 para
comunicarse.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red.
Haga doble clic en el adaptador de red Ethernet y luego en el botón Propiedades.
Seleccione Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Propiedades.

Marque la opción Usar la siguiente dirección IPv6.
En el campo Dirección IPv6, introduzca FD00:AAAA:BBBB:CCCC::A y luego en Longitud del

prefijo de subred introduzca 64.
Introduzca ::1 en el campo Servidor DNS preferido.

Haga clic en Aceptar y, a continuación, cierre las diferentes ventanas.
Repita la operación siguiente para configurar SV1.
Dirección IPv6: FD00:AAAA:BBBB:CCCC::15
Longitud del prefijo de subred: 64
Servidor DNS preferido: FD00:AAAA:BBBB:CCCC::A

En SV1, inicie un símbolo del sistema DOS.
Introduzca el comando ping -6 ad1.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del comando.
Introduzca el comando ping -4 ad1.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del comando.
AD1 responde empleando su dirección IPv4 o IPv6.

1. Preguntas
1 ¿Cuáles son las capas presentes en el protocolo TCP/IP?
2 ¿Cuál es la utilidad del direccionamiento privado y el direccionamiento público?
3 Nombre los rangos de direcciones incluidos en cada clase.
4 Para cada clase, cite el rango de direcciones IP privadas.
5 ¿Cuál es el objetivo de una subred?
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
7 ¿Cómo forzamos a un equipo a registrarse en su servidor DNS?
8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS?
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
2. Resultados
3. Respuestas
1 ¿Cuáles son las capas presentes en el protocolo TCP/IP?
Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicación. Cada una
tiene su propia función. Los diferentes protocolos que comprenden la suite TCP/IP están
organizados en las diferentes capas.
2 ¿Cuál es la utilidad del direccionamiento privado y el direccionamiento público?
El direccionamiento privado normalizado en la RFC 1918 permite proporcionar direcciones a equipos

en una red local. Este tipo de direcciones no son enrutables. Los equipos con estas direcciones IP
no pueden tener acceso directo a Internet. Este tipo de direcciones se normalizaron para evitar el
riesgo de escasez de direcciones. El direccionamiento público permite a los diferentes equipos
(servidor web...) un acceso directo a Internet. Para acceder desde la red pública se debe poseer una
dirección IP pública. Estas direcciones las distribuye un organismo especial.
3 Nombre los rangos de direcciones incluidos en cada clase.
La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con direcciones
desde 128 hasta 191. Finalmente, la clase C cuenta con direcciones desde 192 hasta 223. El valor
del primer byte permite determinar a qué clase pertenece la dirección.
4 Para cada clase, cite el rango de direcciones IP privadas.
En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango
10.0.0.0 a 10.255.255.255 está reservado a la clase A. Con la clase B es posible utilizar las
direcciones entre 172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre 192.168.0.0 y
192.168.255.255 están reservadas para la clase C.
5 ¿Cuál es el objetivo de una subred?
Permite efectuar una división de la red física de forma lógica. Es también más fácil limitar el
número de equipos en la red o garantizar la seguridad de los datos.
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
Los bits de subred se encuentran en el primer byte del ID del host.
7 ¿Cómo forzamos a un equipo a registrarse en su servidor DNS?
Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns.
8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS?
Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /displaydns.
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
El comando ping envía por defecto cuatro tramas echo. Para enviar un número mayor de tramas,
debemos usar la opción -n seguida del número deseado.
Tener nociones sobre el funcionamiento de un direccionamiento dinámico.
2. Objetivos
Definición del rol DHCP.
Presentación de las funcionalidades ofrecidas por el servicio.
Gestión de la base de datos.
Puesta en marcha del mantenimiento del servidor DHCP.
Instalación y configuración de la funcionalidad IPAM.

Introducción
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en una
arquitectura de red. Su función es la distribución de la configuración IP, lo que permite a los equipos
conectados comunicarse entre ellos.
Rol de servicio DHCP
DHCP permite automatizar la configuración de los adaptadores de red. Sin éste, es preciso efectuar la
operación manualmente.
Una configuración IP incluye una dirección IP, una máscara de subred y una puerta de enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuración adecuada
para cada equipo. Muy útil para los usuarios itinerantes, a éstos se les asigna una configuración sin
intervención del administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP
y NAP (Network Address Protection) para distribuir las concesiones DHCP en función del estado de
salud del equipo (antivirus actualizado, cortafuegos activado…). Este rol puede instalarse en un
servidor en modo Core para limitar la superficie de ataque.
1. Asignación de una dirección IP

Se provee una asignación a un adaptador de red por una duración limitada a varias horas, días o
simplemente ilimitada. Las tramas utilizadas son de tipo broadcast. Éstas no pueden atravesar los
routers.
Para obtener una asignación DHCP, el cliente y el servidor realizan un intercambio de tramas:
El cliente envía un broadcast (DHCPDISCOVER) a todos los equipos de la subred.
Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. Mediante
esta trama, se ofrece una configuración IP. De este modo, el cliente puede recibir una trama
del mismo tipo de varios servidores. El cliente selecciona el servidor que haya sido más
rápido.
El cliente envía una trama de tipo DHCPREQUEST al servidor que ha seleccionado. Permite
informar al servidor que ha aceptado la oferta.
La dirección IP seleccionada se graba ahora en la base de datos de servidor, el cual valida la

transacción enviando un DHCPACK al equipo cliente.
La operación de renovación de la asignación se ejecuta cuando se ha cumplido el 50% de la

duración transcurrida. Si no logra renovar la asignación, se vuelve a intentar al 87,5% de la
concesión y luego en el momento de su expiración.
La renovación se efectúa enviando una trama broadcast DHCPREQUEST; el servidor responde con
un mensaje de tipo DHCPACK.
2. Utilización de un relay DHCP

Al utilizar tramas de tipo broadcast, éstas no pueden atravesar los routers. Esto implica la necesidad
de un servidor para cada subred IP. La necesidad de muchos servidores puede conllevar un coste
excesivo para la empresa. Para remediar este problema, es posible implementar un relay DHCP. Éste
permite transferir las solicitudes de asignación a un servidor ubicado en otra subred.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en
la subred IP. Transfiere a continuación las diferentes solicitudes que recibe al servidor DHCP
presente en la red B.
Debemos sin embargo verificar el ancho de banda de la línea y los tiempos de respuesta.
Funcionalidad del servidor DHCP
Después de instalar el servidor, es necesario configurar el ámbito.
1. El ámbito del servidor DHCP

El ámbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Está limitado a una
subred IP.
Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de direcciones entre
172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignación
DHCP recibe una dirección del ámbito configurado para la red 172.16.0.0. El resultado es idéntico si
el servidor posee ámbitos para redes diferentes.
La configuración del ámbito requiere la configuración de varias propiedades:
Nombre y descripción: permite identificar el ámbito por un nombre o una descripción.
Intervalo de direcciones IP: configura el grupo de direcciones IP que es posible distribuir.
Máscara de subred: máscara de red que deben utilizar todos los clientes que reciben una
concesión DHCP.
Exclusiones: define las direcciones IP que deben excluirse del intervalo de direcciones que se
pueden distribuir.
Retraso: permite definir el tiempo transcurrido antes de proponer una concesión DHCP al
cliente (DHCPOFFER).
Opciones: configuración de las opciones complementarias que se distribuirán con la dirección

IP. Pueden configurarse diferentes opciones tales como el nombre del dominio DNS, la
dirección del router, etc.
A partir de Windows Server 2008, es posible añadir un ámbito para el protocolo IPv6. Al igual que
para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.
2. Reserva de concesiones DHCP

Para ciertos equipos (impresoras de red, etc.), es necesario asignar una configuración IP. Ésta no
debe sufrir ninguna modificación, lo que obligaría a una reconfiguración en los puestos de trabajo.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una reserva
en DHCP. Ésta permite garantizar la recepción de la misma configuración IP para cada cliente.
Una reserva necesita que se informen varios datos:
El nombre de la reserva: este campo es simplemente el nombre que daremos a la reserva.

Es aconsejable utilizar un nombre que indique el destinatario (nombre del equipo o de la
impresora...).
La dirección IP: dirección IP que se asignará al puesto cliente cada vez que lo solicite.
La dirección MAC: dirección física del adaptador de red a la que se asigna la concesión.
Después de su creación, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente
efectúa una nueva solicitud (renovación o nueva concesión).
La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all, y
aparece también en el nodo Concesiones de direcciones (campo ID exclusivo).
El equipo será visible solamente después de recuperar la concesión DHCP.
3. Las opciones de DHCP

Después de configurar un ámbito DHCP, es posible añadir opciones. Distribuidas al mismo tiempo
que la concesión, permiten completar la configuración proporcionada (dirección IP, máscara de
subred). Al configurar el ámbito, es posible configurar la dirección de la puerta de enlace (opción 003
Enrutador) sí como la del servidor DNS (006 Servidores DNS).
Sin embargo, es posible añadir otras opciones:
Opción 004: Servidor horario
Opción 015: Nombre de dominio DNS
Opción 042: Servidores NTP
Opción 044: Servidores WINS/NBNS
Opción 069: Servidores SMTP
Opción 070: Servidores POP3
Los códigos (003, etc.) están normalizados, es posible encontrar la lista completa en la
documentación de la RFC.
Estas opciones pueden agregarse en varios niveles diferentes:
Opciones de servidor: se aplican al conjunto de clientes que efectúan una solicitud de una
concesión al servidor DHCP. Si la misma opción se encuentra configurada en el nodoOpciones
de ámbito, se conserva esta última.
La opción 003 Enrutador se encuentra configurada en las opciones de servidor, la
dirección IP introducida es 192.168.1.1.
La misma opción se encuentra en Opciones de ámbito. Adicionalmente, podemos ver

la diferencia en los dos iconos.
Opciones de ámbito: incluidas en cada ámbito, se aplican a sus clientes. Cada ámbito puede
tener opciones diferentes o las mismas con otros valores.
Opciones de clase: existen diferentes clases (clase de proveedores, de usuarios…) al

implantar un servidor NAP (Network Access Protection), pueden emplearse estas opciones de
clase.
Opciones de reserva: al implantar una reserva, se aplican las opciones del ámbito.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botón derecho en
la reserva deseada, el menú contextual nos proporciona un acceso a la ventana que permite
efectuar la selección de la configuración y sus opciones.
Las opciones de reserva reemplazan a las opciones configuradas a nivel de ámbito.
El icono es diferente, lo que permite de forma sencilla saber a qué nivel se aplica la opción.
4. Implementación de filtros
La implementación de filtros permite crear listas verdes y listas de exclusión. Cada una tiene un uso
bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesión DHCP.
De esta forma, todos los adaptadores de red cuya dirección MAC se encuentre en la lista verde
tienen la posibilidad de recibir una concesión. Está representada en la consola por el nodo Permitir.
La lista de exclusión permite anotar los adaptadores de red que no recibirán respuesta del servidor.
La lista de exclusión se puede configurar por medio del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso
contrario el servidor no responderá a las solicitudes del cliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusión y viceversa. Esta característica
permite garantizar que solo los puestos autorizados recibirán una configuración IP. Sin embargo, al
añadir un nuevo equipo, es necesario crear un nuevo filtro. Esta operación puede ser muy sencilla
de realizar pero se vuelve muy restrictiva en caso de contar con un número muy elevado de equipos.
Base de datos DHCP
La base de datos de DCHP permite registrar de información (direcciones MAC...) al distribuir una nueva
concesión.
1. Presentación de la base de datos DHCP

La base de datos almacena un número de registros ilimitado. El tamaño del archivo depende del
número de equipos presentes en la red. Por defecto, la base de datos se almacena en la carpeta
Windows\System32\dhcp.
Esta carpeta contiene varios archivos:
dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange Server
JET.
dhcp.tmp: este archivo se emplea como archivo de intercambio durante el mantenimiento de

los índices de la base.
j50.log: permite registrar las transacciones.
j50.chk: archivo con puntos de control.
Para cada operación (nueva solicitud, renovación o liberación de la concesión), se actualiza la base
de datos y se crea una entrada en los registros.
La información en la base de registros puede encontrarse accediendo al registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
2. Copia de seguridad y restauración de la base de datos

La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad
asíncrona) o automática (copia de seguridad sincrónica).
La copia de seguridad sincrónica se realiza de forma predeterminada en la carpeta

Windows\System32\dhcp\backup. Es recomendable ubicar esta carpeta en otro volumen para evitar
su borrado en caso de una reinstalación. La copia de seguridad asíncrona se realiza manualmente
en el momento deseado. Esta operación requiere sin embargo de permisos de administrador o un
usuario miembro del grupo Administradores de DHCP.
Durante la operación de copia de seguridad (sincrónica o asíncrona) todos los elementos vinculados
al servidor se incluyen en la copia. Encontraremos los siguientes elementos:
Todos los ámbitos presentes en el servidor.
Las reservas que hayan sido creadas.
Las concesiones distribuidas.
Las opciones configuradas.
Las claves del registro e información de configuración.
Al ejecutar la operación de restauración (clic derecho en el servidor y luego Restaurar en el menú

contextual), se debe seleccionar la carpeta de la copia de seguridad.
A continuación, se detienen los servicios DHCP y se restaura la base de datos. Al igual que para la
copia de seguridad, la operación debe realizarse con permisos de administrador.
3. Reconciliación y desplazamiento de la base de datos

La operación de reconciliación permite resolver ciertos problemas de coherencia, principalmente tras
restaurar la base de datos. En efecto, las concesiones DHCP se registran en dos lugares:
En la base de datos de forma detallada.
En el registro de forma resumida.
Al realizar una operación de reconciliación, las entradas contenidas en la base de datos y el registro
se comparan. Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que
no estén presentes en el registro y viceversa).
Ejemplo
En el registro, la dirección IP 192.168.1.250 ha sido asignada ya que aparecía como disponible en la

base de datos. Al efectuar la reconciliación, la entrada se crea en la base de datos.
Seleccionando Reconciliar... en el menú contextual del ámbito (clic derecho en el ámbito deseado),
se muestra una ventana. Bastará con hacer clic en el botón Comprobar para iniciar la verificación.
Seguidamente, una ventana muestra el resultado de la operación.
Es posible iniciar esta operación en todos los ámbitos seleccionando Reconciliar todos los
ámbitos... en el menú contextual del nodo IPv4.
Como hemos visto anteriormente, el desplazamiento de la base de datos a otro volumen permite
una reinstalación del servidor sin perder la base de datos. En caso de migración del servidor DHCP,
es posible utilizar dos soluciones.
Primera solución: se ha creado una cantidad de reservas han sido creadas y se han implementado,
a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo ámbito en el nuevo
servidor DHCP y luego efectuar la etapa de creación de las reservas y exclusiones. Es tedioso y
puede causar errores más o menos perjudiciales para el sistema de información. Es entonces
necesario hacer copia de seguridad del antiguo servidor y luego restaurarlo en el nuevo o desplazar
la base de datos a otro volumen.
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho en el
servidor y luego Propiedades en el menú contextual).
Empleando el botón Examinar asociado al campo Ruta de acceso de la base de datos,
seleccione otra carpeta.
La actualización se efectúa después de reiniciar el servidor.
Si, durante el reinicio del servicio, el ámbito no está presente, copie todos los archivos
contenidos en Windows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.
Segunda solución: no se han creado reservas en el servidor, o se ha creado un número muy

reducido. En este caso se puede considerar la opción de crear un nuevo ámbito. Sin embargo, si
esta solución se implementa erróneamente, puede causar graves problemas. De hecho, si el nuevo
servidor carece de información acerca de las concesiones DHCP que se han distribuido antes de la
creación, se corre el riesgo de distribuir direcciones ya asignadas a equipos cliente. Es preciso, en
este caso, solicitar al servidor DHCP que realice una prueba antes de asignar una dirección.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuación, en
la pestaña Avanzadas, bastará con configurar el número de intentos de detección de conflictos que
el servidor debe efectuar.
Las nuevas concesiones se distribuirán sin riesgo de conflicto IP.
Securización y mantenimiento de DHCP
El protocolo DHCP no permite implementar una solución de autenticación, por lo tanto cualquier
equipo puede recibir una concesión DHCP. La solicitud resultará en una asignación aunque el equipo
no esté autorizado para recibirla.
1. Securizar la distribución de concesiones DHCP

La obtención de una concesión permite el acceso a la red. De esta forma, una persona
malintencionada puede fácilmente intentar corromper los datos o simplemente obtener datos
confidenciales. Es necesario poner en práctica un esquema de seguridad adecuado. En primer lugar
es posible reducir el acceso físico activando en el conmutador solamente los puertos utilizados. Es
posible realizar una auditoría para ver un historial de accesos válidos. Sin embargo, es preferible
implantar una solución de autenticación robusta.
Esta última puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In
User Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su
vez, compatible con la norma 802.1x.
En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access-
Enterprise) y WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticación RADIUS. Por
último, es posible implantar un servidor NAP (Network Access Protection). Este último autoriza el
acceso al servidor DHCP para los clientes que cumplan con la política de seguridad (antivirus
actualizado, cortafuegos activado…).
2. Utilización de las estadísticas y registros de auditoría

Las estadísticas proporcionan información sobre la actividad y utilización del servidor. Es muy fácil
detectar un posible problema. Un número elevado de acuses de recibo negativos indica una mala
configuración del ámbito (dos ámbitos que proporcionan las mismas direcciones IP).
Es posible definir los intervalos de actualización modificando el parámetro en las propiedades del
campo IPv4 (pestaña General). Esta opción está deshabilitada por defecto.
A diferencia de las estadísticas del servidor, que proporcionan información sobre su estado, las
estadísticas del ámbito proporcionan solamente el número de direcciones presentes en el rango
permitido y el número de direcciones utilizadas y disponibles.
Como complemento a las estadísticas, es posible utilizar el registro de auditoría, que permite el
seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y también a
aquellas que han sido rechazadas.
Se encuentra en la carpeta Windows\System32\dhcp y es posible visualizarlo mediante el bloc de

notas de Windows. El nombre de archivo contiene el día en que ha sido creado.
Podemos ver el archivo DhcpSrvLog-Vie en la carpeta. El principio del nombre de archivo
(DhcpSrvLog) es común a todos los archivos, solo varía el nombre del día.
El archivo contiene varios campos:
ID: corresponde al número de evento (el enunciado de los diferentes ID se encuentra al

principio del archivo).
Fecha: al grabar el evento en el registro, se incluye la fecha.
Hora: hora a la que se ha producido el evento.
Descripción: información sobre la operación efectuada.

Dirección IP: dirección IP del cliente DHCP.
Nombre del equipo: nombre del equipo.
Dirección MAC: dirección MAC del cliente DHCP.
En este registro existen otros datos (ID de transacción, resultado...).

IPAM
IPAM (IP Address Management) es una característica integrada a partir del sistema operativo Windows
Server 2012. Permite descubrir, supervisar y auditar un grupo de direcciones IP. La administración y
seguimiento de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name
Service) puede realizarse desde IPAM.
Los siguientes componentes se incluyen en la función:
Descubrimiento automático de la infraestructura de direcciones IP: permite descubrir

automáticamente controladores de dominio, servidores DHCP y servidores DNS en el dominio
deseado.
Ver, crear informes personalizados y administración del espacio de direcciones IP: muestra
los datos detallados de seguimiento y uso de las direcciones IP. Los espacios de direcciones
IPv4 e IPv6 se organizan en bloques de direcciones IP, en rangos de direcciones IP y en
direcciones IP individuales.
Auditar los cambios de configuración del servidor y seguimiento del uso de las direcciones
IP: permite ver los eventos operativos relacionados con los servidores IPAM y DHCP
administrados. A su vez, se realiza un seguimiento de las direcciones IP, ID de cliente, nombre
de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los
eventos de inicio de sesión de usuario en los servidores NPS (Network Policy Server), en los
controladores de dominio y los servidores DHCP.
Antes de desplegar la característica IPAM es necesario tener en cuenta el método de despliegue

seleccionado. Se nos presentan dos posibilidades de despliegue: el método distribuido, con un
servidor IPAM en cada sitio de la empresa, o el método centralizado, con un servidor para el conjunto
de la empresa.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS y DHCP para
servidores que están dentro del alcance del área de descubrimiento especificada. Para poder ser
gestionados por IPAM y autorizar su acceso, se deben configurar los parámetros de seguridad y los
puertos del servidor.
La comunicación entre el servidor IPAM y los servidores administrados se efectúa mediante WMI o
RPC.
Al igual que otros roles, IPAM cuenta con especificaciones.
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active
Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar Windows
Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS -
Windows Internet Name Service, proxy…) no están contemplados por el servidor IPAM. Con Windows
Server 2012 R2 aparecen nuevas características, incluyendo la posibilidad de utilizar una base de
datos SQL. Las anteriores versiones solo podían emplear la base de datos interna de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas
DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo, el
administrador debe hacerlo manualmente.
Con la instalación de IPAM, se instalan también las siguientes funcionalidades:
Herramientas de administración remota del servidor: instalación de las herramientas DHCP,

DNS y el cliente IPAM que permiten administrar de manera remota los servidores DHCP, DNS e
IPAM.
Base de datos interna de Windows: base de datos interna que puede ser instalada por los
roles y características internos.
Servicio de activación de procesos Windows: elimina la dependencia del protocolo HTTP

generalizando el modelo de procesos IIS.
Administración de directivas de grupo: instala la consola MMC que permite administrar las
directivas de grupo.
.NET Framework: instalación de la característica .NET Framework 4.5.
Durante la instalación de la característica, se crean los siguientes grupos locales:
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la información de
descubrimiento de servidores, al igual que la relativa al rango de direcciones y la gestión del
servidor. El acceso a la información de seguimiento de direcciones IP les está prohibido.
Administradores IPAM MSM (Multi-Server Management): tienen permisos de usuario IPAM,

también tienen la posibilidad de efectuar tareas de administración del servidor y tareas de
administración corrientes IPAM.
Administradores IPAM ASM (Address Space Management): además de los permisos del
usuario IPAM, también tienen la posibilidad de efectuar las tareas relacionadas con el espacio
de direcciones y tareas de gestión habitual de IPAM.
Administradores de auditoría IPAM IP: los miembros de este grupo pueden efectuar las
tareas de gestión habitual de IPAM y, además, ver la información de seguimiento de
direcciones IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden realizar cualquier tarea.
Las tareas IPAM se inician regularmente en función de una periodicidad dada. Se encuentran en el
administrador de tareas (Microsoft/Windows/IPAM):
Discovery: permite el descubrimiento automático de los servidores DC, DHCP y DNS.
AddressUtilizationCollection: efectúa la recogida de datos de utilización del rango de

direcciones para los servidores DHCP.
Audit: se recopila la información de auditoría de los servidores DHCP, IPAM, NPS y DC así como
de las concesiones DHCP.
Configuration: se recopila la información de configuración de los servidores DHCP, DNS para

ASM y MSM.
ServerAvailability: se recupera el estado de servicio de los servidores DHCP y DNS.
La instalación y configuración de la característica IPAM se realiza en los talleres.

Talleres
Los talleres consisten en la instalación del servidor DHCP y la funcionalidad IPAM y su configuración.
1. Agregar el rol DHCP

Objetivo: efectuar la instalación del rol DHCP.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
Marque la casilla Instalación basada en características o en roles y luego haga clic enSiguiente.
En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar características en la ventana que
se muestra.
Haga clic en Siguiente y luego en Instalar.
Espere al fin de la instalación y luego haga clic en Cerrar.
2. Configurar un nuevo ámbito y agregar opciones

Objetivo: una vez instalado, este taller tiene por objetivo realizar la configuración del servidor.
Máquinas virtuales utilizadas: AD1, CL8-01 y CL8-02.
En la consola Administrador del servidor en AD1, haga clic en el icono con forma de bandera.
Haga clic en el enlace Completar configuración de DHCP.
Se inicia el asistente, haga clic en Siguiente.
En la ventana Autorización, verifique que se está utilizando la

cuentaFORMACION\Administrador y luego haga clic en Confirmar.
Haga clic en Cerrar para cerrar el asistente.
Acceda a la pantalla Inicio.
Abra la consola DHCP incluida en las herramientas administrativas.
Despliegue ad1.formacion.local en el panel de navegación y luego realice la misma operación

con IPv4.
Haga clic con el botón derecho en IPv4 y a continuación, en el menú contextual, haga clic
enÁmbito nuevo....
Haga clic en Siguiente en la ventana del Asistente.
En el campo Nombre, introduzca Ámbito Formacion.local y luego haga clic en Siguiente.

Introduzca 192.168.1.50 en Dirección IP inicial y, a continuación, 192.168.1.70 en Dirección
IP final.
En las ventanas Agregar exclusiones y retraso y Duración de la concesión, haga clic
enSiguiente.
Marque la opción Configuraré estas opciones más tarde y haga clic en Siguiente.
Haga clic en Finalizar para cerrar el asistente.
Haga clic con el botón derecho en Opciones de Ámbito y a continuación, en el menú contextual,
seleccione Configurar opciones.
Marque la opción 003 Enrutador y el valor 192.168.1.254 en el campo Dirección IP. Haga clic
en Agregar para validar el valor.
Marque la opción 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic
enAgregar para validar el valor.
Haga clic en Aceptar para proceder a crear las opciones.

El ámbito se encuentra desactivado. Haga un clic derecho en Ámbito [192.168.1.0] y luego en el
menú contextual, haga clic en Activar.
Verifique en los equipos CL8-01 y CL8-02 que la dirección está configurada para Obtener una
dirección IP automáticamente.
Utilice el comando ipconfig para verificar la configuración actual.
Si la dirección configurada es una dirección APIPA (169.254.x.x), efectúe una nueva solicitud
de concesión empleando el comando ipconfig /renew.
Las concesiones se han asignado correctamente a las dos máquinas cliente.
Despliegue Filtros y luego haga clic con el botón derecho en el nodo Permitir. En el menú
contextual, seleccione Habilitar. Realice la misma operación para Denegar.
Haga clic en Concesiones de direcciones y, a continuación, haga clic con el botón derecho en la
concesión de CL8-02. En el menú contextual seleccione Agregar a filtro y, a
continuación,Denegar.
Elimine la concesión asignada a CL8-02 y, a continuación, verifique que se encuentra en la

listaDenegar.
En CL8-02, inicie un símbolo del sistema e introduzca ipconfig /release.
Introduzca ipconfig /renew para solicitar una nueva concesión.
El cliente no recibe respuesta ya que está en la lista Denegar.
Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew en CL8-
02.
Incluya el equipo CL8-02 en el dominio Formacion.local.
3. Copia de seguridad y restauración de la base de datos

Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauración.
En AD1, abra la consola DHCP.
Despliegue el servidor ad1.formacion.local y luego haga clic con el botón derecho. Seleccione la
opción Copia de seguridad.
En la ventana Buscar carpeta, seleccione el Disco local (C:) y luego haga clic en Crear nueva
carpeta.
Llame a la nueva carpeta CopiaSeguridadDHCP y haga clic en Aceptar.
Haga clic con el botón derecho en el ámbito presente en DHCP y, en el menú contextual,
seleccione la opción Eliminar.
No existe ahora ningún ámbito presente en el servidor.
Haga clic con el botón derecho en el servidor ad1.formacion.local y seleccione la

opciónRestaurar... en el menú contextual.
En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic
enAceptar.
Haga clic en Sí para reiniciar los servicios.
Haga clic en Aceptar en el mensaje de validación de la operación.
Se restaura el ámbito y el conjunto de la configuración.
4. Implementación de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauración.
Máquinas virtuales utilizadas: AD1, SV2 y CL8-02.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
función.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic
enSiguiente.
Verifique la selección de SV2.Formacion.local y luego haga clic en Siguiente.
En la ventana de selección de características, marque la característica Servidor de

administración de direcciones IP (IPAM).
Haga clic en el botón Agregar características en la ventana que se muestra y luego en el
botónSiguiente.
Inicie la instalación haciendo clic en Instalar.
En el Administrador del servidor, haga clic en IPAM para mostrar la página inicial.
Actualice la consola si fuera necesario.
Haga clic en el vínculo Aprovisionar el servidor IPAM.
En la ventana Configurar base de datos, deje el valor por defecto y haga clic en Siguiente.
Haga clic en Siguiente en la ventana Aprovisionar IPAM.
Seleccione un método de aprovisionamiento Basado en la directiva de grupo.
En la zona Prefijo del nombre del GPO, introduzca SRVIPAM.

Valide la opción haciendo clic en Aplicar.
El aprovisionamiento está en marcha…
Al terminar la operación, verifique que aparece el mensaje El aprovisionamiento de IPAM se

completó correctamente y luego haga clic en Cerrar.
Haga clic en Configurar detección de servidores.

Haga clic en Agregar para incluir Formacion.local en el ámbito.
Configure los roles a detectar desmarcando aquellos no deseados.
Haga clic en Aceptar.
En la ventana INFORMACIÓN GENERAL, haga clic en Iniciar detección de servidores.
Haga clic en Más en la banda amarilla para tener más detalles.

Espere a que termine la ejecución.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea de
Overview.
Haga clic en el vínculo Seleccionar o agregar servidores para administrar y comprobar el

acceso de IPAM.
El o los servidores mostrarán su estado como Bloqueado en Estado de acceso IPAM y Sin
especificar en Estado de manejabilidad.
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (a la izquierda del identificador de
notificación).
Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Se utilizan los objetos de
directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol)
y DNS (Domain Name System).
Inicie la consola PowerShell como administrador en SV2.
Introduzca el siguiente comando y luego pulse en [Entrar]:
Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName

SRVIPAM -IpamServerFqdn sv2.formacion.local
Pulse la tecla S y luego valide empleando la tecla [Intro].
Las nuevas directivas de grupo se encuentran en la consola Administración de directivas de grupo.
La directiva SRVIPAM_DHCP tiene los siguientes parámetros:

Las directivas se encuentran vinculadas a la raíz del dominio de forma predeterminada. Es
posible desplazarlas si fuera necesario.
En la consola de configuración de IPAM, haga clic con el botón derecho en la línea AD1 y luego
seleccione Editar servidor.
En la lista desplegable Estado de capacidad de administración, seleccione Administrado.

En el servidor AD1, abra un símbolo del sistema DOS y luego introduzca el comando gpupdate
/force. Esto permite aplicar las directivas de grupo previamente creadas con el comando
PowerShell.
En la consola IPAM, haga clic con el botón derecho en AD1 y luego, en el menú contextual,
seleccione Actualizar estado de acceso del servidor. El campo Estado de acceso IPAM muestra
ahora el estado Desbloqueado.
Pueden hacer falta varios minutos para la aplicación de la directiva. Si esto no funciona, actualice
la consola.
En el panel INFORMACIÓN GENERAL, haga clic en Recuperar datos de servidores
administrados.
Espere a que termine la recuperación (concesiones actuales...).
En el panel de navegación IPAM, haga clic en Bloques de direcciones IP.

Visualice el contenido de la pestaña Detalles de configuración, examine la información mostrada.
Se ha recuperado correctamente la información del servidor DHCP.
Haga clic con el botón derecho en el rango de direcciones IP y luego, en el menú contextual, haga
clic en Buscar y asignar dirección IP disponible.
Después de unos minutos, se presenta una dirección IP y luego se realizan las pruebas.
La dirección está disponible.
Haga clic en Configuraciones básicas en el menú izquierdo y luego en el campo Dirección

MACintroduzca la dirección MAC de CL8-02.
Seleccione Reservado en el campo Estado de dirección y luego CL8-02 en Propietario.
Seleccione el menú Reserva de DHCP.
En la lista desplegable Nombre del servidor de reserva, seleccione AD1.Formacion.local.
Introduzca CL8-02 en el campo Id. de cliente y luego marque Asociar MAC a identificador de
cliente. La dirección MAC se asocia.
Seleccione Ambos en la lista desplegable Tipo de reserva.
Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitirá recuperar más
fácilmente la reserva.
Haga clic en el botón Aplicar y luego en Aceptar.
En la lista desplegable Vista actual, seleccione Direcciones IP.

Haga clic con el botón derecho en la entrada creada previamente y luego seleccione Crear
reserva DHCP.
La reserva se ha creado correctamente en la consola DHCP.
En el equipo CL8-02, renueve la concesión DHCP introduciendo los comandos ipconfig /releasey
luego ipconfig/renew.
La reserva se ha actualizado correctamente.

1. Preguntas
1 ¿Cuál es el rol de un servidor DHCP?
2 Proporcione de forma porcentual el momento en que se efectuará la solicitud de renovación

de la concesión DHCP.
3 ¿Cuál es la razón para instalar un relay DHCP?
4 ¿Dónde se almacenan los conjuntos de direcciones?
5 ¿Es posible configurar varios ámbitos en un servidor DHCP?
6 ¿Qué propiedades tiene un ámbito?
7 ¿Qué datos hace falta implementar para una reserva?
8 ¿Cuál es el objetivo de las opciones de DHCP?
9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
10 ¿Cuál es la función de los filtros?
11 Al asignar una concesión, ¿dónde se almacena la información de esta última?
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que
se me presentan?
14 ¿Cuál es la utilidad de IPAM?
15 ¿Cuáles son los servidores que pueden ser gestionados?
2. Resultados
3. Respuestas
1 ¿Cuál es el rol de un servidor DHCP?
El servidor DHCP tiene por objeto la distribución de configuraciones IP a los equipos que la solicitan.
Este servicio permite evitar la distribución de la misma configuración a dos equipos diferentes.
2 Proporcione de forma porcentual el momento en que se efectuará la solicitud de renovación

de la concesión DHCP.
La operación de renovación de una concesión se efectúa cuando la duración de la misma llega al

50% y, más adelante, al alcanzar el 87,5%. Finalmente se realiza un último intento de renovación
cuando se alcanza el 100% de la concesión.
3 ¿Cuál es la razón para instalar un relay DHCP?
Cuando un cliente emite una trama para solicitar una configuración IP, ésta se envía a todos los
equipos de la red. Esta trama está basada en un tipo broadcast. Estas tramas no pueden atravesar
los enrutadores. Para evitar costes excesivos por la proliferación de servidores DHCP, debemos
implantar relay DHCP cuya función es la retransmisión de las diferentes solicitudes a los servidores
DHCP.
4 ¿Dónde se almacenan los conjuntos de direcciones?

Un conjunto de direcciones se almacena en un ámbito.
5 ¿Es posible configurar varios ámbitos en un servidor DHCP?
Sí, es posible configurar varios ámbitos en un servidor DHCP. Cada ámbito posee un rango de
direcciones diferente.
6 ¿Qué propiedades tiene un ámbito?
Un ámbito posee varias propiedades, entre las que se encuentran una nombre y una descripción.
Encontramos, también, un conjunto de direcciones IP que pueden distribuirse, así como la máscara
de subred y las listas de exclusión. Estas opciones pueden, a su vez, configurarse.
7 ¿Qué datos hacen falta para implementar una reserva?
Para implementar una reserva necesitamos introducir la dirección MAC y la dirección deseada.
8 ¿Cuál es el objetivo de las opciones de DHCP?
Una opción DHCP permite complementar la configuración IP distribuida. De esta forma es posible
distribuir la dirección del servidor DNS (opción 044). Adicionalmente, la puerta de enlace
configurada con el asistente de creación del ámbito es la opción número 003 enrutador. Es posible
distribuir otras opciones (opción 069: servidor SMTP, opción 070: servidor POP3).
9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
Es posible configurar varios tipos de opciones. Podemos configurar opciones de servidor, de clase o
de reserva.
10 ¿Cuál es la función de los filtros?
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir
direcciones a los equipos incluidos en esta lista. La lista negra permite prohibir la concesión a los
equipos incluidos.
11 Al asignar una concesión, ¿dónde se almacena la información de esta última?
La información de la concesión asignada se almacena en el registro y, también, en la base de datos

del servidor DHCP.
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
La base de datos se almacena de forma predeterminada en la carpeta C:\Windows\System32\dhcp.
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que
se me presentan?
Si existen reservas configuradas, es preferible hacer una copia de seguridad de la base de datos y
luego restaurarla en otro servidor. De esta forma, las concesiones ya distribuidas por el antiguo
servidor se conocen en el nuevo. En el caso que el número de reservas sea limitado, podemos
recrear el ámbito. En este último caso, debemos configurar el servidor DHCP para que verifique si la
dirección se encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha
solicitado.
14 ¿Cuál es la utilidad de IPAM?
IPAM (IP Address Management) permite realizar el descubrimiento, supervisión y auditoría de una
dirección IP. También es posible supervisar y administrar los servidores DHCP y DNS.
15 ¿Cuáles son los servidores que pueden ser gestionados?
Es posible gestionar servidores de tipo DNS, DHCP o NPS.

Poseer nociones sobre los diferentes tipos de nombres (DNS y NetBIOS).
Tener conocimientos sobre el mecanismo de resolución de nombres.
2. Objetivos
Analizar el funcionamiento de DNS.
Definición de las diferentes zonas configurables.
Instalación del rol Servidor DNS.
Implantación de la actualización dinámica.
Soporte del servidor DNS.

Introducción
Para acceder a un puesto de trabajo en la red, es posible utilizar su dirección IP o su nombre. Para
esto último, se ha implantado un mecanismo de resolución de nombre en direcciones IP y viceversa.
Funcionamiento de DNS
El servicio DNS permite la resolución de nombres de host o de FQDN (Fully Qualified Domain Name) en
direcciones IP. Este servicio se incluye en todos los sistemas operativos servidor que permiten a los
usuarios utilizar los recursos de red (acceso a un servidor...).
De esta, forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la
dirección IP del servidor. Introduciendo la dirección URL, se efectúa una resolución DNS para poder
traducir el nombre a su dirección IP.
Se utiliza una base de datos para almacenar los registros. Ésta puede almacenarse en un archivo o
en el directorio Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder
efectuar las operaciones de resolución necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efectúa las consultas y
actualizaciones en la base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se envía una consulta al servidor DNS para
resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se envía la dirección IP al
cliente que ha realizado la solicitud, en caso contrario se ponen en marcha otros mecanismos
(peticiones recursivas o iterativas) que comentaremos más adelante.
El uso de un nombre, a diferencia de una dirección IP, permite realizar la resolución incluso en caso de
cambio de dirección.
1. Base de datos distribuida

DNS está construido sobre un sistema jerárquico. Los servidores en la parte superior de la jerarquía,
se llaman servidores raíz, se representan por un punto. Permiten la redirección de las consultas a
los servidores DNS de primer nivel (org, net, fr, com...).
Situados debajo de los servidores raíz, los servidores con autoridad sobre los dominios de primer
nivel permiten la gestión de las zonas es, net... Cada uno de los dominios es gestionado por un
organismo (ESNIC...).
En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un proveedor de
acceso, que puede hospedar un servidor web o solamente proporcionar un nombre de dominio.
Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su
zona (el servidor raíz contiene solamente el nombre de los servidores de primer nivel, y es el mismo
para todos los servidores de cada nivel).
Es posible para una empresa o particular añadir registros o subdominios para el nombre de dominio
que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi tráfico de correo
electrónico a mi router, en concreto a la dirección de mi IP pública).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona FR
puede resolver el registro nibonnet, pero no podrá resolver el nombre de dominio shop.nibonnet.fr.
2. Consultas iterativas y recursivas

Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para intentar
realizar la resolución de los nombres que no se encuentran en la base de datos.
Con las consultas iterativas, el equipo cliente envía a su servidor DNS una consulta para resolver el
nombre www.nibonnet.fr. El servidor consulta al servidor raíz. Éste le redirige al servidor que tiene
la autoridad sobre la zona FR. La consulta a este último permite conocer la dirección IP del servidor
DNS con autoridad sobre la zona nibonnet. La consulta al servidor DNS con autoridad sobre la zona
nibonnet permite resolver el nombre www.nibonnet.fr. El servidor DNS interno responde a la
consulta que recibió previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Envía la petición
a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor
externo para efectuar la resolución. La petición se transmite al reenviador configurado por el
administrador (el servidor DNS del ISP que posee una caché mayor, por ejemplo). Si la respuesta no
se encuentra en su caché, el servidor DNS del ISP efectúa una consulta iterativa y luego transmite la
respuesta al servidor que ha realizado la petición. Éste puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador. En
ciertos casos (aprobación de bosque AD...), es necesario que la solicitud de resolución que se va a
reenviar a otro servidor DNS sea redirigida en función del nombre de dominio (para el dominio eni.fr
enviar la petición a, por ejemplo, el servidor SRVDNS1). El reenviador condicional permite efectuar
esta modificación y redirigir las consultas al servidor correcto si la consulta (nombre de dominio) es
válida.
Zonas y servidores DNS
Una zona DNS es una porción del nombre de dominio donde el responsable es el servidor DNS.
Podemos decir que éste tiene autoridad sobre la zona. El servidor DNS gestiona la zona al igual que
los diferentes registros que posee.
1. Los diferentes tipos de zona

Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona secundaria y
una zona de rutas internas.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene.
Este tipo de zona puede integrarse en Active Directory o simplemente estar contenida en un archivo
de texto. En el caso de que la zona no esté integrada en el directorio, es necesario configurar la
transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este tipo de
zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una transferencia de
zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta última contiene solamente
los registros necesarios para la identificación del servidor DNS que cuenta con autoridad sobre la
zona que se ha añadido.
Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion.local: el servidor
SV1 tiene para él autoridad sobre la zona Formacion.local y nibonnet.local.
La creación de una zona de rutas internas se realiza para poder resolver los registros de otro
dominio.
Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolución para el dominio
nibonnet.local, la solicitud se redirige a los servidores DNS configurados en la zona de rutas
internas. De esta forma se podrá efectuar la resolución.
La integración de la zona en Active Directory requiere la instalación del rol DNS en un controlador de
dominio. Este tipo de zona aporta ciertas ventajas a la gestión del rol DNS:
Actualización multimaestro: a diferencia de los servidores que hospedan zonas primarias y

secundarias, las zonas integradas en Active Directory tienen la posibilidad de ser modificadas para el
conjunto de los servidores. Si se trata de un sitio remoto, es posible actualizar los registros sin
necesidad de contactar al servidor remoto.
Replicación de la zona DNS: la replicación de zona integrada en Active Directory afecta solamente
al atributo modificado. Es posible emplear dos tipos de replicación diferentes. Se realiza una
transferencia de zona con las zonas estándar, mientras que las zonas integradas en Active Directory
se replican con el controlador de dominio.
Actualización dinámica: la integración en Active Directory garantiza una mejor seguridad impidiendo
una modificación fraudulenta de los registros.
2. La zona GlobalNames
La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres
NetBIOS). Estos últimos pueden resolverse mediante un servidor DNS. En ciertos casos puede ser
necesario implantar un servidor WINS. Más antiguo que DNS, emplea NetBIOS sobre TCP/IP (NetBT).
WINS y NetBT no tienen en cuenta IPv6. Están llamados a desaparecer en unos años.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migración en
el servidor DNS para la resolución de nombres cortos. Para esto, se debe utilizar una zona llamada
GlobalNames. Esta zona contiene los registros estáticos que contienen los nombres.
Éstos se refieren a los equipos, siendo la configuración de IP estática y administrada por WINS
(fundamentalmente servidores, solo si los equipos cliente cuentan con direcciones estáticas). La
resolución de nombres de registros inscritos de forma dinámica no puede realizarse mediante esta
funcionalidad.
El despliegue de una zona GlobalNames se efectúa en varias etapas. La primera es la creación de la

zona. A continuación, es preciso habilitar la actualización de la zona GlobalNames, para ello es
preciso ejecutar el siguiente comando:
dnscmd <ServerName> /config /enableglobalnamessupport 1
A continuación es posible crear los diferentes registros.
Se presenta más adelante en este capítulo un taller sobre esta funcionalidad.

Instalación y administración del servidor
El servicio DNS es un rol muy importante en un dominio Active Directory. Una mala gestión puede
impactar en los equipos y también en la productividad de los usuarios.
1. Instalación del rol

El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para ello,
elAsistente para agregar roles y características presente en la consola Administrador del
servidordebe ser utilizado.
Al promover un servidor miembro a controlador de dominio, es posible efectuar también la

instalación del rol DNS. La consola que se agrega tras la instalación en las herramientas de
administración o la consola Administrador del servidor permiten administrar este servicio.
El comando dnsmgmt.msc permite a su vez abrir esta consola.
Adicionalmente, se añade el comando DOS dnscmd.exe, el cual permite crear un script y automatizar
la configuración DNS.
Es posible, evidentemente, utilizar comandos PowerShell como complemento o en substitución de la

consola y el comando DOS.
2. La actualización dinámica
La actualización dinámica consiste en una actualización del servidor DNS en tiempo real. Esta
característica es muy importante. Permite, de hecho, tener un registro al día cuando el cliente
cambia de dirección IP. La operación de actualización se efectúa en varios momentos:
Cuando el cliente y el servicio DHCP están arrancados.

Durante la modificación de la dirección IP.
Durante la ejecución del comando ipconfig /registerdns.
El proceso de actualización consta de varias etapas a efectuar.
Identificación del servidor de nombres y envío de la actualización. La zona hospedada en el

servidor debe ser de tipo primaria.
El servidor responde a los clientes e informa si cuenta con la posibilidad de efectuar la

operación.
El cliente envía una primera actualización dinámica no segura. Si la zona no permite las
actualizaciones seguras, se rechaza la modificación.
El cliente envía al servidor una actualización dinámica segura que tramita la solicitud.
3. Los diferentes registros

Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten resolver un
nombre de equipo, una dirección IP o simplemente a un equipo encontrar un controlador de dominio,
un servidor de nombres o un servidor de correo electrónico.
La siguiente lista presenta los registros más corrientes:
Registros A y AAAA (Address Record): permiten hacer corresponder un nombre de equipo y

una dirección IPv4. El registro AAAA permite la resolución de un nombre de equipo en una
dirección IPv6.
CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El equipo es
accesible con su nombre al igual que con el alias.
MX (Mail Exchange): define los servidores de correo para el dominio.
NS (Name Server): define los servidores de nombres del dominio.
SRV: permite definir un servidor específico para una aplicación, en particular para el equilibrio
de carga.
PTR (Pointer Record): asocia una dirección IP a un nombre, es lo contrario a un registro de

tipo A. La zona de búsqueda inversa contiene este tipo de registro.
SOA (Start Of Authority): el registro proporciona información general de la zona (servidor

principal, correo de contacto, tiempo de expiración…).
Soporte del servidor DNS
Además de los diferentes directorios incluidos en Windows Server 2012 R2, es posible utilizar
instrucciones por línea de comandos para realizar el mantenimiento del servidor.
1. El comando nslookup
nslookup es un comando que permite la búsqueda de registros en el servicio DNS.
Ejecutado sin argumentos, la consola DOS muestra el nombre y la dirección IP del servidor de
nombres primario. Posteriormente, es posible interrogar al servidor.
Introduciendo un nombre de dominio, se efectúa la resolución y se proporciona un nombre.
Para evaluar la resolución de un nombre de equipo por un servidor DNS, bastará con introducir el
nombre deseado después del comando nslookup.
La opción set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opción devuelve información acerca del servidor de correo electrónico.
Pueden usarse otros registros:
Set type=ns: información acerca de los servidores de nombres de dominio.
Set type=a: el comando resuelve el nombre y muestra la dirección IP.
Set type=soa: se muestra toda la información contenida en el registro SOA (Start Of

Authority).
Este comando puede usarse para los registros de tipo público, que se encuentran en un servidor
DNS público, o para los registros de tipo privado, ubicados en una red local.
2. El comando dnslint
El comando dnslint es un comando externo, antes de poder ejecutarlo se debe descargar el archivo.
Es posible descargar el archivo accediendo al sitio

webhttp://support.microsoft.com/kb/321045/es
Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS (Domain
Name System). Se crea un informe en formato HTML para poder ver los resultados.
Diagnósticos de problemas como errores de delegación. Debe emplearse la opción /d para

efectuar esta operación.
Verificación de registros DNS definidos por un usuario en un servidor DNS. Es preciso utilizar
la opción /ql.
Verificación de registros usados para la replicación de Active Directory. Se debe usar la
opción/ad.
Sintaxis del comando dnslint
dnslint /d nombre_dominio | /ad [direccion_LDAP_IP] | /ql archivo_entrada

[/c [smtp,pop,imap]] [/no_open] [/r nombre_informe][/t]
[/test_tcp] [/s direccion_IP_DNS] [/v] [/y]
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opción /ad, debe
emplearse una dirección IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuración IP del adaptador de red. Es
posible realizar otras acciones (renovación de la concesión...) empleando diferentes opciones.
ipconfig [/all] [/renew [Tarjeta]] [/release [Tarjeta]] [/flushdns] [/displaydns]

[/registerdns] [/showclassid Tarjeta] [/setclassid Tarjeta [IDClasse]]
Varias opciones pueden acompañar al comando, cada una con una función especifíca.
All: muestra la configuración IP completa (servidores DNS, fecha de inicio de la concesión,

fecha de finalización de la concesión…).
Release: libera la concesión DHCP del adaptador de red.
Renew: renueva la concesión DHCP.
Flushdns: elimina la caché DNS contenida en el puesto.
ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS.
Displaydns: muestra el contenido de la caché DNS.
4. El comando dnscmd
La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts. Empleando
esta herramienta pueden automatizarse tareas de administración del servicio DNS. Este comando
permite de igual manera la instalación desatendida y la configuración de nuevos servidores.
DnsCmd <NombreServidor><comando>[<parámetros de comando>]

El parámetro <NombreServidor> permite especificar el nombre del servidor destinatario de la acción.
Es posible utilizar los siguientes comandos:
DscCmd /clearcache: permite eliminar la caché en el DNS.
DnsCmd /config: reinicializa la configuración realizada en el servidor o la zona.
DnsCmd /createdirectorypartition: permite efectuar la operación de creación de un

directorio de aplicaciones DNS.
DnsCmd /enumdirectorypartitions: enumera las particiones del directorio de aplicación DNS

en un servidor.
Talleres
Los talleres permiten la instalación de un servidor DNS, la creación de un host y de un redirector, así
como la creación de una zona GlobalNames.
1. Configuración de un redirector condicional

Objetivo: creación de un redirector con el objeto de redirigir las consultas del
dominio Formintra.msftal dominio SV2.
Máquinas virtuales utilizadas: AD1, SV2 y CL8-01.
En SV2, abra una sesión como administrador del dominio.
Inicie la consola Centro de conexiones de red y recursos compartidos.
Haga clic en Cambiar configuración del adaptador.
Haga clic con el botón derecho en el adaptador de red y luego seleccione la

opción Propiedadesen el menú contextual.
Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4).
Modifique la configuración IP de la máquina para que tenga su dirección IP en el campo Servidor

DNS preferido.
Inicie la consola Administrador del servidor y haga clic en el vínculo Agregar roles y
características.
Se inicia un asistente, haga clic en Siguiente.

En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino, haga clic
enSiguiente dejando el valor predeterminado.
Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar
características.
Haga clic tres veces en Siguiente y luego en Instalar.
Cierre la ventana al terminar la operación.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el

enlacePromover este servidor a controlador de dominio.
Seleccione la opción Agregar un nuevo bosque, en el campo Nombre de dominio

raíz introduzcaFormintra.msft y, por último haga clic en Siguiente.
Introduzca la contraseña de modo de restauración de servicios de directorio (DSRM) deseada
y luego confírmela.
Haga clic en Siguiente en la ventana Opciones de DNS.
Valide el nombre NetBIOS y luego haga clic en Siguiente.
Al terminar la instalación, el servidor reinicia.
En SV2, inicie la consola DNS desde la interfaz Windows.
Despliegue Zonas de búsqueda directa y luego Formintra.msft.
Haga clic con el botón derecho en el nodo Formintra.msft y luego en el menú contextual
seleccione Host nuevo (A o AAAA).
Introduzca www en el campo Nombre y luego 192.168.1.12 en Dirección IP.

Haga clic en Agregar host.
En AD1, inicie la consola DNS desde la interfaz Windows.
Haga clic con el botón derecho en el nodo Reenviadores condicionales y, a continuación,

seleccione Nuevo reenviador condicional... en el menú contextual.
Introduzca Formintra.msft en el campo Dominio DNS y, a continuación, 192.168.1.12 en el

campo IP (pulse [Intro] para validar).
Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue y haga clic en Aceptar.
Si lo necesita, elimine los registros de SV2 presentes en el servidor DNS.
El reenviador se encuentra en el servidor AD1.
Abra un símbolo del sistema en el equipo CL8-01.

Introduzca ping www.formintra.msft y valide pulsando la tecla [Intro].
Se obtiene una respuesta y se realiza la resolución.
En AD1, elimine el reenviador creado anteriormente.
Haga clic en Sí para eliminarlo, también, de Active Directory.
Haga clic con el botón derecho en el servidor AD1 y seleccione Borrar caché en el menú
contextual.
En CL8-01, introduzca ipconfig /flushdns en el símbolo del sistema DOS.
Verifique la conectividad de www.formintra.msft utilizando el comando ping

www.formintra.msft.
Esta vez la resolución no es posible.
2. Creación de una zona GlobalNames

Objetivo: utilización de la zona GlobalNames con el fin de resolver con DNS los nombres cortos. El
nombre SQL debe estar asociado a AD1 y éste debe responder con su información cuando se utiliza
el nombre corto.
En AD1, abra la consola DNS.
Despliegue AD1 y luego Zonas de búsqueda directa.
Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y seleccione Zona
nueva.
La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado
en la ventana Tipo de zona.
Seleccione el botón de opción Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: Formacion.local y luego haga clic en Siguiente.
Introduzca GlobalNames en el campo Nombre de zona.

Los registros los crea el administrador, no es necesaria actualización dinámica alguna.
Seleccione el botón correspondiente a la opción No admitir actualizaciones dinámicas.
La zona GlobalNames se encuentra ahora presente en la consola DNS.

Ahora debemos activar la actualización de la zona GlobalNames.
Abra un símbolo del sistema DOS.
Introduzca el comando dnscmd AD1 /config /enableglobalnamessupport 1.
La zona GlobalNames no estará disponible para la resolución de nombres mientras que la

actualización no esté activada de forma explícita con el comando anterior en cada servidor DNS
del bosque.
Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).
Introduzca SQL en el campo Nombre de alias y luego introduzca ad1.formacion.local en el

campo Nombre de dominio completo.
Haga clic en Aceptar para proceder a la creación.
En el equipo CL8-01, inicie un símbolo del sistema DOS y luego introduzca ping SQL.
El servidor ad1.formacion.local responde, la resolución ha funcionado.

1. Preguntas
1 ¿Dónde puede almacenarse la base de datos del servicio DNS?
2 ¿Cuál es la utilidad del cliente DNS?
3 ¿Por qué hablamos de una base de datos distribuida?
4 ¿Qué es una consulta iterativa?
5 ¿Qué tipo de zona se puede crear en un servidor DNS?
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
7 ¿Qué es una zona de rutas internas?
8 ¿Cuál es la utilidad de la zona GlobalNames?
9 ¿Qué es la actualización dinámica?
10 ¿Cuál es la utilidad de los registros SRV y CNAME?
11 ¿Qué permite hacer el comando nslookup?
12 ¿Para qué sirve el comando dnslint?
2. Resultados
3. Respuestas
1 ¿Dónde puede almacenarse la base de datos del servicio DNS?
La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el
directorio Active Directory (solamente para las zonas integradas en AD).
2 ¿Cuál es la utilidad del cliente DNS?
El cliente DNS tiene como función el envío de las consultas al servidor DNS para pedir la resolución
de un nombre. Su segunda función es la actualización de los registros (si está activada la
actualización dinámica).
3 ¿Por qué hablamos de una base de datos distribuida?
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo tiene
autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz, dominio de primer
nivel...), cada uno tiene su función específica.
4 ¿Qué es una consulta iterativa?
Cuando un servidor efectúa una consulta iterativa, envía una consulta a los servidores DNS de
diferentes niveles (raíz, dominio de primer nivel...). El objetivo del servidor es responder a la
consulta que ha recibido.
5 ¿Qué tipo de zona se puede crear en un servidor DNS?
Se pueden crear tres tipos de zona en un servidor DNS. Podemos crear zonas primarias,
secundarias o zonas de rutas internas.
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un
controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de
solo lectura y no pueden ser integradas en AD.
7 ¿Qué es una zona de rutas internas?
Una zona de rutas internas es una copia de una zona, donde solo existen los registros que
permiten la identificación de los servidores DNS.
8 ¿Cuál es la utilidad de la zona GlobalNames?
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona GlobalNames
permite crear registros estáticos del tipo CNAME para que el servidor pueda resolver los nombres.
9 ¿Qué es la actualización dinámica?
La actualización dinámica permite garantizar que un equipo que ha cambiado de dirección IP (nueva
concesión...) pueda modificar el registro sin intervención del administrador. Integrando la zona en
Active Directory, se asegura la actualización dinámica.
10 ¿Cuál es la utilidad de los registros SRV y CNAME?
Un registro SRV permite definir un servidor específico para una aplicación, especialmente para el
balanceo de carga. Un registro de tipo CNAME permite la creación de un alias en el nombre de otro
equipo. El equipo es accesible con su nombre y el alias.
11 ¿Qué permite hacer el comando nslookup?
El comando nslookup permite verificar la resolución de un servidor DNS o interrogar directamente

al servidor. Este comando permite verificar el uso del protocolo DNS pero no del protocolo NetBIOS.
12 ¿Para qué sirve el comando dnslint?
El comando dnslint es un comando externo. Permite diagnosticar problemas tales como errores de
delegación y también crear registros como los definidos por el usuario o los necesarios para la
replicación Active Directory.
Poseer conocimientos sobre la gestión de discos (particionado, sistemas de archivos...).
Conocimiento de los diferentes tipos de discos (básicos y dinámicos).
2. Objetivos
Vista de las diferencias entre DAS, NAS y SAN.
Gestión de los formatos de partición y sistema de archivos.
Implementación de un espacio de almacenamiento.

Introducción
La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Las diferentes
aplicaciones tienen una necesidad creciente de espacio de almacenamiento. Por lo tanto, es necesario
gestionar el espacio de almacenamiento cuidadosamente.
El sistema de almacenamiento
Durante la implantación de un servidor en un sistema de información, es necesario evaluar la solución
de almacenamiento (discos locales, cabina de almacenamiento...) que será desplegada. Puede ser
necesaria la tolerancia a fallos y el número de discos a emplear variará en función de la solución
escogida.
1. Los diferentes discos y su rendimiento

Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una
capacidad de almacenamiento a los servidores o puestos de trabajo.
EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnología se basa en las normas
creadas en 1986. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las
normasAdvanced Technology Attachment 2 (ATA-2) y Advanced Technology Attachment Packet
Interface(ATAPI).
SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexión de
discos duros o unidades ópticas a la placa base. La tecnología SATA tiene por objetivo
reemplazar al estándar ATA. Presentada en 2003, la norma lleva tres revisiones: SATA 1 con
una velocidad de transmisión de 1,5 GB por segundo, SATA 2 con una velocidad de
transmisión de 3 GB por segundo, y finalmente SATA 3 con una velocidad de 6 GB por
segundo. Este tipo de disco tiene un menor coste que otras tecnologías aunque posee
igualmente un rendimiento menor. Es posible seleccionar este tipo de tecnología si se
requiere gran cantidad de espacio en disco sin muchas restricciones de rendimiento.
SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la
conexión física y la transferencia de datos entre ordenadores y periféricos. Introducida en
1978, esta interfaz permite una ejecución de transacciones a alta velocidad. Estandarizada
en 1986, SCSI ha sido creada para la utilización de cables de tipo paralelo; posteriormente,
se han utilizado otros soportes con esta norma. Con el uso de cables paralelos, las
transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640 SCSI (o
Ultra 5) permite velocidades de transferencia de 640 MB por segundo. Este tipo de disco
ofrece un rendimiento mayor que un disco SATA, sin embargo tiene un coste más elevado.
SAS (Serial Attached SCSI): SAS se diseñó para paliar los problemas de fiabilidad o de
transmisión que podían traer otros formatos. Este tipo de discos utilizan dos técnicas; la
transmisión en serie de datos y SCSI. Cada disco utiliza un caudal de 3 GB/s para cada
periférico, SCSI efectúa la división del ancho de banda empleando 2,56 GB/s para el conjunto
de los periféricos del controlador. A diferencia de la norma SATA que solo puede procesar un
comando a la vez, el controlador SAS puede enviar dos comandos simultáneamente. Los
discos SAS pueden encadenarse, a diferencia de los discos SATA que necesitan un puerto por
cada disco. Durante la normalización de SATA 6 GB/s, apareció una nueva versión de SAS.
Presentada en su versión 2.0, posee las novedades de SATA 3 con un caudal de datos
equivalente.
SSD (Solid State Drive): este tipo de disco emplea memoria flash para el almacenamiento de
los datos, a diferencia de los discos clásicos que emplean un soporte magnético. Los accesos
a disco son netamente superiores con un menor consumo de energía. Este tipo de disco
emplea generalmente una interfaz SATA, sin embargo el coste es mayor que el de un disco
tradicional.
2. Diferencia entre DAS y NAS

El espacio de almacenamiento presenta dos soluciones diferentes, DAS (Direct Attached Storage)
yNAS (Network Attached Storage). DAS consiste en la conexión directa al servidor de una solución de
almacenamiento. Esta solución incluye los discos internos de un servidor o un disco duro externo
conectado mediante USB.
En caso de parada del servidor (mantenimiento, parada por fallo, reinicio...), los archivos y carpetas
contenidos no estarán accesibles. Los discos de tipo SATA, SAS o SSD pueden utilizarse con esta
solución, presentando cada uno sus ventajas e inconvenientes (velocidad, rendimiento...).
Ventajas de DAS
Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro equipo
por medio de un adaptador de bus host (HBA). No puede existir ningún equipo de red de tipo hub,
repetidor, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el despliegue de
esta solución es muy sencillo, basta con conectar el periférico y verificar que el sistema operativo lo
reconoce. Tratándose de una solución más económica, existen discos disponibles de diferentes
velocidades y tamaños. Esto permite una mejor adaptación a las diferentes soluciones que pueden
implementarse. La administración y la configuración se realizan mediante la consola Administración
de discos.
Inconvenientes de DAS
Esta solución no permite centralizar los datos, que se encuentran repartidos entre varios servidores.
Adicionalmente a la administración, la copia de seguridad y el acceso a los diferentes recursos es
también difícil de gestionar. Además, el rendimiento del servidor (velocidad del procesador, memoria)
impacta en el acceso al DAS.
NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solución no
necesita la conexión directa al servidor y proporciona acceso a un conjunto de servidores. Esta
solución es frecuentemente un "appliance" sin interfaz para teclado, monitor, etc. La configuración
se efectúa a través de la red, sin embargo el equipo debe contar con una configuración IP. En caso
de implementar un recurso compartido de red, es preciso utilizar el nombre de la NAS (o su dirección
IP) en lugar del nombre de servidor. De esta forma, todos los usuarios pueden acceder a los
diferentes recursos compartidos del equipo ya que cuenta con una configuración IP. Una mejor
opción consiste en implementar una solución SAN (Storage Area Network). Sin embargo, esta última
es muy costosa y necesita una arquitectura un poco más pesada.
Ventajas de NAS
Como hemos visto, la solución NAS ofrece la ventaja de proporcionar acceso a varios clientes con un
acceso directo desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar
cualquier problema de rendimiento vinculado al servidor, estando el equipo reservado
exclusivamente a la presentación de los archivos y carpetas. Al estar los recursos almacenados en
un punto central, la administración y la copia de seguridad son muy sencillas de realizar.
Adicionalmente, la solución es independiente de la versión del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solución está basada en red. No
es aconsejable almacenar aquí archivos de aplicaciones tales como SQL Server o Microsoft
Exchange.
3. Información general de una SAN

Es más frecuente encontrar en las empresas espacios de almacenamiento de tipo SAN (Storage Area
Network). A diferencia de NAS, al que accedemos mediante la red, la SAN ofrece acceso directo a la
cabina. De esta forma cada servidor ve el espacio en disco de la cabina que le ha sido asignado
como su propio disco. Para evitar el acceso a los mismos recursos por parte de un servidor que
ejecuta Windows y otro que ejecuta Linux, es preciso realizar distintas operaciones para
implementar la LUN (Logical Unit Number). Estas operaciones configuran diversos números que
permiten identificar el espacio de almacenamiento asignado a un servidor.
Las SAN pueden utilizar fibra óptica o iSCSI. Este último tipo de interfaz permite la transmisión de
comandos SCSI a través del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el número de discos, y por ende la cantidad
total de almacenamiento. Es posible agregar un disco o una cabina de forma muy sencilla en
comparación con una solución de almacenamiento de tipo DAS. La centralización del almacenamiento
permite una mejor gestión y administración de los recursos albergados. Los rendimientos en lectura
y escritura son más elevados en este tipo de almacenamiento, adicionalmente es posible configurar
una redundancia a nivel de ciertos componentes (alimentación, disco duro).
Inconvenientes de SAN
La configuración, administración y mantenimiento de una solución SAN pueden presentar un

inconveniente en ciertos casos, dado que estas operaciones necesitan competencias técnicas que
es preferible adquirir antes de implantar la solución. A diferencia de DAS y de NAS que pueden
desplegarse sin poseer un presupuesto considerable, esta solución es muy costosa. La
administración se efectúa frecuentemente por línea de comandos. Es necesario tener conocimientos
sobre la configuración de las LUN, así como todo un conjunto de diversos factores.
4. Utilización de la tecnología RAID

La tecnología RAID puede emplearse para proporcionar a una empresa una solución de alta
disponibilidad o de alto rendimiento. El concepto se basa en la utilización de varios discos en una
única unidad lógica. Variará en función del nivel RAID seleccionado, el número de discos utilizados o
la posibilidad de tener un fallo de disco.
En la actualidad, esta tecnología está muy extendida en las empresas porque garantiza (en función
del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los
servidores (generalmente contamos con una redundancia a nivel de alimentación, discos y tarjeta de
red).
Funcionamiento de RAID
Se emplean dos opciones para aumentar la tolerancia a errores.
Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se escribe
en el disco espejo. En caso de fallo de un disco, los datos están todavía disponibles mediante
el segundo disco.
Información de paridad: empleado en caso de fallo de un disco, la información de paridad

permite recuperar los datos que se encuentran en el disco fuera de servicio. La información
de paridad se calcula para cada dato escrito en el disco, esta operación la realiza el servidor
o la controladora RAID. En caso de error, la información de paridad se asocia a los datos que
siguen disponibles en los otros discos para recuperar la información faltante.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurándola mediante diferentes herramientas. Esta configuración no está disponible para el
sistema operativo. Éste solo puede efectuar la creación de volúmenes. El RAID por software es un
poco diferente porque la configuración RAID se realiza esta vez en el sistema operativo. Se emplea
la consola Administración de discos para la gestión de los diferentes niveles de RAID.
Niveles de RAID
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos. Los n
discos presentes en el RAID trabajan en paralelo, lo que permite una mejora en el acceso de lectura
y de escritura. Esta configuración posee, sin embargo, un inconveniente en el tamaño de los discos.
En efecto, la capacidad del volumen se corresponde con el tamaño del disco más pequeño
multiplicado por el número de los discos que componen el clúster.
Ejemplo
Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La
capacidad del volumen es de 2 TB (tamaño del disco más pequeño * número de discos = 1 TB * 2 o sea 2
TB).
Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se
escriben datos cuando el disco más pequeño está lleno. Es muy aconsejable utilizar discos de igual
tamaño.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se pierde el
conjunto de los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los mismos
datos. Hablamos de espejo o "mirroring" en inglés. La capacidad del volumen es igual al menor de
los discos presentes en el clúster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamaño. Este tipo de RAID ofrece
una buena protección de datos. En caso de fallo de uno de los discos, la controladora RAID lo
desactiva sin que el usuario se percate. Al reemplazarlo, la controladora reconstruye el espejo. Una
vez terminada la operación, se garantizan nuevamente la redundancia y la alta disponibilidad.
Durante la escritura de datos en el volumen, la operación se realiza en el conjunto de discos del

clúster.
Si los dos discos se alteran, los datos se pierden.
RAID 5
RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad. De esta
forma los datos no se escriben nunca de la misma forma en los diferentes discos. Esto permite tener
en cada disco la información de paridad y los datos. Esta solución garantiza la reconstrucción del
RAID combinando los bits de paridad y los datos. Sin embargo, en caso de pérdida de más de un
disco los datos no podrán ser recuperados.
Esta solución RAID aporta un buen acceso de lectura, sin embargo el cálculo de la paridad implica
tiempos de escritura mucho más largos.
Gestión de discos y volúmenes
Desde las primeras versiones de los sistemas operativos servidor, la gestión de discos y volúmenes
es un punto esencial.
1. Tablas de partición MBR y GPT

Desde 1980, los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot Record) en
sus discos duros. Este tipo de tabla de particiones posee ciertas características. Un disco no puede
tener más de 4 particiones y cada una puede tener un tamaño máximo de 2 TB. Es recomendable
emplear una tabla de particiones de tipo GPT (GUID Partition Table) para los discos de
tamaño&ensp;superior.
Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato
GPT permite rebasar los límites impuestos por el formato MBR. Se soportan un máximo de 128
particiones por disco en GPT. El tamaño de una partición alcanza los 8 zetabytes (10 21 ), sin
embargo es necesario que la BIOS soporte GPT para poder realizar un arranque desde este tipo de
partición.
2. Los diferentes tipos de discos

Windows Server 2012 R2 permite el uso de dos discos diferentes (los discos básicos y los
discosdinámicos).
Los discos básicos, utilizados en todas las versiones del sistema operativo Windows, utilizan tablas
de particiones de tipo MBR o GPT. Un disco básico contiene particiones principales o particiones
extendidas. Estas últimas estarán divididas en unidades lógicas. Al instalar un disco, la opción por
defecto es el disco básico. Sin embargo, es posible realizar la operación para configurar un disco
dinámico, sin tener impacto sobre los datos presentes.
El paso de disco dinámico a disco básico sí causa, por su parte, la pérdida del conjunto de datos
contenidos en el disco.
Los discos dinámicos se implementaron por primera vez con Windows Server 2000. Estos no aportan
rendimientos superiores; adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos.
La noción de volumen hizo así su aparición con este tipo de discos. En efecto, ya no hablamos de
particiones sino de volúmenes dinámicos. Se trata de unidades de almacenamiento que se
extienden sobre uno o más discos.
Al igual que para los discos básicos, los volúmenes pueden formatearse con el sistema de archivos
deseado y se les puede asignar una letra de unidad. Están disponibles varios tipos de volumen,
losvolúmenes simples utilizan un solo disco y poseen las mismas características que una partición
principal. No existe ningún límite (salvo el espacio en disco) en el número de volúmenes simples por
disco, a diferencia de las particiones principales que están limitadas a 4 por disco. El volumen
distribuido se crea utilizando el espacio en disco libre en varios discos. Este volumen puede
extenderse a un máximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna
tolerancia a errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios
discos (como mínimo dos). Los datos se escriben de forma alternativa en los diferentes discos que
componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta solución no ofrece
tolerancia a errores. Los volúmenes reflejados, más conocidos como RAID 1, permiten implementar
un volumen con tolerancia a errores. Empleando dos discos, los datos escritos en uno se replican,
automáticamente, en el otro.
La pérdida de un disco no impacta en ningún caso a la producción, sin embargo es preferible de

cambiar rápidamente el disco que ha fallado. Por último, encontramos el volumen RAID 5, que
ofrece tolerancia a fallos, pero al contrario que RAID 1 que emplea un sistema de espejo, éste opta
por una solución basada en bit de paridad. Con un mínimo de tres discos, el bit de paridad se
reparte entre el conjunto de discos. Esta solución permite la pérdida de un disco, el sistema se
reconstruye asociando los datos y la información de paridad presente en los discos en
funcionamiento.
3. Sistemas de archivo FAT, NTFS y ReFS

En Windows Server 2012 pueden usarse varios sistemas de archivos, se encuentran disponibles los
sistemas FAT, NTFS o ReFS (Resilient File System).
FAT
FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar con
Windows Server 2012 R2. Al formatear un disco con un sistema de archivos FAT, se realiza una
división en clúster (grupo de sectores). La versión original de FAT no permitía tener particiones de
más de 2 GB, a causa de la limitación en el tamaño de la tabla de asignación de archivos.
Desarrollado por Microsoft, este tipo de particiones admiten un tamaño máximo de 2 TB. No se
implementa seguridad alguna a nivel de archivos. No es recomendable utilizar este tipo de sistema
en las particiones internas de un servidor que ejecute Windows Server 2012 R2.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema
proporciona características muy útiles que el sistema FAT no tiene. Implementa ACL (Access Control
Lists) para los archivos y carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones
de acceso a los archivos, carpetas o cualquier recurso compartido permite obtener una mejor
seguridad en un sistema de información. Los sistemas operativos que emplean este sistema
cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es posible implementar la
compresión de archivos y cuotas por volumen. Se puede realizar conversión de una partición FAT a
una de tipo NTFS sin pérdida de datos empleando el comando convert. El tamaño de las particiones
formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamaño
teórico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamaño de
archivo, carpeta o partición. Se han mejorado a su vez la corrección de errores y la verificación de
datos. Es preciso utilizar este tipo de sistema para rebasar los límites impuestos por NTFS. Se han
mejorado la integridad de datos, así como la protección contra la corrupción. Esta novedad hereda
funcionalidades presentes en el sistema NTFS tales como la encriptación BitLocker o la
implementación de la seguridad mediante el despliegue de ACL. Esto permite garantizar la
compatibilidad hacia atrás con el sistema NTFS. Si el disco se formatea con este sistema, no se
reconocerá si se conecta a un sistema operativo anterior a Windows Server 2012. A diferencia de
NTFS que permite la modificación del tamaño de los clústers, con ReFS cada clúster tiene un tamaño
de 64 KB. El sistema EFS (Encrypted File System) no es compatible con ReFS.
4. Extender o reducir una partición en Windows Server 2012 R2

En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para los
clientes, la reducción o ampliación de una partición debía efectuarse empleando software adicional.
En adelante, la consola Administración de discos permite realizar estas operaciones. Sin embargo,
solo es posible redimensionar las particiones NTFS. Las particiones formateadas en FAT no pueden
ser ni extendidas ni reducidas, mientras que los volúmenes ReFS solo pueden ser extendidos. No
obstante, la opción que permite extender los datos solo puede utilizarse si existe un espacio no
asignado a continuación de la partición sobre la que se realiza la acción. En caso de utilizar un
volumen dinámico, es posible extender el volumen con espacio no asignado de otro disco (volumen
agregado). Recuerde que los volúmenes agregados no aplican la tolerancia a fallos; además, no es
posible utilizar este tipo de volumen para una partición del sistema.
Un clúster defectuoso puede causar la imposibilidad de reducir la partición; adicionalmente, aquellos
archivos que no se pueden mover (pagefile.sys...) no se desplazan. Esto obligará al administrador a
eliminar o desplazar estos archivos antes de realizar la operación. También es posible utilizar el
cmdlet Resize-Partition.
Implementación de un espacio de almacenamiento
La implementación de un espacio de almacenamiento puede ser costosa en función de la solución que
haya que desplegar. A partir de Windows Server 2012, se proporciona una nueva funcionalidad para
poder implementar este tipo de solución.
1. La característica Espacio de almacenamiento

Integrada en Windows Server 2012 R2, esta funcionalidad proporciona redundancia y un
almacenamiento común para los discos internos y externos. Estos últimos pueden ser de diferentes
tamaños y utilizar diferentes interfaces. También es posible crear discos duros virtuales con alta
disponibilidad. La creación de estos discos duros virtuales requiere contar con volúmenes accesibles
desde el sistema operativo, agrupados en uno o más grupos de almacenamiento.
A continuación, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho
más flexibles, ofrecen funcionalidades idénticas a las de un disco físico (resiliencia...).
La solución necesita un grupo de almacenamiento que agrupe los diferentes discos físicos. Éstos
pueden ser de tipo SATA o SAS. Antes de poder agregar un disco físico a un grupo, es necesario que
el disco cumpla ciertos requisitos mínimos.
En primer lugar, necesitamos tener un disco para crear un grupo de almacenamiento. Necesitamos
dos discos para implementar un disco virtual en espejo. Finalmente, los discos que pueden usar una
interfaz iSCSI, SAS, SATA, USB... deben estar vacíos y sin formatear.
2. Opciones de configuración de discos duros virtuales

Si varios discos componen un grupo de almacenamiento, es posible crear discos virtuales
redundantes. La creación se realiza empleando la consola Administrador del servidor o mediante
comandos PowerShell. Antes que nada, debemos tener en cuenta el número de discos.
Existen tres opciones:
Un espacio simple permite obtener los mejores rendimientos mediante RAID 0. No se

despliega ninguna redundancia, en caso de fallo los datos se pierden.
El Espejo permite la redundancia de datos garantizando la duplicación de los datos en varios

discos. Esta solución proporciona gran capacidad con una latencia de acceso relativamente
baja. Adicionalmente se garantiza una tolerancia a errores.
Finalmente la Paridad es similar al RAID 5. Los datos, así como los bits de paridad, se
reparten entre varios discos. Esta última solución requiere tres discos físicos. Al igual que
para el espejo, esta solución incluye tolerancia a fallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
Get-StoragePool Enumera los grupos de almacenamiento.
Get-VirtualDisk Enumera los discos virtuales.
Repair-VirtualDisk Repara los discos virtuales.
Reset-PhysicalDisk Elimina un disco físico de un grupo de

almacenamiento.
Get-VirtualDisk | Get- Enumera los discos físicos que se utilizan para un

PhysicalDisk disco virtual.
Talleres
Los talleres permiten instalar y administrar un espacio de almacenamiento.
1. Implementar un sistema GPT

Objetivo: añadir discos duros al servidor SV1 y desplegar un sistema GPT.
Máquinas virtuales utilizadas: AD1, SV1.
Abra una sesión como administrador en SV1.
En la consola de la máquina virtual SV1, haga clic en el menú Archivo y luego en Configuración.
Si la máquina virtual está arrancada, resulta imposible agregar un disco IDE. En este caso, puede
agregar discos duros de tipo SCSI.
En la ventana Configuración para SV1 en SRV-HYPERV, haga clic en Controladora SCSI y luego
en Unidad de disco duro.
Haga clic en el botón Agregar y, a continuación, en el botón Nuevo. Se agrega un nuevo disco
duro a la máquina.
Se inicia un asistente, haga clic en Siguiente en la página Antes de comenzar.
Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente.
Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la ubicación y
haga clic en Siguiente.
Introduzca 10 en el campo Tamaño y luego haga clic en Siguiente.
Haga clic en Finalizar para validar la creación del archivo vhdx.
Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.
El nombre del archivo vhdx debe modificarse, los demás parámetros son idénticos.
Haga clic en Aceptar, luego en la máquina virtual SV1, abra la consola Administrador del
servidor.
Haga clic en Herramientas y luego, en el menú contextual, seleccione Administración de

equipos.
En el nodo Almacenamiento, haga clic en Administración de discos.
Aparecen los tres discos pero no están inicializados.
Haga clic con el botón derecho en Disco 1 y luego seleccione la opción En línea.
El número de disco puede variar en función del número de lectores incluidos en la máquina
virtual. Si la opción En línea no aparece, significa que no se ha hecho clic en el lugar adecuado.
La operación debe hacerse en el texto encima del enlace Ayuda.
Repita la operación, pero esta vez seleccione la opción Inicializar disco.
En la ventana Inicializar disco, seleccione la opción GPT (Tabla de particiones GUID) y haga
clic en Aceptar.
Haga clic con el botón derecho en el espacio no asignado (barra negra) y luego en el menú
contextual seleccione Nuevo volumen simple.
Se inicia un asistente, haga clic en Siguiente.
En el campo Tamaño del volumen simple en MB, introduzca 1000 y luego haga clic enSiguiente.
En la ventana Asignar letra de unidad o ruta de acceso, haga clic en Siguiente.
Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente.
Haga clic en Terminar para proceder a la creación del volumen.
La creación de un volumen con un sistema MBR y GPT es idéntica. Solo difieren el tamaño y el nombre
de las particiones.
2. Reducción de una partición

2. Reducción de una partición
Objetivo: el objetivo de este taller es efectuar la reducción o la extensión de una partición del
sistema.
En la máquina virtual SV1, abra la consola Administrador del servidor.

equipos.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enReducir volumen.
La ventana indica el Tamaño total antes de la reducción, en MB al igual que el Espacio

disponible para la reducción, en MB; este último dato indica el tamaño máximo que es
posible recuperar reduciendo la partición.
En el campo Tamaño del espacio que desea reducir, en MB, introduzca 200.
Haga clic en el botón Reducir.
Después de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la partición D porque está ubicado antes que ella.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enExtender volumen.
En la página Bienvenida del asistente, haga clic en Siguiente.
En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego haga
clic en Siguiente.
Este campo indica al sistema operativo el valor que se agregará a la partición a extender.
Haga clic en Terminar. Después de varios segundos la partición se extiende.
La partición del sistema puede reducirse o extenderse mientras el sistema operativo está cargado.
3. Despliegue de diferentes volúmenes

Objetivo: crear los diferentes volúmenes que se pueden crear desde la consola Administración de
discos y luego simular un error desconectando un disco.
En la máquina virtual SV1, abra la consola Administrador del servidor.

equipos.
Haga clic con el botón derecho en Disco 2 y luego seleccione la opción En línea.
El disco 2 corresponde al primer disco desconectado.

Haga de nuevo clic con el botón derecho y seleccione esta vez Inicializar disco.
Marque la opción GPT (Tabla de particiones GUID) y luego haga clic en el botón Aceptar.
Efectúe el mismo procedimiento para conectar e inicializar el Disco 3.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen distribuido.
En la ventana Asistente para nuevo volumen distribuido, haga clic en Siguiente.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
Repita la misma operación con el Disco 3.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la

cantidad de espacio (MB).
Haga clic en Disco 2 y asígnele un tamaño de 100 MB empleando el campo Seleccione la
Haga clic dos veces en Siguiente y luego en la ventana Formatear

volumen introduzcaDistribuido en el campo Etiqueta del volumen.
En el mensaje de advertencia, haga clic en Sí para que los discos se conviertan a discos
dinámicos.
El volumen distribuido se ha creado correctamente.

contextual, haga clic en Nuevo volumen seccionado.
En la ventana Asistente para nuevo volumen seccionado, haga clic en Siguiente.

El valor se aplica a los discos 2 y 3. De hecho, no es posible tener tamaños diferentes para
cada disco.
Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen,

introduzcaSeccionado en el campo Etiqueta del volumen.

Se realiza la creación del volumen.
contextual, haga clic en Nuevo volumen reflejado.
En la ventana Asistente para nuevo volumen reflejado, haga clic en Siguiente.

El valor se aplica automáticamente al disco 2.

introduzcaReflejado en el campo Etiqueta del volumen.
contextual, haga clic en Nuevo volumen RAID-5.
En la ventana Asistente para nuevo volumen RAID-5, haga clic en Siguiente.

El valor se aplica automáticamente a los discos 2 y 3.

introduzca RAID5en el campo Etiqueta del volumen.

Cree un archivo llamado prueba.txt que contenga el texto "test" en cada volumen.
En la consola Administración de discos, haga clic con el botón derecho en Disco 2 y luego, en el
menú contextual, haga clic en Sin conexión.
Los volúmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen
seccionado) no están accesibles.
Haga clic con el botón derecho en Disco 2 y luego, en el menú contextual, seleccione En línea.
Repita la operación, pero esta vez seleccione la opción Reactivar disco.
Los volúmenes vuelven a estar disponibles en la consola Equipo.
4. Implementar un espacio de almacenamiento redundante

4. Implementar un espacio de almacenamiento redundante
Objetivo: implementar un espacio de almacenamiento redundante en el servidor SV1.
Empleando la consola Administración de discos, elimine los volúmenes creados en el taller

anterior.
Inicie la consola Administrador del servidor y haga clic en el vínculo Servicios de archivos y
almacenamiento.
Seleccione la pestaña Grupos de almacenamiento y luego empleando el botón TAREAS, haga clic
en Nuevo grupo de almacenamiento.
Se inicia un asistente. En la ventana Antes de comenzar, haga clic en Siguiente.
Introduzca GrupoServidor1 en el campo Nombre y luego haga clic en Siguiente.

En la ventana Seleccionar discos físicos para el grupo de almacenamiento, marque los tres
discos disponibles.
Haga clic en Siguiente y luego en Crear.
Se pone en marcha la creación del grupo de almacenamiento.

Haga clic en Cerrar al terminar la creación.
No se ha efectuado ningún cambio en Equipo.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento. Por último, haga clic en Grupos de almacenamiento.
Seleccione el botón TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el grupo de

almacenamiento.
Introduzca GrupoEspejo en el campo Nombre y luego haga clic en Siguiente.

Seleccione la opción Mirror en la ventana Seleccionar la distribución de almacenamiento y
haga clic en Siguiente.
Seleccione Fijo en la ventana Especificar el tipo de aprovisionamiento y haga clic en Siguiente.

En la ventana Especificar el tamaño del disco virtual, introduzca 2 en el campo para crear un
disco virtual de 2 GB.
Haga clic en Siguiente y luego en Crear.
Se inicia el asistente de creación de un nuevo volumen.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.
Deje el tamaño por defecto y valide empleando el botón Siguiente.

Asigne la letra F al nuevo volumen y haga clic en Siguiente.
Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.
Haga clic en Crear para validar la creación del volumen.

Ya no aparecen los discos físicos de la máquina.
La administración de volúmenes se realizará en adelante desde el grupo de almacenamiento

(consolaAdministrador del servidor).
1. Preguntas
1 ¿Qué tipos de disco se pueden instalar en un servidor?
2 ¿Cuál es la diferencia entre una NAS y una DAS?
3 Cite una ventaja y un inconveniente de una SAN.
4 ¿Qué es iSCSI?
5 ¿Cuándo utilizar un RAID 0?
6 ¿Cuáles son las interfaces utilizadas para acceder a una SAN?
7 ¿Cuáles son las interfaces utilizadas para acceder a una NAS?
8 ¿Cuál es la diferencia entre RAID 1 y RAID 5?
9 ¿Por qué emplear una tabla de particiones GPT?
10 ¿Por qué utilizar un sistema de archivos ReFS?
11 ¿Desde qué consola es posible desplegar un espacio de almacenamiento?
2. Resultados
3. Respuestas
1 ¿Qué tipos de disco se pueden instalar en un servidor?
Se pueden instalar varios tipos de disco en un servidor: los discos SATA, SAS o SCSI.
2 ¿Cuál es la diferencia entre una NAS y una DAS?
Una DAS (Direct Attached Storage) es un disco conectado físicamente a un servidor a diferencia de
una NAS (Network Attached Storage) a la que se accede mediante una interfaz IP.
3 Cite una ventaja y un inconveniente de una SAN.
Una SAN posee varias ventajas en cuanto a la escalabilidad de la cantidad de discos, la

centralización del almacenamiento o los rendimientos de lectura y escritura. El nivel técnico
necesario para el mantenimiento diario de una SAN es un inconveniente.
4 ¿Qué es iSCSI?
iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo IP.
5 ¿Cuándo utilizar un RAID 0?
RAID 0 o stripping permite obtener mejores rendimientos, sin embargo no se garantiza la

tolerancia a fallos. En caso de fallo de un disco, los datos se pierden.
6 ¿Cuáles son las interfaces utilizadas para acceder a una SAN?
Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI.
7 ¿Cuáles son las interfaces utilizadas para acceder a una NAS?
Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su dirección IP.
8 ¿Cuál es la diferencia entre RAID 1 y RAID 5?

Además del número de discos (dos para RAID 1 y tres para RAID 5), el funcionamiento de los dos
RAID es diferente. RAID 1 emplea un sistema de espejo: al escribir un bit en un disco, se escribe el
mismo en el segundo disco. RAID 5 emplea un sistema de paridad: cuando se escriben datos en el
disco, se calcula un bit de paridad y se escribe en el tercer disco. En caso de fallo de un disco, la
parte de los datos restante se asocia al bit de paridad para recuperar el valor original.
9 ¿Por qué emplear una tabla de particiones GPT?
El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones, etc.). Para rebasar
estos límites, debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear
más de cuatro particiones principales…
10 ¿Por qué utilizar un sistema de archivos ReFS?
ReFS permite mejorar el sistema NTFS. En efecto, el tamaño máximo de los archivos ha sido
aumentado. Este sistema aporta otras mejoras.
11 ¿Desde qué consola es posible desplegar un espacio de almacenamiento?
La consola Administrador del servidor permite el despliegue de un espacio de almacenamiento. Una

vez activada esta funcionalidad, los discos empleados no son visibles en la consola Administración
de discos.
Poseer nociones acerca de los permisos NTFS.
2. Objetivos
Implementación de permisos NTFS y compartir una carpeta.
Creación y uso de instantáneas.
Información general de las impresoras de red.
Utilización de controladores de tipos v3 y v4.
Presentación de los grupos de impresoras.

Introducción
Todas las empresas utilizan al menos un servidor de archivos y de impresión. La implementación de
estos roles es un aspecto esencial que debe abordarse con mucho cuidado.
Seguridad de carpetas y archivos
Los archivos y carpetas almacenados en un servidor de archivos pueden contener información
confidencial. Es necesario garantizar la seguridad del acceso para asegurar la confidencialidad de los
datos.
1. Los permisos NTFS

Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición NTFS.
Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se
encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al
crear una nueva carpeta o archivo. Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos. Esto incluye la
posibilidad de modificar los permisos o convertirse en propietario. El permiso Modificar permite leer,
escribir y eliminar un archivo o una carpeta. Concede al objeto afectado permisos para ejecutar un
archivo o efectuar su creación.
Atribuyendo el permiso Lectura y ejecución es posible leer un archivo y ejecutar un programa. El

permiso Escritura proporciona permisos de escritura sobre un archivo. Por último, al atribuir a un
objeto el permiso Mostrar el contenido de la carpeta es posible enumerar las carpetas y archivos
contenidos en una carpeta pero sin tener la posibilidad de abrir y leer el contenido de un archivo.
Los permisos avanzados permiten implementar autorizaciones mucho más granulares.
Atravesar El permiso Atravesar carpeta permite al objeto recorrer

carpeta/ejecutar un árbol de carpetas. Esto permite, por ejemplo, acceder a
archivo un archivo en una subcarpeta sin poder leer los archivo de
la carpeta compartida o de otras subcarpetas. La
autorización ejecutar archivo permite autorizar o denegar
la ejecución de programas.
Mostrar carpeta/leer A diferencia de la autorización Atravesar carpeta, la

datos autorización Mostrar carpeta se aplica solamente a la
carpeta y a su contenido. Leer datos permite autorizar o
denegar a un usuario la lectura de los archivos.
Leer atributos Este permiso permite leer los atributos básicos de un

archivo o carpeta (solo lectura, mostrar el contenido...).
Crear archivos/escribir Crear archivos se aplica exclusivamente a la carpeta y

datos proporciona permisos para escribir archivos en el interior
de esta carpeta. Escribir datos permite por su parte
autorizar al usuario a sobrescribir el contenido de un
archivo.
Crear carpetas/anexar Crear carpetas proporciona la autorización para crear

datos carpetas en el interior de la carpeta en la que se sitúa el
permiso de acceso. Anexar datos permite agregar datos al
final del archivo, el usuario no podrá modificar ni eliminar
los datos existentes.
Escribir atributos Proporciona permisos para modificar los atributos básicos

(mostrar el contenido, solo lectura).
Eliminar subcarpetas y Permite eliminar subcarpetas y archivos. Este permiso solo

archivos se aplica a las carpetas.
Eliminar Proporciona la posibilidad de eliminar las carpetas y
archivos. El usuario deberá sin embargo poseer el
permisoEliminar subcarpetas y archivos en la carpeta
padre para poder efectuar las eliminaciones.
Permisos de lectura Autoriza al objeto que recibe este permiso a leer los
permisos asignados a un recurso.
Cambiar permisos La persona a la que se concede este permiso puede

efectuar la modificación de los permisos.
Tomar posesión Autoriza al usuario a convertirse en propietario del

recurso. Tendrá la posibilidad de modificar los permisos.
2. Definición de una carpeta compartida

Las carpetas compartidas ofrecen un acceso directo a un recurso almacenado en un servidor. Para
limitar el acceso, con el objetivo de garantizar la confidencialidad, es necesario implementar
autorizaciones de seguridad. Éstas pueden asignarse a una carpeta o un archivo.
El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se compone del
nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por
ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan desde hace años.
Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. Para acceder, es
necesario introducir la ruta UNC. Los recursos como c$, admin$ se crean durante la instalación de un
sistema operativo cliente o servidor. Para ocultar un recurso compartido y transformarlo en un
recurso administrativo, debemos añadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un
archivo o carpeta, este último recupera automáticamente los permisos de seguridad aplicados a su
padre. En ciertas ocasiones, se puede llegar al caso de que los permisos heredados contradicen a
los permisos explícitos. Hablamos entonces de conflictos. En este caso, los permisos declarados
explícitamente por el administrador tienen prioridad sobre los permisos heredados. Los últimos
pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Esta operación se
efectúa en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades -
pestaña Seguridad - Opciones avanzadas).
Después de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarán más al
hijo. A veces es necesario restablecer los permisos en cada nodo del árbol remplazando los
permisos del padre al hijo. Para esto, se debe usar la opción Reemplazar todas las entradas de
permisos de objetos secundarios por entradas de permisos heredables de este objeto. La
operación consiste en propagar los permisos del padre a todas las subcarpetas.
Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory (usuario,
grupo o equipo). Puede ser complicado conocer esta autorización, se puede obtener un resultado
diferente del deseado si hay muchos grupos implicados y el usuario está incluido en diferentes
grupos. Desde hace algunos años, existe una herramienta que permite calcular esta autorización
final disponible en los sistemas operativos de Microsoft. Muy práctica en arquitecturas complejas,
permite saber en pocos clics el permiso otorgado a un usuario o grupo.
La primera etapa consiste en seleccionar el usuario o grupo deseado.
Haciendo clic en Ver acceso efectivo, podemos visualizar las autorizaciones que el usuario tiene
sobre el recurso.
La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta.
3. Visualizar recursos compartidos en función de los permisos de acceso

La enumeración basada en el acceso (ABE - Access-Based Enumeration) consiste en mostrar
solamente las carpetas contenidas en un recurso compartido a las que el usuario tiene permitido el
acceso. De esta forma, se simplifica el acceso a los recursos compartidos y a los archivos. La
activación de esta función se realiza desde la consola Administrador del servidor.
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamientoy
luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaña Configuración,
podemos activar la opción.
La opción debe activarse en cada recurso compartido.
4. Presentación de la característica Work Folders

Hoy en día, las tabletas y smartphones han democratizado a las empresas. Los empleados tienen la
posibilidad de emplear dispositivos personales para acceder a los recursos de la empresa. Ésta
puede implantar una política BYOD (Bring Your Own Device) teniendo en cuenta las consideraciones
siguientes:
Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso
de pérdida del dispositivo.
Los datos deben estar almacenados localmente, esto elimina la posibilidad de realizar copias
de seguridad.
No debe almacenarse ningún dato en un proveedor cloud no validado por el departamento de

sistemas.
La característica Work Folders permite resolver estos problemas. Permite acceder a los datos
empresariales desde cualquier ubicación donde se conecten los empleados. Adicionalmente, los
administradores mantienen el control a nivel de la gestión de los datos y las conexiones. Ellos tienen
la posibilidad de implantar un cifrado de datos así como los parámetros de seguridad en los
dispositivos que emplean esta característica. No es necesario que los clientes que acceden a los
datos sean miembros del dominio.
Los Work Folders pueden publicarse en Internet utilizando la característica Web Application Proxy.
Los usuarios pueden, de este modo, sincronizar los datos conectados a Internet.
El servidor de archivos que alberga los datos y gestiona los procesos de sincronización debe
ejecutar Windows Server 2012 R2. Las particiones deberán estar formateadas en sistema NTFS.
Para los accesos desde el exterior del sistema de información hay que respetar varios requisitos
previos:
Un certificado de servidor en cada servidor de archivos que emplee los Work Folders.
Un certificado de servidor en el servidor proxy.
El certificado debe ser emitido por una autoridad de certificación aprobada por el usuario.
Implementar las reglas de tráfico y publicación para poder acceder a los servidores desde
Internet.
El uso de un nombre de dominio público y la posibilidad de crear los registros DNS adecuados.
Los equipos deben ejecutar uno de los sistemas operativos Windows 8.1 o Windows RT 8.1.
Adicionalmente, el equipo o la tableta deberá poseer suficiente espacio en disco para
albergar los datos del usuario. De manera predeterminada, la ubicación empleada
es%USERPROFILE%\Work Folders.
Es posible modificar la ubicación durante la instalación (empleo de una unidad USB, etc.).
No existe ninguna limitación configurada para el almacenamiento de los usuarios, sin embargo el
tamaño máximo de los archivos individuales es de 10 GB.
Utilización de instantáneas
Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de una
forma sencilla.
1. Presentación y planificación de las instantáneas

Una instantánea es una imagen estática. Contiene los archivos y carpetas que están compartidos
en el servidor. Esta funcionalidad proporciona al usuario o al administrador la posibilidad de
restaurar de forma sencilla un documento eliminado por error, o que ha sufrido una modificación
errónea.
La instantánea se almacena en la misma unidad que el archivo original, sin embargo es posible
cambiar el lugar de almacenamiento. El espacio asignado a la funcionalidad puede, también,
configurarse permitiendo así evitar la saturación de los discos. Una vez alcanzada la cuota, las
instantáneas más antiguas se eliminan en beneficio de las nuevas, creando así un ciclo que permite
respetar el tamaño límite configurado. Observe sin embargo que las instantáneas no pueden
considerarse como una alternativa a las copias de seguridad. Los datos se perderán en caso de un
fallo de disco. Es casi imposible restaurar por este método ciertos archivos complejos de tipo base
de datos... Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la
aplicación.
Por defecto, la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las 12:00.
Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse de tener el
espacio en disco requerido.
La creación de una instantánea se efectúa accediendo a las propiedades de la unidad. La

pestañaInstantáneas crear y gestionar las instantáneas.
La activación se puede efectuar en una o más unidades, el botón Configuración le permite realizar
la operación.
El Tamaño máximo, la Programación, así como el Área de almacenamiento son parámetros que es
posible configurar.
2. Restauración de datos empleando instantáneas

Los administradores y usuarios pueden restaurar versiones anteriores de los archivos. El
administrador puede realizar la restauración directamente en el servidor que contiene el archivo
mientras que el usuario lo hace desde el recurso compartido. Esta acción se realiza directamente
mediante el menú Propiedades del recurso compartido (pestaña Versiones anteriores).
Accediendo a una instantánea podemos recuperar uno o varios archivos. La opción Abrir permite
este acceso, bastará con abrir el archivo deseado. La opción Restaurar efectúa la restauración
completa del recurso compartido en la carpeta original. En caso de querer restaurar en una
ubicación diferente (para comparar los dos archivos, por ejemplo), debemos usar la
opción Copiarpara evitar sobrescribir el archivo original.
La funcionalidad Versiones anteriores está implementada a partir de Windows XP SP2.
En el siguiente ejemplo, se han eliminado dos carpetas de la carpeta MedioslFM:
Accediendo a las instantáneas (opción Abrir), podemos abrirlo y restaurarlo si es necesario.

Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por medio
de cinta o copia de seguridad de disco. Esta operación es perfectamente posible pero demanda
mucho tiempo: además, la copia de seguridad se efectúa normalmente una vez al día, a diferencia
de las instantáneas que se ejecutan dos veces.
Configuración de la impresora de red
El rol Servicios de impresión y documentos permite implantar una impresora compartida, así como
administrar una impresora de red. Es posible supervisar las colas de impresión desde esta consola.
1. Las ventajas de la impresora de red

Agregando las impresoras de red a un servidor de impresión los clientes tienen la posibilidad de
enviar sus trabajos de impresión a un servidor. Éste enviará a la impresora correspondiente el
trabajo de impresión solicitado por el usuario.
Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma simplificamos
también el soporte técnico. La publicación en Active Directory facilita la instalación y el despliegue de
las impresoras a un usuario.
2. Los controladores v3 y v4 para las impresoras

A partir de Windows Server 2000, los controladores utilizados para las impresoras son de versión 3.
Con este tipo de controlador, los fabricantes creaban un controlador para cada tipo de dispositivo. Si
el parque informático está compuesto por varios tipos de dispositivos diferentes, los
administradores deberán gestionar diferentes controladores. Además, ambos tipos de plataforma,
32 y 64 bits, utilizan controladores diferentes, lo que complica una vez más la gestión de los
controladores.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4). Con este
nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora que gestiona los
lenguajes de impresión para una amplia gama de dispositivos. Los lenguajes incluyen XML Paper
Specification (XPS), Printer Control Language (PCL)… Este tipo de controladores se distribuyen
mediante Windows Update o Windows Software Update Services (WSUS).
Los controladores v4 aportan muchas ventajas:
En caso de compartir la impresora, ya no es necesario proporcionar el controlador de la

impresora en función de la arquitectura del cliente.
Un controlador puede ser utilizado por varios tipos de periféricos diferentes.
El tamaño reducido del archivo permite una instalación más rápida.
3. Presentación de los grupos de impresoras

Crear un grupo de impresoras consiste en la creación de una unidad lógica, la cual está conectada
lógicamente a varios dispositivos físicos. Los clientes verán el grupo de impresoras como un
dispositivo físico. Al enviar un trabajo de impresión, todas las impresoras disponibles y conectadas al
grupo tienen la posibilidad de efectuar el trabajo. Esta funcionalidad permite al usuario tener
siempre una impresora disponible. En caso de problema con una de las impresoras (atasco de
papel...) los trabajos de impresión se envían a las otras impresoras integrantes del grupo. La
creación del grupo se efectúa en el servidor de impresión y consiste en asignar a esta impresora
lógica varios puertos de destino de los dispositivo físicos. En la mayoría de los casos, los enlaces
apuntan a direcciones IP.
Requisitos previos para un grupo de impresoras
Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos.
En la mayoría de los casos, un grupo está compuesto de dispositivos del mismo modelo.
Por comodidad, es preferible que las impresoras estén en un entorno cercano al usuario. La
impresión puede realizarla cualquiera de las impresoras contenidas en el grupo. El usuario
deberá hacer el recorrido por las impresoras para recuperar su documento impreso, es
imposible saber en cuál de los dispositivos se ha hecho la impresión.
Administración de un servidor no unido al dominio
La consola Administración de servidores permite administrar de manera remota varios servidores
creando un grupo, sin embargo éstos deben ser miembros del dominio. Con Windows Server 2012 R2
y las herramientas RSAT (Remote Server Administration Tools) es posible administrar servidores que no
forman parte del dominio.
Antes de instalar las herramientas RSAT, se debe ejecutar un comando PowerShell desde el equipo
Windows 8.1.
Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC.
El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o
empleando un archivo hosts). Se ha agregado un redirector condicional en AD1 para poder resolver el
nombre SV2.Formintra.msft.
Los comandos ping y nslookup permiten verificar la conectividad y la resolución. A continuación

debemos ejecutar el comando PowerShell:
Set-Item WSMan:\localhost\Client\TrustedHosts -Value

<YourtargetServernameHere> -Force
El argumento <YourtargetServernameHere> debe reemplazarse por el nombre del

servidor.
La instalación de las herramientas RSAT en el equipo permite contar con la consola Administrador del
servidor en el equipo con Windows 8.1.
A continuación, es posible añadir el servidor haciendo clic con el botón derecho en Todos los
servidores y seleccionando, en el menú contextual, Agregar servidores.
Ahora basta con efectuar una búsqueda mediante DNS.
Tras añadir el servidor y validar con Aceptar, aparece un error. Este ocurre al no poder autenticar la
consola.
Haciendo clic con el botón derecho en el servidor, el menú contextual proporciona acceso a la
opciónAdministrar como.
Se debe introducir un nombre de usuario y una contraseña en la ventana para obtener el acceso
adecuado para la consola. Marque la opción Recordar mis credenciales para no tener que volver a
introducir las credenciales cada vez.
En lo sucesivo es posible gestionar el servidor de manera remota.
Talleres
Los talleres permiten configurar la compartición de archivos y de instantáneas, al igual que la gestión
de impresoras mediante un grupo de impresoras. El cuarto taller muestra el uso de la consola de
administración de un servicio de impresión. Por último, esta parte práctica concluye con un taller sobre
Work Folders y la gestión de un servidor no unido al dominio.
1. Creación de un recurso compartido y uso de ABE

Objetivo: desplegar una estructura de carpetas compartidas desde el explorador y la consola
Administrador del servidor.
Máquinas virtuales utilizadas: AD1, SV1, CL8-01.
En el equipo SV1, inicie el explorador de Windows.
Haga clic en el nodo Equipo y luego haga doble clic en la partición F:.
La partición puede tener una letra diferente. Si tiene solo una partición, tome la partición del
sistema.
En la banda Inicio, haga clic en el botón Nueva carpeta.
Llame a esta carpeta Data.
Repita la operación anterior para crear las carpetas Informática, Ventas y Contabilidad.
Inicie la consola Administrador del servidor en SV1.
En el panel derecho, haga clic en Servicios de archivos y de almacenamiento.
Seleccione el nodo Recursos compartidos.

Haga clic con el botón derecho en el panel central y seleccione la opción Nuevo recurso
compartido.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vacío
del panel central.
Varios Perfiles para recursos compartidos se encuentran en la lista, seleccione Recurso

compartido SMB - Rápido y haga clic en Siguiente.
En el campo Ubicación del recurso compartido, seleccione el botón Escriba una ruta de acceso
personalizada y luego haga clic en Examinar.
Seleccione la carpeta contabilidad y luego haga clic en el botón Seleccionar carpeta.
En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic
enSiguiente.
En la ventana Parámetros de configuración de recurso compartido, haga clic en Siguiente.

Haga clic en el botón Personalizar permisos... en la ventana Especificar permisos para
controlar el acceso.
La ACL debe contener solamente la entrada Administradores (grupo de dominio Formacion.local)

yUsuarios (grupo de dominio Formacion.local). El grupo Administradores recibe permisos de Control
total mientras que el grupo Usuarios autentificados tiene permisos de Lectura y ejecución.
Una vez modificada, haga clic en Aceptar y luego en Siguiente.
Haga clic en Crear para iniciar la creación del recurso compartido y luego en Cerrar para detener
el asistente.
La carpeta y el recurso compartido se crean.
Empleando la consola Administrador del servidor, comparta de la misma manera las

carpetasdata, informática y ventas.
En SV1, cree en la carpeta contabilidad la subcarpeta nbonnet.

Haga clic con el botón derecho en nbonnet y luego seleccione Propiedades.
En la pestaña Seguridad, haga clic en el botón Opciones avanzadas.
Haga clic en el botón Deshabilitar herencia en la ventana Configuración de seguridad avanzada

para nbonnet.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explícitos en este objeto.
Agregue el usuario nbonnet y asigne el permiso Modificar.
Elimine las entradas Administradores y Usuarios de la lista ACL.

Haga clic dos veces en Aceptar.
En la consola Administrador del servidor, haga clic con el botón derecho en el recurso
compartido contabilidad y seleccione la opción Propiedades en el menú contextual.
Actualice la consola si fuera necesario.
En la ventana de Propiedades, haga clic en Configuración y marque la opción Habilitar

enumeración basada en el acceso.
Haga clic en Agregar.
Inicie el equipo CL8-01 y abra una sesión como Alumno 1.
Inicie el explorador de Windows y luego, en la barra de navegación, introduzca \\SV1.
Valide pulsando la tecla [Intro].
La carpeta nbonnet no se muestra porque el usuario conectado al equipo (Alumno 1) no tiene

permisos y ABE (Access Based Enumeration) está habilitado.
2. Implementar instantáneas
2. Implementar instantáneas
Objetivo: configurar las instantáneas para permitir a un usuario restaurar un archivo.
En SV1, abra el explorador de Windows, haga clic con el botón derecho en la partición que
contiene los datos, y a continuación, en el menú contextual, haga clic en Propiedades.
Haga clic en la pestaña Instantáneas.
Haga clic en el botón Configuración para poder configurar los parámetros de las instantáneas.
Esta ventana permite configurar el tamaño máximo que pueden utilizar las instantáneas. Es posible
configurar a su vez el volumen en el que se almacenarán las instantáneas.
Haga clic en el botón Programación.
Esta ventana permite configurar el momento en que se crean las instantáneas. De forma
predeterminada la operación se efectúa a las 7:00 y 12:00 de Lunes a Viernes.
El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la programación
seleccionada.
Haga clic dos veces en Aceptar.
Empleando el Explorador de Windows, cree un archivo de texto llamado Compra2013 en la

carpeta Data.
Escriba el texto Tableta para departamento IT en el archivo que acabamos de crear.
Grabe y luego cierre el archivo Compra2013.
En las propiedades de la partición que contiene el archivo previamente creado (F en este

ejemplo) haga clic en la pestaña Instantáneas.
Verifique que las instantáneas están activadas y, a continuación, haga clic en Crear ahora.
Abra una sesión como administrador de dominio en CL8-01.
Inicie el Explorador de Windows y luego, en la barra de navegación, introduzca \\SV1.
Haga doble clic en el recurso compartido data y luego elimine el archivo presente.
Haga clic con el botón derecho en el recurso compartido data y luego en el menú contextual
seleccione Propiedades.
Seleccione la pestaña Versiones anteriores; se muestra la instantánea.

Haga clic en el botón Abrir.
El contenido de la instantánea se muestra y es posible abrir el archivo para ver su contenido.
La opción Abrir permite explorar la instantánea y, también, copiar/pegar solamente un archivo o

carpeta deseada.
En la ventana Propiedades: data, haga clic en Copiar.

Seleccione la unidad C: y luego haga clic en Aceptar en la ventana Copiar elementos.
Esta opción permite copiar el contenido de la instantánea en un destino diferente del original.
Haga clic en el botón Copiar.
El archivo se copia correctamente.

Seleccione esta vez la opción Restaurar en las Propiedades: Data (\\SV1).
Haga clic en Restaurar en la ventana que se muestra.
Se muestra un mensaje informativo, haga clic en Aceptar.
El archivo se encuentra correctamente en el recurso compartido data del servidor SV1.
3. Creación de un grupo de impresión

Objetivo: creación y configuración de un grupo de impresoras.
En AD1, inicie la consola Administrador del servidor.
Haga clic en Agregar roles y características en la pestaña Panel.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic
enSiguiente.
Haga clic en Siguiente en la ventana Seleccionar servidor de destino.
En la ventana Seleccionar roles de servidor, marque Servicios de impresión y documentos.
Haga clic en Agregar características en la ventana que se muestra.

En la ventana Seleccionar servicios de rol, deje la opción predeterminada y luego haga clic
enSiguiente.
Haga clic en Siguiente y luego en Instalar.
Cierre la ventana y espere al final de la instalación.
En la interfaz Windows, haga clic en Herramientas administrativas y luego abra la

consolaAdministración de impresión.
Despliegue los nodos Servidores de impresión y AD1 (local).
Haga clic con el botón derecho en el nodo Impresoras y luego, en el menú contextual haga clic
en Agregar impresora.
Se inicia el asistente para la instalación de impresoras de red.
Marque el botón Agregar una impresora TCP/IP o de servicios web escribiendo la dirección IP
o nombre de host y luego haga clic en Siguiente.
En la lista desplegable Tipo de dispositivo, seleccione Dispositivo TCP/IP y luego
introduzca192.168.1.152 en el campo Nombre de host o dirección IP.
La dirección IP es ficticia, ningún dispositivo en la maqueta posee esta dirección IP.
Desmarque la opción Detectar automáticamente qué controlador de impresora se debe usar.

Haga clic en Siguiente para validar las modificaciones.
En la ventana Se requiere información adicional acerca de puertos, haga clic en Siguiente.

Deje marcado el botón Instalar un nuevo controlador y haga clic en Siguiente.
En la lista Fabricante, seleccione Genérica y luego Generic Color XPS Class Driver (A) en la
lista Impresoras.
Haga clic en Siguiente para validar la selección.
Introduzca Impresora Sala 1 en el campo Nombre de impresora, introduzca IMPSal1 en el

campo Recurso compartido, y por último Sala 1 en el campo Ubicación.
Haga clic dos veces en Siguiente y luego en Finalizar.
Se muestra la impresora en el nodo Impresoras.
Haga clic con el botón derecho en Impresora Sala 1 y a continuación, en el menú contextual,
seleccione Propiedades.
Seleccione la pestaña Compartir y luego marque la opción Mostrar lista en el directorio.

Haga clic en Aplicar y luego en Aceptar.
En la consola Administración de impresión, haga clic con el botón derecho en el nodo Puertos y
luego haga clic en Agregar puerto.
Seleccione Standard TCP/IP Port y luego haga clic en Puerto nuevo.
Se inicia un asistente, haga clic en Siguiente en la página del Asistente.
Introduzca 192.168.1.153 en el campo Nombre o dirección IP de impresora y luego haga clic

en Siguiente.
En la ventana Se requiere información adicional acerca de puertos, haga clic en Siguiente.
Haga clic en Finalizar para cerrar el asistente.
Acceda al nodo Impresoras y luego a las propiedades de Impresora Sala 1.
Seleccione la pestaña Puertos y luego marque la casilla Habilitar agrupación de impresoras.
Seleccione el puerto 192.168.1.153 y luego haga clic en Aplicar y Aceptar.

Abra una sesión como jbak en CL8-01.
Acceda al Panel de control y, a continuación, haga clic en el enlace Ver dispositivos e

impresoras en Hardware y sonido.
En la ventana Dispositivos e impresoras, haga clic en el botón Agregar una impresora.
Se muestra la impresora y la ubicación es correcta.

Haga clic en Siguiente para proceder a la instalación.
En la ventana que se muestra, haga clic en Siguiente y luego en Finalizar.
La impresora se presenta correctamente en la consola.

La impresora cuenta con los dos puertos TCP/IP seleccionados.
4. Gestión del servidor de impresión

Objetivo: administrar el servidor de impresión desde la consola Administración de
impresióninstalada en el taller anterior.
En AD1, inicie la consola Administración de impresión y luego haga clic en el nodo Filtros
personalizados.
Los filtros personalizados permiten mostrar información acerca de las impresoras. Esto permite
visualizar de forma sencilla el conjunto de impresoras y controladores así como aquellas impresoras
con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto de impresoras que
no tienen estado de preparadas). Puede crear su propio filtro para obtener la información deseada.
Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione Agregar
nuevo filtro de impresora.
Introduzca Visualización de trabajos en curso en el campo Nombre.
Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y luego haga
clic en Siguiente.
En la ventana Definir un filtro, seleccione Trabajos en cola en la lista desplegable Campo y

luego no es exactamente en la lista desplegable Condición.
Introduzca 0 en el campo Valor.

Aparece el nuevo filtro en la consola.
Seleccione el nodo Impresoras y luego haga clic con el botón derecho en la impresora Impresora
Sala 1.
En el menú contextual, seleccione Implementar con directiva de grupo.
En la ventana Implementar con directiva de grupo, haga clic en el botón Examinar.

La ventana presenta el conjunto de directivas de grupo ya creadas a nivel de OU (unidad
organizativa), dominios y sitios de Active Directory.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creación de una nueva GPO.
Llame a la nueva directiva Implementar impresoras y luego haga clic en Aceptar.
Marque la opción Los equipos a los que se aplica esta GPO.
Haga clic en el botón Agregar y luego en Aplicar.

Valide el mensaje de información haciendo clic en Aceptar y luego haga clic en Aceptar en la
ventana Implementar con directiva de grupo.
Haga clic en el nodo Impresoras implementadas.
La configuración efectuada se muestra correctamente.
La directiva de grupo ha sido configurada de la siguiente forma.

Tras la próxima aplicación de las GPO, la impresora se instalará en todos los equipos y servidores.
Para limitar esta instalación, tendremos que filtrar empleando un grupo de seguridad o posicionando
la directiva de grupo en un contenedor diferente.
5. Implantación de la solución Work Folders

Objetivo: implantar la característica Work Folders para permitir a un usuario del dominio acceder
desde su equipo personal a los recursos de la empresa.
En SV1, inicie la consola PowerShell y luego introduzca el comando Add-WindowsFeature FS-

SyncShareService.
Este comando tiene como objetivo instalar la característica Work Folders.
A continuación, debemos crear la carpeta que contendrá los datos de los usuarios. En la partición C,
vamos a crear mediante la línea de comandos la carpeta Doc-Técnica, la cual será compartida con el
nombre Documentación. Los miembros del grupo Formadores tendrán acceso a la carpeta.
En la consola PowerShell, introduzca el comando New-SyncShare Documentación -path
C:\Doc-Técnica -User Formacion\Formadores -RequireEncryption $true -
RequirePasswordAutoLock $true.
Es posible descargar el script en la página Información.
Podemos ver en la consola Administrador del servidor que la característica se ha instalado

correctamente y se ha configurado el recurso compartido.
Accediendo a las propiedades del recurso compartido (haciendo clic con el botón derecho en el
recurso - Propiedades), es posible verificar la configuración de la categoría General.
La categoría Acceso a sincronización permite definir las personas o grupos de personas autorizados
para realizar la sincronización.
Por último, la categoría Directivas de dispositivos permite configurar la directiva aplicada.
Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos, así como un
bloqueo automático de la pantalla y la introducción de una contraseña.
A continuación, debemos configurar el equipo cliente.
Verifique que CL8-02 se encuentra en Workgroup (grupo de trabajo) y no es miembro del

dominio. En caso contrario, retire el equipo del dominio. De esta forma, tanto la gestión del
equipo como la seguridad son locales al equipo y no se gestionan desde un servidor (controlador
de dominio).
Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestión de certificados
digitales necesarios para el uso del protocolo HTTPS.
Para configurar el uso del protocolo HTTP, introduzca el comando Reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v
AllowUnsecureConnection /t REG_DWORD /d 1
Es posible descargar el script desde la página Información.

Acceda al Panel de control y luego, en Sistema y seguridad, haga clic en Carpetas de trabajo.
Haga clic en Configurar carpetas de trabajo.

En la ventana Escriba su dirección de correo electrónico de trabajo, haga clic en el
vínculoIndicar una URL de Carpetas de trabajo.
En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En
producción, será necesario emplear el protocolo HTTPS así como un nombre público.
Valide los datos mediante el botón Siguiente y, a continuación, autentíquese como nbonnet.
En la ventana Introduciendo las carpetas de trabajo, haga clic en Siguiente.
Es posible modificar la ruta de destino si lo desea.

Marque la opción Acepto estas directivas es mi equipo y, a continuación, haga clic en el
botónConfigurar carpetas de trabajo.
Haga clic en Cerrar para finalizar el asistente.
Se añade una nueva biblioteca. Agregue, a la misma, el archivo Windows.txt.

El cifrado está correctamente activado, estando el nombre del archivo en color verde. Del lado del
servidor la carpeta del usuario se encuentra presente.
El usuario accede correctamente a los datos de la empresa utilizando un equipo que no forma parte
del dominio.
1. Preguntas
1 ¿Cuál es la diferencia entre un permiso NTFS estándar y un permiso NTFS avanzado?
2 Explique la noción de permiso NTFS heredado.
3 ¿Cuál es la diferencia entre un permiso NTFS heredado y uno explícito?
4 La partición D contiene la carpeta Contabilidad que está compartida con el nombre

Contabilidad. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e IVA
2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta
Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
5 ¿Es posible ver la autorización efectiva del usuario?
6 ¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso

compartido donde el usuario carece de permisos de acceso?
7 ¿Qué consola empleamos para configurar la funcionalidad de la pregunta anterior?
8 ¿Cuándo se ejecuta la creación de una instantánea de forma predeterminada?
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
10 ¿Quién puede restaurar una instantánea?
11 ¿Cuáles son las ventajas de los controladores de tipo v4?
12 ¿En qué consisten los grupos de impresión?
13 ¿Qué permite hacer la característica Work Folders?
14 ¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización

configurada con la característica Work Folders?
15 Mencione algunos requisitos previos a respetar para poder activar la característica Work
Folders.
16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
2. Resultados
3. Respuestas
1 ¿Cuál es la diferencia entre un permiso NTFS estándar y un permiso NTFS avanzado?
No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS avanzados
permiten ser más preciso con los permisos asignados a un objeto Active Directory.
2 Explique la noción de permiso NTFS heredado.
Cuando se asigna un permiso en la ACL de un recurso (carpeta...), los objetos presentes en ese
recurso (subcarpeta, archivo...) reciben igualmente este permiso. Hablamos de padre (el recurso) y
de hijo (todo objeto presente en el interior de este recurso).
3 ¿Cuál es la diferencia entre un permiso NTFS heredado y uno explícito?
Un permiso explícito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. A
diferencia de los permisos explícitos, los permisos heredados se asignan automáticamente al
objeto hijo transmitidos por el padre.
4 La partición D contiene la carpeta Contabilidad que está compartida con el nombre

Contabilidad. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e IVA
2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta
Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que permitirá al
usuario acceder directamente a la carpeta deseada.
La segunda solución requiere un poco más de administración. Consiste en agregar en la ACL de la

carpeta Contabilidad al usuario nbonnet. Éste recibirá el permiso Mostrar el contenido de la carpeta.
En la carpeta IVA 2013 es preciso bloquear la herencia y el permiso Modificar asignado a nbonnet.
El usuario podrá así recorrer las diferentes carpetas sin tener el permiso de lectura de los archivos
contenidos.
5 ¿Es posible ver la autorización efectiva del usuario?
Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorización
efectiva diferente de la deseada por el administrador. Para garantizar que atribuimos al usuario los
permisos correctos, podemos utilizar la pestaña Acceso efectivo en la configuración de seguridad
avanzada.
6 ¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso

compartido donde el usuario carece de permisos de acceso?
Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al
usuario solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario
tiene acceso.
7 ¿Qué consola empleamos para configurar la funcionalidad de la pregunta anterior?
La funcionalidad ABE se configura empleando la consola Administrador del servidor.
8 ¿Cuándo se ejecuta la creación de una instantánea de forma predeterminada?
Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible modificar
esta programación.
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
Se realiza una rotación. De esta forma, cuando se alcanza el tamaño máximo, las instantáneas con
fecha más antigua se eliminan en beneficio de las más recientes.
10 ¿Quién puede restaurar una instantánea?
Los usuarios pueden restaurar una instantánea por medio de la opción Versiones anteriores en las
propiedades del recurso compartido. El administrador tiene la opción de hacerlo desde el servidor.
11 ¿Cuáles son las ventajas de los controladores de tipo v4?
Estos nuevos controladores evitan efectuar la configuración de los controladores en función de la

arquitectura del cliente. Adicionalmente, el tamaño del archivo es más reducido, lo que implica una
instalación más rápida.
12 ¿En qué consisten los grupos de impresión?

Los grupos de impresión consisten en hacer funcionar varias impresoras sobre una impresora
lógica. Esto permite continuar imprimiendo en caso de que una impresora no esté disponible.
13 ¿Qué permite hacer la característica Work Folders?
La característica Work Folders permite configurar una carpeta que más adelante podrá sincronizar
un usuario. El usuario podrá sincronizar dicha carpeta utilizando su conexión a la red empresarial o
desde el exterior. A su vez, cuenta con la posibilidad de utilizar su equipo o tableta personal.
14 ¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización

configurada con la característica Work Folders?
Es posible dotar de seguridad a estos datos de diferentes formas. La funcionalidad permite cifrar los
datos. Adicionalmente, es posible autorizar o no el acceso a la carpeta de sincronización. Por último,
el equipo conectado puede ser sometido a la política de bloqueo (con petición de contraseña),
incluso si se utiliza un equipo personal.
15 Mencione algunos requisitos previos a respetar para poder activar la característica Work
Folders.
Es necesario respetar varios requisitos previos:
Servidor de archivos ejecutando Windows Server 2012 R2 y el equipo en Windows 8.1.
Uso de certificados de servidor en cada servidor.
Partición formateada en NTFS.
Es preciso crear los registros en el DNS.
16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8.1 debemos
instalar las herramientas RSAT y verificar el funcionamiento de la resolución de nombres. A
continuación, debe ejecutarse un comando PowerShell. La última etapa consiste en añadir el
servidor a la consola Administrador del Servidor y proporcionar las credenciales.
Tener conocimientos sobre el funcionamiento de una directiva de grupo.
2. Objetivos
Analizar los componentes de una directiva de grupo.
Implementar preferencias y GPO de inicio.
Uso de delegaciones a nivel de directivas de grupo.
Tratamiento y filtrado a nivel de GPO.
Implementar un almacén central.

Introducción
Una directiva de grupo permite implemantar parámetros de configuración para un conjunto de equipos
o de usuarios. La gestión se realiza de forma centralizada en el controlador de dominio.
Información general de las directivas de grupo
Para controlar el entorno de los puestos de trabajo, el administrador puede implementar directivas de
grupo.
1. Los componentes de una directiva de grupo

Una GPO (Group Policy Object - Directiva de grupo) contiene uno o más parámetros para los
usuarios y equipos. Estas directivas se almacenan en SYSVOL y se gestionan mediante la
consolaAdministración de directivas de grupo (GPMC). La consola Editor de administración de
directivas de grupo permite modificar los diferentes parámetros. Las GPO están vinculadas a un
contenedor de Active Directory (unidad organizativa, UO), para que cada objeto contenido en la OU
reciba la directiva de grupo. Es posible configurar varios miles de parámetros, aunque cada nueva
versión aporta un lote de parámetros. Observe, sin embargo, que muchos de ellos no son
compatibles con las versiones más antiguas. En este caso, el equipo que recibe la directiva de grupo
ignora el parámetro. Si un administrador vincula a un equipo con sistema operativo Windows XP una
directiva de grupo que contiene dichas preferencias, éstas no se aplican si las CSE (Client Side
Extensions - Extensiones del lado cliente) no están instaladas. Estos componentes se encuentran en
el sistema operativo Microsoft y tienen la responsabilidad de aplicar los parámetros recibidos por
una directiva de grupo. Existen tantas extensiones del lado cliente como tipos de parámetros.
Una directiva de grupo contiene dos tipos de configuración:
Configuración de usuario: modificación de la clave HKEY_Current_User.
Configuración del equipo: modificación de la clave HKEY_Local_Machine.
En estos dos tipos de configuración, se puede emplear tres categorías de parámetros:
Configuración de software: contiene la información acerca del software que se puede

implementar.
Configuración de Windows: podemos configurar los parámetros de seguridad y scripts para

los usuarios y equipos.
Plantillas administrativas: se incluyen miles de parámetros. Estos permiten configurar el

registro para personalizar el entorno del usuario (bloquear algunos menús, etc.). Pueden
crearse y utilizarse plantillas personalizadas, adicionalmente es posible descargar desde
Internet paquetes de plantillas (por ejemplo, de Office).
El nodo Preferencias de la consola proporciona los parámetros suplementarios para la configuración

del entorno. Este punto se aborda con detalle más adelante.
2. Directiva de grupo local múltiple
Con los sistemas operativos anteriores a Windows Vista, solo es posible configurar una directiva de
grupo local. Ésta se aplica al conjunto de usuarios que se conectan al equipo en local. Esta
característica se ha mejorado con Windows Vista y permite en adelante la creación de varias
directivas de grupo locales. Es más fácil aplicar configuraciones diferentes a varios usuarios.
Es posible crear tres tipos de directivas:
Equipo local: contiene los parámetros de usuarios y equipos.
Administradores o No administradores: contiene los parámetros de usuario exclusivamente,

este tipo de directiva pueden crearla los administradores (se aplica al conjunto de miembros
del grupo de administradores locales) o los no-administradores (se aplica al conjunto de
usuarios locales).
Usuario específico: la directiva se aplica solamente al usuario seleccionado.
El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.
3. Almacenamiento de los diferentes componentes de una GPO

Las directivas de grupo se almacenan en dos contenedores:
El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los parámetros
vinculados al registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta
Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este último identifica de forma unívoca al objeto en AD
DS. El GPC define atributos tales como el vínculo o el número de versión. Podemos encontrar el
mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.
Durante la actualización de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del
lado cliente (CSE) recuperan los parámetros y los aplican si ha habido una modificación. El número
de versión permite identificar esta modificación. En efecto, el número almacenado en el
archivogtp.ini (SYSVOL\GUIDGPO\gpt.ini) se incrementa con cada cambio o parámetro agregado.
4. Las preferencias en las directivas de grupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20 extensiones de
directiva de grupo. Esta funcionalidad permite la reducción de los scripts empleados por el inicio de
sesión (conexión de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.
Las preferencias se aplican a un usuario o equipo, además dichos parámetros no son obligatorios,
un usuario puede modificar el parámetro configurado por las preferencias (desactivar el uso del
proxy, etc.).
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al apagar el
equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parámetros configurados en las
preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. La
eliminación puede operarse indicándolo explícitamente.
La asignación de las preferencias a los puestos cliente (que permite implantar los criterios a
respetar para aplicar los parámetros, por ejemplo ser miembro de un grupo o ejecutar un sistema
operativo en particular) se efectúa de una forma más fina que usando una directiva de grupo. En
efecto, podemos atribuir las preferencias a los equipos en función del sistema operativo... Esta
funcionalidad es configurable solamente en las directivas de dominio.
Entre los parámetros configurables en las preferencias, podemos encontrar:
Asignación de una unidad de red o de una impresora
Creación de un acceso directo
Configuración de opciones de alimentación
Configuración de opciones de Internet Explorer…
5. Nociones de las GPO de inicio

Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva GPO,
ésta puede crearse a partir de un objeto GPO de inicio. De esta forma la nueva directiva recupera
el conjunto de parámetros configurados. Esta característica permite la misma configuración básica
para el conjunto de las directivas de grupo.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos en
las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo Cabinet). De esta
forma se facilita la distribución y carga de estos archivos en otro sitio. Esta operación de distribución
es posible porque estos archivos son independientes del bosque o dominio en el que se crean.
Esta característica puede emplearse en varios casos:
Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la empresa.
Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible añadir
parámetros adicionales en la directiva. Esto permite responder por ejemplo a una problemática
específica de una de las áreas.
La creación se efectúa desde la consola Administración de directivas de grupo (GPMC). Es posible

crear la carpeta de objetos GPO de inicio, que contiene un conjunto de directivas predefinidas.
Podemos modificar estas directivas o crear nuevas.
Después de crear la carpeta, las nuevas directivas se encuentran en la carpeta SYSVOL.

Al igual que para con las demás directivas, una parte se almacena en el GPC, y la otra en el GPT.
6. Implementación de una delegación a nivel de GPO

Todos los administradores tienen la posibilidad de implementar delegaciones. Esta acción provee a
los usuarios la posibilidad de administrar las directivas de grupo. La gestión y creación de directivas,
la creación de filtros WMI... son también acciones que puede realizar un usuario al que se ha
delegado la administración.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las
diferentes directivas de grupo:
Administradores de dominio
Administradores de empresas
CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicación de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio,
empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un
usuario, debemos agregarlo en la pestaña Delegación del contenedor Objetos de directiva de
grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe poseer los permisos adecuados
en el contenedor deseado.
Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorización de conectarse a un
controlador de dominio. La administración debe hacerse desde su equipo.
Tratamiento de directivas de grupo
Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicación se realiza en
un orden estricto.
1. Los vínculos de una directiva de grupo

Después de la etapa de creación y de prueba (en un entorno de prueba), debemos efectuar la
puesta en producción y unir la directiva a su contenedor definitivo. Esta unión consiste en establecer
un vínculo entre la GPO y uno o más contenedores. Tres tipos de contenedores pueden recibir
directivas de grupo:
Sitios
Dominios
Unidades organizativas
La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores.

Podemos limitar la aplicación de la configuración a un número restringido de usuario o de equipos,
reemplazando el grupo Usuarios autentificados por un grupo de seguridad creado previamente.
Es posible, a continuación, deshabilitar el vínculo. Esta operación implica eliminar las modificaciones
aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede
impactar en la productividad.
Es imposible aplicar un vínculo directamente a un usuario, grupo o equipo. La unidad organizativa es

el último objeto al que se puede efectuar un vínculo.
2. La aplicación de una directiva de grupo

Los parámetros contenidos en la Configuración del equipo se aplican al iniciar el equipo y luego
siguiendo un intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se ejecutan
solamente al arrancar el equipo. Los controladores de dominio ejecutan una actualización de su
configuración cada 5 minutos.
A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican durante el
inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los scripts se ejecutan
durante el inicio de sesión.
En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante el
primer inicio de sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a que se
utilizan los identificadores puestos en caché para abrir la sesión más rápidamente. Los parámetros
se vuelven a aplicar mientras el usuario cuente con una sesión abierta. Es posible modificar el
intervalo de configuración, para ello debemos modificar el parámetro presente en el
nodoConfiguración del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de
grupo.
Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción
relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el
intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la
consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un administrador
tiene acceso a la opción Actualización de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.
Se abre una ventana que muestra al administrador el resultado de la operación.

Al realizar esta operación, la mayoría de los equipos estaban desconectados, esto explica el gran
número de errores.
3. Orden de aplicación de una directiva de grupo

Las directivas de grupo se aplican al equipo en función de un orden estricto. La primera directiva que
se aplica al puesto es la directiva local (si existe una directiva presente). A continuación, se
recuperan y aplican las GPO de dominio, siendo la primera la GPO del sitio AD. Se recuperan
entonces Default Domain Policy y cualquier otra directiva ubicada en la raíz del dominio, por último se
aplican las ubicadas en una OU o sub OU.
El vínculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario), se debe
vincular a un contenedor (OU, dominio...). En caso de conflicto entre un parámetro de dos directivas
diferentes, tiene precedencia la última aplicada. Para modificar este orden de prioridad, es posible
bloquear la herencia o aplicar (forzar) una directiva. Esta última opción no está libre de
consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta opción y puede anular el
bloqueo de la herencia. La aplicación se activa haciendo clic con el botón derecho en la directiva de
grupo específica y luego seleccionando la opción Aplicar.
4. Las directivas predeterminadas

Durante la creación de un dominio Active Directory, se crean automáticamente dos directivas:
laDefault Domain Policy y la Default Domain Controllers Policy.
La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al conjunto
de usuario y equipos del dominio por herencia. Ella contiene la política de seguridad predeterminada
(parámetros de contraseña, bloqueo...). Si se deben aplicar otros parámetros al conjunto de objetos
del dominio, es preferible crear una nueva directiva y luego vincularla a la raíz del dominio.
La Default Domain Controllers Policy está vinculada a la unidad organizativa Domain Controllers,
de modo que solamente la reciben los controladores de dominio. Ésta permite configurar el sistema
de auditoría y asignar permisos suplementarios (abrir una sesión en un controlador de dominio...).
5. Los filtros de seguridad

Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor y sub
contenedores. Ciertas directivas (instalación de software...) necesitan, sin embargo, que se
implemente un filtro un poco más estricto. Para ello, es preciso modificar el filtro de seguridad para
contener solamente el grupo autorizado. Dicho grupo contendrá solamente los usuarios o equipos
afectados.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el conjunto
de usuarios y equipos autentificados por un controlador de dominio pueden leer y aplicar la GPO.
Se pueden configurar permisos más granulares configurando la ACL (Access Control List). Esto hace
que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la configuración. Para
acceder a esta lista de control de acceso, haga clic en el botón Opciones avanzadas en la
pestañaDelegación.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más
granulares.
Tenga cuidado de no abusar del permiso Denegar, que es prioritario.

Despliegue de un almacén central
Las plantillas administrativas contenidas en la consola Editor de administración de directivas de
grupo están contenidas en la carpeta PolicyDefinitions de cada servidor.
Para utilizar una carpeta única para todos los servidores, debemos desplegar un almacén central.
1. Presentación del almacén central

El almacén central permite a los diferentes controladores de dominio basarse
en archivosADMX/ADML contenidos en un punto central, llamado almacén central. Esta
funcionalidad consiste en desplazar el conjunto de los archivos utilizados por las plantillas
administrativas a la carpetaSYSVOL.
El almacén central se detecta, automáticamente, al abrir la consola Editor de administración de

directivas de grupo. De esta forma, sea cual sea la versión del sistema operativo, los archivos
utilizados son siempre idénticos. Adicionalmente esta funcionalidad hace que el uso de las plantillas
administrativas sea más fácil, pues ya no es necesario copiar los
archivos ADMX y ADMLpersonalizados. La copia en la carpeta SYSVOL permite una replicación a
todos los controladores de dominio.
Para crear el almacén central, bastará con desplazar la carpeta PolicyDefinitions a la

carpetaC:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.
Los archivos ADML deben copiarse, también, a la carpeta, la pantalla previa muestra los
archivosADMX así como los archivos de idioma almacenados en la carpeta es-ES.
2. Las plantillas administrativas

Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave a
modificar y el valor a configurar para los estados Habilitado o Deshabilitado. Este tipo de archivo es
neutro a nivel de idioma, puede utilizarse en sistemas operativos en inglés, español…
El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarán. A
diferencia del formato ADM, la creación de un archivo personalizado es muy simple, sin embargo es
necesario estar familiarizado con el lenguaje XML.
Los diferentes parámetros se escriben en la base del registro a nivel de las

clavesHKEY_LOCAL_MACHINE para la configuración del equipo y HKEY_CURRENT_USER para la
configuración del usuario.
Ejemplo de un archivo ADMX

Se asocia un archivo ADML a este archivo ADMX.
Ejemplo de un archivo ADML
Las plantillas administrativas permiten responder a la mayoría de las necesidades de

personalización del entorno de usuario. Cada parámetro contenido en el archivo ADMX está
vinculado a un parámetro en el registro.
3. Parámetros administrados y no administrados

Existen dos tipos de parámetros en una directiva de grupo: los parámetros administrados y los no
administrados. La mayoría de los parámetros tienen estado administrado. Así, cuando la cuenta de
usuario o equipo no siga formando parte del ámbito de la directiva de grupo (desplazamiento a otra
OU, por ejemplo), los parámetros contenidos en la misma serán eliminados. El valor predeterminado
configurado por el sistema operativo tomará el lugar del parámetro configurado en la GPO. De forma
inversa, los parámetros no administrados modifican el registro y no se eliminan aunque la cuenta
deje de formar parte del ámbito de la directiva de grupo.
Para invertir la configuración, hay que modificar la directiva para indicar lo opuesto a lo que está
configurado. Ciertos parámetros contenidos en las preferencias son parámetros no administrados.
Con los parámetros administrados, el usuario no tiene la posibilidad de modificar los parámetros.
Los cambios se realizan en zonas específicas del registro, donde solo los administradores tienen
acceso:
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
4. Utilización de los filtros en las plantillas administrativas

Las plantillas administrativas contienen multitud de parámetros configurables. Para facilitar la
búsqueda, Microsoft ha implementado a partir de Windows Server 2008 una funcionalidad de
filtrado.
Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de administración de
directivas de grupo. El menú contextual de las plantillas administrativas (accesible haciendo clic con
el botón derecho) permite acceder a la opción Opciones de filtro.
La ventana contiene varias zonas. La primera de ellas está compuesta por tres listas desplegables:
Administrado: permite determinar si el parámetro filtrado es un parámetro administrado o no

administrado.
Configurado: permite mostrar solo los parámetros que están configurados en la directiva de
grupo.
Comentado: este parámetro es idéntico al anterior, filtra sin embargo por los comentarios
dejados en la directiva.
La segunda zona permite filtrar por palabras clave mientras que la tercera y última filtra por
aplicación o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se
muestran los parámetros que contengan la palabra Ejecutar.
La búsqueda de los parámetros es así más simple y rápida.
Talleres
Los talleres permiten poner en práctica las diferentes funcionalidades estudiadas (GPO de inicio,
preferencias...).
1. Implementar un almacén central

Objetivo: puesta en marcha de la funcionalidad almacén central para el dominio Formacion.local.
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:).
Haga doble clic en Windows y luego copie la carpeta PolicyDefinitions.
Haga doble clic en la carpeta SYSVOL ubicada en la carpeta Windows.
Abra las carpetas domain y Policies y luego pegue la carpeta PolicyDefinitions.

Inicie la consola Administración de directivas de grupo.
Despliegue los nodos Bosque, Dominios y luego Formacion.local.
Haga clic con el botón derecho en Defaut Domain Policy y seleccione Editar.
Haga doble clic en Directivas.
Las plantillas administrativas se han recuperado correctamente del almacén central.
Los archivos ADMX y ADML se replicarán, ahora, en el conjunto de controladores de dominio.
2. Creación de una directiva de grupo

Objetivo: implementar una directiva de grupo para configurar un equipo cliente que ejecuta Windows
8.
Máquinas virtuales utilizadas: AD1, CL8-01.
Arranque el equipo AD1 y abra una sesión como administrador.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego, en el menú contextual,
haga clic en Nuevo.
En el campo Nombre, introduzca Parámetros de puesto cliente y luego haga clic en Aceptar.
Aparece la nueva directiva, pero no está vinculada.

Haga clic con el botón derecho en Editar.
En la consola Editor de administración de directivas de grupo, despliegue los

nodosConfiguración de usuario, Directivas y luego Plantillas administrativas.
Despliegue el nodo Componentes de Windows y luego haga clic en Internet Explorer.

Haga clic en el parámetro Deshabilitar la configuración de la página Opciones avanzadas.
Marque el botón Habilitada y luego haga clic en Aceptar.
Esta vez haga doble clic en el parámetro Impedir administración del filtro SmartScreen.
Marque la opción Habilitada y, a continuación, en la lista desplegable Seleccionar modo de filtro

SmartScreen seleccione Activado.
Haga clic en Aceptar y luego cierre la ventana Editor de administración de directivas de grupo.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual,
seleccione Vincular una GPO existente.
Seleccione Parámetros de Puesto cliente y luego haga clic en Aceptar.

La directiva de grupo está ahora vinculada a la OU.
Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form.
Inicie el equipo CL8-01 y abra una sesión como Alumno 1.
Si el equipo ya está arrancado, ejecute el comando gpupdate /force.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opción Desactivar el
filtro SmartScreen está deshabilitada.
En el menú Herramientas, haga clic en Opciones Internet y luego en la pestaña Opciones

avanzadas.
Todos los parámetros deben estar deshabilitados.

La directiva de grupo se ha aplicado correctamente.
3. Creación de una GPO de inicio

Objetivo: crear una GPO de inicio que podrá utilizarse como base para todas las demás directivas.
En la carpeta GPO de inicio, haga clic en el botón Crear la carpeta de GPO de inicio para
proceder a la creación de la carpeta (panel derecho), a continuación haga clic con el botón
derecho en el nodo GPO Inicio y, en el menú contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Solo están presentes las plantillas administrativas.
Despliegue los nodos Configuración del equipo, Plantillas administrativas, Componentes de

Windows y luego Agregar características a Windows 8.1.
Haga doble clic en el parámetro Impedir que el asistente se ejecute.
Marque la opción Habilitada y luego haga clic en Aceptar.

Efectúe la misma operación para el parámetro Configuración de usuario - Plantillas
administrativas - Active Desktop - habilitar Active Desktop.
Cierre el Editor de objetos de directiva de grupo y luego, en la consola Administración de

directivas de grupo, haga clic en Objetos de directiva de grupo.
Haga clic con el botón derecho en el contenedor y, a continuación, haga clic en Nuevo.
Introduzca Prueba GPO inicio en el campo Nombre y luego, en la lista desplegable GPO de
inicio de origen, seleccione la directiva que acabamos de crear.
Haga clic en Aceptar y seleccione la directiva Prueba GPO inicio.
Empleando la pestaña Ámbito, podemos ver que el campo Ubicación está vacío. La directiva no está
de momento vinculada a ningún contenedor.
Haga clic en la pestaña Configuración.

Se encuentran todos los parámetros configurados para el objeto GPO de inicio.
4. Implementación de preferencias
Objetivo: creación de una GPO que contenga las preferencias y su aplicación en el equipo.
Haga clic con el botón derecho en Objetos de directiva de grupo, a continuación, en el menú
contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Configuración preferencias y luego haga clic en Aceptar.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Despliegue el nodo Configuración de usuario, Preferencias y luego haga clic en Configuración

de Windows.
Haga doble clic en Carpetas y a continuación, en el panel central, haga clic con el botón derecho y
seleccione Nuevo y luego Carpeta.
En la lista desplegable Acción, seleccione Crear y luego introduzca C:\Conta2013 en Ruta de

acceso.
Seleccione la pestaña Comunes y luego marque Destinatarios de nivel de elemento.
Haga clic en el botón Destinatarios.

En la lista Nuevo elemento, seleccione Sistema operativo.
En la lista desplegable Producto, seleccione Windows 8.1.

Se despliega un filtro, la directiva se aplica solamente a los equipos que ejecutan Windows 8.1.
Haga clic dos veces en Aceptar para validar las modificaciones.
Haga clic en Configuración del Panel de control y luego haga clic con el botón derecho
enConfiguración de Internet.
En el menú contextual, seleccione Nuevo y luego Internet Explorer 10.
En Página principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la modificación.
La línea en el campo se torna verde. Sin la validación de la tecla [F6], el parámetro no estará
actualizado.
Marque la opción Eliminar el historial de exploración al salir.

Haga clic en la pestaña Conexiones y luego en el botón Configuración de LAN.
Marque la casilla Usar servidor proxy para la LAN y luego introduzca la

dirección192.168.1.200 y el puerto 8080 en los campos adecuados.
Recuerde validar con la tecla [F6].

Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administración de directivas
de grupo.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual,
seleccione Vincular un GPO existente.
Seleccione Parámetros de Puesto cliente y luego haga clic en Aceptar.
En el equipo CL8-01, abra una sesión como Alumno1 y luego inicie un símbolo del sistema e
introduzca el comando gpupdate /force.
Inicie el Explorador de Windows y luego acceda a la partición C:. La carpeta se ha creado

correctamente.
Inicie Internet Explorer y luego acceda a las Opciones de Internet.
La página principal se ha configurado correctamente, así como la opción Eliminar el historial de

exploración al salir.
Seleccione la pestaña Conexiones y luego haga clic en el botón Configuración de LAN.
La configuración se ha efectuado correctamente.
1. Preguntas
1 ¿Cuántas directivas de grupo locales podemos implantar en un puesto Windows 8?
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
3 ¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración

del equipo?
4 ¿Dónde se almacenan los diferentes componentes de la GPO y cómo se replican?
5 ¿Qué es una extensión de lado del cliente?
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
7 ¿Cuál es el objetivo de una GPO de inicio?
8 ¿Cuál es el orden de aplicación de una GPO?
9 ¿En qué momento se aplica una directiva de grupo?
10 ¿Es posible forzar una actualización desde la consola GPMC?
11 ¿Cuáles son las directivas de grupo predeterminadas?
12 ¿En qué consiste el filtrado de seguridad?
13 ¿Cómo creamos un almacén central?
14 ¿Cómo está compuesta una plantilla administrativa?
2. Resultados
3. Respuestas
1 ¿Cuántas directivas de grupo locales podemos implantar en un puesto Windows 8?
A diferencia de los sistemas operativos anteriores a Windows Vista que permitían la creación de
una única directiva de grupo local, ahora es posible crear varias directivas de grupo: para el equipo
local, para el grupo Administradores, para el grupo No Administradores o para un usuario específico.
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
Para administrar las diferentes directivas de grupo, debemos utilizar la consola Administración de
directivas de grupo (GPMC) y el Editor de administración de directivas de grupo (GPME).
3 ¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración

del equipo?
Los parámetros contenidos en la parte Configurción del usuario modifican la clave

HKEY_Current_User, mientras que se emplea la clave HKEY_Local_Machine para la Configuración el
equipo.
4 ¿Dónde se almacenan los diferentes componentes de la GPO y cómo se replican?
La directiva de grupo está compuesta de dos partes, la GPC (Group Policy Container) y la GPT
(Group Policy Template). La GPC, que contiene el ID y el número de versión, se replica con Active
Directory mientras que la GPT, que contiene los diferentes parámetros, se replica con el sistema de
replicación de la carpeta SYSVOL. La GPT se almacena en SYSVOL.
5 ¿Qué es una extensión de lado del cliente?
Una CSE o extensión del lado cliente se encuentra en el sistema operativo. Tiene como objetivo
recuperar la configuración y aplicarla. Existen tantas extensiones del lado cliente como tipos de
parámetros.
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar, instalar
las extensiones adecuadas en el lado cliente.
7 ¿Cuál es el objetivo de una GPO de inicio?
Una GPO de inicio permite crear plantillas de configuración en las plantillas administrativas.
Durante su creación, los administradores tienen la posibilidad de crear la directiva basándose en la
plantilla (los parámetros se agregarán, también, a las nuevas directivas).
8 ¿Cuál es el orden de aplicación de una GPO?
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva local, se
aplica la directiva de sitio AD. A continuación, se aplica la directiva de dominio y, por último, se
recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas.
9 ¿En qué momento se aplica una directiva de grupo?
Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operación se efectúa
al arrancar el equipo o tras iniciar sesión. La recuperación de la directiva solo se efectúa si ha
habido una modificación. La directiva que se atribuye a un controlador de dominio se recupera cada
5 minutos. Por último, los parámetros de seguridad se aplican cada 16 horas incluso si no ha
ocurrido ninguna modificación.
10 ¿Es posible forzar una actualización desde la consola GPMC?
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualización de las
diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener que
ejecutar el comando gpupdate /force en el equipo local.
11 ¿Cuáles son las directivas de grupo predeterminadas?
Al promover un servidor, se crean dos directivas de grupo. Ubicada en la raíz del dominio, la
directiva Default Domain Plocy contiene los parámetros de seguridad. Se aplica al conjunto de
objetos del dominio. La directiva Default Domain Controllers Policy se vincula a la unidad
organizativa Domain Controllers. Permite por su parte configurar los registros de auditoría en los
controladores de dominio o proporcionar derechos suplementarios a los usuarios (abrir una sesión
en un controlador de dominio, etc.).
12 ¿En qué consiste el filtrado de seguridad?
Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del grupo que
está configurado en el Filtrado de seguridad.
13 ¿Cómo creamos un almacén central?
Se puede crear un almacén central simplemente copiando la carpeta PolicyDefinitions en

C:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.
14 ¿Cómo está compuesta una plantilla administrativa?
Una plantilla administrativa está compuesta por un archivo ADMX, que contiene las claves a
modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo ADML viene a
completar al archivo anterior. Por su parte contiene los textos de ayuda.
Tener conocimientos acerca del funcionamiento de la UAC.
Poseer nociones sobre los parámetros de seguridad (plantilla de seguridad, etc.).
Tener nociones acerca del Firewall de Windows.
2. Objetivos
Creación de la plantilla de seguridad e implantación de los derechos de usuario.
Configuración de la UAC e implantación de una política de auditoría.
Uso de los grupos restringidos.
Implantación de una política de restricción de software.
Configuración del Firewall.

Introducción
La protección de la infraestructura de sistema y de red debe ser una prioridad para todos los
administradores. Se deben desplegar soluciones de seguridad para evitar la pérdida de datos.
Configuración de los parámetros de seguridad
Para simplificar el despliegue de una solución de seguridad, podemos emplear directivas de grupo.
Esto permite aplicar la solución a un máximo de usuarios y equipos.
1. Creación de una plantilla de seguridad

Una plantilla de seguridad se presenta en forma de archivo. Éste permite la gestión y la
configuración de los parámetros de seguridad. Podemos configurar los parámetros en las siguientes
secciones:
Política de contraseña, bloqueo y Kerberos.
Auditoría y derechos de usuario.
Registros de eventos de aplicación, sistema y seguridad.
Miembro de grupos restringidos.
Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o más
equipos. Se pueden utilizar varias herramientas para efectuar esta operación.
Secedit.exe: esta herramienta por línea de comandos permite configurar y analizar la

seguridad. Se efectúa una comparación entre la plantilla de seguridad y los parámetros en
curso.
El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes
parámetros de seguridad.
Configuración y análisis de la seguridad tiene como objetivo analizar la configuración del

servidor y compararla con una plantilla. En caso de detectar diferencias, es posible volver a
aplicar la plantilla.
2. Configuración de los derechos de usuario

Los derechos de usuario permiten asignar a un usuario permisos suplementarios. Éstos permiten
realizar acciones específicas normalmente prohibidas a una cuenta que no posee permisos de
administrador.
Podemos dividir los permisos en dos tipos:
Los privilegios que permiten el acceso a un equipo o un recurso del dominio que
proporcionan al usuario permisos para realizar una acción (por ejemplo: permiso para
guardar archivos y carpetas).
Los derechos de inicio de sesión que atribuyen los permisos de inicio de sesión (por
ejemplo: conexión local para el usuario a un controlador de dominio).
No existen permisos configurados de forma predeterminada para las directivas de grupo. La

configuración se puede efectuar accediendo al nodo Asignación de derechos de usuario.
Este nodo está accesible desplegando los nodos Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales.
Estos parámetros pueden emplearse para efectuar varias operaciones:
Añadir un equipo al dominio.
Autorizar la conexión en local.
Autorizar sesiones Terminal Server.
Hacer copia de seguridad de archivos y carpetas.
Cambiar la hora.
3. Configuración de la UAC (User Account Control)

Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos que
ofrecen al usuario que inicie sesión con ellas (modificar el Registro, cambiar la configuración de
Windows...). Es preferible proteger estas cuentas para garantizar un buen funcionamiento del
sistema operativo y la integridad de los datos.
La UAC (User Account Control) hizo su aparición con Windows Vista y Windows Server 2008. Esta
funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una
confirmación cuando un proceso necesita permisos de administración. Si la persona conectada no es
un administrador, se solicitan los identificadores de una cuenta de administrador.
De esta forma, los usuarios estándar y los administradores se encuentran por defecto con los
mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar
permisos más elevados, la UAC efectúa una elevación de privilegios. De esta forma, solo el proceso
que solicita la elevación funciona con permisos de administrador. Son posibles dos acciones:
El usuario es administrador: la UAC solicita a la persona conectada la autorización para

continuar la ejecución del proceso que necesita permisos de administración.
El usuario es un usuario estándar: es necesario informar credenciales de una cuenta con

permisos de administración.
El componente de la UAC puede configurarse para ajustar la frecuencia de la notificación.
Esta funcionalidad puede configurarse accediendo al nodo Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales - Opciones de
seguridad.
Mediante esta lista de parámetros, podemos encontrar:
Control de cuentas de usuario: comportamiento de la petición de elevación para los

administradores en Modo de aprobación de administrador: permite controlar el
comportamiento de la petición de elevación. Este parámetro se aplica solamente a la cuenta
Administrador. Existen varias opciones:
Elevar sin preguntar: las operaciones que necesiten la elevación de privilegios se realizan
sin solicitar al usuario la autorización de elevar el privilegio.
Pedir credenciales en el escritorio seguro: se solicitan las credenciales de elevación de

privilegios en el escritorio seguro.
Pedir consentimiento en el escritorio seguro: cuando se ejecuta un proceso que requiere

permisos de administración, se pide al usuario que autorice o deniegue esta elevación de
privilegios. En caso de aceptación, se asignan los máximos permisos del usuario para
ejecutar el proceso.
Control de cuentas de usuario: comportamiento de la petición de elevación para los
usuarios estándar: permite gestionar el comportamiento de la petición de elevación para las
cuentas que no cuentan con permisos de administración. Existen varias opciones disponibles:
Pedir credenciales: se pide al usuario que introduzca un nombre de usuario y una

contraseña cuando debe realizarse la elevación de privilegios.
Rechazar solicitudes de elevación automáticamente: el usuario no tiene la posibilidad de

hacer una elevación de privilegios. Si el proceso tiene necesidad de privilegios superiores
se muestra un mensaje de acceso denegado.
Pedir credenciales en el escritorio seguro: al intentar elevar los privilegios, la

introducción de las credenciales se efectúa en el escritorio seguro.
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación
de elevación: permite autorizar la solicitud de elevación al instalar una aplicación. Existen dos
opciones disponibles:
Habilitada: se muestra la ventana de elevación de privilegios durante la instalación de una

aplicación.
Deshabilitada: no se pide elevación de privilegios. Seleccione esta opción con la instalación

automática de una aplicación (GPSI, SCCM...).
Por defecto, la UAC no está habilitada en un servidor instalado en modo Core.
4. Implantación de una directiva de auditoría

La directiva de auditoría es un punto muy importante. Permite seguir la actividad de los usuarios
(inicio de sesión, acceso a un recurso...). Esta funcionalidad no está concebida para espiar a los
usuarios sino para detectar un intento de acceso no autorizado a un recurso. Estas auditorías se
implementan en varios servidores y pueden incluir accesos correctos o erróneos. Todos estos
eventos se registran en el registro de eventos de seguridad.
Se pueden auditar varios eventos en una directiva de seguridad:
Las modificaciones hechas por el grupo Administradores.
Los accesos a una carpeta compartida efectuados por un usuario o grupo.
Los intentos de conexión a un servidor o equipo concreto.
Todos esto parámetros se pueden configurar accediendo al nodo Directiva de auditoría ubicado
enConfiguración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad -Directivas locales - Directiva de auditoría.
Es posible activar varios tipos de parámetros:
Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto
de Active Directory. Es preciso configurar la SACL (System Access Control List).
Auditar el acceso a objetos: audita objetos no Active Directory. La SACL debe estar también
configurada con un grupo o cuenta de equipo, al igual que el acceso solicitado (escritura,
lectura…).
Auditar eventos de inicio de sesión: permite al sistema operativo auditar los intentos de
conexión y desconexión del equipo.
Auditar eventos de inicio de sesión de cuenta: indica al sistema operativo que debe auditar
cada validación de credenciales de cuenta.
Podemos acceder a los parámetros avanzados del sistema de auditoría desde Configuración del
equipo - Directivas - Configuración de Windows - Configuración de seguridad - Configuración de
directiva de auditoría avanzada - Directivas de auditoría.
La activación de la auditoría sobre las acciones correctas puede generar un gran número de eventos
en el registro Seguridad.
5. Utilización de los grupos restringidos

Los grupos restringidos permiten gestionar los miembros de algunos grupos. Para agregar una lista
de usuarios al grupo de Administradores locales de cada equipo, debemos utilizar los grupos
restringidos para automatizar esta operación. Sin embargo, esta operación puede en algunos casos
borrar completamente la lista de los miembros del grupo. La lista se reemplaza por aquella
configurada en el grupo restringido. Estos parámetros pueden utilizarse para configurar las cuentas
locales como hemos visto anteriormente, o simplemente los grupos del dominio.
Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Grupos restringidos.
Implantación de una restricción de software
Esta funcionalidad no permite evitar la instalación de un software pero si su ejecución. Esto permite
prohibir la ejecución de una aplicación no autorizada por el departamento de TI.
1. La directiva de restricción de software

Esta funcionalidad aparece con Windows XP y 2003 Server. Proporciona a los administradores las
herramientas necesarias para identificar y autorizar o prohibir la ejecución de la aplicación. Los
parámetros se despliegan empleando una directiva de grupo. Aún presente por razones de
compatibilidad, la restricción de software está compuesta por reglas y niveles de seguridad.
Las reglas
Permiten indicar si la ejecución de una aplicación está autorizada. Las reglas están basadas en uno
o varios criterios que se aplican a un archivo ejecutable:
Hash: firma del archivo.
Certificado: certificado digital emitido por el fabricante del ejecutable.
Ruta de acceso: ruta local o UNC que contiene los ejecutables a bloquear.
Zona: zona Internet.
Niveles de seguridad
Cada regla obtendrá un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecución del software definido en la regla. Existen tres niveles de seguridad:
No permitido: la aplicación identificada en la regla no funciona, incluso para las cuentas de

administradores.
Usuario básico: la aplicación se ejecuta con permisos de usuario exclusivamente.
Ilimitado: los permisos de acceso del usuario permiten determinar la ejecución o no de la

aplicación.
Las restricciones de software pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Directivas de restricción
de software.
La funcionalidad AppLocker apareció con Windows Server 2008 y permite, a su vez, implementar
restricciones de software.
2. Utilización de AppLocker
AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Al
igual que para la restricción de software, es posible controlar la ejecución de una aplicación. Esta
funcionalidad permite a los administradores implementar reglas de manera sencilla y se basa a su
vez en el despliegue de directivas de grupo. La regla se aplica a un usuario o grupo de seguridad de
Active Directory.
Podemos aplicar una regla para gestionar su ejecución o utilizar la auditoría para poder probar las
reglas antes de su implantación. Los administradores pueden prohibir, por ejemplo, aplicaciones
cuyas licencias no hayan sido compradas. Solo el software validado por el departamento de
informática estará autorizado a ejecutarse.
Se gestionan tres tipos de archivo:
Ejecutables
Scripts
Windows Installer (msi)
Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en varios
casos:
Aplicación prohibida en la empresa (MSN, etc.).
Software reemplazado por una nueva versión u otro más utilizado.
Aplicación reservada a un departamento específico.
Esta funcionalidad puede configurarse en el nodo Configuración del equipo - Directivas -

Configuración de Windows - Configuración de seguridad - Directivas de control de aplicaciones.
Se utiliza el servicio Identidad de aplicación para el funcionamiento de AppLocker. Si el servicio está

detenido, no se aplican las reglas.
Las reglas emplean varios criterios para identificar la aplicación:
Editor: se basa en la firma digital del editor.
Ruta de acceso: autoriza o bloquea todos los ejecutables contenidos en la ruta de acceso
proporcionada.
Hash de archivo: se utiliza el hash para identificar la aplicación y gestionar su ejecución.
Aplicaciones empaquetadas: gestiona la ejecución de una aplicación incluida en el nuevo

menú Inicio (SkyDrive, etc).
También es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del
sistema operativo. Éstas contienen una acción (Permitir o Denegar) que rige el funcionamiento de la
aplicación:
Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en
cualquier entorno.
Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios
Program Files y Windows.
Utilizando el editor de reglas podemos filtrar según el número de versión, el nombre de producto...
Este tipo de regla ofrece la posibilidad de crear un filtro muy personalizado.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el tráfico entrante y
saliente.
La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall
(creación de reglas, activación/desactivación del Firewall...). Para acceder a la consola, en el
menúInicio, introduzca Firewall. En el menú de la derecha, haga clic en Firewall de Windows con
seguridad avanzada.
Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con destino
al servidor. Todo el tráfico entrante está bloqueado de manera predeterminada, con la excepción del
que está explícitamente autorizado por el administrador. Las reglas de salida las inicia la máquina
host y están destinadas a los otros equipos de la red o al exterior. El tráfico saliente está autorizado
por defecto. Sin embargo es posible bloquearlo creando una regla.
Se puede configurar IPsec empleando reglas de seguridad de conexión. La operación se efectúa

mediante la consola Firewall de Windows con seguridad avanzada. Este tipo de reglas permiten
securizar una comunicación entre dos equipos.
También es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o exportar las
reglas creadas. La configuración puede realizarse de forma manual en cada equipo o de forma
automática utilizando la directiva de grupo (Configuración del equipo - Directivas - Configuración de
Windows - Configuración de seguridad - Firewall de Windows con seguridad avanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. También es posible indicar
si el firewall está activo o inactivo por perfil.
Resulta, ahora, mucho más sencillo dar un juego de configuración para cada red (privada, dominio o
pública). Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del
Firewall.
Talleres
Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo.
1. Creación de una plantilla de seguridad

Objetivo: efectuar la creación de una plantilla de seguridad y luego importarla en la directiva de
grupo. A continuación, se modificará la configuración y se llevará a cabo una auditoría mediante el
componente Configuración y análisis de la seguridad.
En AD1, abra la consola MMC.
Haga clic en Archivo - Agregar o quitar complementos y luego haga clic en Plantillas de
seguridad.
Haga clic en Agregar y luego en Aceptar.
Despliegue el nodo Plantillas de seguridad y luego haga clic con el botón derecho en la carpeta.
En el menú contextual, haga clic en Nueva plantilla.
En el campo Nombre de plantilla, introduzca Plantilla Admins. y luego haga clic en Aceptar.
Despliegue el nodo Plantilla Admins.
La consola presenta los diferentes parámetros.
Despliegue Directivas de cuenta y luego Directiva de contraseñas.
Configure los parámetros como se indica a continuación:
Exigir historial de contraseñas: 16 contraseñas
Vigencia mínima de la contraseña: 0 días
Vigencia máxima de la contraseña: 90 días
Almacenar contraseñas con cifrado reversible: Deshabilitada
La contraseña debe cumplir los requisitos de complejidad: Habilitada
Longitud mínima de la contraseña: 12
Haga clic con el botón derecho en Plantilla Admins. y luego, en el menú contextual, haga clic
enGuardar.
Inicie la consola Administración de directivas de grupo, despliegue los

nodos Bosque yDominios.
Haga clic con el botón derecho en Defaut Domain Policy y luego haga clic en Editar.
Despliegue los nodos Configuración del equipo, Directivas y Configuración de Windows.
Haga clic con el botón derecho en Configuración de seguridad y luego haga clic en Importar
directiva.
Haga doble clic en el archivo Plantilla Admins.
Los parámetros se importan en la directiva Default Domain Policy.

Modifique la directiva de grupo Default Domain Policy como se indica a continuación:
Exigir historial de contraseñas: 1 contraseña
Vigencia mínima de la contraseña: 0 días
Vigencia máxima de la contraseña: 200 días
Almacenar contraseñas con cifrado reversible: Deshabilitada
La contraseña debe cumplir los requisitos de complejidad: Deshabilitada
Longitud mínima de la contraseña: 12
En la consola MMC, seleccione Raiz de consola.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuración y
análisis de seguridad.
Haga clic en el botón Agregar y luego en Aceptar.

Haga clic con el botón derecho en Configuración y análisis de seguridad y luego seleccione Abrir
base de datos en el menú contextual.
Introduzca BDD Admins en el campo Nombre y luego haga clic en Abrir.
En la ventana importar plantilla, haga clic en Plantilla Admins y luego en Abrir.
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego

seleccioneAnalizar el equipo ahora en el menú contextual.
En la ventana Realizar análisis, deje la ruta predeterminada y luego haga clic en Aceptar.
Despliegue los nodos Directivas de cuenta y luego Directiva de contraseñas.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo: conflicto
entre la plantilla de seguridad y la GPO).
Debemos volver a aplicar la plantilla de seguridad.
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego en el menú
contextual seleccione Configurar el equipo ahora.
En la ventana Configurar el sistema, deje la ruta predeterminada y luego haga clic en Aceptar.
Los parámetros de la directiva de grupo Default Domain Policy han sido modificados por los
parámetros de la plantilla. Ésta permite actualizar el conjunto de parámetros de forma muy sencilla.
2. Utilización de grupos restringidos

Objetivo: crear una directiva vinculada a la OU Servidor que permita configurar los grupos
restringidos.
Máquinas virtuales utilizadas: AD1, CL8-02.
En AD1, inicie la consola Usuarios y equipos de Active Directory.
Haga clic con el botón derecho en Formacion.local y luego, en el menú contextual,

seleccioneNuevo y Unidad organizativa.
En el campo Nombre, introduzca Cliente y luego haga clic en Aceptar.
Mueva la cuenta de equipo de CL8-02 a la OU recién creada.

Inicie la consola Administración de directivas de grupo, despliegue los
nodos Bosque, Dominiosy Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo.
Introduzca Grupo restringido en el campo Nombre y luego haga clic en Aceptar.
La directiva aparece en la consola, haga clic con el botón derecho en ella y luego, en el menú
contextual, haga clic en Editar.

nodosConfiguración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Grupos restringidos.
Haga clic con el botón derecho en Grupos restringidos y luego, en el menú contextual, haga clic
en Agregar grupo.
Introduzca Administradores en el campo Grupo.
No utilice el botón Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.
En el campo Miembros de este grupo, agregue al usuario Nicolas BONNET.
La lista de los miembros se vacía y reemplaza por la configuración siguiente.

Haga clic en Aceptar y cierre el Editor de administración de directivas de grupo.
En la consola Administración de directivas de grupo, haga clic con el botón derecho en la unidad
organizativa Cliente.
En el menú contextual, haga clic en Vincular un GPO existente.
Seleccione Grupo restringido y luego haga clic en Aceptar.
La directiva está ahora vinculada a la unidad organizativa.
Abra una sesión como administrador en CL8-02.
CL8-02 debe ser miembro del dominio.
Inicie un símbolo de sistema DOS e introduzca el comando gpupdate /force.
La cuenta Admins. del dominio ha sido eliminada.

Debemos agregar el grupo Admins. del dominio en el grupo restringido.
Actualizando la directiva de grupo, se actualiza el grupo de administradores locales.
3. Auditoría de un sistema de archivos

Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Máquinas virtuales utilizadas: AD1 y CL8-01
En AD1, cree una carpeta llamada Informática en la partición C.
Acceda a las Propiedades de la carpeta y luego haga clic en la pestaña Compartir.
Haga clic en el botón Uso compartido avanzado.
En la ventana Uso compartido avanzado, marque la opción Compartir esta carpeta.
Haga clic en el botón Permisos, y luego elimine la entrada Todos.
Agregue la cuenta Admins. del dominio y luego asígnele el permiso Control total.
Haga clic en Aplicar y luego en Aceptar y Cerrar.
En la ventana de propiedades de la carpeta Informática, haga clic en la pestaña Seguridad.
Haga clic en el botón Opciones avanzadas y luego en Deshabilitar herencia.

Haga clic en Quitar todos los permisos heredados de este objeto.
Haga clic en Agregar y luego en el vínculo Seleccionar una entidad de seguridad.

En la ventana de selección, introduzca Admins. del dominio y luego haga clic en Comprobar
nombres.
Haga clic en Aceptar y luego proporcione al usuario el permiso Control total.
Haga clic en Aceptar y luego en Aplicar.
En la pestaña Auditoría, haga clic en Agregar.
Haga clic en el vínculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la
ventana que se muestra.
Haga clic en Comprobar nombres y luego en Aceptar.
En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.
Haga clic tres veces en Aceptar.
En AD1, inicie la consola Administración de directivas de grupo y luego haga clic con el botón
derecho en Objetos de directiva de grupo.
En el menú contextual, seleccione la opción Nuevo.
Introduzca Auditoría carpeta Informática en el campo Nombre y luego haga clic en Aceptar.
Haga clic con el botón derecho en la directiva y seleccione la opción Editar.
Se abre la consola Editor de administración de directivas de grupo.
Despliegue los nodos Configuración del equipo - Directivas - Configuración de Windows -

Configuración de seguridad - Directivas locales y Directiva de auditoría.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuración de directivay
seleccione la casilla Error.
Cierre la consola Administración de directivas de grupo.
Vincule la directiva Auditoría carpeta Informática a la unidad organizativa Domain Controllers.
Abra un símbolo del sistema DOS y ejecute el comando gpupdate /force en AD1.
Abra una sesión como Alumno1 (contraseña Pa$$w0rd) en CL8-01.
Intente acceder a la carpeta compartida Informática en el equipo SV1.
Un mensaje de aviso indica un acceso denegado.
En AD1, inicie la consola Administración de equipos y despliegue los nodos Visor eventos y
luego Registros de Windows.
Visualice el registro de eventos Seguridad.

Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 4656).
Para cada intento de Alumno1, se crea un evento en este registro.
4. Auditoría de modificaciones en el directorio

Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos.
En AD1, inicie la consola Usuarios y equipos de Active Directory.
Despliegue el dominio Formacion.local y haga clic en el contenedor Users.
Haga clic con el botón derecho en el grupo Admins. del dominio, y luego haga clic
enPropiedades.
Abra la pestaña Seguridad y luego haga clic en el botón Opciones avanzadas.
Si no ve la pestaña Seguridad, cierre el cuadro de diálogo. Haga clic en el menú Ver de la

consola MMC y verifique que la opción Opciones avanzadas está seleccionada.
Abra la pestaña Auditoría y luego seleccione la primera entrada de auditoría para la que la
columna Acceso sea Especial, luego haga clic en Editar.
Esto va a permitir auditar los intentos de modificación denegados en las propiedades del grupo, tales
como la modificación del propietario…
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.
Inicie la consola Administración de directivas de grupo.
Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en
la unidad organizativa Domain Controllers.
Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione Editar.

nodosConfiguración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Configuración de directiva de auditoría avanzada.
En Directivas de auditoría, haga clic en Acceso DS.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventos de auditoría y Correcto.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdate /force.
La actualización del parámetro de auditoría toma algunos segundos.
Agregue la cuenta nbonnet en el grupo Admins. del dominio.
Inicie la consola Administración de equipos del controlador de dominio.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el
registroSeguridad.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operación, el
objeto que ha sido modificado al igual que la cuenta que ha sido agregada, eliminada…
5. Creación de reglas con AppLocker

Objetivo: crear las reglas de AppLocker que permitan bloquear la ejecución de un programa.
En AD1, inicie la consola Administración de directivas de grupo, despliegue los

nodosBosque:Formacion.local, Dominios y luego Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en
el menú contextual.
En el campo Nombre, introduzca AppLocker y luego haga clic en Aceptar.
En la consola GPMC, haga clic con el botón derecho en AppLocker y luego, en el menú
contextual, haga clic en Editar.
Se inicia la consola Editor de administración de directivas de grupo.

Configuración de seguridad - Directivas de control de aplicaciones - AppLocker.
Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.
Aparecen tres reglas:
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Windows.
Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en
cualquier carpeta.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opciónCrear nueva regla.
Marque el botón Denegar y luego haga clic en Siguiente.

En la ventana Condiciones, deje marcada la opción Editor y luego haga clic en Siguiente.
Ahora debemos seleccionar la aplicación cuya ejecución será denegada.
Haga clic en el botón Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program
Files\Windows Mail.
Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea bloquear.
Situándolo encima de Nombre de producto, se bloquean todas las versiones de WAB. Haciendo clic
enUsar valores personalizados, podemos modificar todos los campos y seleccionar el valor deseado
de la lista desplegable.
El valor Y superior permite bloquear la versión 6.2.0.0 y posteriores. Es posible configurar los
valores Y superior, E inferior o Exactamente.
En la ventana de creación de excepciones, haga clic en Siguiente.
Creando una excepción podemos autorizar una de las versiones bloqueadas, versión 6.3.0.0 (u
otra).
En el campo Nombre, introduzca Regla Bloquear Wab y luego haga clic en el botón Crear.
Se ha creado la regla correctamente.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opciónCrear nueva regla.
Marque la opción Denegar y luego haga clic en Siguiente.
En la ventana Condiciones, seleccione Ruta de acceso y luego haga clic en Siguiente.

Podemos bloquear un ejecutable en particular o todos los ejecutables presentes en una carpeta.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
enProgram Files(x86)\Internet Explorer. A continuación, haga clic en Siguiente.
No debe crearse ninguna excepción, haga clic en Siguiente.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear.
Las dos reglas están ahora creadas.
Haga clic con el botón derecho en AppLocker y luego haga clic en Propiedades.
En Reglas de ejecutables, marque la casilla Configurado y luego en la lista desplegable

seleccione Solo auditoría.
En la consola Administración de directivas de grupo, vincule la directiva de grupo AppLocker a

la OU Cliente.
Verifique la presencia de la cuenta de equipo CL8-02 en la OU Cliente.
Abra una sesión como administrador en el equipo CL8-02.
En la consola Servicios, haga doble clic en Identidad de aplicación.
En la lista desplegable Tipo de inicio, seleccione Automático y luego inicie el servicio.

Inicie un símbolo de sistema DOS y luego introduzca el comando gpupdate /force.
Reinicie el equipo para poder garantizar la aplicación de la directiva de grupo.
AppLocker puede tardar varios minutos después del inicio para funcionar.
Ejecute Internet Explorer ubicado en la zona de inicio rápido.
Se crea un evento en el registro AppLocker (registro ubicado en Registro de aplicaciones -

Microsoft - Windows).
Haga clic con el botón derecho en el menú Inicio y seleccione Ejecutar.
Introduzca wab y, a continuación, haga clic en Aceptar.
Se muestra la ventana Contactos. Se muestra un nuevo evento en la consola.

Si la consola Administración de equipos ya está iniciada, considere actualizar la consola para ver el
nuevo elemento.
En AD1, edite la directiva de grupo AppLocker.

Configuración de seguridad - Directivas de control de aplicaciones - AppLocker.
Haga clic con el botón derecho en AppLocker y luego, en el menú contextual,

seleccionePropiedades.
En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditoría por Aplicar
reglas.
Valide la modificación haciendo clic en el botón Aceptar.
En CL8-02, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte /force.
Ejecute Internet Explorer, se muestra un mensaje informando que el programa está bloqueado.
El programa WAB está también bloqueado.
6. Configuración del Firewall de Windows

Objetivo: desplegar las reglas del Firewall. Se emplean los perfiles de red para aplicar o no una regla.

En el equipo CL8-02, abra una sesión como Administrador de dominio.
En la interfaz del menú Inicio, escriba Firewall y seleccione Configuración.
Haga clic en Firewall de Windows para iniciar la consola.
En el menú, haga clic en Configuración avanzada para iniciar la consola Firewall de Windows y,
a continuación, haga clic en Configuración avanzada.
Haga clic en Reglas de salida y luego en Nueva regla en el panel Acciones.
En la ventana Tipo de regla, seleccione la opción Personalizada y luego haga clic en Siguiente.
La regla se debe aplicar a todos los programas, deje la opción por defecto en la
ventanaPrograma y haga clic en Siguiente.
El objetivo es bloquear las respuestas del equipo a la ejecución de un Ping.
En la lista desplegable Tipo de protocolo, seleccione el protocolo ICMPv4 y luego haga clic
enSiguiente.
En la ventana Ámbito, haga clic en Siguiente.
Seleccione la acción deseada, Bloquear la conexión, y valide su opción haciendo clic enSiguiente.
La regla se aplica de momento a los tres perfiles, deje la opción por defecto y haga clic
enSiguiente.
Introduzca Bloquear Ping en el campo Nombre y luego haga clic en Finalizar.
En CL8-02, inicie un símbolo de sistema DOS e introduzca el comando ping -4 ad1.
La opción -4 permite efectuar el ping utilizando el protocolo IPv4.
El firewall bloquea las tramas y causa un error general.
En la consola Firewall de Windows con seguridad avanzada, haga doble clic en la

reglaBloquear Ping que acabamos de crear.
Seleccione la pestaña Opciones avanzadas y luego desmarque el perfil Dominio.

Vuelva a ejecutar el comando ping -4 ad1.
El equipo es miembro del dominio, por lo que está configurado en el perfil Dominio. La regla Bloquear
Ping no está activa en el perfil, el firewall permite que las tramas salgan.
1. Preguntas
1 ¿Qué es una plantilla de seguridad y en qué forma se presenta?
2 ¿Cuál es la utilidad del nodo Asignación de derechos de usuario?
3 Describa brevemente el funcionamiento de la UAC.
4 Describa brevemente las etapas de la implantación de un sistema de auditoría.
5 ¿A quién sirve la auditoría?
6 ¿Qué permiten auditar los eventos de inicio de sesión?
7 ¿Cuándo debe utilizar los grupos restringidos?
8 ¿Qué tipo de archivos puede gestionar AppLocker?
9 ¿Cómo se llama el servicio que se debe arrancar para utilizar AppLocker?
10 ¿Cuáles son los dos modos de funcionamiento de AppLocker?
11 ¿Qué consola permite crear reglas de Firewall?
12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué
ocurre si no existe una regla para esta trama?
2. Resultados
3. Respuestas
1 ¿Qué es una plantilla de seguridad y en qué forma se presenta?
Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los
parámetros de contraseña, bloqueo al igual que otros parámetros de seguridad. Esta plantilla puede
importarse, a continuación, en una directiva de grupo.
2 ¿Cuál es la utilidad del nodo Asignación de derechos de usuario?
Este parámetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos
permisos pueden conceder la posibilidad de abrir una sesión en un controlador de dominio o el
cambio de la zona horaria…
3 Describa brevemente el funcionamiento de la UAC.
La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando
que los procesos de usuario (Word, Internet Explorer…) se ejecutan con permisos de usuario. Si
este último es un administrador, el token de acceso se divide en dos (un token de usuario para el
uso cotidiano y un token de administrador para contar con permisos de administración). Cuando un
proceso requiere permisos de administrador, solicita una elevación de privilegios. Después de la
aceptación del usuario, el proceso que realiza la solicitud obtendrá permiso para utilizar el token de
administrador. Sin embargo, si el usuario es una cuenta estándar sin permisos de administración,
se requiere que se indique la información de inicio de sesión de un administrador para efectuar la
elevación.
4 Describa brevemente las etapas de la implantación de un sistema de auditoría.
Para implantar un sistema de auditoría, debemos crear una directiva de auditoría y luego vincular la
unidad organizativa o la raíz del dominio. De acuerdo con los objetos, debemos configurar la SACL.
5 ¿A quién sirve la auditoría?
La auditoría permite tener un registro de los eventos que ocurren en un objeto (grupo AD,
carpeta...). Las auditorías pueden referirse a modificaciones, accesos, etc. Esta operación se
configura para recuperar todos los eventos correctos o fallidos.
6 ¿Qué permiten auditar los eventos de inicio de sesión?
Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de conexión y
desconexión del equipo.
7 ¿Cuándo debe utilizar los grupos restringidos?
El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o
un grupo local. En el último caso, esto evita que el administrador tenga que configurar el conjunto
de equipos.
8 ¿Qué tipo de archivos puede gestionar AppLocker?
AppLocker es capaz de bloquear scripts al igual que archivos ejecutables y MSI.
9 ¿Cómo se llama el servicio que se debe arrancar para utilizar AppLocker?
El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite aplicar las reglas
configuradas.
10 ¿Cuáles son los dos modos de funcionamiento de AppLocker?
Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las reglas. Durante
la ejecución de la aplicación gestionada por AppLocker, un mensaje de aviso informa al
administrador del resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible
bloqueo de los diferentes programas.
11 ¿Qué consola permite crear reglas de Firewall?
La consola Firewall de Windows con seguridad avanzada permite la creación de las reglas
entrantes, salientes o las reglas de conexión.
12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué
ocurre si no existe una regla para esta trama?
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la
regla predeterminada. Esta última autoriza el tráfico saliente y prohíbe todo el tráfico entrante,
salvo que exista una regla creada específicamente.
Tener conocimientos de micro informática.
Poseer nociones sobre las herramientas de mantenimiento presentes en Windows.
2. Objetivos
Utilización del Administrador de tareas y el Monitor de recursos.
Verificación del rendimiento empleando el Monitor de rendimiento.
Utilización del registro de eventos.
Creación de una vista personalizada.
Implementación de una suscripción.

El Administrador de tareas
A partir de Windows Server 2012 existe una nueva consola Administrador de tareas. Ésta ofrece
varias funcionalidades (operar en un servicio, cerrar una aplicación...). Se ha optimizado para
responder mejor a las necesidades de los administradores. Se pueden realizar varias operaciones:
Detener un proceso de forma rápida y eficaz: se ha modificado toda la interfaz de la consola.

Los diferentes procesos de usuario (procesos activos) se muestran ahora de una forma más
clara. Adicionalmente, se ha simplificado la operación que permite detener una aplicación.
Haciendo clic en el botón Finalizar tarea es posible detener un proceso.
Puede activarse una vista más detallada empleando el botón Más detalles.
Diagnosticar un problema de rendimiento: la vista Más detalles permite acceder a las

novedades del Administrador de tareas. El usuario avanzado o el administrador tienen una
mayor facilidad para diagnosticar un problema de rendimiento. Se ha facilitado el acceso a los
porcentajes de uso de los diferentes recursos del equipo (memoria, procesador).
Adicionalmente, se presenta un total del uso de los diferentes recursos. Es interesante mirar
en detalle cada proceso.
Las pequeñas flechas presentes al lado de cada proceso permiten visualizar las aplicaciones que de él
dependen. Si abrimos Explorador de Windows se muestra la carpeta CE14 que está actualmente
abierta.
Haciendo clic con el botón derecho en CE14 se accede a un menú contextual. Éste presenta varias
opciones tales como minimizar o maximizar la consola, traer al frente o simplemente finalizar la tarea.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opción Buscar en línea puede ser muy útil. Permite obtener información acerca del proceso en
cuestión. La opción Valores del recurso permite cambiar las unidades de la columna Memoria para
mostrar los porcentajes en lugar de valores y viceversa.
El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder
a la carpeta que contiene el ejecutable de un proceso sin tener que realizar una búsqueda, seleccione
la opción Abrir ubicación del archivo. A continuación, se muestra la carpeta que contiene el archivo.
En ciertos casos es necesario tener más información sobre un proceso. Para ello haga clic en Ir a
detalles. Se muestra la pestaña Detalles y el proceso en cuestión aparece seleccionado.
Esta vista proporciona acceso al nombre del archivo ejecutable, así como al ID del proceso (PID). Se
muestran también el estado, nombre de la cuenta que ha iniciado el proceso y el uso de procesador y
memoria.
La pestaña Rendimiento permite visualizar de forma gráfica tres elementos esenciales:
La CPU: acompañados por la curva de porcentaje de utilización, diferentes campos dan

información como el porcentaje de utilización, el número de procesos.
La memoria: al igual que para el procesador, se muestran y actualizan automáticamente los
datos vinculados a la memoria. Resulta, de este modo, muy sencillo ver la cantidad de memoria
utilizada y la que está libre.
La red: además del gráfico que muestra la actividad, los datos Envío y Recepción permiten
conocer rápidamente la velocidad de envío y recepción.
Haciendo clic con el botón derecho en la consola accedemos a un menú contextual con tres opciones:
Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres
gráficos. Desmarque la opción para volver al formato inicial.
Mostrar gráficos reemplaza los botones de colores por los gráficos en curso.
SeleccioneOcultar gráficos en el menú contextual para ocultar los gráficos.
Copiar copia los datos presentes en los gráficos en el portapapeles.
La pestaña Usuarios facilita la gestión de los usuarios conectados. Siempre es posible desconectar la
sesión de usuario, pero ahora es incluso más sencillo. En efecto, desplegando la línea fila del usuario
correspondiente es posible ver, fácilmente, qué procesos le pertenecen. Adicionalmente, es posible
conocer el uso de procesador y memoria de cada uno.
Por último, la última pestaña Servicios proporciona acceso a la gestión de servicios. Es posible
conocer su estado así como distintos parámetros (PID...). Podemos acceder a la consola Services.msc
haciendo clic con el botón derecho y seleccionando Abrir servicios en el menú contextual.
El Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite efectuar la supervisión del procesador y los procesos, la memoria RAM así como
la actividad de los discos y la red.
La consola se compone de varias pestañas. La pestaña Información general permite tener una vista
de conjunto de los componentes. Esto permite evitar cuellos de botella. Además de los
componentesMemoria, Red, CPU y Disco, se muestran gráficos actualizados en tiempo real.
La pestaña CPU presenta diferentes datos de cada procesador. Seleccionando un proceso, se

muestran los diferentes servicios y los descriptores asociados. Podemos, del mismo modo, ver un
gráfico que representa la actividad de cada procesador o cada núcleo de un procesador.
Es posible visualizar el reparto del uso de memoria del servidor empleando la pestaña Memoria. Se
muestran tres gráficos con la memoria física utilizada, la carga de asignación y los errores de página.
La pestaña Disco presenta los procesos que realizan una operación en el disco, una vez más es
posible filtrar un proceso para aislarlo. Los gráficos muestran una curva que representa la actividad
en el disco.
Por último, la pestaña Red presenta los diferentes procesos con actividad de red, la herramienta
también resulta útil para ver las conexiones TCP y los puertos en que escuchan. La herramienta
permite analizar los diferentes componentes y proporcionar una explicación para una degradación de
rendimiento en un equipo.
Los diferentes gráficos permiten obtener información acerca de los diferentes componentes del
servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operación
puede llevarse a cabo mediante un gráfico e informes. El análisis se puede hacer en tiempo real, lo
que obliga al administrador a estar presente. Adicionalmente la lectura de datos no es óptima. La
segunda forma consiste en ejecutar un recopilador de datos, que permite registrar los datos
recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un análisis muy granular y un resultado óptimo.
Procesador
El objeto de rendimiento Procesador permite obtener información sobre la actividad del procesador.
Esta es una de las piezas centrales de un servidor. Si existen varios procesadores, es posible analizar
todos o uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios para los
programas. En caso de fallo, los tiempos de lectura y escritura pueden verse afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona un dato
específico.
Memoria RAM
Los contadores de rendimiento de Memoria permiten obtener información sobre la memoria física y
virtual del ordenador. La memoria física se refiere a la memoria RAM del equipo, mientras que la
memoria virtual concierne al espacio de memoria física y en disco.
Red
La parte de red incluye un gran número de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, también, sus contadores.
Es posible realizar el análisis de forma manual o automática. El método manual es en tiempo real.
Esto implica la presencia física frente al ordenador para poder analizar los datos antes de su borrado.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena un
archivo con todos los valores en la carpeta PerfLogs ubicada en la partición del sistema.
Sin embargo, el tamaño del archivo crecerá rápidamente, lo que puede impactar el servidor y los roles
instalados en él.
Los registros de eventos
El Visor de eventos contiene varios registros útiles para diagnosticar un fallo o incoherencia en el
sistema. Está compuesto por varios registros, como Aplicación, Sistema y Seguridad. El
registroAplicación ofrece la posibilidad a los desarrolladores de escribir los eventos devueltos por sus
aplicaciones. El registro Sistema permite obtener los datos enviados por el sistema (problema
DHCP…). El registro Seguridad permite visualizar el resultado de las auditorías configuradas.
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.
Podemos consultar los diferentes registros en la consola Administración de equipos.

Podemos encontrar en un registro varios niveles de advertencia:
Información
Advertencia
Error
Crítico
Adicionalmente, un evento contiene varios datos importantes tales como Evento (número de ID del
evento), origen y el mensaje.
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del
registro...) así como configurar su tamaño actual y máximo. El registro puede vaciarse empleando el
botón Vaciar registro. Se puede acceder a esta ventana haciendo clic con el botón derecho en el
registro deseado y luego seleccionando Propiedades en el menú contextual.
Al alcanzar el tamaño máximo del registro podemos tomar tres acciones:
Sobrescribir eventos si es necesario: se suprimen los eventos más antiguos.
Archivar el registro cuando esté lleno; no sobrescribir eventos: se efectúa un archivado

automático.
No sobrescribir eventos: debe hacerse una limpieza manual.
1. Creación de una vista personalizada

El registro puede rápidamente contener un importante número de eventos, lo que complica la
búsqueda de un evento concreto. A partir de Windows Server 2008, es posible crear una vista para
configurar un filtro en uno o varios registros.
La creación y uso de un filtro se efectúan empleando el nodo Vistas personalizadas. Se encuentra

una carpeta llamada Roles de servidor que contiene los filtros creados durante la instalación de un
rol.
Podemos crear un nuevo filtro haciendo clic con el botón derecho en Vistas personalizadas y
seleccionando Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para
tener en cuenta en el filtro.
El Nivel del evento permite seleccionar el nivel de los eventos deseados.
La lista desplegable Registros de eventos permite seleccionar los registros a los que se
aplica el filtro.
Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en la lista
desplegable uno o más orígenes. También es posible filtrar en función de un nombre de equipo, de
usuario, de palabras clave o de número de ID.
El filtro devuelve solamente los eventos que corresponden a las categorías seleccionadas.
2. Suscripción
Para facilitar la supervisión de los servidores de una red informática, podemos desplegar una
suscripción. Ésta permite recuperar los eventos de los servidores de destino. Los eventos
recuperados deben responder a criterios definidos por el administrador empleando una vista
personalizada. Para esta funcionalidad se emplean dos servicios:
WinRM (Windows Remote Management)
Wecsvc (Windows Event Collector Service)
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo
recolectado para Wecsvc.
Talleres
Los diferentes talleres presentados permiten el uso de las herramientas encargadas del análisis y
mantenimiento del servidor.
1. Utilización del Monitor de rendimiento

Objetivo: utilizar el Monitor de rendimiento y los recopiladores de datos.
Inicie la consola Administrador del servidor en AD1.

equipos.
Despliegue los nodos Rendimiento y luego Herramientas de supervisión.
Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los
contadores.
Despliegue Proceso y luego haga clic en <Todas las instancias>.
Haga clic en Agregar y luego en Aceptar.

Aparecen las curvas que presentan los diferentes parámetros recuperados.
En la barra de herramientas, haga clic en el icono que representa un bolígrafo. Al seleccionar un

contador, se resalta la curva asociada.
En la barra de herramientas, haga clic en el botón Cambiar tipo de gráfico (tercer botón) y luego
seleccione en el menú contextual Barra de histograma.
El gráfico se verá en forma de histograma.

El tipo de gráfico puede, a su vez, presentarse en forma de informe.
En la consola Administración de equipos, despliegue el nodo Conjuntos de recopiladores de

datos.
Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este ejemplo
está hecho sobre un controlador de dominio, el contador para el diagnóstico de Active Directory se
encuentra en el sistema. El contenedor definido por el usuario permite crear de nuevos recopiladores
de datos.
Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Introduzca Recopilador Procesos en el campo Nombre, marque el botón Crear manualmente

(avanzado). A continuación, haga clic en Siguiente.
En la ventana para seleccionar el tipo de datos, marque Contador de rendimiento y luego haga
clic en Siguiente.
En la ventana de selección de contadores, haga clic en Agregar.
Despliegue Proceso y luego haga clic en <Todas las instancias>.
Haga clic en el botón Agregar y luego en Aceptar.

Configure el Intervalo de muestra en 2 segundos.
Haga clic dos veces en Siguiente y luego en Finalizar.
El recopilador aparece, ahora, en la consola.

Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Iniciar.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de
información.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener.
Al iniciar el recopilador, se crea un informe para presentar los datos recolectados.
Despliegue los nodos Informes y luego Definido por el usuario.
Aparece un contenedor con el mismo nombre que el recopilador de datos.
Despliegue Recopilador Procesos y luego haga clic en el informe.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o
cambiar el tipo de gráfico.
2. Creación de una vista personalizada

Objetivo: crear una vista personalizada para recuperar solamente los eventos deseados.

En la consola Administración de equipos, despliegue Visor de eventos y luego el nodo Vistas
personalizadas.
Haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista personalizada.
Deje el valor En cualquier momento en la lista desplegable Registrado.
Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles.
En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicación.
Haga clic en Aceptar y luego en el campo Nombre, introduzca Búsqueda registro App.Sys.
Confirme haciendo clic en Aceptar.
El filtro se aplica al conjunto de registros seleccionados.
Ahora es más fácil encontrar información en un registro.
3. Asociar una tarea a un evento

Objetivo: ejecutar un script cuando un evento aparece en el registro.
En AD1, abra la interfaz Menú Inicio, haga clic en Herramientas administrativas y luego abra
la consola DHCP.
Despliegue el nodo ad1.formacion.local y luego haga clic con el botón derecho en él.
En el menú contextual seleccione Todas las tareas y luego Detener.
Cree y ejecute el archivo Script-Evento.cmd.

Se puede descargar el script en la página Información
En el registro Sistema, seleccione el aviso que se ha creado.
Haga clic con el botón derecho en el aviso y luego seleccione Adjuntar tarea a este evento. Esta
opción se encuentra también disponible en el panel Acciones.
Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los
parámetros por defecto.
Los campos Registro, Origen e Id del evento aparecen en gris. Haga clic en Siguiente para
validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje
que no verá, necesariamente, el administrador.
Marque el botón Iniciar un programa y luego haga clic en Siguiente.
Cree el script Reset-Servicios.cmd.

Es posible descargar el archivo en la página Información.
Haga clic en Examinar y luego seleccione el script, finalmente valide empleando el

botónSiguiente.
Haga clic en Finalizar y luego en Aceptar en el mensaje de información.
Se crea una nueva entrada en el Programador de tareas.

Vuelva a ejecutar el archivo Script-Evento.cmd.
Se crea una nueva entrada en el registro Sistema y se ejecuta el script Reset-Servicios.
El servicio DHCP arranca correctamente.
De esta forma algunas acciones pueden ser fácilmente automatizadas.
4. Implantación y uso de una suscripción

Objetivo: recuperar el registro de eventos de AD1 desde SV1.
Inicie un símbolo del sistema DOS en el equipo AD1.
Introduzca el comando winrm quickconfig y luego pulse la tecla [Intro].

Para efectuar las modificaciones, introduzca la letra y y luego pulse la tecla [Intro].
Inicie la consola Usuarios y equipos de Active Directory.
Despliegue el nodo Formacion.local y luego haga clic en Builtin.
Haga doble clic en el grupo Lectores del registro de eventos.
Haga clic en la pestaña Miembros y luego en el botón Agregar.
Debemos incluir las cuentas de equipo en el tipo de objeto de búsqueda.
Haga clic en Tipos de objeto y luego marque Equipos.
Haga clic en Aceptar y luego introduzca SV1 en el campo.
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
Esta operación autoriza al equipo SV1 a leer los registros de eventos.
En el equipo SV1, inicie un símbolo del sistema e introduzca wecutil qc.
Pulse la letra s y luego pulse la tecla [Intro].
En SV1, abra la consola Administración de equipos y, a continuación, despliegue el nodo Visor

de eventos.
Haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en Crear
suscripción.
En el campo Nombre de suscripción, introduzca Recopilador AD1.

El registro de destino predeterminado es Eventos reenviados, es posible modificarlo usando la lista
desplegable Registro de destino. La transferencia puede ser iniciada por el equipo destinatario
(opción iniciada por el recopilador) o por el equipo origen.
Haga clic en Seleccionar equipos y luego Agregar equipos de dominio.
Introduzca AD1 en el campo y luego haga clic en Comprobar nombres y Aceptar.

Valide empleando el botón Aceptar.
No es necesario recoger todos los eventos. Debemos aplicar un filtro.
Haga clic en Seleccionar eventos.
Los eventos que deben ser transferidos son los de nivel Información, Advertencia, Error y Crítico. El
filtro no es muy restrictivo, porque las máquinas se han instalado recientemente y no contienen una
gran cantidad de eventos de tipo advertencia o error.
Marque los siguientes niveles en la ventana Filtro de consulta.
Seleccione los registros Sistema y Aplicación.
Haga clic dos veces en Aceptar. Se adjunta una nueva línea a la consola.
Haga clic con el botón derecho en Recopilador AD1, luego seleccione Estado en tiempo de
ejecución.
Verifique que el sistema no envía ningún error. Si no se devuelve ningún error, espere,
porque la transferencia está en progreso.
Tras un tiempo más o menos largo, los eventos aparecen en el registro Eventos reenviados.
Si no se transfiere ningún evento y la suscripción no presenta ningún error, verifique el filtro y reinicie
el origen y el recopilador. Antes de reiniciar, espere algunos segundos para verificar que la suscripción
no presenta ningún error.
1. Preguntas
1 ¿Cuál es la utilidad del Administrador de tareas?
2 ¿Cuál es la utilidad de la consola Monitor de recursos?
3 ¿Qué tipo de gráficos es posible utilizar en el Monitor de rendimiento?
4 ¿Cuál es la utilidad del conjunto de recopiladores de datos?
5 ¿Dónde se almacenan los archivos creados por el conjunto de recopiladores de datos?
6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
7 ¿Cuáles son los niveles de advertencia que puede tener un evento?
8 ¿Qué permite crear una vista personalizada?
9 ¿Cuáles son los dos servicios utilizados por una suscripción?
2. Resultados
3. Respuestas
1 ¿Cuál es la utilidad del Administrador de tareas?
El administrador de tareas permite gestionar los procesos y los distintos servicios. La consola
permite a su vez diagnosticar los problemas de rendimiento.
2 ¿Cuál es la utilidad de la consola Monitor de recursos?
Los principales componentes de un equipo (procesador, memoria, adaptador de red...) se

encuentran en la consola Monitor de recursos. Ésta permite seguir su utilización y detectar un
posible problema en alguno de sus recursos.
3 ¿Qué tipo de gráficos es posible utilizar en el Monitor de rendimiento?
Se pueden utilizar tres tipos de gráficos en el Monitor de rendimiento: curvas, histograma de barras
e informes.
4 ¿Cuál es la utilidad del conjunto de recopiladores de datos?
A diferencia del Monitor de rendimiento que efectúa un análisis en tiempo real, un conjunto de
recopiladores de datos permite realizar un análisis de los datos recuperados en cualquier momento.
5 ¿Dónde se almacenan los archivos creados por el conjunto de recopiladores de datos?
Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta está
ubicada en la partición del sistema.
6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
7 ¿Cuáles son los niveles de advertencia que puede tener un evento?
Los cuatro niveles de advertencia son información, advertencia, error y crítico.
8 ¿Qué permite crear una vista personalizada?

Los registros de eventos pueden contener varios cientos de eventos. Para no perderse entre todos
los eventos debemos aplicar un filtro al registro. Esta característica se ofrece mediante las vistas
personalizadas.
9 ¿Cuáles son los dos servicios utilizados por una suscripción?
La suscripción utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc
(Windows Event Collector Service) en el destino.
Objetivos
Objetivos del examen 70-

Capítulos Talleres
410
Instalación y configuración de servidores
Instalación de servidores Instalación de Hyper- Instalación de Hyper-V -

V Creación de las máquinas
Despliegue y virtuales - Máquina virtual AD1
administración de
Windows Server
2012 R2
Configuración de servidores Despliegue y Despliegue y administración de

administración de Windows Server 2012 R2 -
Windows Server Talleres: Configuración de un
2012 R2 servidor en modo de instalación
Core, Administración de
servidores, Utilización de
PowerShell para administrar los
servidores
Configuración del Gestión del espacio Gestión del espacio de

almacenamiento local de almacenamiento almacenamiento local - Talleres:
local Implementar un sistema GPT,
Reducción de una partición,
Despliegue de diferentes
volúmenes, Implementar un
espacio de almacenamiento
redundante
Configuración de los roles y las características del servidor
Configuración de acceso Administración de los Administración de los servidores

compartido y de archivos servidores de de archivos - Talleres: Creación
archivos de un recurso compartido y uso
de ABE, Implementar
instantáneas
Configuración de los Administración de los Administración de los servidores

servicios de documentos e servidores de de archivos - Talleres: Creación
impresión archivos de un grupo de impresión,
Gestión del servidor de
impresión
Configuración de servidores Despliegue y

para la administración administración de
remota Windows Server
2012 R2
Configuración de Hyper-V
Creación y configuración de Instalación de Hyper- Instalación de Hyper-V -

máquina virtual V Creación de las máquinas
virtuales - Máquina virtual AD1

almacenamiento de V Creación de las máquinas
máquina virtual virtuales - Máquina virtual AD1

redes virtuales V Talleres: Configuración de la red
virtual
Implementación y configuración de los servicios principales de red
Configuración de las Implementación del Instalación de Hyper-V -

direcciones IPv4 e IPv6 protocolo IP Creación de las máquinas
virtuales - Máquina virtual AD1
Implementación del protocolo IP
- Talleres: Implementación del
protocolo IPv6
Implementación y Implementación de Implementación de un servidor

configuración del servicio de un servidor DHCP DHCP - Talleres: Agregar el rol
Protocolo de configuración DHCP, Configurar un nuevo
dinámica de host (DHCP) ámbito y agregar opciones,
Copia de seguridad y
restauración de la base de datos
Implementación y Implementación de Implementación de un servidor

configuración del servicio un servidor DNS DNS - Talleres: Configuración de
DNS un redirector condicional,
Creación de una zona
GlobalNames
Despliegue y administración de
Windows Server 2012 R2 -
Talleres: Creación del bosque
Formacion.local
Instalación y administración de Active Directory
Instalación de Despliegue y Despliegue y administración de

controladores de dominio administración de Windows Server 2012 R2 -
Windows Server Talleres: Creación del bosque
2012 R2 Formacion.local
Introducción a los Introducción a los servicios
servicios Active Active Directory - Talleres:
Directory Promover un servidor utilizando
IFM
Crear y administrar Administración de Administración de objetos AD -

usuarios y equipos de objetos AD Talleres: Administración de
Active Directory cuentas de usuario
Creación y administración Administración de Administración de objetos AD -

de grupos y unidades objetos AD Talleres: Implementar la
organizativas (OU) de delegación
Active Directory
Creación y administración de la directiva de grupo
Creación de objetos de Implementación de Implementación de directivas de

directiva de grupo (GPO) directivas de grupo grupo - Talleres: Creación de
una directiva de grupo,
Implementación de preferencias
Configuración de las Securización del Securización del servidor con

directivas de seguridad servidor con GPO GPO - Talleres: Creación de una
plantilla de seguridad
Configuración de directivas Securización del Securización del servidor con

de restricción de servidor con GPO GPO - Talleres: Creación de
aplicaciones reglas con AppLocker
Configuración de Windows Securización del Securización del servidor con

Firewall servidor con GPO GPO - Talleres: Configuración del
Firewall de Windows

Windows Server 2012 R2 Guia Estudio Exam

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Windows Server 2012 R2 Guia Estudio Exam

Cargado por

Copyright:

Formatos disponibles

Windows Server 2012 R2

Instalación y Configuración - Preparación para la certificación MCSA - Examen

B. Organización de las certificaciones 12

C. ¿Cómo está organizado este libro? 12

D. Competencias evaluadas en el examen 70-410 14

E. Máquinas virtuales utilizadas 14

Capítulo 2 Instalación de Hyper-V

A. Información general de las tecnologías de virtualización 16

1. Requisitos previos de Hardware 17

C. El disco duro de las máquinas virtuales 23

1. Los diferentes tipos de discos 23

www.ediciones-eni.com © Ediciones ENI 1/13

4. Los puntos de control en Hyper-V 25

D. Gestión de redes virtuales 26

1. Configuración de la red virtual 28

G. Creación de las máquinas virtuales 29

H. Configuración de la QoS a nivel de almacenamiento 45

I. Validación de conocimientos: preguntas/respuestas 47

Capítulo 3 Despliegue y administración de Windows Server 2012 R2

A. Información general de Windows Server 2012 R2 50

1. Las ediciones de Windows Server 2012 R2 50

www.ediciones-eni.com © Ediciones ENI 2/13

3. Presentación de las principales características 52

B. Información general de la administración de Windows Server 2012 R2 53

C. Instalación de Windows Server 2012 R2 56

D. Configuración del sistema operativo después de su instalación 57

1. Configuración del adaptador de red 57

1. Creación del bosque Formacion.local 68

G. Validación de conocimientos: preguntas/respuestas 94

Capítulo 4 Introducción a los servicios Active Directory

www.ediciones-eni.com © Ediciones ENI 3/13

B. Información general de Active Directory 98

C. Información general de un controlador de dominio 104

D. Promover un controlador de dominio 105

1. Promover un controlador de dominio de forma gráfica 105

E. La papelera de reciclaje AD 108

F. La directiva de contraseña muy específicas 108

H. Validación de conocimientos: preguntas/respuestas 126

Capítulo 5 Administración de objetos AD

www.ediciones-eni.com © Ediciones ENI 4/13

B. Presentación de las consolas Active Directory 132

C. Administración de las cuentas de usuario 133

1. Creación de una cuenta de usuario 133

D. Administración de grupos 139

1. Diferencia entre grupos de seguridad y de distribución 139

E. Administración de las cuentas de equipo 141

1. Implementar la delegación 144

G. Validación de conocimientos: preguntas/respuestas 157

Capítulo 6 Automatizar la administración de Active Directory

B. Administración mediante líneas de comandos 160

www.ediciones-eni.com © Ediciones ENI 5/13

C. Administración del rol AD DS empleando PowerShell 162

E. Validación de conocimientos: preguntas/respuestas 173

Capítulo 7 Implementación del protocolo IP

B. Información general del protocolo TCP/IP 176

C. Entender el direccionamiento IPv4 178

1. El direccionamiento IPv4 178

D. Establecimiento de subredes 182

1. La ventaja de las subredes 182

E. Configurar y mantener IPv4 184

1. El comando ipconfig 184

www.ediciones-eni.com © Ediciones ENI 6/13

3. El comando tracert 186